Linux Server安全配置基线(等保)

第1章 概述

1.1 目的

本文档规定了全部维护管理的Linux操做系统的主机应当遵循的操做系统安全性设置标准，本文档旨在指导系统管理人员进行Linux操做系统的安全合规性检查和配置。

1.2 适用范围

本配置标准的使用者包括：服务器管理员、应用管理员、网络安全管理员、运维工程师。
本设置标准适用于Linux服务器系统。

1.3 实施

在本标准的执行过程当中如有任何疑问或建议，应及时反馈。

第2章 身份鉴别

2.1 身份标识惟一性

安全基线项目名称：应对登陆的用户进行身份标识和鉴别，身份标识具备惟一性，身份鉴别信息具备复杂度要求并按期更换
实施操做
编辑/etc/login.defs添加身份标识基线配置

vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7

备注 系统默认配置以下
PASS_MAX_DAYS 99999 --密码最长使用期限
PASS_MIN_DAYS 0 --密码最短使用期限
PASS_MIN_LEN 5 --密码最短长度
PASS_WARN_AGE 7 --密码到期提醒时间

2.2 登陆失败处理功能
安全基线项目名称 应具备登陆失败处理功能，应配置并启用结束会话、限制非法登陆次数和当登陆链接超时自动退出等相关措施
实施操做
一、编辑/etc/pam.d/system-auth添加登陆失败处理功能基线，以下配置部分为新增

auth        required      /lib/security/pam_tally.so onerr=fail no_magic root
account     required      /lib/security/pam_tally.so deny=3 no_magic root reset

完整的配置以下：

vi /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      /lib/security/pam_tally.so onerr=fail no_magic root
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so
account     required      /lib/security/pam_tally.so deny=3 no_magic root reset

二、编辑/etc/profile添加登陆链接超时自动退出配置

vi /etc/profile
TMOUT= 300s
source /etc/profile

备注
（1）onerr=fail
若是一些奇怪的事情发生，例如不能打开文件，这个决定了模块应该如何反应。
（2）no_magic_root
表示若是这个模块是由一个uid=0的用户触发，那么计数器就增长。系统管理员应该使用这个选项用于例如：telnet/rsh/login之类的服务。
（3）deny=3
这个选项代表若是这个用户登陆3次失败，就拒绝访问。
（4）reset
这个选项指示模块对成功的实体，应复位到0。

2.3 防止网络信息被窃听

安全基线项目名称 当进行远程管理时，应采起必要措施防止鉴别信息在网络传输过程当中被窃听
实施操做
一、经过iptables防火墙关闭23端口，确认仅22端口能够进行远程操做

iptables -A INPUT -p tcp --dport 23
iptables save
netstat -an|grep 22
netstat -an|grep 23

二、经过firewall-cmd防火墙关闭23端口，确认仅22端口能够进行远程操做

firewall-cmd --list-ports
firewall-cmd --zone=public --remove-port=23/tcp --permanent
firewall-cmd --reload

第3章 访问控制

3.1 权限控制

安全基线项目名称 应对登陆的用户分配帐户和权限；应授予管理用户所需的最小权限，实现管理用户的权限分离；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；
实施操做
一、检查存在不符合再更改
建议配置文件的权限值不大于644，可执行文件不大于755
经过ls -l 能够查看权限值大小
二、建议作到三权分立，即拥有最高管理员（root，可视为安全员）、应用帐户（视为操做员）、审计帐户（审计员，仅有日志查看权限），全部用户一一对应使用方或具体人员
三、查看/etc/sudo.conf文件，核查root级用户的权限都授予哪些帐户

more /etc/sudo.conf

3.2 用户安全控制

安全基线项目名称 应重命名或删除默认帐户，修改默认帐户的默认口令；应及时删除或停用多余的、过时的帐户，避免共享帐户的存在
实施操做
一、检查/etc/passwd文件，对不启用的用户登陆配置为/sbin/nologin或以#号注释，举例以下

vi /etc/passwd
mysql:x:1000:1000::/home/mysql:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

二、检查是否已修改默认帐户的默认密码，例如查看是否存在如：root/root，oracle/oracle等的用户
三、是否存在空密码用户，查看/etc/shadow文件，询问相应帐户是否为过时、多余帐户，查看/etc/passwd文件各用户第二字段是否不为空，/etc/shadow文件中密码字段是否不为空

more /etc/passwd

四、应及时删除或停用多余的、过时的帐户，避免共享帐户的存在，将无用帐户删除，如games、news、ftp、lp、halt、shutdown等默认帐户，其他自建帐户需明确负责人

cd /home && ls
userdel -r 用户名

3.3 禁用root用户登陆，修改默认远程控制端口

安全基线项目名称 应禁用root用户远程登陆，使得*者没法经过暴力破解来获取root权限；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；
实施操做**
一、添加一个普通用户，如admin，并配置知足复杂度要求的密码

useradd admin
passwd admin

二、使用admin用户与配置的密码验证是否正常经过ssh登陆到服务器，并验证是否正常切换到root用户

su - root

三、修改/etc/ssh/sshd_config配置文件，修改ssh默认链接端口并禁止root用户远程登陆

vi /etc/ssh/sshd_config
Port 3122
PermitRootLogin no

重启sshd服务

service sshd restart  或  systemctl restart sshd

三、passwd、shadow、group等重要文件夹仅root权限能够修改
（1）/etc/passwd 全部用户均可读，root用户可写 –rw-r—r—
配置命令：

