杭州安恒信息技术有限公司Linux 系统安全配置基线杭州安恒信息技术有限公司2016年 12月目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)第2章本地策略 (2)2.1帐户与口令检查策略 (2)2.1.1检查系统中是否存在口令为空的帐户 (2)2.1.2检查系统中是否存在UID与ROOT帐户相同的帐户 (2)2.1.3检查是否按用户分配帐号 (2)2.1.4检查密码最小长度 (3)2.1.5检查密码过期时间 (3)2.1.6检查密码最大重试次数 (3)2.1.7检查是否配置口令复杂度策略 (4)2.1.8检查是否设置系统引导管理器密码 (4)2.1.9检查口令过期前警告天数 (5)2.1.10检查口令更改最小间隔天数 (5)2.1.11检查是否使用PAM认证模块禁止WHEEL组之外的用户SU为ROOT (5)2.1.12检查密码重复使用次数限制 (6)2.2日志配置 (6)2.2.1检查系统是否开启了日志功能 (6)2.2.2检查系统是否开启了日志审计功能 (7)2.2.3检查是否对登录进行日志记录 (7)2.2.4检查是否记录用户对设备的操作 (7)2.2.5检查SYSLOG-NG是否配置安全事件日志 (8)2.2.6检查RSYSLOG是否配置安全事件日志 (8)2.2.7检查SYSLOG是否配置安全事件日志 (9)2.2.8检查是否配置SU命令使用情况记录 (9)2.2.9检查是否配置远程日志功能 (9)2.2.10检查是否启用CRON行为日志功能 (10)2.2.11检查审计日志默认保存时间是否符合规范 (11)2.3系统内核配置 (11)2.3.1检查系统内核参数配置-是否禁止ICMP源路由 (11)2.3.2检查系统内核参数配置-是否禁止ICMP重定向报文 (11)2.3.3检查系统内核参数配置-SEND_REDIRECTS配置 (12)2.3.4检查系统内核参数配置-IP_FORWARD配置 (12)2.3.5检查系统内核参数配置ICMP_ECHO_IGNORE_BROADCASTS配置 (13)2.4信息隐藏 (13)2.4.1检查是否设置SSH登录前警告B ANNER (13)2.4.2检查是否设置SSH登录后警告B ANNER (14)2.4.3检查是否修改默认FTP B ANNER设置 (14)2.4.4检查TELNET B ANNER 设置 (14)2.5服务端口启动项 (15)2.5.1检查是否启用SSH服务 (15)2.5.2检查是否启用了TALK服务 (15)2.5.3检查是否启用了NTALK服务 (16)2.5.4检查是否启用了SENDMAIL服务 (16)2.5.5禁止ROOT帐户登录FTP(VSFTP) (17)2.5.6禁止匿名FTP(VSFTP) (17)2.5.7检查设备是否已禁用TELNET服务 (17)2.5.8检查是否关闭不必要的服务和端口 (18)2.6文件目录权限 (18)2.6.1检查环境变量目录下是否存在权限为777的目录 (18)2.6.2检查环境变量目录下是否存在权限为777的文件 (18)2.6.3检查是否存在权限不安全的重要日志文件 (19)2.6.4检查系统当前的UMASK (19)2.6.5检查拥有SUID和SGID权限的文件 (20)2.6.6检查/USR/BIN/目录下可执行文件的拥有者属性是否合规 (20)2.7访问权限 (21)2.7.1检查FTP用户上传的文件所具有的权限 (21)2.7.2检查系统是否启用了SUDO命令 (21)2.7.3检查系统是否允许ROOT帐户SSH远程登录 (22)2.7.4检查系统是否允许ROOT帐户TELNET远程登录 (22)2.7.5检查是否绑定可访问主机的IP或IP段 (23)2.7.6检查是否允许所有IP访问主机 (23)2.7.7HOSTS.DENY文件设置SSHD：A LL (23)2.8其他安全配置 (24)2.8.1检查登录超时锁定时间 (24)2.8.2检查ROOT用户的PATH环境变量是否包含相对路径 (24)2.8.3检查ROOT用户的PATH环境变量是否包含相对路径 (24)2.8.4检查SSH协议是否使用SSH2 (25)2.8.5检查启用系统CORE DUMP设置 (25)2.8.6检查是否修改SNMP默认团体字 (25)2.8.7检查系统是否禁用CTRL+ALT+DEL组合键 (26)2.8.8检查是否关闭系统信任机制 (26)2.8.9检查记录历史命令条数设置 (26)2.8.10检查是否删除了潜在危险文件 (27)2.8.11检查磁盘使用率 (27)2.8.12检查是否关闭数据包转发功能（适用于不做路由功能的系统） (28)2.8.13检查是否关闭IP伪装和绑定多IP功能 (28)2.8.14检查/ETC/ALIASE是否禁用不必要的别名文件 (28)2.8.15检查是否配置定时自动屏幕锁定（适用于具备图形界面的设备） (29)2.8.16检查是否安装CHKROOTKIT进行系统监测 (30)2.8.17检查系统是否开启ASLR (30)第1章概述1.1 目的本文档规范了杭州安恒信息技术有限公司对于安装有Linux操作系统的主机进行加固时应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Linux 操作系统的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：Linux 服务器系统。

