业务安全 SUSE Linux 主机安全加固通用操作指导书
根据业务备份要求备份数据库。
步骤 3 对实施过程需修改的安全配置文件进行备份
加固过程中可能会修改如下文件: /etc/passwd /etc/shadow /etc/group
/etc/security/pam_pwcheck.conf /etc/pam.d/passwd /etc/login.defs /etc/default/useradd /etc/pam.d/login /etc/pam.d/sshd /etc/ssh/sshd_config /etc/xinetd.d/* /etc/ntp.conf /etc/fstab
/etc/exports (may no exist) /etc/snmpd.conf (SUSE 9) /etc/snmp/snmpd.conf (SUSE 10) /etc/profile
$home/.profile(或.bash_profile) #即用户家目录下的.profile文件或者.bash_profile文件 /etc/securetty /etc/pam.d/su /etc/ftpusers /etc/vsftpd.conf
/etc/pure-ftpd/pure-ftpd.conf /etc/hosts.allow /etc/hosts.deny /etc/inittab
/etc/syslog.conf (SUSE 9)
第6页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
/etc/syslog-ng/syslog-ng.conf (SUSE 10) /etc/motd
/etc/sshbanner (may no exist) /etc/ssh/sshd_config /etc/issue /etc/issue.net /etc/sysctl.conf 备份相关系统文件:
#cp –p 系统文件 备份文件 //其中参数-p表示拷贝文件权限。
3 1. 预计操作时间: 60分钟 2. 操作人员:
华为专业安全服务工程师或交付合作方 3. 操作影响: 4. 其他约定:
加固实施
部分策略实施可能会造成业务中断, 在双机系统中,实施时需先实施备机,确保备机没问题后,再实施主机。
如果没有特殊说明,文中的操作均以root用户完成。
第7页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
3.1 帐号
3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号
安全要求:
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
通用策略:
需要按维护人员角色新增维护帐号,利用工号等唯一标志做识别,需询问客户意见。通常华为业务系统上需新增两个华为方维护帐号:maintain和admin_hw。
风险说明:
无
操作方法:
步骤 1 创建帐号
# useradd [-d homedir] [-G group,...] [-g gid] [-m] [-p password] [-u uid] [-s shell] account 参数说明: d表示帐号主目录 G表示帐号所属组的列表 g表示帐号主所属组ID
m表示帐号组目录不存在时是否创建 p表示密码 u表示帐号ID s表示Shell类型
步骤 2 设置密码:
# passwd account 修改权限: # chmod 755 homedir
第8页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
其中755为设置的权限,可根据实际情况设置相应的权限,homedir是要更改权限的目录
步骤 3 修改帐号
# usermod [-d homedir] [-G group,...] [-g gid] [-m] [-p password] [-u uid] [-s shell] [-L] [-U] account 参数说明: d表示帐号主目录 G表示帐号所属组的列表 g表示帐号主所属组ID
m表示帐号组目录改变时是否移动原目录中文件 p表示密码 u表示帐号ID s表示Shell类型 L表示锁定帐号 U表示解除锁定帐号
步骤 4 删除帐号
# userdel [-r[-f]] account 参数说明:
r表示是否删除帐号主目录
f表示当帐号主目录存在其他帐号所有文件时是否强制删除
操作验证:
1. 验证方法: # more /etc/passwd 2. 预期结果:
不同用户使用各自不同帐号。
3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号
安全要求:
锁定/删除与设备运行、维护等工作无关的账号。 被锁定的账号无法使用交互式登陆。
第9页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
通用策略:
根据业务加固策略确定系统账号、业务账号的锁定/删除操作,根据客户意见确定维护账号的锁定/删除操作。
建议锁定的系统账号:bin daemon ftp nobody nobody4 lp games named at irc mysql ldap postfix postgres wwwrun mail pop snort squid mail man news uucp
在实际加固过程中,对于系统帐号,建议只锁定,不删除。
风险说明:
1. 可能有第三方系统使用了被锁定的帐号,造成第三方系统不可用,
请在实施方案制定时,收集第三方系统对账号加固的要求。 2. 锁定的用户不能直接登录系统,需经管理员帐号解锁后方可登录。
操作方法:
步骤 1 锁定用户:
# passwd -l username
步骤 2 更改帐号默认登陆SHELL:
#usermod –s /bin/false username
步骤 3 删除用户:
# userdel [-r[-f]] account 参数说明:
r表示是否删除帐号主目录
f表示当帐号主目录存在其他帐号所有文件时是否强制删除
步骤 4 解除对帐号的锁定:
# passwd -u username
操作验证:
1. 验证方法:
使用已经锁定的帐号尝试登陆 2. 预期结果:
已经锁定的帐号无法登陆,系统提示: Login incorrect
第10页, 共60页
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库业务安全 SUSE Linux 主机安全加固(2)在线全文阅读。
相关推荐: