Linux安全配置规范

loading 分享 2026-7-15 下载文档

Linux安全配置规范

Linux安全配置规范

目录

一. 概述 ....................................................................................................................................................... 1 1.1适用范围 ............................................................................................................................................ 2 二. LINUX企业版安全配置规范 ................................................................................................................. 2 2.1 口令帐号 ........................................................................................................................................... 2 2.2 系统服务 ........................................................................................................................................... 5 2.3 文件系统检查 ................................................................................................................................... 7 2.4 检查磁盘分区剩余空间 ................................................................................................................... 9 2.5 检查日志审核 ................................................................................................................................. 10

一. 概述

本规范归纳了Linux企业版的安全配置知识,文中所有配置示例均经过测试,具有较高的操作性。

- 1 -

Linux安全配置规范

1.1适用范围

本规范适用于redhat、suse、fedroa、Linux 操作系统。本规范明确了设备的基本配置安全要求,为设备工程验收和设备运行维护环节明确相关安全要求提供指南。本规范可作为编制工程验收手册、数据模板等文档的参考。

二. Linux企业版安全配置规范

2.1 口令帐号

2.1.1 检查空口令帐号

编号 要求内容 操作指南: 安全要求-系统-Linux配置-2.1.1 检查系统帐号和口令,禁止使用空口令帐号 以root身份执行: # awk -F: '($2 == \检查空口令帐号 #pwck 帐号检查 # cat /etc/passwd # cat /etc/shadow # cat /etc/group 对照检查结果,询问管理员有效帐号有无异常,有无弱密码,建议删除不必要帐户并修改简单密码为复杂密码 # awk -F: '($2 == \列出空密码帐号 可能影响某些管理维护的应用程序 检测方法: 实施风险: 备注:

2.1.2 检查Root帐号

编号 要求内容 安全要求-系统-Linux配置-2.1.2 检查系统帐号和口令,检查是否存UID为0的帐号 - 2 -

Linux安全配置规范

操作指南: 以root身份执行: # awk -F: '($3 == 0) { print $1 }' /etc/passwd 检查UID为0的帐号 # awk -F: '($3 == 0) { print $1 }' /etc/passwd 列出UID为0的帐号 可能影响某些管理维护的应用程序 检测方法: 实施风险: 备注:

2.1.3 检查帐号超时注销

编号 要求内容 操作指南: 安全要求-系统-Linux配置-2.2.3 应该设置帐号超时自动注销 以root身份执行: vi /etc/profile 增加 export TMOUT=600 # cat /etc/profile | grep TMOUT 可能影响某些管理维护的应用程序 检测方法: 实施风险: 备注:

2.1.4 root用户远程登录限制

编号 要求内容 操作指南: 检测方法: 实施风险: 备注:

安全要求-系统-Linux配置-2.1.4 限制root远程登录 /etc/securetty文件中配置:CONSOLE = /dev/tty01 执行:more /etc/securetty,检查Console参数 可能影响某些管理维护的应用程序 2.1.5 检测密码策略

编号 要求内容 操作指南: 安全要求-系统-Linux配置-2.1.5 检查系统密码策略,是否符合必要的强度 以root身份执行:

- 3 -

Linux安全配置规范

# vi /etc/login.defs 建议设置参数如下: PASS_MAX_DAYS 180 最大口令使用日期 PASS_MIN_LEN 8 最小口令长度 PASS_WARN_AGE 30 口令过期前警告天数 #vi /etc/pam.d/system-auth password required /lib/security/pam_cracklib.so retry=3 type= minlen=8 difok=3 最小口令长度设置为8 检测方法: 实施风险: 备注: # cat /etc/login.defs #cat /etc/pam.d/system-auth 可能影响管理维护 2.1.6 检查Grub/Lilo密码

编号 要求内容 检查方法 安全要求-系统-Linux配置-2.1.6 检查系统引导管理器是否设置密码 使用命令“cat /etc/grub.conf|grep password”查看grub是否设置密码 使用命令“cat /etc/lilo.conf|grep password”查看lilo是否设置密码 操作指南 为grub或lilo设置密码 参考操作:vi /etc/grub.conf default=1 timeout=10 splashimage=(hd0,7)/boot/grub/splash.xpm.gz password=123456 title Fedora Core (2.4.22-1.2061.nptl) lock root (hd0,7) 实施风险: 可能影响某些管理维护的应用程序

- 4 -


Linux安全配置规范.doc 将本文的Word文档下载到电脑
搜索更多关于: Linux安全配置规范 的文档
相关推荐
相关阅读