业务安全 SUSE Linux 主机安全加固(6)

业务安全 SUSE Linux 主机安全加固通用操作指导书

步骤 1 修改snmp配置文件：

#vi /etc/snmp/snmpd.conf

找到以rocommunity或rwcommunity开头的行，如： rocommunity public 127.0.0.1

其中的第二个字段（public）即为团体名，用新的团体名称替换该字段： rocommunity community_name 127.0.0.1

步骤 2 重启snmp服务：

#rcsnmpd restart

操作验证：

1. 验证方法：

步骤 1 查看snmpd服务状态：

#chkconfig snmpd

步骤 2 若snmpd服务状态为开启状态，则检查其团体名称是否修改：

snmp客户端不修改对应团体名，重新连接snmpd服务； snmp客户端修改对应的团体名，重新连接snmpd服务。 2. 预期结果：

步骤 1 Snmpd服务状态为off 步骤 2 若Snmpd服务状态为on：

snmp客户端不修改对应团体名，重新连接snmpd服务，无法查询系统信息；

snmp客户端修改对应的团体名，重新连接snmpd服务，能够正常查询系统信息。

3.4 访问控制

3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限

安全要求：

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改。

第26页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

通用策略：

实施时根据业务加固策略决定对业务业务系统的哪些重要文件和目录需要加强权限。

风险说明：

1. 对Oracle文件权限加固后，可能出现NBU备份软件不能正常备份等

现象。 2、如果业务系统目录内存在非业务用户的文件，业务用户将无法使用。

操作方法：

/etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r— /etc/group 必须所有用户都可读，root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- 使用如下命令设置： # chmod 644 /etc/passwd # chmod 644 /etc/group # chmod 400 /etc/shadow

如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外） 执行命令： # chmod -R go-w /etc

操作验证：

1. 验证方法： # ls -la /etc/passwd # ls -la /etc/group # ls -la /etc/shadow # ls -la /etc 2. 预期结果：

文件和目录属性符合预期设置

第27页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限

安全要求：

控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

通用策略：

默认UMASK值建议设置为027，需要根据产品安全策略设置相应UMASK值。

风险说明：

有些产品用会使用一个帐号创建话单文件，另一个用户通过ftp取话单，如果设置umask值为027，取话单会失败。这种情况下建议设置umask值为022。

操作方法：

步骤 1 设置全局默认权限：

在/etc/profile末尾增加umask 027 #vi /etc/profile umask 027

步骤 2 设置单个用户默认权限：

如果用户需要使用一个不同于默认全局系统设置的umask，可以编辑其家目录下的.profile文件或.bash_profile文件： #vi $home/.profile (或.bash_profile)

在里面修改或者添加UMASK 022 #具体值可以根据实际需要进行设置

操作验证：

1. 验证方法： 尝试新建目录或文件 2. 预期结果：

用户新建目录或文件属性符合预期设置

第28页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

3.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码

安全要求：

设置eeprom 安全密码，硬件启动要求输入密码才能启动。

通用策略：

SUSE系统不涉及操作系统EEPROM密码，一般通过设置硬件启动密码来满足此安全需求

目前SUSE系统所在的硬件环境以ATAE单板、IBM PC服务器及HP PC服务器居多，其中ATAE单板不能设置硬件启动密码。

风险说明：

忘记eeprom密码将无法开机。

操作方法：

计算机开启时，按照提示进入BIOS界面，参照主板说明进行BIOS密码设置，注意设置密码应尽量复杂。

操作验证：

1. 验证方法： 重启主机 2. 预期结果： 启动硬件时需要输入密码

3.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆

安全要求：

对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。

通用策略：

如果系统已经安装ssh，启动ssh服务即可。如果没有安装ssh软件，请联系总部技术支持先安装ssh，再启动服务。

第29页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

风险说明：

无

操作方法：

步骤 1 打开ssh服务：

#chkconfig sshd on 启动ssh 服务： #/etc/init.d/sshd start

步骤 2 查看SSH服务状态：

# /etc/init.d/sshd status 若为running，即为生效。

操作验证：

1. 验证方法： 查看SSH服务状态： # /etc/init.d/sshd status 2. 预期结果： 显示SSH正在运行

3.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录

安全要求：

1. 对于具备console台的设备，限制root用户只能从console台本地登

录。 2. 远程执行管理员权限操作，应先以普通权限用户远程登录后，再切

换到超级管理员权限账号后执行相应操作。

通用策略：

现场实施时根据业务需要选择可以切换到管理员权限的用户，集中划入wheel组

风险说明：

1. 如果业务直接以root身份运行，限制root远程登录可能对业务正常

使用造成影响。 2. 需要以root直接登录进行操作的工具（如巡检工具）会失效。

第30页, 共60页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库业务安全 SUSE Linux 主机安全加固(6)在线全文阅读。