ls -l /etc/passwd
chmod 644 /etc/passwd

（2）/etc/shadow 只有root可读 –r--------
配置命令：

ls -l /etc/shadow
chmod 400 /etc/shadow

（3）/etc/group 必须全部用户均可读，root用户可写 –rw-r—r—
配置命令：

ls -l /etc/group
chmod 644 /etc/group

（4）个别特殊环境，可对文件进行锁定

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

备注
一、请切记：必定要验证新增的admin用户可正常登陆到操做系统，不然重启sshd服务将会失去对系统的控制！！！！
二、解锁文件请使用以下命令

chattr -i /etc/passwd
chattr -i /etc/shadow
chattr -i /etc/group
chattr -i /etc/gshadow

第4章 安全审计

4.1 启用系统安全审计

安全基线项目名称 应启用安全审计功能，审计覆盖到每一个用户，对重要的用户行为和重要安全事件进行审计；
实施操做
查看审计服务并启动审计服务

ps -ef | grep auditd
service auditd status   或  systemctl status auditd
service auditd start   或  systemctl start auditd

4.2 审计日志的记录与保护

安全基线项目名称 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其余与审计相关的信息；应对审计记录进行保护，按期备份，避免受到未预期的删除、修改或覆盖等；应对审计进程进行保护，防止未经受权的中断
实施操做
一、配置远程日志存储服务器

vi /etc/rsyslog.conf
注：格式以下*.*后面跟tab建，端口小于1024时须要配置设置selinux
#*.* @@remote-host:514
*.* @192.168.31.100

services syslogd restart  或  systemctl restart rsyslog

二、查看/etc/rsyslog.conf配置文件，确认是否添加authpriv.* /var/log/secure配置（中间的分隔符是tab键）

grep "^authpriv.*" /etc/rsyslog.conf

三、设置history时间戳

vi /etc/profile
HISTFILESIZE=2000
HISTSIZE=2000
HISTTIMEFORMAT="%Y-%m-%d:%H-%M-%S:`whoami`:"
export HISTTIMEFORMAT
source /etc/profile

备注 Linux系统默认启用如下类型日志：
系统日志（默认）/var/log/messages
cron日志（默认）/var/log/cron
安全日志（默认）/var/log/secure
审计日志（默认）/var/log/audit/audit.log
注意：部分系统可能使用syslog-ng日志，配置文件为：/etc/syslog-ng/syslog-ng.conf。请根据实际环境配置。

第5章 ***防范

5.1 关闭非必要的服务

安全基线项目名称 应关闭不须要的系统服务、默认共享和高危端口；
实施操做
一、查看开放的服务列表

chkconfig --list   或  systemctl list-unit-files|grep

二、以下方式禁用没必要要的服务

service <服务名> stop
chkconfig --level 2345 <服务名> off
或
systemctl stop <服务名>
systemctl disable <服务名>

三、查看并确认是否开放的端口都为业务须要端口，是否已经关闭非必需的端口

netstat -ntlp

备注 参考说明
Linux/Unix系统服务中，部分服务存在较高安全风险，应当禁用，包括：
“lpd”，此服务为行式打印机后台程序，用于假脱机打印工做的UNIX后台程序，此服务一般状况下不用，建议禁用；
“telnet”，此服务采用明文传输数据，登录信息容易被窃取，建议用ssh代替；
“routed”，此服务为路由守护进程，使用动态RIP路由选择协议，建议禁用；
“sendmail”，此服务为邮件服务守护进程，非邮件服务器应将其关闭；
“Bluetooth”，此服务为蓝牙服务，若是不须要蓝牙服务时应关闭等

5.2 系统最小化安装原则

安全基线项目名称 应遵循最小安装的原则，仅安装须要的组件和应用程序；应经过设定终端接入方式或网络地址范围对经过网络进行管理的管理终端进行限制；应能发现可能存在的已知漏洞，并在通过充分测试评估后，及时修补漏洞
实施操做
一、查看操做系统中已安装的程序包，询问是否有目前不须要的组件和应用程序，高风险且不须要的组件，建议卸载

yum list installed

二、查看并确认是否开放的端口都为业务须要端口，是否已经关闭非必需的端口

netstat -ntlp

三、查看在/etc/hosts.deny中是否有“ALL:ALL"，禁止全部的请求：在/etc/hosts.allow中，是否有以下配置（举例）：sshd：192.168.31.100/255.255.255.0）若是安装有主机防火墙则查看有无登陆地址限制

cat /etc/hosts.deny
cat /etc/hosts.allow

四、访谈并查看检测的措施
（1）常常经过以下命令查看的重要线索（例如Telnet.FTP等），涉及命令

more /var/log/secure l grep refused

（2）查看是否启用了主机防火墙、TCPSYN保护机制等设置。
（3）访谈系统管理员是否安装了主机检测软件。查看已安装的主机，检查系统的配置状况，是否具有报警功能。
（4）检查是否安装了主机检测软件，如Dragon Squire by Enterasys Networks，ITA by Symantec.Hostsentry by Psionic Software.Logcheck by Psiomc Software.RealSecure-agent by ISS。
（5）查看网络拓扑图，查看网络上是否部署了网络检测系统，如IDS。
备注
须要安装net-tools以支持netstat命令

yum -y install net-tools