本规范适用于某运营商使用Linux操作系统的设备。

本规范明确了Linux操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

LINUX操作系统配置规范目录1 概述2 上架规范2.1 配置iLo管理口2.2 硬盘RAID配置2.3 服务器安装导轨2.4 服务器插线要求3 系统安装3.1 系统版本要求3.2 分区要求3.3 安装包要求3.4 用户要求3.5 时间同步要求3.6 字符集3.7 网卡绑定3.8 配置snmp3.9 连存储的服务器3.10 多路径软件3.11 udev配置（块设备管理、ASM组）3.12 CVE漏洞软件包版本4 补丁4.1 系统补丁（仅供参考）4.2 其他应用补丁（仅供参考）5 主机名、账号和口令安全配置基线5.1 主机命名规范5.2 账号安全控制要求5.3 口令策略配置要求5.4 口令复杂度和密码锁定策略配置要求5.5 口令重复次数限制配置要求5.6 设置登录Banner5.7 设置openssh登陆Banner5.8 Pam的设置5.9 root登录策略的配置要求5.10 root的环境变量基线6 网络与服务安全配置标准6.1 最小化启动服务6.2 最小化xinetd网络服务7 文件与目录安全配置7.1 临时目录权限配置标准7.2 重要文件和目录权限配置标准7.3 umask配置标准7.4 core dump状态7.5 ssh的安全设置7.6 bash历史记录7.7 其他注意事项8 系统Banner的配置9 防病毒软件安装10 ITSM监控agent安装11 内核参数优化12 syslog日志的配置13 重启服务器附件：安全工具1 概述本规范适用于某运营商使用Linux操作系统的设备。

本规范明确了Linux操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同，配置操作有所不同，本规范以Redhat 6.6为例，给出参考配置操作。

2 上架规范2.1 配置iLo管理口2.2硬盘RAID配置2.3服务器安装导轨2.4服务器插线要求1、集成网卡服务器业务网络要求使用eth0、eth1两网口做双网卡绑定。

（个别应用默认顺序取第一个接口mac地址，要求使用前两个端口做业务网络接口）网卡插线参考如下图方式：2、非集成网卡服务器要求充分考虑网卡与网卡、网口与网口冗余、充分考虑网卡间散热问题。

光口卡同理操作。

网卡插线参考如下图方式：3 系统安装3.1系统版本要求新上系统全部使用rhel6.6 64位操作系统。

rhel-server-6.6-x86_64-dvd.iso 3.52 GBSHA-256:16044cb7264f4bc0150f5b6f3f66936ccf2d36e0a4152c00d9236fb7dcae5f32 [root@rhel6-6 /]$ uname -aLinux rhel6-6 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux目前机房生产平台用的较多的是rhel5.7和rhel6.1。

有特殊要求的则仍使用rhel6.1。

3.2分区要求使用LVM分区、文件系统格式采用ext4。

3.3安装包要求安装系统当中要将GCC等所有的开发包和管理包打全，以防后期存在缺包现象。

以下包全部安装 Administration ToolsDevelopment ToolsSystem Toolstelnet ftp lrzsz （这三个包要求安装）“系统管理”菜单：所有包全选安装“开发”菜单：所有包全选安装“语言支持”菜单：要求安装英文语言包、简体中文语言包！3.4用户要求根据主机运维工作的实际需求，要求系统初始用户包括以下用户。

密码根据项目整体要求配置 rootroot用户密码根据要求进行配置pcloud新创建用户且附加组为wheel参考命令：#useradd -G wheel pcloudbestpay新创建用户#useradd bestpaylogview新创建用户且附加组为bestpay参考命令：#useradd –G bestpay logview分区赋权在root用户根目录下按3.3小节分区要求，给分区重新赋权/data：ochown –R bestpay:bestpay/dataoochmod 0750 /datao/tools：ochown –R bestpay:bestpay /toolsoochmod 0700 /toolso/admin：ochown –R bestpay:bestpay /adminoochmod 0750 /admino3.5时间同步要求在root用户下执行crontab –e*/5 * * * * /usr/sbin/ntpdate 172.18.70.10 172.18.70.2015 7 * * * /sbin/hwclock –w3.6字符集使用系统缺省字符集配置。

系统缺省字符集为en_US.UTF-8；有特殊需求，另行配置。

修改字符集可以在文件/etc/sysconfig/i18n里改。

3.7网卡绑定将服务器网卡两两做绑定，网卡绑定为主备模式。

服务器网卡要求使用第一块网卡1口和第二块网卡1口；第一块网卡2口和第二块网卡2口；即避免由于单块网卡故障导致的业务中断，可以冗余。

以下为配置示例：配置虚拟网卡：[root@rhel6 network-scripts]# cp ifcfg-eth0 ifcfg-bond0[root@rhel6 network-scripts]# vi ifcfg-bond0DEVICE=bond0BOOTPROTO=noneIPADDR=192.168.1.100NETMASK=255.255.255.0ONBOOT=yesTAPE=EthernetGATEWAY=192.168.1.254USERCTL=no配置真实网卡：[root@rhel6 network-scripts]# vi ifcfg-eth0 DEVICE=eth0BOOTPROTO=noneONBOOT=yesUSERCTL=noSLAVE=yes ----写上就不用加开机启动MASTER=bond0 ----写上就不用加开机启动[root@rhel6 network-scripts]# vi ifcfg-eth1 DEVICE=eth0BOOTPROTO=noneONBOOT=yesUSERCTL=noSLAVE=yes ----写上就不用加开机启动MASTER=bond0 ----写上就不用加开机启动加载模块让系统支持：[root@rhel6 ~]vi/etc/modprobe.d/dist.conf alias bond0 bondingoptions bond0 miimon=100 mode=1 -----模式1为主备重启网络并检查配置：service network restartlsmod | grep bondcat/proc/net/bonding/bond03.8配置snmp参照其他平台，共同提名不能使用public，长度必须8位以上，至少三种（大小写字母，符号，特殊符号）结合，配置snmp服务器并指向采集服务器，采集服务器ip为172.18.55.65、172.18.55.66、172.18.55.67ITSM二期要求新增采集地址：172.18.0.0/24；团体字为Itsm2014roJK!以下为配置示例：检查系统是否安装snmp服务[root@rhel6 ~]# rpm -qa| grep snmpnet-snmp-devel-5.5-31.el6.x86_64net-snmp-utils-5.5-31.el6.x86_64net-snmp-5.5-31.el6.x86_64net-snmp-libs-5.5-31.el6.x86_64net-snmp-python-5.5-31.el6.x86_64net-snmp-perl-5.5-31.el6.x86_64SNMP若无以上包，则安装SNMP服务1.配置好本地yum服务，使用yum安装yum install -y net-snmp*2.配置SNMP服务开机启动#service snmpd start#chkconfig snmpd on#chkconfig --list | grep snmpd 查看开机启动设置是否成功snmpd 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭验证SNMP服务1.使用snmpwalk获取主机名[root@rhel6 ~]# snmpwalk -v 2c -c public localhost sysName.0SNMPv2-MIB::sysName.0 = STRING: rhel6.1#snmpwalk用法snmpwalk -v 1|2c|3(代表SNMP版本) -c <community string> IP地址OID(对象标示符) 2.使用snmptranslate命令，检查snmp工具是否可以使用# snmptranslate -To | head.1.3.1.3.6.1.3.6.1.1.3.6.1.1.1.3.6.1.2.1.3.6.1.2.1.1.3.6.1.2.1.1.1.3.6.1.2.1.1.1.1.3.6.1.2.1.1.2.1.3.6.1.2.1.1.3查出了部分oid，则表示snmp工具可以正常使用配置SNMP服务配置项包括但不限于：community stringsec.model查看设备节点权限“view all”；被允许查看的sec.model组指定检测的Process checksdisk checksExecutables/scriptsload average checks3.9连存储的服务器必须使用双hba卡；确保连接到两个控制器的HBA卡/接口冗余；单个HBA卡故障，或单个HBA卡某个接口故障，都满足冗余3.10多路径软件1、多路径配置要求多路径必须绑定别名；设置多路径服务为开机启动；屏蔽掉本地磁盘，本地磁盘不做聚合；结合数据库规范等配置实施版本系统自带multipath即可，要求做盘符别名绑定。

比如要确保数据库的两个节点扫描到的盘符一致。

注意在blacklist里面过滤本地磁盘！blacklist里面需要有以下参数：blacklist {devnode "^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"devnode "^hd[a-z]"devnode "^sd[a-d]" 过滤条件视实际情况，防止过滤掉多路径块设备！}2、多路径安装及配置参数简介检查multipath是否安装成功：#lsmod |grep dm_multipath如果输出没有，则进行安装#yum –y install device-mapper device-mapper-multipath查看多路径状态查看模块是否加载成功[root@rhel6 ~]# multipath -llJan 01 02:36:12 | /etc/multipath.conf does not exist, blacklisting all devices. --配置文件没有Jan 01 02:36:12 | A sample multipath.conf located atJan 01 02:36:12 | /usr/share/doc/device-mapper-multipath-0.4.9/multipath.conf Jan 01 02:36:12 | You can run /sbin/mpathconf to create or modify/etc/multipath.confJan 01 02:36:12 | DM multipath kernel driver not loaded --DM模块没加载如果模块没有加载成功请使用下列命初始化DM,或重启系统[root@rhel6 ~]# modprobe dm-multipath[root@rhel6 ~]# modprobe dm-round-robin[root@rhel6 ~]# service multipathd start正在启动守护进程multipathd：查看系统是否安装多路径[root@rhel6 mapper]# rpm -qa | grep mapperdevice-mapper-libs-1.02.62-3.el6.x86_64device-mapper-multipath-libs-0.4.9-41.el6.x86_64device-mapper-multipath-0.4.9-41.el6.x86_64device-mapper-event-libs-1.02.62-3.el6.x86_64device-mapper-1.02.62-3.el6.x86_64device-mapper-event-1.02.62-3.el6.x86_64multipath.conf配置说明接下来的工作就是要编辑/etc/multipath.conf的配置文件multipath.conf主要包括defaults、blacklist、multipaths、devices三部份的配置defaults是全局配置参数blacklist用来过滤不需绑定的设备multipaths用来绑定别名devices用来定义存储厂商和自定义规则blacklist配置blacklist {devnode "^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"devnode "^hd[a-z]"devnode "^sd[a-d]"}Multipaths部分配置multipaths和devices两部份的配置。