服务器系统安全加固技术要求
——Linux服务器
中国电信股份有限公司广州研究院
20093

 
1    补丁    1
1.1    系统补丁    1
1.2    其他应用补丁    1
2    账号和口令安全配置基线    2
2.1    账号安全控制要求    2
2.2    口令策略配置要求    2
2.3    root登录策略的配置要求    2
2.4    root的环境变量基线    3
3    网络与服务安全配置标准    4
3.1    最小化启动服务    4
3.2    最小化xinetd网络服务    5
4    文件与目录安全配置    7
4.1    临时目录权限配置标准    7
4.2    重要文件和目录权限配置标准    7
4.3    umask配置标准    7
4.4    SUID/SGID配置标准    7
5    信任主机的设置    9
6    系统Banner的配置    10
7    内核参数    11
8    syslog日志的配置    13
附件:选装安全工具    14

1 补丁
1.1 系统补丁
要求及时安装系统补丁。更新补丁前,要求先在测试系统上对补丁进行可用性和兼容性验证。
系统补丁安装方法为(以下示例若无特别说明,均以RedHat Linux为例):使用up2date命令自动升级或在ftp://dhat下载对应版本补丁手工单独安装。对于企业版5及之后的版本,可以直接使用yum工具进行系统补丁升级:
yum update
1.2 其他应用补丁
Linux开发商官方提供的系统补丁之外,基于Linux系统开发的服务和应用(如APACHEPHPOPENSSLMYSQL等)也必须安装最新的安全补丁。
RedHat Linuxlinux重定向为例,具体安装方法为:首先确认机器上安装了gcc及必要的库文件。然后再应用下载对应的源代码包,如 *.,并解压:
tar zxfv *.
根据使用情况对编译配置进行修改,或直接采用默认配置。
cd *
./configure
进行编译和安装:
make
make install
注意:补丁更新要慎重,可能出现硬件不兼容、或者影响当前应用系统的情况。安装补丁前,应该在测试机上进行测试。
2 账号和口令安全配置基线
2.1 账号安全控制要求
系统中的临时测试账号、过期无用账号等必须被删除或锁定。以RedHat Linux为例,设置
方法如下:
定账号:/usr/sbin/usermod -L -s /dev/null $name
删除账号:/usr/sbin/user $name
2.2 口令策略配置要求
要求设置口令策略以提高系统的安全性。例如要将口令策略设置为:非root用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。RedHat Linux为例,可在/etc/login.def文件中进行如下设置:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。