业务安全 SUSE Linux 主机安全加固通用操作指导书
3. 要求转变维护习惯。需要询问客户后确定是否实施。
4. 如果主机上没有维护帐号或者该帐号没有添加到wheel组,限制root
远程登录后将无法远程登录主机,须到控制台上操作。
操作方法:
限制管理员帐号Telnet登录:
步骤 1 修改/etc/pam.d/login文件
# vi /etc/pam.d/login
添加以下内容,如果已经存在请确保未被注释 auth required pam_securetty.so
步骤 2 修改/etc/securetty文件
#vi /etc/securetty 注释掉以下内容: pts/1 pts/2 ......... ptsn
步骤 3 限制管理员帐号SSH登录:
修改/etc/ssh/sshd_config文件 #vi /etc/ssh/sshd_config 将
PermitRootLogin yes 改为
PermitRootLogin no 重启sshd服务: # rcsshd restart
步骤 4 限制可以通过su切换到root的用户:
#vi /etc/pam.d/su
在文件的头部加入下面三行:
第31页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
auth sufficient pam_rootok.so auth required pam_wheel.so auth required pam_unix.so 把可以执行su的账号放入wheel组 # usermod –G 10 username
操作验证:
1. 验证方法:
Root用户使用telnet、SSH登录; 普通用户使用telnet、SSH登录;
普通用户登录后使用su切换到root用户(需要输入管理员口令)。 2. 预期结果: root无法登录 普通用户无法登录
Wheel组里的用户可以成功切换到root用户(需要输入管理员口令)
3.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录
安全要求:
控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
通用策略:
以下用户名不允许ftp登陆:
root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 根据实际情况添加修改不能登录的用户帐号。
风险说明:
有些局点直接使用root用户ftp登录取话单,禁用root ftp登录后,可能无法正常取话单。
操作方法:
通过修改ftpusers文件,增加不能登录的用户 # vi /etc/ftpusers
第32页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
操作验证:
1. 验证方法:
使用列表中的帐号登录ftp 2. 预期结果:
列表中的帐号无法登录ftp
3.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录
安全要求:
应该从应用层面进行必要的安全访问控制,比如FTP服务器应该限制ftp可以使用的目录范围。
通用策略:
全局生效,对所有用户有效。 加固后ftp仅能在家目录下活动。
风险说明:
用户ftp登录后,通常并不只需要在自己的家目录下活动,限制后业务可能无法正常运行,如不能正常取话单文件。
操作方法:
步骤 1 vsftp
修改/etc/vsftpd.conf # vi /etc/vsftpd.conf
确保以下行未被注释掉,如果没有该行,请添加: chroot_local_user=YES 重启网络服务 # rcxinetd restart
步骤 2 pure-ftp
修改/etc/pure-ftpd/pure-ftpd.conf # vi /etc/pure-ftpd/pure-ftpd.conf
第33页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
确保以下行未被注释掉(并且值为以下值),如果没有该行,请添加: ChrootEveryone yes AllowUserFXP no AllowAnonymousFXP no 重启ftp服务
# /etc/init.d/pure-ftpd restart
由于安装时pure-ftp可能落在xinetd服务里,pure-ftpd服务由xinetd服务拉起,重启ftp服务时可能会出现失败现象,这时可以修改
/etc/xinetd.d/pure-ftpd文件中的disable值为yes,然后再重启服务。
操作验证:
1. 验证方法:
登录ftp后尝试切换到上级目录 2. 预期结果:
用户登陆后只能在自己当前目录以及子目录下活动。
3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间
要求内容:
对于具备字符交互界面的设备,应配置定时帐户自动登出。
通用策略:
可根据实际要求设置超时退出时间,一般情况下设置为180秒
风险说明:
设置shell会话超时退出时间后,用户在本次会话中没有用nohup启动的用户进程可能会随会话自动退出。
操作方法:
编辑文件/etc/profile
第34页, 共60页
业务安全 SUSE Linux 主机安全加固通用操作指导书
#vi /etc/profile 增加如下行: TMOUT=180 export TMOUT
改变这项设置后,重新登录才能有效。
操作验证:
1. 验证方法:
用root帐户登录后,在设定时间内不进行任何操作,检查帐户是否登出。 2. 预期结果:
若在设定时间内没有操作动作,能够自动退出,即为符合;
3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间
要求内容:
对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定。
通用策略:
如无必要,建议不要使用GUI。
风险说明:
无
操作方法:
方案一:禁用GUI服务设置: #/etc/init.d/xdm stop #chkconfig xdm off
方案二:自动屏幕锁定设置:
步骤 1 KDE
在屏幕保护中设置,Console对所有用户生效,Terminate对除root外其他用户生效。
第35页, 共60页
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库业务安全 SUSE Linux 主机安全加固(7)在线全文阅读。
相关推荐: