中国移动集团管理信息系统部安全加固项目Linux系统安全配置基线中国移动集团公司第1页共15页备注：中国移动集团管理信息系统部安全加固项目1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

中国移动集团公司第2页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月中国移动集团管理信息系统部安全加固项目目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1用户口令设置 (2)2.1.2root用户远程登录限制 (2)2.1.3检查是否存在除root之外UID为0的用户 (3)2.1.4root用户环境变量的安全性 (3)2.2认证 (4)2.2.1远程连接的安全性配置 (4)2.2.2用户的umask安全配置 (4)2.2.3重要目录和文件的权限设置 (4)2.2.4查找未授权的SUID/SGID文件 (5)2.2.5检查任何人都有写权限的目录 (6)2.2.6查找任何人都有写权限的文件 (6)2.2.7检查没有属主的文件 (7)2.2.8检查异常隐含文件 (7)第3章日志审计 (9)3.1日志 (9)3.1.1syslog登录事件记录 (9)3.2审计 (9)3.2.1Syslog.conf的配置审核 (9)第4章系统文件 (11)4.1系统状态 (11)4.1.1系统core dump状态 (11)第5章评审与修订 (12)中国移动集团公司第3页共15页中国移动集团管理信息系统部安全加固项目第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。

1.3适用版本LINUX系列服务器；1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

中国移动集团公司第1页共15页中国移动集团管理信息系统部安全加固项目第2章账号管理、认证授权2.1账号2.1.1用户口令设置2.1.2root用户远程登录限制中国移动集团公司第2页共15页、执行：awk-F:'($2==){print$1}'/etc/shadow,检查是否存号基线符合性判定依据建议在/etc/login文件中配置：PASS_MIN_LEN=6不允许存在简单密码，密码设置符合策略，如长度至少为不存在空口令账号备注安全基线项目名称操作系统Linux远程登录安全基线要求项安全基线编号SBL-Linux-02-01-02安全基线项说明帐号与口令-root用户远程登录限制检测操作步执行：more/etc/securetty，检查Console参数中国移动集团管理信息系统部安全加固项目2.1.3检查是否存在除root之外UID为0的用户2.1.4root用户环境变量的安全性中国移动集团公司第3页共15页判定依据返回值包含以上条件，则低于安全要求；备注补充操作说明确保root用户的系统路径中不包含父目录，在非必要的情况下，不应组权限为777安全基线编号SBL-Linux-02-01-03安全基线项说明帐号与口令-检查是否存在除root之外UID为0的用户检测操作步骤执行：awk-F:'($3==0){print$1}'/etc/passwd基线符合性判定依据返回值包括“root”以外的条目，则低于安全要求；备注补充操作说明UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID0 骤基线符合性判定依据建议在/etc/securetty文件中配置：CONSOLE=/dev/tty01备注中国移动集团管理信息系统部安全加固项目2.2认证2.2.1远程连接的安全性配置2.2.2用户的umask安全配置2.2.3重要目录和文件的权限设置中国移动集团公司第4页共15页说明 帐号与口令-用户的 umask 安全配置检测操作步骤 执行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc mo/etc/bashrc 检查是否包含 umask 值基线符合性判定依据 umask值是默认的，则低于安全要求备注 补充操作说明建议设置用户的默认 umask=077安全基线项目名称 操作系统 Linux 目录文件权限安全基线要求项安全基线编号 SBL-Linux-02-02-03中国移动集团管理信息系统部安全加固项目2.2.4 查找未授权的 SUID/SGID 文件中国移动集团公司第5页共15页安全基线项说明文件系统-重要目录和文件的权限设置检测操作步骤执行以下命令检查目录和文件的权限设置情况：ls–l/etc/ls–l/etc/rc.d/init.ls–l/tls–l/etc/inetd.cols–l/etc/passls–l/etc/shadls–l/etc/grols–l/etc/securils–l/etc/servicls-l/etc/rc*.d基线符合性判定依据若权限过低，则低于安全要求；备注补充操作对于重要目录，建议执行如下类似操#chmod-R750/etc/rc.d/init.d/*这样只有root可以读、写和执行这个目录下的脚本。

