Linu系统安全配置标准.pdf

服务器系统安全加固技术要求 —— Linux 服务器 中国电信股份有限公司广州研究院 2009 年 3 月 目? 录 1 补丁 1.1 系统补丁 要求及时安装系统补丁。更新补丁前，要求先在测试系统上对补丁进行可用 性和兼容性验证。 系统补丁安装方法为（以下示例若无特别说明，均以 RedHat Linux 为例）： 使用 up2date 命令自动升级或在，可以直接使用 yum工具进行系统补丁升级： yum update 1.2 其他应用补丁 除 Linux 开发商官方提供的系统补丁之外， 基于 Linux 系统开发的服务和应 用（如 APACHE、PHP、OPENSSL、MYSQL等）也必须安装最新的安全补丁。 以 RedHat Linux 为例，具体安装方法为：首先确认机器上安装了 gcc 及必 要的库文件。然后再应用官方网站下载对应的源代码包，如 *. ，并解压： tar zxfv *. 根据使用情况对编译配置进行修改，或直接采用默认配置。 cd * ./configure 进行编译和安装： make make install 注意：补丁更新要慎重，可能出现硬件不兼容、或者影响当前应用系统的情 况。安装补丁前，应该在测试机上进行测试。 2 账号和口令安全配置基线 2.1 账号安全控制要求 系统中的临时测试账号、过期无用账号等必须被删除或锁定。以 RedHat Linux 为例，设置方法如下： 锁定账号： /usr/sbin/usermod -L -s /dev/null $name 删除账号： /usr/sbin/user $name 2.2 口令策略配置要求 要求设置口令策略以提高系统的安全性。 例如要将口令策略设置为： 非 root 用户强制在 90 天内更该口令、之后的 7 天之内禁止更改口令、用户在口令过期 的 28 天前接受到系统的提示、口令的最小长度为 6 位。以 RedHat Linux 为例， 可在 /etc/ 文件中进行如下设置： vi /etc/ PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_MIN_LEN 6 PASS_WARN_AGE 28 2.3 root 登录策略的配置要求 禁止直接使用 root 登陆，必须先以普通用户登录， 然后再 su 成 root 。禁止 root 账号远程登录，以 RedHat Linux 为例，设置方法为： touch /etc/securetty echo “console ” /etc/securetty 2.4 root 的环境变量基线 root 环境变量基线设置要求如表 2-1 所示： 表 2-1 root 环境变量基线设置 修改文件 安全设置 操作说明 1. 查看 root 账号的环境变量 ,env PATH设置中不含本 /etc/profile 2. 如果 root 的 PATH变量包含本地目录 , 地目录（ . ） 则去