业务安全 SUSE Linux 主机安全加固(4)

业务安全 SUSE Linux 主机安全加固通用操作指导书

通用策略：

实施时根据现场需求决定业务帐号和数据库帐号是否不允许设置认证失败次数。

Pam模块根据系统版本不同，可能配置的方法也不一样，需要参考实际情况来进行配置，以下两种配置方法可以解决绝大多数系统的配置问题。需要注意的是：某些SUSE 9系统中，使用telnet错误登录一次，FAILLOG里计数器会计两次数，设置次数时需要根据实际情况进行设置。

风险说明：

1. 如果业务帐号被锁定，帐号不能使用，可能造成业务中断。请参考

产品加固策略制定实施方案，确定哪些帐号需要进行例外设置。 2. 帐号可能被恶意重试导致被锁定。需要询问客户决定是否实施。

操作方法：

1. 终端登录：

步骤 1 设置登录时连续认证失败6次后断开会话：

修改/etc/login.defs文件，进行如下设置： #vi /etc/login.defs LOGIN_RETRIES 6

步骤 2 设置连续登陆6次后帐号锁定：

SUSE 9：

修改/etc/pam.d/login文件，添加如下两行： #vi /etc/pam.d/login

auth required pam_tally.so no_magic_root account required pam_tally.so deny=6 no_magic_root SUSE 10：

修改/etc/pam.d/login文件，添加如下两行： #vi /etc/pam.d/login

auth required pam_tally.so deny=6 account required pam_tally.so

第16页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

2. SSH登录： SUSE 9:

步骤 1 设置连续登陆6次后帐号锁定：

修改/etc/pam.d/sshd文件，添加如下两行： #vi /etc/pam.d/sshd

auth required pam_tally.so no_magic_root #此行的位置需要在该文件的第一行。

account required pam_tally.so deny=6 no_magic_root

步骤 2 重启sshd服务：

#/etc/init.d/sshd restart SUSE 10:

步骤 1 设置登录时连续认证失败6次后断开会话：

修改/etc/ssh/sshd_config文件，进行如下设置： #vi /etc/ssh/sshd_config MaxAuthTries 6

步骤 2 设置连续登陆6次后帐号锁定：

修改/etc/pam.d/sshd文件，添加如下两行： #vi /etc/pam.d/sshd

auth required pam_tally.so deny=6 account required pam_tally.so

步骤 3 重启sshd服务：

#/etc/init.d/sshd restart 3. 解锁方法：

以管理员用户登录，执行如下操作：

步骤 1 查看哪些用户被锁定：

#pam_tally

步骤 2 为用户解锁：

# pam_tally --user username --reset=0

操作验证：

1. 验证方法：

第17页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

以任一普通账号通过错误的口令进行系统登录6次以上； 2. 预期结果：

帐户被锁定，需要联系系统管理员解锁

3.3 服务

3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口

安全要求：

设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。

通用策略：

此项是对操作系统本身的要求，SUSE系统均满足此项要求。

风险说明：

无

操作方法：

步骤 1 查看已使用服务列表：

# chkconfig --list

步骤 2 查看开放的端口列表：

# netstat -an

步骤 3 服务端口和进程对应表：

# more /etc/services

操作验证：

1. 验证方法：

步骤 1 # chkconfig - - list 步骤 2 # netstat -an 步骤 3 # more /etc/services

2. 预期结果：

第18页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

步骤 1 能够列出开放的服务列表 步骤 2 能够列出开放的端口列表

步骤 3 可以看到详细的服务端口和进程对应表

3.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务

安全要求：

列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。

通用策略：

仅关闭产品确认的可以关闭的服务。

建议关闭的服务（需要根据各产品线加固策略决定是否关闭）：

chargen、chargen-udp、cups-lpd、cvs、daytime、daytime-udp、echo、echo-udp、fam、netstat、rsync、servers、services、systat、time、time-udp 请根据需要开启相应的服务

风险说明：

1. 第三方系统可能需要使用这里禁用的服务。

2. Unix/Linux上的很多软件对系统服务具有依赖性，服务之间也具有依

赖性。关闭服务可能造成软件或者服务不能正常运行。 3. 禁用服务可能影响以后的业务升级和新业务的上线。

操作方法：

步骤 1 关闭inetd服务

# chkconfig 服务名 off

步骤 2 关闭xinetd服务

修改其配置文件，在其属性中修改Disable 为yes，如没有，请添加 #vi /etc/xinetd.d/服务名 disable = yes

步骤 3 重启inetd服务

# /etc/init.d/xinetd restart

第19页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

操作验证：

1. 验证方法： # chkconfig -l 2. 预期结果：

仅有允许的服务处于开启状态

3.3.3 SEC-SUSE-SVC-03-配置NTP时间同步

安全要求：

如果网络中存在信任的NTP服务器，应该配置系统使用NTP服务保持时间同步。

通用策略：

实施时根据业务加固策略确定是否需要接入ntp服务器

风险说明：

1. 需要有正确的时间同步服务器支撑，否则会导致日后审计困难（尤

其是双机）； 2. 业务软件的功能逻辑可能与时间强相关，时间同步可能引起逻辑紊

乱； 3. Oracle等数据库对时间的要求也比较严格，如果主机时间往回跳，

Oracle可能无法启动，逻辑备份也会失效。

操作方法：

如果产品本身有ntp时间同步要求的，请按照产品发布的ntp时间同步方案实施。

步骤 1 修改ntp的配置文件：

# vi /etc/ntp.conf

server IP地址（提供ntp服务的机器）

步骤 2 打开服务

SUSE 9：

#chkconfig xntpd on SUSE 10：

第20页, 共60页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库业务安全 SUSE Linux 主机安全加固(4)在线全文阅读。