文档介绍:Linux 安全配备规范
11月
第一章 概述
合用范畴
合用于中华人民共和国电信使用Linux操作系统设备。本规范明确了安全配备基本规定,可作为编制设备入网测试、安全验收、安全检查规范等文档参照。
第二章 安全配备规定
编号: 1
规定内容
应按照不同顾客分派不同账号,避免不同顾客间共享账号,避免顾客账号和设备间通信使用账号共享。
操作指南
1、参照配备操作
为顾客创立账号:
#useradd username #创立账号
#passwd username #设立密码
修改权限:
#chmod 750 directory #其中750为设立权限,可依照实际状况设立相应权限,directory是要更改权限目录)
使用该命令为不同顾客分派不同账号,设立不同口令及权限信息等。
2、补充操作阐明
检测办法
1、鉴定条件
可以登录成功并且可以进行惯用操作;
2、检测操作
使用不同账号进行登录并进行某些惯用操作;
3、补充阐明
编号: 2
规定内容
应删除或锁定与设备运营、维护等工作无关账号。
操作指南
1、参照配备操作
删除顾客:#userdel username;
锁定顾客:
1)修改/etc/shadow文献,顾客名后加*LK*
2)将/etc/passwd文献中shell域设立成/bin/false
3)#passwd -l username
只有具备超级顾客权限使用者方可使用,#passwd -l username锁定顾客,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保存原有密码。
2、补充操作阐明
需要锁定顾客:listen,gdm,webservd,nobody,nobody4、noaccess。
检测办法
1、鉴定条件
被删除或锁定账号无法登录成功;
2、检测操作
使用删除或锁定与工作无关账号登录系统;
3、补充阐明
需要锁定顾客:listen,gdm,webservd,nobody,nobody4、noaccess。
编号: 3
规定内容
限制具备超级管理员权限顾客远程登录。
远程执行管理员权限操作,应先以普通权限顾客远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作指南
参照配备操作
编辑/etc/passwd,帐号信息shell为/sbin/nologin为禁止远程登录,如要容许,则改成可以登录shell即可,如/bin/bash
2、补充操作阐明
如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文献,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。
检测办法
1、鉴定条件
root远程登录不成功,提示“没有权限”;
普通顾客可以登录成功,并且可以切换到root顾客;
2、检测操作
root从远程使用telnet登录;
普通顾客从远程使用telnet登录;
root从远程使用ssh登录;
普通顾客从远程使用ssh登录;
3、补充阐明
限制root从远程ssh登录,修改/etc/ssh/sshd_config文献,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。
编号:4
规定内容
对于使用IP合同进行远程维护设备,设备应配备使用SSH等加密合同,并安全配备SSHD设立。
操作指南
1、参照配备操作
正常可以通过#/etc/ start来启动SSH;
通过#/etc/ stop来停止SSH
2、补充操作阐明
查看SSH服务状态:
# ps –ef|grep ssh
禁止使用telnet等明文传播合同进行远程维护;如特别需要,需采用访问控制方略对其进行限制;
检测办法
鉴定条件
# ps –ef|grep ssh
与否有ssh进程存在
与否有telnet进程存在
2、检测操作
查看SSH服务状态:
# ps –ef|grep ssh
查看telnet服务状态:
# ps –ef|grep telnet
3、补充阐明
编号:1
规定内容
对于采用静态口令认证技术设备,口令长度至少8位,并涉及数字、小写字母、大写字母和特殊符号4类中至少3类。
操作指南
1、参照配备操作
vi /etc/ ,修改设立如下
PASS_MIN_LEN=8 #设定最小顾客