业务安全 SUSE Linux 主机安全加固通用操作指导书
业务安全 SUSE Linux 主机安全
加固
通用操作指导书
目录
1 文档使用说明 ........................................................................................................... 4
1.1 适用范围 .............................................................................................................................. 4
2 实施前准备 ............................................................................................................... 4
2.2 系统检查 .............................................................................................................................. 5 2.3 业务检查 .............................................................................................................................. 5 2.4 备份 ...................................................................................................................................... 5
3 加固实施 ................................................................................................................... 7
3.1 帐号 ...................................................................................................................................... 8 3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号 .................................................................. 8 3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号 ................................................................. 9 3.1.3 SEC-SUSE-ACCT-03-用户帐号分组 ........................................................................ 11 3.2 口令 .................................................................................................................................... 12 3.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度 ............................................................. 12 3.2.2 SEC-SUSE-PWD-02-配置用户口令期限 ................................................................. 13 3.2.3 SEC-SUSE-PWD-03-配置用户口令重复使用次数 ................................................. 15 3.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略 ................................................. 15 3.3 服务 .................................................................................................................................... 18 3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口 .......................................................... 18 3.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务 ..................................................... 19 3.3.3 SEC-SUSE-SVC-03-配置NTP时间同步 ................................................................. 20 3.3.4 SEC-SUSE-SVC-04-停用NFS服务 ......................................................................... 21 3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务 .................................................................. 23 3.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名 .......................................................... 25 3.4 访问控制 ............................................................................................................................ 26 3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限 ........................................... 26
第1页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限 ............................................... 28 3.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码 ............................................................. 29 3.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆 ..................................... 29 3.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录 .......................................................... 30 3.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录 .............................................................. 32 3.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录 .................................. 33 3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间 ....................................................... 34 3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间 ............................................... 35 3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围 ................................ 36 3.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限 ............. 37 3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性 ..................................... 39 3.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del ................................................................. 40 3.5 日志审计 ............................................................................................................................ 40 3.5.1 SEC-SUSE-LOG-01-记录用户登录信息 .................................................................. 40 3.5.2 SEC-SUSE-LOG-02-开启系统记帐功能 .................................................................. 41 3.5.3 SEC-SUSE-LOG-03-记录系统安全事件 .................................................................. 43 3.5.4 SEC-SUSE-LOG-04-日志集中存放 .......................................................................... 44 3.5.5 SEC-SUSE-LOG-05-记录用户SU命令操作 ........................................................... 46 3.5.6 SEC-SUSE-LOG-06-系统服务日志 .......................................................................... 46 3.6 登陆显示 ............................................................................................................................ 48 3.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告Banner ......................................... 48 3.6.2 SEC-SUSE-BANNER-02-设置ssh警告Banner ...................................................... 48 3.6.3 SEC-SUSE-BANNER-03-更改telnet警告Banner .................................................. 49 3.6.4 SEC-SUSE-BANNER-04-更改ftp警告Banner ....................................................... 50 3.7 IP协议 ................................................................................................................................. 52 3.7.1 SEC-SUSE-IP-01-禁止ICMP重定向 ....................................................................... 52 3.7.2 SEC-SUSE-IP-02-关闭网络数据包转发 ................................................................... 53 3.8 内核参数 ............................................................................................................................ 54 3.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出 .......................................................... 54 3.9 补丁/软件 ........................................................................................................................... 54 3.9.1 SEC-SUSE-SW-01-安装OS补丁 ............................................................................. 54
4 实施后验证 ............................................................................................................. 55
4.1 系统检查 ............................................................................................................................ 55 4.2 启动双机和业务 ................................................................................................................. 56 4.3 业务检查 ............................................................................................................................ 56
5 风险回退 ................................................................................................................. 56
第2页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
5.1 故障信息收集: ................................................................................................................. 57 5.2 系统恢复: ........................................................................................................................ 59
第3页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
1 1.1 适用范围
1. 适用OS版本: SLES 9,SLES 10
SLES:SUSE Linux Enterprise Edition
文档使用说明
2. 适用人员:
一线维护工程师和安全专业服务工程师。要求使用人员熟悉Unix命令、系统管理和维护,熟悉安全加固流程。
2 1. 预计操作时间: 30分钟,可提前完成 2. 操作人员:
实施前准备
华为办事处业务维护工程师、华为专业安全服务工程师或交付合作方
第4页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
3. 操作影响: 无影响
1) 现网设备加固需要提前提交现网施工申请,一般要求凌晨0:00后才
能开始实施。 2) 加固前一定要对机器作健康检查,确认无软硬件故障、重启正常、双
机切换正常和业务运行正常后,才能对主机进行加固操作。否则建议修复后再加固。 3) 双机加固应该严格按照如下顺序执行:双机切换-》备机重启-》备
机检查-》备机加固-》备机重启-》加固后检查-》备机启动业务-》双机切换-》业务测试-》加固当前备机。
2.2 系统检查
步骤 1 执行# dmesg查看系统硬件配置。
步骤 2 执行#more /var/log/messages检查是否有错误日志。 步骤 3 检查系统性能情况。
# top # vmstat 5 10 # sar 5 10
并把相关结果记录下来
2.3 业务检查
根据业务加固策略要求,检查业务运行状态,详细请参考对应产品的主机安全加固项目交付指导书。
2.4 备份(需要具体步骤及相应执行命令)
步骤 1 对操作系统进行全备份
可以使用YAST工具中的系统备份功能实现。 # yast
System -> System Backup 根据提示进行系统备份
步骤 2 对数据库进行备份
第5页, 共60页
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库业务安全 SUSE Linux 主机安全加固在线全文阅读。
相关推荐: