linux安全配置规范

Linux 安全配置规范

2010年11月

第一章概述

1.1适用范围

适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

第二章安全配置要求

2.1账号

编号：1

要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避

免用户账号和设备间通信使用的账号共享。

操作指南1、参考配置操作

为用户创建账号：

#useradd username #创建账号

#passwd username #设置密码

修改权限：

#chmod 750 directory #其中750为设置的权限，可根据实际情况

设置相应的权限，directory是要更改权限的目录)

使用该命令为不同的用户分配不同的账号，设置不同的口令及权限

信息等。

2、补充操作说明

检测方法1、判定条件

能够登录成功并且可以进行常用操作；

2、检测操作

使用不同的账号进行登录并进行一些常用操作；

3、补充说明

编号：2

要求内容应删除或锁定与设备运行、维护等工作无关的账号。

操作指南1、参考配置操作

删除用户：#userdel username;

锁定用户：

1)修改/etc/shadow文件，用户名后加*LK*

2)将/etc/passwd文件中的shell域设置成/bin/false

3)#passwd -l username

只有具备超级用户权限的使用者方可使用，#passwd -l username锁

定用户,用#passwd –d username解锁后原有密码失效，登录需输入

新密码，修改/etc/shadow能保留原有密码。

2、补充操作说明

需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。

检测方法1、判定条件

被删除或锁定的账号无法登录成功；

2、检测操作

使用删除或锁定的与工作无关的账号登录系统；

3、补充说明

需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。

编号：3

要求内容限制具备超级管理员权限的用户远程登录。

远程执行管理员权限操作，应先以普通权限用户远程登录后，再切

换到超级管理员权限账号后执行相应操作。

操作指南1、参考配置操作

编辑/etc/passwd，帐号信息的shell为/sbin/nologin的为禁止远程登

录，如要允许，则改成可以登录的shell即可，如/bin/bash

2、补充操作说明

如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将

PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。

检测方法1、判定条件

root远程登录不成功，提示“没有权限”；

普通用户可以登录成功，而且可以切换到root用户；

2、检测操作

root从远程使用telnet登录；

普通用户从远程使用telnet登录；

root从远程使用ssh登录；

普通用户从远程使用ssh登录；

3、补充说明

限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将

PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。

编号：4

要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加

密协议，并安全配置SSHD的设置。

操作指南1、参考配置操作

正常可以通过#/etc/init.d/sshd start来启动SSH;

通过#/etc/init.d/sshd stop来停止SSH

2、补充操作说明

查看SSH服务状态：

# ps –ef|grep ssh

禁止使用telnet等明文传输协议进行远程维护；如特别需要，需采

用访问控制策略对其进行限制；

检测方法1、判定条件

# ps –ef|grep ssh

是否有ssh进程存在

是否有telnet进程存在

2、检测操作

查看SSH服务状态：

# ps –ef|grep ssh

查看telnet服务状态：

# ps –ef|grep telnet

3、补充说明

2.2口令

编号：1

要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数

字、小写字母、大写字母和特殊符号4类中至少3类。

操作指南1、参考配置操作

vi /etc/login.defs，修改设置如下

PASS_MIN_LEN=8 #设定最小用户密码长度为8位

Linux用户密码的复杂度可以通过pam_cracklib module或

pam_passwdqc module进行设置

检测方法1、判定条件

不符合密码强度的时候，系统对口令强度要求进行提示；

符合密码强度的时候，可以成功设置；

2、检测操作

1、检查口令强度配置选项是否可以进行如下配置：

i.配置口令的最小长度；

ii.将口令配置为强口令。

2、创建一个普通账号，为用户配置与用户名相同的口令、只包含

字符或数字的简单口令以及长度短于8的口令，查看系统是否对口

令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口

令，查看系统是否可以成功设置。

3、补充说明

pam_cracklib主要参数说明:

tretry=N:重试多少次后返回密码修改错误

difok=N:新密码必需与旧密码不同的位数

dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有

多少个数字.

lcredit=N:小宝字母的个数

ucredit=N大宝字母的个数

credit=N:特殊字母的个数

minclass=N:密码组成(大/小字母,数字,特殊字符)

pam_passwdqc主要参数说明:

mix:设置口令字最小长度，默认值是mix=disabled。

max:设置口令字的最大长度，默认值是max=40。

passphrase:设置口令短语中单词的最少个数，默认值是

passphrase=3，如果为0则禁用口令短语。

atch:设置密码串的常见程序，默认值是match=4。

similar:设置当我们重设口令时，重新设置的新口令能否与旧口

令相似，它可以是similar=permit允许相似或similar=deny不允许相

似。

random:设置随机生成口令字的默认长度。默认值是random=42。

设为0则禁止该功能。

enforce:设置约束范围，enforce=none表示只警告弱口令字，但

不禁止它们使用；enforce=users将对系统上的全体非根用户实行这

一限制；enforce=everyone将对包括根用户在内的全体用户实行这

一限制。

non-unix:它告诉这个模块不要使用传统的getpwnam函数调用

获得用户信息。

retry:设置用户输入口令字时允许重试的次数，默认值是retry=3。

密码复杂度通过/etc/pam.d/system-auth实施

编号： 2

要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90

天。

操作指南1、参考配置操作

vi /etc/login.defs

PASS_MAX_DAYS=90 #设定口令的生存期不长于90天

检测方法1、判定条件

登录不成功；

2、检测操作

使用超过90天的帐户口令登录；

3、补充说明

测试时可以将90天的设置缩短来做测试；

2.3授权

编号：1

要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小

权限。

操作指南1、参考配置操作

通过chmod命令对目录的权限进行实际设置。

2、补充操作说明

/etc/passwd 必须所有用户都可读，root用户可写–rw-r—r—

/etc/shadow 只有root可读–r--------

/etc/group 须所有用户都可读，root用户可写–rw-r—r—

使用如下命令设置：

chmod 644 /etc/passwd

chmod 600 /etc/shadow

chmod 644 /etc/group

如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情

况除外）

执行命令#chmod -R go-w /etc

检测方法1、判定条件

1、设备系统能够提供用户权限的配置选项，并记录对用户进行权

限配置是否必须在用户创建时进行；

2、记录能够配置的权限选项内容；

3、所配置的权限规则应能够正确应用，即用户无法访问授权范围

之外的系统资源，而可以访问授权范围之内的系统资源。

2、检测操作

1、利用管理员账号登录系统，并创建2个不同的用户；

2、创建用户时查看系统是否提供了用户权限级别以及可访问系统

资源和命令的选项；

3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分

别在用户权限级别、可访问系统资源以及可用命令等方面予以体

现；

4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许

访问的内容和不允许访问的内容，查看权限配置策略是否生效。

3、补充说明

编号：2（可选）

要求内容对文件和目录进行权限设置，合理设置重要目录和文件的权限

操作指南执行以下命令检查目录和文件的权限设置情况：ls –l /etc/

ls –l /etc/rc.d/init.d/

ls –l /tmp

ls –l /etc/inetd.conf

ls –l /etc/security

ls –l /etc/services

ls -l /etc/rc*.d

检测方法1、判定条件

文件权限的设置合理

2、检测操作

对于重要目录，建议执行如下类似操作：

# chmod -R 750 /etc/rc.d/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

编号：3（可选）

要求内容控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文

件或目录不应有的访问允许权限。防止同属于该组的其它用户及别

的组的用户修改该用户的文件或更高限制。

操作指南1、参考配置操作

设置默认权限：

Vi /etc/login.defs 在末尾增加umask 027，将缺省访问权限设

置为750

修改文件或目录的权限，操作举例如下：

#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。

根据实际情况设置权限；

2、补充操作说明

如果用户需要使用一个不同于默认全局系统设置的umask，可以在

需要的时候通过命令行设置，或者在用户的shell启动文件中配置。检测方法1、判定条件

权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；

2、检测操作

查看新建的文件或目录的权限，操作举例如下：

#ls -l dir ; #查看目录dir的权限

#cat /etc/login.defs 查看是否有umask 027内容

3、补充说明

umask的默认设置一般为022，这给新创建的文件默认权限755

（777-022=755），这会给文件所有者读、写权限，但只给组成员和

其他用户读权限。

umask的计算：

umask是使用八进制数据代码设置的，对于目录，该值等于八进制

数据代码777减去需要的默认权限对应的八进制数据代码值；对于

文件，该值等于八进制数据代码666减去需要的默认权限对应的八

进制数据代码值。

2.4补丁安全

编号：1

要求内容在保证业务网络稳定运行的前提下，安装最新的OS补丁。补丁在

安装前需要测试确定。

操作指南1、参考配置操作

看版本是否为最新版本。

执行下列命令，查看版本及大补丁号。

#uname –a

2、补充操作说明

检测方法1、判定条件

看版本是否为最新版本。

# uname –a查看版本及大补丁号

RedHat Linux：https://www.wendangku.net/doc/5017168515.html,/support/errata/

Slackware Linux：ftp://https://www.wendangku.net/doc/5017168515.html,/pub/slackware/

SuSE Linux：https://www.wendangku.net/doc/5017168515.html,/us/support/security/index.html

TurboLinux：https://www.wendangku.net/doc/5017168515.html,/security/

2、检测操作

在系统安装时建议只安装基本的OS部份，其余的软件包则以必要

为原则，非必需的包就不装。

3、补充说明

2.5日志安全要求

编号：1

要求内容打开syslog系统日志审计功能有助于系统的日常维护和故障排除，

或者防止被攻击后查看日志采取防护补救措施，增强系统安全日

志。

操作指南1、参考配置操作

#cat /etc/syslog.conf 查看是否有#authpriv.* /var/log/secure

2、补充操作说明

将authpirv设备的任何级别的信息记录到/var/log/secure文件

中，这主要是一些和认证、权限使用相关的信息。

检测方法1、判定条件

查看是否有#authpriv.* /var/log/secure

2、检测操作

#cat /etc/syslog.conf

3、补充说明

将authpirv设备的任何级别的信息记录到/var/log/secure文件

中，这主要是一些和认证、权限使用相关的信息。

编号：2

要求内容确认系统日志文件由syslog创立并且不可被其他用户修改；确认其

它的系统日志文件不是全局可写

操作指南1、参考配置操作

查看如下等日志的访问权限

#ls –l查看下列日志文件权限

/var/log/messages、/var/log/secure、 /var/log/maillog、

/var/log/cron、 /var/log/spooler、/var/log/boot.log

2、补充操作说明

检测方法1、判定条件

2、检测操作

使用ls –l 命令依次检查系统日志的读写权限

3、补充说明

2.6不必要的服务、端口

编号：1

要求内容列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务

需关闭。

操作指南1、参考配置操作

查看所有开启的服务：

#ps –ef

#chkconfig --list

#cat /etc/xinetd.conf

在x inetd.conf中关闭不用的服务首先复制/etc/xinetd.conf。#cp

/etc/xinetd.conf /etc/xinetd.conf.backup 然后用vi编辑器编辑

xinetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字

符，重启xinetd服务,即可。

2、补充操作说明

参考附表，根据需要关闭不必要的服务

检测方法1、判定条件

所需的服务都列出来；

没有不必要的服务；

2、检测操作

#ps –ef

#chkconfig --list

#cat /etc/xinetd.conf

3、补充说明

在/etc/xinetd.conf文件中禁止不必要的基本网络服务。

注意：改变了―/etc/xinetd.conf‖文件之后，需要重新启动xinetd。

对必须提供的服务采用tcpwapper来保护

2.7系统Banner设置

要求内容修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，

并且给出登陆告警信息

操作指南1、参考配置操作

在缺省情况下，当你登录到linux系统，它会告诉你该linux

发行版的名称、版本、内核版本、服务器的名称。应该尽可

能的隐藏系统信息。

首先编辑“/etc/rc.d/rc.local”文件，在下面显示的这些行前加一个

“#”，把输出信息的命令注释掉。

# This will overwrite /etc/issue at every boot. So, make

any changes you want to make to /etc/issue here or you

will lose them when you reboot.

#echo "" > /etc/issue

#echo "$R" >> /etc/issue

#echo "Kernel $(uname -r) on $a $(uname -m)" >>

/etc/issue

#cp -f /etc/issue /etc/https://www.wendangku.net/doc/5017168515.html,

#echo >> /etc/issue

其次删除"/etc"目录下的https://www.wendangku.net/doc/5017168515.html,和issue文件：

# mv /etc/issue /etc/issue.bak

# mv /etc/https://www.wendangku.net/doc/5017168515.html, /etc/https://www.wendangku.net/doc/5017168515.html,.bak

检测方法 查看Cat /etc/rc.d/rc.local 注释住处信息

附表：端口及服务

服务名称 端口 应用说明 关闭方法

处置建议

daytime 13/tcp RFC867 白天协议 chkconfig daytime off 建议关闭 13/udp RFC867 白天协议 chkconfig daytime off time 37/tcp 时间协议 chkconfig time off 37/udp 时间协议

chkconfig time-udp off echo 7/tcp RFC862_回声协议 chkconfig echo off

7/udp RFC862_回声协议 chkconfig echo-udp off discard 9/tcp RFC863 废除协议 chkconfig discard off 9/udp chkconfig discard-udp off chargen 19/tcp RFC864 字符产生协议

chkconfig chargen off 19/udp chkconfig chargen-udp off

ftp 21/tcp 文件传输协议(控制) chkconfig gssftp off 根据情况选择开放 telnet

23/tcp

虚拟终端协议

chkconfig krb5-telnet off

根据情况选择开放 sendmail 25/tcp 简单邮件发送协议 chkconfig sendmail off

建议关闭 nameserver

53/udp

域名服务 chkconfig named off 根据情况选择开放 53/tcp

域名服务 chkconfig named off 根据情况选择开放 apache 80/tcp HTTP 万维网发布服务 chkconfig httpd off 根据情况选择开放 login 513/tcp 远程登录 chkconfig login off 根据情况选择开放 shell 514/tcp 远程命令, no passwd used chkconfig shell off 根据情况选择开放 exec 512/tcp remote execution, passwd required chkconfig exec off 根据情况选择开放 ntalk 518/udp new talk, conversation chkconfig ntalk off 建议关闭 ident 113/tcp auth

chkconfig ident off 建议关闭 printer 515/tcp 远程打印缓存 chkconfig printer off 强烈建议关闭 bootps

67/udp 引导协议服务端 chkconfig bootps off 建议关闭 68/udp

引导协议客户端

chkconfig bootps off

建议关闭

tftp 69/udp 普通文件传输协议chkconfig tftp off 强烈建议关闭

kshell 544/tcp Kerberos remote

shell -kfall

chkconfig kshell off 建议关闭

klogin 543/tcp Kerberos rlogin

-kfall

chkconfig klogin off 建议关闭

portmap 111/tcp 端口映射chkconfig portmap off 根据情况选择开放

snmp 161/udp 简单网络管理协议

（Agent）

chkconfig snmp off

根据情况选

择开放

snmp trap 161/tcp 简单网络管理协议

（Agent）

chkconfig snmp off

根据情况选

择开放

snmp-trap 162/udp 简单网络管理协议

（Traps）

chkconfig snmptrap off

根据情况选

择开放

syslogd 514/udp 系统日志服务chkconfig syslog off 建议保留

lpd 515/tcp 远程打印缓存chkconfig lpd off 强烈建议关闭

nfs 2049/tcp NFS远程文件系统chkconfig nfs off

强烈建议关

闭

2049/udp NFS远程文件系统chkconfig nfs off

强烈建议关

闭

nfs.lock 动态端口rpc服务chkconfig nfslock off

强烈建议关

闭

ypbind 动态端口rpc服务chkconfig ypbind off 强烈建议关闭

服务器操作系统安装指南(Linux)v3.3

修订记录、审核记录和审批记录修订记录 审核记录 审批记录

目录 1介绍 (1) 1.1目的1 1.2适用范围 (1) 1.3参考资料 (1) 2准备 (1) 2.1安装前准备 (1) 2.2物理网卡说明 (1) 2.3RAID (2) 2.4超线程 (2) 3系统安装 (2) 3.1K ICKSTART安装 (2) 3.2S TEP-BY-STEP安装 (3) 3.3磁盘管理 (4) 3.3.1创建逻辑卷 (4) 3.3.2创建文件系统 (4) 3.3.3挂载文件系统 (4) 4系统设置 (5) 4.1安全设置 (5) 4.1.1口令复杂度要求 (5) 4.1.2服务 (5) 4.1.3内置帐号 (5) 4.1.4修改系统时间为当前时间 (6) 4.1.5修改root口令 (6) 4.1.6关闭sshv1.0 (6) 4.2主机名称 (6) 5网络配置 (7) 5.1升级网卡驱动 (7) 5.2服务器网卡配置列表： (7) 5.3不使用的网卡配置： (7) 5.4不做TEAM BONDING的网卡配置 (8) 5.51组2块做TEAM BONDING的网卡配置 (8) 5.62组每组各2块做TEAM BONDING的网卡配置 (9) 5.7GATEWAY和主机ROUTE (10) 5.8时间同步 (10) 附录一：KS.CFG V2.5.0.0 (12)

1介绍 1.1目的 建立用于应用托管系统服务器的操作系统安装模版，说明安装和配置的操作步骤。 1.2适用范围 本文档用于运维中心技术人员安装应用托管系统服务器操作系统，并供安装研发服务器参考。 1.3参考资料 2准备 2.1安装前准备 服务器型号：HP DL300G7系列、DELL R710 内存：2-64G 本机硬盘：72-300G * (2-8) 网卡：2-12端口 外设：DVDROM、USB Removable Floppy 安装盘： Red Hat Enterprise Linux 5.5 x86_64 DVD Red Hat Enterprise Linux 5.8 x86_64 DVD 2.2t物理网卡说明 NIC-x.y 表示服务器第x块网卡的第y端口，其中底板集成网卡为第0块，其他网卡的编号如无标示按照从左到右、从上到下的顺序

linux系统安全配置要求

linux系统安全配置要求1.帐户安全配置要求 1.1.创建/etc/shadow口令文件 配置项名称设置影子口令模式 检查方法执行： #more /etc/shadow 查看是否存在该文件 操作步骤1、执行备份： #cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式： #pwconv 回退操作执行： #pwunconv #cp /etc/passwd_bak /etc/passwd 风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效1.2.建立多帐户组，将用户账号分配到相应的帐户组 配置项名称建立多帐户组，将用户账号分配到相应的帐户组

检查方法1、执行： #more /etc/group #more /etc/shadow 查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户 操作步骤1、执行备份： #cp –p /etc/group /etc/group_bak 2、修改用户所属组： # usermod –g group username 回退操作 执行： #cp /etc/group_bak /etc/group 风险说明修改用户所属组可能导致某些应用无法正常运行1.3.删除或锁定可能无用的帐户 配置项名称删除或锁定可能无用的帐户 检查方法1、执行： #more /etc/passwd 查看是否存在以下可能无用的帐户： hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、与管理员确认需要锁定的帐户 操作步骤 1、执行备份： #cp –p /etc/passwd /etc/passwd_bak

操作系统安全配置管理办法

编号：SM-ZD-96562 操作系统安全配置管理办 法 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：____________________ 审核：____________________ 批准：____________________ 本文档下载后可任意修改

操作系统安全配置管理办法 简介：该制度资料适用于公司或组织通过程序化、标准化的流程约定，达成上下级或不同的人员之间形成统一的行动方针，从而协调行动，增强主动性，减少盲目性，使工作有条不紊地进行。文档可直接下载或修改，使用时请详细阅读内容。 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理，提高重要信息系统的安全运行维护水平，规范化操作，确保信息系统安全稳定可靠运行，特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括：AIX系统、Windows系统、Linux系统及HP UNIX系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法

中国电信Linux操作系统安全配置规范

中国电信Linux 操作系统安全配置规范 Specification for Linux OS Configuration Used in China Telecom 中国电信集团公司 发布 保密等级：公开发放

目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 3.1 缩略语.................................................. 错误！未定义书签。 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 文件及目录权限 (5) 4.4 远程登录 (7) 4.5 补丁安全 (8) 4.6 日志安全要求 (9) 4.7 不必要的服务、端口 (10) 4.8 系统Banner设置 (11) 4.9 登陆超时时间设置 (12) 4.10 删除潜在危险文件 (12) 4.11 FTP设置 (12) 附录A：端口及服务 (13)

前言 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求。 本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下： （1）AIX操作系统安全配置规范 （2）HP-UX操作系统安全配置规范 （3）Solaris操作系统安全配置规范 （4）Linux操作系统安全配置规范（本标准） （5）Windows 操作系统安全配置规范 （6）MS SQL server数据库安全配置规范 （7）MySQL数据库安全配置规范 （8）Oracle数据库安全配置规范 （9）Apache安全配置规范 （10）IIS安全配置规范 （11）Tomcat安全配置规范 （12）WebLogic安全配置规范 本标准由中国电信集团公司提出并归口。

Linux操作系统的安全性

Linux操作系统的安全性 Linux操作系统的安全性是有目共睹的，相比Windows操作系统，到底Linux有哪些过人之处？这里我们就抛砖引玉，挑选三点重要的特点给大家说明，为什么说Linux操作系统安全性有其他系统无可比拟的优越性。 1、用户/文件权限的划分 用户权限在Windows操作系统里也不陌生，但是Linux操作系统的用户权限和文件权限要比Windows操作系统里严格有效。比较明显的一个案例就是，即便是你在Windows操作系统里设置了多用户，但是不同的用户之间通过一定的方式，还是能够互访文件的，这就失去了权限的意义。 LINUX文件权限针对的对象分三类（互斥的关系）： 1. user（文件的拥有者） 2. group（文件拥有者所在的组，但不包括user） 3. other（其它用户，即user和group以外的） LINUX用一个3位二进制数对应着文件的3种权限（1表示有该权限，0表示无）： 第1位读r 100 4 第2位写w 010 2 第3位执行x 001 1 查看权限 #ls -l 第一列，一共10位（drwxrwxrwx），就代表了文件的权限： 1）第一个d代表是一个目录，如果显示“-”，则说明不是一个目录 2）2-4代表user的权限 3）5-7代表group的权限 4）8-10代表other的权限 对于后9位： r 代表可读（read），其值是4 w 代表可写（write），其值是2 x 代表可执行（execute），其值是1 - 代表没有相应权限，其值是0 修改文件权限

# chmod [ugoa][+-=][rwx] 文件名 1）用户 u 代表user g 代表group o 代表other a 代表全部的人，也就是包括u，g和o 2）行动 + 表示添加权限 - 表示删除权限 = 表示使之成为唯一的权限 3）权限 rwx也可以用数字表示法，不过很麻烦要自己算，比如rw=6 常见权限 -rw——（600）只有所有者才有读和写的权限 -rw-r——r——（644）只有所有者才有读和写的权限，组群和其他人只有读的权限-rwx——（700）只有所有者才有读，写，执行的权限 -rwxr-xr-x （755）只有所有者才有读，写，执行的权限，组群和其他人只有读和执行的权限 -rwx——x——x （711）只有所有者才有读，写，执行的权限，组群和其他人只有执行的权限 -rw-rw-rw- （666）每个人都有读写的权限 -rwxrwxrwx （777）每个人都有读写和执行的权限，最大权限。 也许你会说，Windows操作系统里不也内置了防火墙，Linux系统内置防火墙有什么特殊之处。其实，iptables不仅仅是一个防火墙，而且即便是一个防火墙，它与我们常见的Windows操作系统下的防火墙相比，更加的专业性能更强大。 iptables是与Linux内核集成的IP信息包过滤系统，如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP 信息包过滤和防火墙配置。 netfilter/iptables IP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。

linux操作系统安装步骤

事先检查： 基本上你必须先检查一下你的武装配备喔： ·下载并烧录Red Hat 7.2 的可开机光碟：不要问我如何烧录～～ enigma-i386-disc1.iso enigma-i386-disc2.iso 强烈的建议您不要使用HTTP 来捉这两个档案，就是不要使用IE 或者是Netscape 之类的浏览器来捉这两个档案，因为档案太大了，在传输的过程中会有捉错的情况，所以就会很麻烦....建议使用续传软体，或者是直接以FTP 软体到中山大学的FTP 站捉，不但具有续传功能不怕断线，捉到的档案也会比较正常（已经有很多朋友在BBS 上面留言，发现捉的档案无法烧录啰！）。此外，也建议直接下载新的核心，以方便后来的核心编译工作！目前新的核心已经出到了linux-2.4.17 （截至2002/02/16 为止），通常VBird 都是在中山大学下载的，你可以到底下来看看呦！ 中山大学关于核心 再提醒一次喔！由于Red Hat 7.1 到Red Hat 7.2 这两版都是使用kernel 2.4.xx 的系统核心，所以你必须要下载的是2.4.xx 版本的核心喔！以VBird 为例，目前个人都是使用linux-2.4.17.tar.gz 这一个档案的啦！你也可以在我们这里下载喔！ linux-2.4.17.tar.gz ·进入BIOS 设定开机顺序： 基本上如果是不太旧的版子都会支援光碟开机的，使用CD-ROM 开机的好处是比较快，而且也不用再去做Linux 安装开机片，确认的方法如下： o 按电源键开机； o 在进入系统之前会出现Del 字样（每个厂牌不太相同），此时按下键盘上的Delete 键；

linux操作系统安全

贵州大学实验报告 学院：计信学院专业：信息安全班级：信息101

2、FTP服务器的安全配置 FTP为文件传输协议，主要用于网络间的文件传输。FTP服务器的特点是采用双端口工作方式，通常FTP服务器开放21端口与客户端进行FTP控制命令传输，这称为FTP的数据连接 实 验仪器linux操作系统中的安全配置：安装red hat linux9.0操作系统的计算机 linux中Web、FTP服务器的安全配置：一台安装Windows XP/Server 2003操作系统的计算机，磁盘格式配置为NTFS,预装MBSA工具 实验步骤linux操作系统中的安全配置 一、账户和安全口令 1、查看和添加账户 （1）使用系统管理员账户root登录文本模式，输入下面的命令行：使用useradd命令新建名为myusername的新账户 （2）使用cat命令查看账户列表，输入下列命令: [root@localhost root]# cat /etc/shadow 得出列表最后的信息为：

用如下命令切换到myusername账户，然后在使用cat命令查看账户列表，如果刚才的账户添加成功，那么普通用户myusername不能查看该文件的权限，提示如下： 2、添加和更改口令 切换到root用户，添加myusername的口令： [root@localhost root]# passwd myusername 3、设置账户管理 输入命令行[root@localhost root]#chage –m 0 –M 90 –E 0 –W 10 myusername,此命

令强制用户myusername首次登陆时必须更改口令，同时还强制该用户以后每90天更改一次口令，并提前10天提示 4、账户禁用于恢复 （1）输入下列命令行，以管理员身份锁定新建的myusername账户，并出现锁定成功的提示： 此刻如果使用su切换到myusername账户，则出现以下提示： 表明锁定成功 （2）输入以下命令行，检查用户nyusername的当前状态： （3）如果要将锁定账户解锁，输入以下命令行，并出现相应的解锁提示： 5、建立用户组，将指定的用户添加到用户组中 （1）输入以下命令，建立名为mygroup的用户组： （2）如果要修改用户组的名称，使用如下命令行： 将新建的用户组更名为mygroup1 （3）输入以下命令，将用户myusername加入到新建的组mygroup1中并显示提示：

linux系统安全加固规范

Linux主机操作系统加固规范

目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误！未定义书签。 1.2 适用范围..................................................................................................... 错误！未定义书签。 1.3 适用版本..................................................................................................... 错误！未定义书签。 1.4 实施............................................................................................................ 错误！未定义书签。 1.5 例外条款..................................................................................................... 错误！未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误！未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)

UnixLinux系统的安全性概述

计算机网络安全技术题目：Unix/linux系统的安全性概述 班级：09 级达内班 组长：朱彦文学号：09700308 组员：冯鑫学号：09700310 组员：刘新亮学号：09700309 组员：梁小文学号：09700312 组员：龚占银学号：09700313 组员：高显飞学号：09700304 组员：陶志远学号：09700305 时间：2011年6月

目录 1、linux系统的介绍 (1) 2、服务安全管理 (1) 2.1、安全防护的主要内容 (1) 3、linux系统文件安全 (1) 3.1、文件相关权限的设置 (2) 3.2、SUID和SGID程序 (2) 4、用户访问安全 (2) 4.1、口令安全 (2) 4.2、登录安全 (3) 5、防火墙、IP伪装个代理服务器 (4) 5.1、什么是防火墙 (4) 5.2防火墙分类 (4) 6、服务器被侵入后的处理 (5) 7、日常安全注意事项 (5) 8、参考文献 (6)

Unix/linux系统的安全性概述 1、linux系统的介绍 Linux是一类Unix计算机操作系统的统称。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。严格来讲，Linux这个词本身只表示Linux内核，但在实际上人们已经习惯了用Linux 来形容整个基于Linux内核，并且使用GNU 工程各种工具和数据库的操作系统。Linux得名于计算机业余爱好者Linus Torvalds。Linux，其安全性漏洞已经广为流传，黑客可以很容易地侵入。而网络服务器往往储存了大量的重要信息，或向大量用户提供重要服务；一旦遭到破坏，后果不堪设想。所以，网站建设者更需要认真对待有关安全方面的问题，以保证服务器的安全。 2、服务安全管理 2.1、安全防护的主要内容 对于网站管理人员而言，日常性的服务器安全保护主要包括四方面内容： 文件存取合法性：任何黑客的入侵行为的手段和目的都可以认为是非法存取文件，这些文件包括重要数据信息、主页页面 HTML文件等。这是计算机安全最重要的问题，一般说来，未被授权使用的用户进入系统，都是为了获取正当途径无法取得的资料或者进行破坏活动。良好的口令管理 (由系统管理员和用户双方配合 )，登录活动记录和报告，用户和网络活动的周期检查都是防止未授权存取的关键。 用户密码和用户文件安全性：这也是计算机安全的一个重要问题，具体操作上就是防止 已授权或未授权的用户相互存取相互的重要信息。文件系统查帐、su登录和报告、用户意识、加密都是防止泄密的关键。 防止用户拒绝系统的管理：这一方面的安全应由操作系统来完成。操作系统应该有能力 应付任何试图或可能对它产生破坏的用户操作，比较典型的例子是一个系统不应被一个有意 使用过多资源的用户损害 (例如导致系统崩溃 )。 防止丢失系统的完整性：这一方面与一个好系统管理员的实际工作 (例如定期地备份文件系统，系统崩溃后运行 fsck检查、修复文件系统，当有新用户时，检测该用户是否可能使系统崩溃的软件 )和保持一个可靠的操作系统有关 (即用户不能经常性地使系统崩溃 )。

linux操作系统安装手册

操作系统安装 服务器推荐配置： CPU: Intel Xeon 3.2G 或以上 内存: 1G 或以上 网卡：100M 或1000M（视系统规模） 硬盘：73.4G 以上（视存储规模） 说明：此文档是REDHAT企业版AS4.0为基准的，REDHAT 9.0的安装也可以参考，只是选择安装包是不相同的。） 使用REDHAT AS4 光盘(4 碟装)。光盘版本号为：2.6.9-5和2.6.9-34，上述版本可按照下面方式安装。 设制BIOS 中的启动顺序，使计算机优先从cd-rom 启动。 打开计算机，把CD1 放入光驱，安装启动画面有多种选择， 直接回车,到下图 用TAB键切换到Skip回车 点击Next, 选择语言，如下图。

点击Next，配置键盘（默认），如下图。 点击Next，开始配置鼠标（默认），如下。 点击Next，分区格式选Manually partition with disk druid,如下图。 点击Next，开始分区。如下图。

如果此机器有两块或两块以上硬盘的话，会在图8 中显示出来例如hda 和hdc,那么注意要给在某个硬盘上（举例 说明，比如硬盘hda）创建分区时，点击new，在下一图形界面中，会提示有两块硬盘，此时必须打勾只选中需 要在上面创建分区的那块硬盘（例子中应该是hda），也就是说把另一块硬盘（例子中应该是hdc）前面的钩去掉。 对于只有一块硬盘的安装过程来说，只需按正常步骤就可以。 我们假设这台计算机中只有一块硬盘。一般使用IDE 硬盘时设备名为/dev/had（如果我们使用的是一个SCSI 硬盘，它的设备文件名为/dev/sda） 请注意。安装Linux 系统只要一个交换分区(swap)和一个根分区(/)，一般情况下，根分区为10G 左右，如果还有剩余空间，那么再创建新分区,映射为（/xfmdata）做为存储分区吧。 点击new 按钮创建一个swap 分区，swap 分区大小选本机内存大小的2 倍，但不要超过1024M. FileSystem Type 选swap,一般分为512M 左右，如下图。 点击OK，配置好SWAP 分区，如下图。

