Suse Linux主机安全加固操作指导
内部公开
用root外的其它帐户登录,对重要文件和目录进行删除、修改等操作
2.预期结果:用root外的其它帐户登录,对重要文件和目录进行删除、修改等操作不能够成功即为符合。
2.26 安全要求-设备-SUSE LINUX-配置-27-可选
要求内容:
对于具备console口的设备,限制root 用户只能从console口本地登录。不建议实施 操作方法:
设置不允许root用户远程登录系统 执行下面的命令创建/etc/securetty文件:
#vi /etc/securetty 增加: tty1 tty2 tty3 tty4 操作验证:
验证方法:以root用户远程telnet登录,输入正常密码 预期结果:登录不成功。
2.27 安全要求-设备-SUSE LINUX-配置-30-可选
要求内容:
设置eeprom 安全密码。不建议实施 操作方法:
HP系统无此项设置 操作验证: 1.验证方法: 无
2.预期结果:
2013-8-15
第21页, 共27页
Suse Linux主机安全加固操作指导
内部公开
无
2.28 安全要求-设备-SUSE LINUX-配置-31-可选
要求内容:
在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的包就不装。
说明:请研发确认实施建议。
彩铃业务需要单独安装JDK,并禁用安装操作系统的过程中默认安装的HTTP Server服务。
操作方法:
执行下列命令,查看版本及大补丁号。 #uname -a
执行下列命令,查看安装软件包 #rpm -qa
rpm命令是用来安装软件包,这个命令参数非常多rpm是为 了解决软件的安装问题而开发的,有了rpm以可以一条命令完成软件的安装,rpm自动的帮我们完成复杂的安装 步骤.例如:
#rpm –i db2-98979-2.0-9.rpm //安装IBMjava包 #rpm -qa //查询目前系统中安装的全部软件包 #rpm -qi nfs-utils //查询某一特定的软件包 #rpm -ivh zsh-4.0.1-1.i386.rpm //安装zsh软件包 操作验证: 1. 验证方法:
# uname -a 查看版本及大补丁号 # pm -qa 命令检查软件包 2.预期结果:
在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的
2013-8-15
第22页, 共27页
Suse Linux主机安全加固操作指导
内部公开
包就不装。
2.29 安全要求-设备-SUSE LINUX-配置-32-可选
要求内容:
应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。 说明:需研发确定补丁清单和实施建议 Suse9sp02版本。测试部已做过业务测试。 操作方法:
请各业务产品提供研发发布的各产品最新的SUSE LINUX补丁清单列表
由于各系统安装的软件包不同,所以实施加固补丁存在差异,但补丁级别应是相同的。 实施补丁安装时存在较大风险,在实施建议不实施和部分实施,只收集现网补丁列表。 # rpm -qa 命令检补丁号;
或通过SPident -vv(这里是两个v)查看 #rpm -ivh 命令给系统打补丁; 更新更安全的补丁请研发提供! 操作验证:
1.验证方法:#rpm -ivh 命令检补丁号
2.预期结果:查看最新的补丁号,确认已打上了最新补丁;
2.30 安全要求-设备-SUSE LINUX-配置-33-可选
要求内容:
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。 说明:需研发确认具体业务的实施建议 操作方法:
在suse linux系统中建议只关闭以下xinetd服务
chargen daytime-udp netstat rexec servers chargen-udp echo ntalk rlogin services time amanda cups-lpd
echo-udp pidents rsh swat time-udp amandaidx cvs finger rstatd systat uucp amidxtape daytime i4l-vbox qpoper rsync talk vnc'由于各服务之间及服务与业务应
2013-8-15
第23页, 共27页
Suse Linux主机安全加固操作指导
内部公开
用之间存在关联性,建议不实施,只收集现网开放服务列表。
服务关闭方法:
1.#chkconfig 服务名 off 2.重启inetd服务
#/etc/init.d/xinetd restart 操作验证:
验证方法:查看系统当前开放服务 # chkconfig -list 预期结果:无用服务被关闭
2.31 安全要求-设备-SUSE LINUX-配置-34-可选
要求内容:
如果网络中存在信任的NTP服务器,应该配置系统使用NTP服务保持时间同步。 说明:按照发布的时间同步文档实施
操作方法:
按照发布的时间同步文档实施
操作验证: 1. 验证方法:
查看ntp 的配置文件:#cat /etc/inet/ntp.conf 查看xntpd进程:#ps –elf|grep ntp 2.预期结果:与NTP服务器保持时间同步
2.32 安全要求-设备-SUSE LINUX-配置-35-可选
要求内容:
NFS服务:如果没有必要,需要停止NFS服务;如果需要NFS服务,需要限制能够访问NFS服务的IP范围。
说明:请研发确认对业务的影响
2013-8-15
第24页, 共27页
Suse Linux主机安全加固操作指导
内部公开
彩铃业务可以停止NFS服务。在文件服务器侧提供此服务即可。 操作方法:
停止NFS服务。 # cd /etc/init.d/ # ./nfsserver stop 操作验证: 1. 验证方法:
输入./nfsserver status命令查看NFS服务是否为Running状态,若是则表示NFS服务正常。 预期结果:
NFS状态显示为:unused
2.33 安全要求-设备-SUSE LINUX-配置-36-可选
要求内容: 防止堆栈缓冲溢出
说明:请研发确认是否有影响。风险非常大,建议不要实施! 操作方法:
Linux设置防止堆栈缓冲溢出需重新编译内核,风险非常大,建议不要实施! 操作验证: 1. 验证方法: 无 2.预期结果: 无
2.34 安全要求-设备-SUSE LINUX-配置-37-可选
要求内容:
列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。
说明:需确认研发业务产品涉及服务清单和影响 操作方法:
2013-8-15
第25页, 共27页