第2章本地策略2.1 帐户与口令检查策略2.1.1 检查系统中是否存在口令为空的帐户2.1.2 检查系统中是否存在UID与root帐户相同的帐户2.1.3 检查是否按用户分配帐号2.1.4 检查密码最小长度2.1.5 检查密码过期时间2.1.6 检查密码最大重试次数2.1.7 检查是否配置口令复杂度策略2.1.8 检查是否设置系统引导管理器密码2.1.9 检查口令过期前警告天数2.1.10 检查口令更改最小间隔天数2.1.11 检查是否使用PAM认证模块禁止wheel组之外的用户su为root2.1.12 检查密码重复使用次数限制2.2 日志配置2.2.1 检查系统是否开启了日志功能2.2.2 检查系统是否开启了日志审计功能2.2.3 检查是否对登录进行日志记录2.2.4 检查是否记录用户对设备的操作2.2.5 检查syslog-ng是否配置安全事件日志2.2.6 检查rsyslog是否配置安全事件日志2.2.7 检查syslog是否配置安全事件日志2.2.8 检查是否配置su命令使用情况记录2.2.9 检查是否配置远程日志功能2.2.10 检查是否启用cron行为日志功能2.2.11 检查审计日志默认保存时间是否符合规范2.3 系统内核配置2.3.1 检查系统内核参数配置-是否禁止icmp源路由2.3.2 检查系统内核参数配置-是否禁止icmp重定向报文2.3.3 检查系统内核参数配置-send_redirects配置2.3.4 检查系统内核参数配置-ip_forward配置2.3.5 检查系统内核参数配置icmp_echo_ignore_broadcasts配置2.4 信息隐藏2.4.1 检查是否设置ssh登录前警告Banner2.4.2 检查是否设置ssh登录后警告Banner2.4.3 检查是否修改默认FTP Banner设置2.4.4 检查telnet Banner 设置2.5 服务端口启动项2.5.1 检查是否启用SSH服务2.5.2 检查是否启用了talk服务2.5.3 检查是否启用了ntalk服务2.5.4 检查是否启用了sendmail服务2.5.5 禁止root帐户登录FTP (vsftp)2.5.6 禁止匿名FTP (vsftp)2.5.7 检查设备是否已禁用telnet服务2.5.8 检查是否关闭不必要的服务和端口2.6 文件目录权限2.6.1 检查环境变量目录下是否存在权限为777的目录2.6.2 检查环境变量目录下是否存在权限为777的文件2.6.3 检查是否存在权限不安全的重要日志文件2.6.4 检查系统当前的umask2.6.5 检查拥有suid和sgid权限的文件2.6.6 检查/usr/bin/目录下可执行文件的拥有者属性是否合规2.7 访问权限2.7.1 检查FTP用户上传的文件所具有的权限2.7.2 检查系统是否启用了sudo命令2.7.3 检查系统是否允许root帐户ssh远程登录2.7.4 检查系统是否允许root帐户telnet远程登录2.7.5 检查是否绑定可访问主机的ip或ip段2.7.6 检查是否允许所有ip访问主机2.7.7 h osts.deny文件设置sshd：All2.8 其他安全配置2.8.1 检查登录超时锁定时间2.8.2 检查root用户的PATH环境变量是否包含相对路径2.8.3 检查root用户的PATH环境变量是否包含相对路径2.8.4 检查ssh协议是否使用ssh22.8.5 检查启用系统core dump设置2.8.6 检查是否修改snmp默认团体字2.8.7 检查系统是否禁用ctrl+alt+del组合键2.8.8 检查是否关闭系统信任机制2.8.9 检查记录历史命令条数设置2.8.10 检查是否删除了潜在危险文件2.8.11 检查磁盘使用率2.8.12 检查是否关闭数据包转发功能（适用于不做路由功能的系统）2.8.13 检查是否关闭IP伪装和绑定多IP功能2.8.14 检查/etc/aliase是否禁用不必要的别名文件2.8.15 检查是否配置定时自动屏幕锁定（适用于具备图形界面的设备）2.8.16 检查是否安装chkrootkit进行系统监测2.8.17 检查系统是否开启ASLR。