Linux系统安全

1 本章重点内容 Linux 系统安全 防火墙技术基本知识 用iptales实现包过滤型防火墙 2 8.1 计算机网络安全基础知识8.1.1 网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全，其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 因此，网络安全在不同的环境和应用中会得到不同的解释。 （1）运行系统安全，即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护，法律、政策的保护，计算机结构设计上的安全性考虑，硬件系统的可靠安全运行，计算机操作系统和应用软件的安全，数据库系统的安全，电磁信息泄露的防护等。它侧重于保证系统正常的运行，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失，避免由与电磁泄漏，产生信息泄露，干扰他人（或受他人干扰），本质上是保护系统的合法操作和正常运行。 3 （2）网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 （3）网络上信息传播的安全，即信息传播后的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用通信网络上大量自由传输的信息失控。它本质上是维护道德、法律或国家利益。 （4）网络上信息内容的安全，即讨论的狭义的“信息安全”。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。它本质上是保护用户的利益和隐私。 计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括：物理安全、安全控制和安全服务。 可见，计算机网络安全主要是从保护网络用户的角度来进行的，是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。 48.1.2 网络安全的特征 网络安全应具有以下四个方面的特征： （1）保密性是指信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 （2）完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 （3）可用性是指可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 （4）可控性是指对信息的传播及内容具有控制能力。 8.1.3 对网络安全的威胁 与网络连通性相关的有三种不同类型的安全威胁： （1）非授权访问（Unauthorized Access ）指一个非授权用户的入侵。（2）信息泄露（Disclosure of Information ）指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 （3）拒绝服务（Denial of Service ）指使系统难以或不能继续执行任务的所有问题。 5 8.1.4 网络安全的关键技术 从广义上讲，计算机网络安全技术主要有：（1）主机安全技术：（2）身份认证技术：（3）访问控制技术：（4）密码技术：（5）防火墙技术：（6）安全审计技术：（7）安全管理技术： 8.1.5 Linux 系统的网络安全策略 1．简介 6 随着Internet／Intranet网络的日益普及，采用Linux网络操作系统作为服务器的用户也越来越多，这一方面是因为Linux是开放源代码的免费正版软件，另一方面也是因为较之微软的Windows NT网络操作系统而言，Linux系统具有更好的稳定性、效率性和安全性。在Internet／Intranet的大量应用中，网络本身的安全面临着重大的挑战，随之而来的信息安全问题也日益突出。以美国为例，据美国联邦调查局（FBI）公布的统计数据，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet计算机黑客侵入事件。一般认为，计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞呢？主要原因是很多人，尤其是很多网络管理员没有起码的网络安全防范意识，没有针对所用的网络操作系统，采取有效的安全策略和安全机制，给黑客以可乘之机。 由于网络操作系统是用于管理计算机网络中的各种软硬件资源，实现资源共享，并为整个网络中的用户提供服务，保证网络系统正常运行的一种系统软件。如何确保网络操作系统的安全，是网络安全的根本所在。只有网络操作系统安全可靠，才能保证整个网络的安全。因此，详细分析Linux 系统的安全机制，找出可能存在的安全隐患，给出相应的安全策略和保护措施是十分必要的。

Linux安全配置基线

杭州安恒信息技术有限公司Linux 系统安全配置基线 杭州安恒信息技术有限公司 2016年 12月

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 第2章本地策略 (2) 2.1帐户与口令检查策略 (2) 2.1.1检查系统中是否存在口令为空的帐户 (2) 2.1.2检查系统中是否存在UID与ROOT帐户相同的帐户 (2) 2.1.3检查是否按用户分配帐号 (2) 2.1.4检查密码最小长度 (3) 2.1.5检查密码过期时间 (3) 2.1.6检查密码最大重试次数 (3) 2.1.7检查是否配置口令复杂度策略 (4) 2.1.8检查是否设置系统引导管理器密码 (4) 2.1.9检查口令过期前警告天数 (5) 2.1.10检查口令更改最小间隔天数 (5) 2.1.11检查是否使用PAM认证模块禁止WHEEL组之外的用户SU为ROOT (5) 2.1.12检查密码重复使用次数限制 (6) 2.2日志配置 (6) 2.2.1检查系统是否开启了日志功能 (6) 2.2.2检查系统是否开启了日志审计功能 (7) 2.2.3检查是否对登录进行日志记录 (7) 2.2.4检查是否记录用户对设备的操作 (7) 2.2.5检查SYSLOG-NG是否配置安全事件日志 (8) 2.2.6检查RSYSLOG是否配置安全事件日志 (8) 2.2.7检查SYSLOG是否配置安全事件日志 (9) 2.2.8检查是否配置SU命令使用情况记录 (9) 2.2.9检查是否配置远程日志功能 (9) 2.2.10检查是否启用CRON行为日志功能 (10) 2.2.11检查审计日志默认保存时间是否符合规范 (11) 2.3系统内核配置 (11) 2.3.1检查系统内核参数配置-是否禁止ICMP源路由 (11) 2.3.2检查系统内核参数配置-是否禁止ICMP重定向报文 (11) 2.3.3检查系统内核参数配置-SEND_REDIRECTS配置 (12) 2.3.4检查系统内核参数配置-IP_FORWARD配置 (12) 2.3.5检查系统内核参数配置ICMP_ECHO_IGNORE_BROADCASTS配置 (13) 2.4信息隐藏 (13) 2.4.1检查是否设置SSH登录前警告B ANNER (13) 2.4.2检查是否设置SSH登录后警告B ANNER (14) 2.4.3检查是否修改默认FTP B ANNER设置 (14) 2.4.4检查TELNET B ANNER 设置 (14) 2.5服务端口启动项 (15)

Linux安全配置标准

. .. . Linux安全配置标准 一.目的 《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根 据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为 Linux系统设计、实施及维护的技术和安全参考依据。 二.围 安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用 围。 三.容 3.1 软件版本及升级策略 操作系统核及各应用软件，默认采用较新的稳定版本，不开启自动更新功 能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录管理 符合以下条件之一的，属"可远程登录"： (1) 设置了密码，且处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录"的管理要求为： . 资料.

(1) 命名格式与命名格式保持一致 (2) 不允许多人共用一个，不允许一人有多个。 (3) 每个均需有明确的属主，离职人员应当天清除。 (4) 特殊需向安全组报批 3.2.2 守护进程管理 守护进程启动管理要求 (1) 应建立独立，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录"启动守护进程 (3) 禁止使用root启动WEB SERVER/DB等守护进程。 3.2.3 系统默认管理（仅适用于财务管理重点关注系统） 删除默认的，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs

(完整版)Linux安全配置基线

Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器； 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

Linux安全配置标准

Linux安全配置标准 一.目的 《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为Linux 系统设计、实施及维护的技术和安全参考依据。 二.范围 安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用范围。 三.内容 3.1 软件版本及升级策略 操作系统内核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录帐号管理 符合以下条件之一的，属"可远程登录帐号"： (1) 设置了密码，且帐号处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录帐号"的管理要求为：

(1) 帐号命名格式与邮件命名格式保持一致 (2) 不允许多人共用一个帐号，不允许一人有多个帐号。 (3) 每个帐号均需有明确的属主，离职人员帐号应当天清除。 (4) 特殊帐号需向安全组报批 3.2.2 守护进程帐号管理 守护进程启动帐号管理要求 (1) 应建立独立帐号，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录帐号"启动守护进程 (3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。 3.2.3 系统默认帐号管理（仅适用于财务管理重点关注系统） 删除默认的帐号，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs

加强Linux系统安全的几大技巧

加强Linux系统安全的几大技巧 导读:计算机系统一旦被恶意软件攻击，就存在泄漏隐私数据的风险，除了使用安全杀毒软件外，还有做一些必要的安全防护措施，下面小编就给大家介绍下如何保护Linux系统的安全。 1. 使用SELinux SELinux是用来对Linux进行安全加固的，有了它，用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是，SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。（LCTT译注：虽然NSA 也给SELinux贡献过很多代码，但是目前尚无证据证明SELinux有潜在后门）2禁用不用的服务和应用 通常来讲，用户大多数时候都用不到他们系统上的服务和应用的一半。然而，这些服务和应用还是会运行，这会招来攻击者。因而，最好是把这些不用的服务停掉。（LCTT译注：或者干脆不安装那些用不到的服务，这样根本就不用关注它们是否有安全漏洞和该升级了。） 3 订阅漏洞警报服务 安全缺陷不一定是在你的操作系统上。事实上，漏洞多见于安装的应用程序之中。为了避免这个问题的发生，你必须保持你的应用程序更新到最新版本。此外，订阅漏洞警报服务，如SecurityFocus。 4 使用Iptables Iptables是什么？这是一个应用框架，它允许用户自己为系统建立一个强大的防火墙。因此，要提升安全防护能力，就要学习怎样一个好的防火墙以及怎样使用Iptables框架。 5 检查系统日志 你的系统日志告诉你在系统上发生了什么活动，包括攻击者是否成功进入或试着访问系统。时刻保持警惕，这是你第一条防线，而经常性地监控系统日志就是为了守好这道防线。 6 考虑使用端口试探 设置端口试探（Port knocking）是建立服务器安全连接的好方法。一般做法

操作系统安全配置管理办法

行业资料：________ 操作系统安全配置管理办法 单位：______________________ 部门：______________________ 日期：______年_____月_____日 第1 页共8 页

操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理，提高重要信息系统的安全运行维护水平，规范化操作，确保信息系统安全稳定可靠运行，特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括：AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南 第 2 页共 8 页

3支持文件 《IT主流设备安全基线技术规范》（Q/CSG11804-xx） 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员，负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置，应由终端管理员负责进行配置，或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理，变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善，由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型，不同的应用环境及不同的安全等级，结合信息系统和终端安全特性，制定合适的操作系统安全配置，以采取合适的安全控制措施。 5.2根据应用系统实际情况，在总体安全要求的前提下，操作系统的安全配置应满足《IT主流设备安全基线技术规范》（Q/CSG11804-xx）文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。 第 3 页共 8 页

Linux服务器安全防护部署精品文档12页

Linux服务器安全防护部署 Abstract Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system， Linux system after the installation is complete， must carry out the necessary configuration， to enhance the security of Linux server， and decrease the possibility of the system to be attacked， increase the stability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用户权限配置 1）屏蔽、删除被操作系统本身启动的不必要的用户和用户组。Linux 提供了很多默认的用户和用户组，而用户越多，系统就越容易受到利用和攻击，因此删除不必要的用户和用户组可提高系统的安全性。 命令：userdel 用户名 groupdel 用户组名 2）用户口令应使用字母、数字、特殊符号的无规则组合，绝对不要单独使用英语单子或词组，必须保证在密码中存在至少一个特殊符号和一个数字。强制要求系统中非root用户密码最大使用天数为60天、长度不能小于8位。 命令：vi /etc/login.defs