安全基线项目名称操作系统Linux SUID/SGID文件安全基线要求项安全基线编号SBL-Linux-02-02-04安全基线项说明文件系统-查找未授权的SUID/SGID文件检测操作步骤用下面的命令查找系统中所有的SUID和SGID程序，执for PART in`grep-v^# /etc/fstab|awk'($6!=0){print$2}'`;find$PART\(-perm-04000-o-perm-02000\)-type f-xdev-priDone基线符合性判定依据若存在未授权的文件，则低于安全要求；备注补充操作说明建议经常性的对比suid/sgid文件列表，以便能够及时发现可疑的后门2.2.5检查任何人都有写权限的目录2.2.6查找任何人都有写权限的文件中国移动集团公司第6页共15页安全基线项目名称操作系统Linux目录写权限安全基线要求项安全基线编号SBL-Linux-02-02-05安全基线项说明文件系统-检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命for PART in`awk'($3==ext2||$3==ext3){ print$2}'/etc/fstab`;dofind$PART-xdev-type d\(-perm-0002-a!-perm-1000\)-priDone基线符合性判定依据若返回值非空，则低于安全要求；备注安全基线目名操作系Linu文件写权限安全基线要求安全基线号SBL-Linux-02-02-06安全基线项说明文件系统-查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命for PART in`grep-v^#/etc/fstab|awk'($6!=0){print$2}'`;find$PART-xdev-type f\(-perm-0002-a!-perm-1000\)-priDone基线符合性判定依据若返回值非空，则低于安全要求；备注中国移动集团管理信息系统部安全加固项目2.2.7检查没有属主的文件2.2.8检查异常隐含文件中国移动集团公司第7页共15页安全基线项目名称操作系统Linux文件所有权安全基线要求项安全基线编号SBL-Linux-02-02-07安全基线项说明文件系统-检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命for PART in`grep-v^#/etc/fstab|awk'($6!=0){print$2}'`;find$PART-nouser-o-nogroup-pridone注意：不用管“/dev”目录下的那些文件。

基线符合性判定依据若返回值非空，则低于安全要求；备注补充操作说明发现没有属主的文件往往就意味着有黑客入侵你的系统了。

不能允许没人的文件存在。

如果在系统中发现了没有主人的文件或目录，先查看它整性，如果一切正常，给它一个主人。

有时候卸载程序可能会出现一些主人的文件或目录，在这种情况下可以把这些文件和目录删除掉。

安全基线项目名称操作系统Linux隐含文件安全基线要求项安全基线编号SBL-Linux-02-02-08安全基线项说明文件系统-检查异常隐含文件检测操作步骤用“find”程序可以查找到这些隐含文件。

例如：#find/-name..*-print–xd#find/-name…*-print-xdev|cat-v同时也要注意象“.xx”和“.mail”这样的文件名的。

（这些文件名看都很象正常的文件名）基线符合性判定依据若返回值非空，则低于安全要求；备注中国移动集团管理信息系统部安全加固项目补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符用“ls”命令看不到的文件），因为这些文件可能是隐藏的黑客工具或它一些信息（口令破解程序、其它系统的口令文件，等等）。

在UNIX下，一个常用的技术就是用一些特殊的名，如：“…”、“..”（点点空格“..^G”（点点control-G），来隐含文件或目录。

中国移动集团公司第8页共15页中国移动集团管理信息系统部安全加固项目第3章日志审计3.1日志3.1.1syslog登录事件记录3.2审计3.2.1Syslog.conf的配置审核中国移动集团公司第9页共15页安全基线项目名称操作系统Linux登录审计安全基线要求项安全基线编号SBL-Linux-03-01-01安全基线项说明日志审计-syslog登录事件记录检测操作步骤执行命令：more/etc/syslog.co查看参数authpriv值基线符合性判定依据若未对所有登录事件都记录，则低于安全要求；备注中国移动集团管理信息系统部安全加固项目中国移动集团公司第10页共15页判定依据备注补充操作说明建议配置专门的日志服务器，加强日志信息的异地同步备份中国移动集团管理信息系统部安全加固项目第4章系统文件4.1系统状态4.1.1系统core dump状态中国移动集团公司第11页共15页安全基线项目名称操作系统Linux core dump状态安全基线要求项安全基线编号SBL-Linux-04-01-01安全基线项说明系统文件-系统core dump状态检测操作步骤执行：more/etc/security/limits.conf检查是否包含下列*soft core* hard core0基线符合性判定依据若不存在，则低于安全要求备注补充操作说明core dump中可能包括系统信息，易被入侵者利用，建议关闭中国移动集团管理信息系统部安全加固项目第5章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。