Linux安全配置标准.doc

Linux平安配置标准

一.目的

《Linux平安配置标准》是Qunar信息系统平安标准的一局部，主要目的是根据信息平安管理政策的要求，为我司的Linux系统提供配置基准，并作为Linux系统设计、实施及维护的技术和平安参考依据。

二.范围

平安标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用范围。

三.内容

3.1软件版本及升级策略

操作系统内核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。平安组负责跟踪厂商发布的相关平安补丁，评估是否进行升级。

3.2账户及口令管理

3.2.1远程登录帐号管理

符合以下条件之一的，属可远程登录帐号：

(1)设置了密码，且帐号处于未锁定状态。

(2)在$HOME/.ssh/authorized_keys放置了publickey

可远程登录帐号的管理要求为：

(1)帐号命名格式与邮件命名格式保持一致

(2)不允许多人共用一个帐号，不允许一人有多个帐号。

(3)每个帐号均需有明确的属主，离职人员帐号应当天去除。

(4)特殊帐号需向平安组报批

3.2.2守护进程帐号管理

守护进程启动帐号管理要求

(1)应建立独立帐号，禁止赋予sudo权限，禁止参加root或wheel等高权限组。

(2)禁止使用可远程登录帐号启动守护进程

(3)禁止使用root帐号启动WEBSERVER/DB等守护进程。

3.2.3系统默认帐号管理〔仅适用于财务管理重点关注系统〕

删除默认的帐号，包括：lp,sync,shutdown,halt,news,uucp,operator,games,gopher等

3.2.4口令管理

口令管理应遵循《密码口令管理制度》，具体要求为

(1)启用密码策略

/etc/login.defs

PASS_MAX_DAYS90

PASS_MIN_DAYS1

PASS_MIN_LEN7

PASS_WARN_AGE7

/etc/pam.d/system-auth

passwordsufficientpam_unix.so**remember=5

passwordrequisitepam_cracklib.so**minlen=7lcredit=1ucredit=1dcredit=1ocredit=0

(2)启用帐号锁定策略，连续输错3次口令，锁定用户30分钟

/etc/pam.d/system-auth

authrequiredpam_env.so

authrequiredpam_tally2.sodeny=3unlock_time=1800

3.2.5OpenSSH平安配置

只使用协议版本2，禁止root登录，禁止空口令登录，独立记录日志到/var/log/secure。具体配置为：

/etc/ssh/sshd_config

#defaultis2,1

Protocol2

#defaultisyes

PermitRootLoginno

#defaultisno

PermitEmptyPasswordsno

#defaultisAUTH

SyslogFacilityAUTHPRIV

3.3认证授权

3.3.1远程管理方式

(1)默认仅允许ssh一种远程管理方式，禁止使用telnet、rlogin等，如存在以下文件，必须删除：

$HOME/.rhosts

/etc/hosts.equiv

/etc/xinetd.d/rsh

/etc/xinetd.d/rlogin

(2)跳板机只允许RSATOKEN方式登录，其它Linux效劳器只允许通过密码和publickey方式登录。

(3)生产环境Linux效劳器，只允许来自跳板机和其它指定IP的登录，通过tcpwarp实现。生产环境范围由平安组指定，允许登录的IP源由平安组指定。BETA/DEV环境登录限制同生产环境。

3.3.2其它〔仅适用于财务管理重点关注系统〕

(1)仅允许非wheel组用户通过远程管理，配置方法：

/etc/security/access.conf

/etc/pam.d/sshd

accountrequiredpam_access.so

(2)限制普通用户控制台访问权限

禁止普通用户在控制台执行shutdown、halt以及reboot等命令。

rm-f/etc/security/console.apps/reboot

rm-f/etc/security/console.apps/halt

rm-f/