Suse Linux主机安全加固操作指导
内部公开
查看SSH服务状态: # /etc/init.d/sshd status 2. 预期结果: 显示SSH正在运行
2.19 安全要求-设备-SUSE LINUX-配置-21-可选
要求内容:
设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。 说明:需研发对该业务产品涉及端口和进程进行梳理。
除了业务配置文件配置的端口(这些可以通过现场将配置文件发回确认)外还有一些业务需要提供的服务端口(需要在代码中确认)。 操作方法: 开放的服务列表
#chkconfig --list 开放的端口列表 命令: # netstat -an 服务端口和进程对应表: 命令:cat /etc/services ftp-data 20/tcp ftp 21/tcp ssh 22/tcp telnet 23/tcp smtp 25/tcp pop2 109/tcp pop3 110/tcp imap 143/tcp ldap 389/udp tftp 69/udp
2013-8-15
第16页, 共27页
Suse Linux主机安全加固操作指导
内部公开
rje 77/tcp finger 79/tcp link 87/tcp supdup 95/tcp iso-tsap 102/tcp x400 103/tcp x400-snd 104/tcp ntp 123/tcp login 513/tcp shell 514/tcp syslog 514/udp 操作验证: 1.验证方法:
能够列出端口和服务对应表。 2.预期结果: 开放的服务列表 命令: # chkconfig --list 开放的端口列表 命令: # netstat -an 服务端口和进程对应表: 命令:cat /etc/services
2.20 安全要求-设备-SUSE LINUX-配置-22-可选
要求内容:
对于通过IP协议进行远程维护的设备,设备应支持对允许登陆到该设备的IP地址范围进行设定。
说明:需研发给出网元访问关系。
彩铃业务组网较复杂,且各局点组网方式各不相同。需要根据每个局点的情况单独配置。
2013-8-15
第17页, 共27页
Suse Linux主机安全加固操作指导
内部公开
操作方法:
1、编辑/etc/hosts.allow和/etc/hosts.deny两个文件
vi /etc/hosts.allow
增加一行
ssh:192.168.1.:allow #允许192.168.1的整个网段 vi /etc/hosts.deny 增加一行 all:all
重启进程:#pkill -HUP inetd 操作验证: 1. 验证方法:
使用192.168.4.44这台机器能够访问,而其它机器不能访问。
2.21 安全要求-设备-SUSE LINUX-配置-23-可选
要求内容:
主机系统应该禁止ICMP重定向,采用静态路由。 操作方法:
禁止系统发送ICMP重定向包:
在/etc/sysctl.conf中做如下参数调整,增加: net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 操作验证: 1. 验证方法:
查看/etc/sysctl.conf文件
2. 预期结果:
net.ipv4.conf.all.accept_redirects值为0 net.ipv4.conf.default.accept_redirects值为0
2013-8-15
第18页, 共27页
Suse Linux主机安全加固操作指导
内部公开
2.22 安全要求-设备-SUSE LINUX-配置-24-可选
要求内容:
对于不做路由功能的系统,应该关闭数据包转发功能。 操作方法:
#vi /etc/sysctl.conf IP Forwarding (IP转发) a. 关闭IP转发
net.ipv4.ip_forward = 0 b. 关闭转发源路由包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
操作验证: 1. 验证方法:
查看/etc/sysctl.conf文件 cat /etc/sysctl.conf 2. 预期结果:
net.ipv4.ip_forward 值为0
net.ipv4.conf.all.accept_source_route值为0
net.ipv4.conf.default.accept_source_route值为0
2.23 安全要求-设备-SUSE LINUX-配置-19-可选
要求内容:
对于具备字符交互界面的设备,应配置定时帐户自动登出。 操作方法:
可以在用户的/etc/profile文件中后面增加如下行:
vi /etc/profile
$ TMOUT=180;export TMOUT 改变这项设置后,重新登录才能有效。
2013-8-15
第19页, 共27页
Suse Linux主机安全加固操作指导
内部公开
操作验证:
1.验证方法:用root帐户登录后,在设定时间内不进行任何操作,检查帐户是否登出。 2.预期结果:若在设定时间内没有操作动作,能够自动退出,即为符合;
2.24 安全要求-设备-SUSE LINUX-配置-20-可选
要求内容:
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定。 操作方法:
1. 通过# xset q 查看当前屏保的设置情况 2. 通过xset的s参数设置屏保
# xset s 60 //60表示进入屏保时间为60秒 操作验证:
1.验证方法:登录后,在设定时间内不进行任何操作,检查屏幕是否被锁定。 2.预期结果:登录后,在设定时间内不进行任何操作,检查屏幕被锁定即为符合。
2.25 安全要求-设备-SUSE LINUX-配置-27-可选
要求内容:
涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改。
说明:需研发确认涉及重要文件及其权限。
业务安装目录、话单目录,不能被任意人员删除,修改。 操作方法:
查看重要文件和目录权限:ls –l
更改权限:
对于重要目录,建议执行如下类似操作: # chmod -R 750 /etc/init.d/*
这样只有root可以读、写和执行这个目录下的脚本。 操作验证:
1.验证方法:查看重要文件和目录权限:ls –l
2013-8-15
第20页, 共27页