Linux系统安全配置基线中国移动通信有限公司管理信息系统部2009年3月中国移动集团公司第1页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

中国移动集团公司第2页共15页目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章账号管理、认证授权 (2)2.1账号 (2)2.1.1用户口令设置 (2)2.1.2root用户远程登录限制 (2)2.1.3检查是否存在除root之外UID为0的用户 (3)2.1.4root用户环境变量的安全性 (3)2.2认证 (4)2.2.1远程连接的安全性配置 (4)2.2.2用户的umask安全配置 (4)2.2.3重要目录和文件的权限设置 (4)2.2.4查找未授权的SUID/SGID文件 (5)2.2.5检查任何人都有写权限的目录 (6)2.2.6查找任何人都有写权限的文件 (6)2.2.7检查没有属主的文件 (7)2.2.8检查异常隐含文件 (7)第3章日志审计 (9)3.1日志 (9)3.1.1syslog登录事件记录 (9)3.2审计 (9)3.2.1Syslog.conf的配置审核 (9)第4章系统文件 (11)4.1系统状态 (11)4.1.1系统core dump状态 (11)第5章评审与修订 (12)中国移动集团公司第3页共15页第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。

1.3适用版本LINUX系列服务器；1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

中国移动集团公司第1页共15页第 2 章 账号管理、认证授权2.1 账号2.1.1 用户口令设置2.1.2 root 用户远程登录限制中国移动集团公司第 2 页 共 15 页安全基线项 目名称 操作系统 Linux 用户口令安全基线要求项 安全基线编号 SBL -Linux -02-01-01 安全基线项 说明 帐号与口令-用户口令设置检测操作步骤1、询问管理员是否存在如下类似的简单用户密码配置，比如： root/root, test/test, root/root12342、执行：more /etc/login ，检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_W ARN_AG E 参数3、执行：awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令账 号基线符合性 判定依据建议在/etc/login 文件中配置：PASS_MIN_LEN=6不允许存在简单密码，密码设置符合策略，如长度至少为 6 不存在空口令账号 备注安全基线项 目名称 操作系统 Linux 远程登录安全基线要求项 安全基线编号 SBL -Linux -02-01-02安全基线项 说明 帐号与口令-root 用户远程登录限制检测操作步 执行：more /etc/securetty ，检查 Console 参数2.1.3 检查是否存在除 root 之外 UID 为 0 的用户2.1.4 root 用户环境变量的安全性中国移动集团公司第 3 页 共 15 页安全基线项 目名称 操作系统 Linux 超级用户环境变量安全基线要求项 安全基线编号 SBL -Linux -02-01-04安全基线项 说明 帐号与口令-root 用户环境变量的安全性检测操作步骤执行：echo $PA TH | egrep '(^|:)(\.|:|$)'，检查是否包含父目录，执行：find `echo $PA TH | tr ':' ' '` -type d \( -perm -002 -o -perm -020 \) -ls ，检 查是否包含组目录权限为 777 的目录基线符合性 判定依据 返回值包含以上条件，则低于安全要求； 备注补充操作说明确保 root 用户的系统路径中不包含父目录，在非必要的情况下，不应包含 组权限为 777 的目录安全基线项目名称 操作系统 Linux 超级用户策略安全基线要求项 安全基线编号 SBL -Linux -02-01-03安全基线项 说明 帐号与口令-检查是否存在除 root 之外 UID 为 0 的用户 检测操作步骤 执行：awk -F: '($3 == 0) { print $1 }' /etc/passwd 基线符合性 判定依据 返回值包括“root ”以外的条目，则低于安全要求； 备注补充操作说明UID 为 0 的任何用户都拥有系统的最高特权，保证只有 root 用户的 UID 为 0骤基线符合性 判定依据 建议在/etc/securetty 文件中配置：CONSOLE = /dev/tty01备注2.2 认证2.2.1 远程连接的安全性配置2.2.2 用户的 umask 安全配置2.2.3 重要目录和文件的权限设置中国移动集团公司 第 4 页 共 15 页安全基线项 目名称 操作系统 Linux 远程连接安全基线要求项 安全基线编号 SBL -Linux -02-02-01安全基线项 说明 帐号与口令-远程连接的安全性配置检测操作步骤 执行：find / -name .netrc ，检查系统中是否有.netrc 文件， 执行：find / -name .rhosts ，检查系统中是否有.rhosts 文件 基线符合性 判定依据 返回值包含以上条件，则低于安全要求； 备注补充操作说明如无必要，删除这两个文件安全基线项 目名称 操作系统 Linux 用户 umask 安全基线要求项 安全基线编号 SBL -Linux -02-02-02安全基线项 说明 帐号与口令-用户的 umask 安全配置检测操作步骤 执行：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 检查是否包含 umask 值 基线符合性 判定依据 umask 值是默认的，则低于安全要求 备注补充操作说明建议设置用户的默认 umask=077安全基线项 目名称 操作系统 Linux 目录文件权限安全基线要求项 安全基线编号 SBL -Linux -02-02-032.2.4 查找未授权的 SUID/SGID 文件中国移动集团公司第 5 页 共 15 页安全基线项 说明 文件系统-重要目录和文件的权限设置检测操作步骤执行以下命令检查目录和文件的权限设置情况：ls –l /etc/ls –l /etc/rc.d/init.d/ ls –l /tmp ls –l /etc/inetd.conf ls –l /etc/passwd ls –l /etc/shadow ls –l /etc/group ls –l /etc/security ls –l /etc/services ls -l /etc/rc*.d基线符合性 判定依据 若权限过低，则低于安全要求； 备注补充操作说明对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/rc.d/init.d/*这样只有 root 可以读、写和执行这个目录下的脚本。

安全基线项 目名称 操作系统 Linux SUID/SGID 文件安全基线要求项 安全基线编号 SBL -Linux -02-02-04安全基线项 说明 文件系统-查找未授权的 SUID/SGID 文件检测操作步骤用下面的命令查找系统中所有的 SUID 和 SGID 程序，执行： for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print Done基线符合性 判定依据 若存在未授权的文件，则低于安全要求；备注 补充操作说明建议经常性的对比 suid/sgid 文件列表，以便能够及时发现可疑的后门程序2.2.5 检查任何人都有写权限的目录2.2.6 查找任何人都有写权限的文件中国移动集团公司第 6 页 共 15 页安全基线项 目名称 操作系统 Linux 目录写权限安全基线要求项 安全基线编号 SBL -Linux -02-02-05安全基线项 说明 文件系统-检查任何人都有写权限的目录检测操作步骤在系统中定位任何人都有写权限的目录用下面的命令：for PART in `awk '($3 == "ext2" || $3 == "ext3") \ { print $2 }' /etc/fstab`; dofind $PART -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print Done基线符合性 判定依据 若返回值非空，则低于安全要求；备注安全基线项 目名称 操作系统 Linux 文件写权限安全基线要求项 安全基线编号 SBL -Linux -02-02-06安全基线项 说明 文件系统-查找任何人都有写权限的文件检测操作步骤在系统中定位任何人都有写权限的文件用下面的命令：for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do find $PART -xdev -type f \( -perm -0002 -a ! -perm -1000 \) -print Done基线符合性 判定依据 若返回值非空，则低于安全要求； 备注2.2.7 检查没有属主的文件2.2.8 检查异常隐含文件中国移动集团公司第 7 页 共 15 页安全基线项 目名称 操作系统 Linux 文件所有权安全基线要求项 安全基线编号 SBL -Linux -02-02-07安全基线项 说明 文件系统-检查没有属主的文件检测操作步骤定位系统中没有属主的文件用下面的命令：for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do find $PART -nouser -o -nogroup -print done注意：不用管“/dev ”目录下的那些文件。