业务安全 SUSE Linux 主机安全加固(8)

业务安全 SUSE Linux 主机安全加固通用操作指导书

在桌面空白处单击鼠标右键，选择“configure desktop…”—>“Screen saver”，在右栏设置自动锁屏时间并选中“Require password to stop screen saver”。

步骤 2 GNOME

在屏幕保护中设置，Console、Terminate均对除root外其他用户生效。 在桌面菜单单击“Applications”—>“Desktop Preferences”—>“Advanced”—>“Screensaver”，在弹出的对话框中选中“Lock Screen After ? minutes”并设置好自动锁屏时间。

操作验证:

1. 验证方法：

以普通用户登录图形界面，不做任何操作 2. 预期结果：

如果GUI被禁用，则无法进入图形界面；

如果GUI启用，在设定的时间内不做任何操作，会进入屏保状态，重新登入时需要输入口令。

3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围

安全要求：

对于通过IP协议进行远程维护的设备，设备应支持控制访问该设备特定服务的IP地址范围。

通用策略：

使用tcpd程序可以控制以下服务的IP地址范围： telnet, ssh, ftp, exec, rsh, rlogin, tftp, finger, talk, comsat 需研发给出网元访问关系。

风险说明：

1. 容易造成网络连通性问题，建议通过硬件防火墙来统一控制。 2. 维护比较麻烦，需询问客户后确定是否实施。

操作方法：

编辑文件/etc/hosts.allow，设置允许访问的范围

第36页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

# vi /etc/hosts.allow 增加一行

: 允许访问的IP 举例如下：

all:192.168.4.44 : ALLOW #允许单个IP；

sshd:192.168.1. : ALLOW #允许192.168.1的整个网段 in.telnetd : ALL : ALLOW #允许所有 编辑文件/etc/hosts.deny，设置拒绝访问的范围 # vi /etc/hosts.deny 增加一行 ALL : ALL

操作验证：

1. 验证方法：

查看/etc/hosts.allow和/etc/hosts.deny两个文件 使用受限制的IP访问 2. 预期结果：

受限制的IP无法访问上述服务

3.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限

安全要求：

设置ftp用户登录后对文件目录的存取权限

通用策略：

全局生效，对所有用户有效。

如果以下不设置，默认情况下vsftp上传之后文件的权限是600，目录权限是700。

风险说明：

无

第37页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

操作方法：

步骤 1 vsftp

修改/etc/vsftpd.conf # vi /etc/vsftpd.conf

确保以下行未被注释掉，如果没有该行，请添加： write_enable=YES //允许上传 ls_recurse_enable=YES

local_umask=022 //设置用户上传文件的属性为755 anon_umask=022 //匿名用户上传文件(包括目录)的 umask 重启网络服务 # rcxinetd restart

步骤 2 pure-ftp

修改/etc/pure-ftpd/pure-ftpd.conf # vi /etc/pure-ftpd/pure-ftpd.conf

确保以下行未被注释掉，如果没有该行，请添加：

Umask 177:077

重启ftp服务

#/etc/init.d/pure-ftpd restart

由于安装时pure-ftp可能落在xinetd服务里，pure-ftpd服务由xinetd服务拉起，重启ftp服务时可能会出现失败现象，这时可以修改

/etc/xinetd.d/pure-ftpd文件中的disable值为yes，然后再重启服务。

文件创建或者上传时的权限默认去除了可执行权限。即如果上面的UMASK值设置为022，实际创建或者上传的文件权限为644。

第38页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

操作验证：

1. 验证方法： 登录FTP后上传文件 2. 预期结果：

用户行为受到控制，文件权限符合预期设置。

3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性

安全要求：

去掉所有文件“系统文件”属性，防止用户滥用及提升权限的可能性

通用策略：

如无特殊需求，建议取消文件的SUID、SGID属性。

改变文件的SUID、SGID属性前，先备份该文件（带权限）： # cp -p /dir/filename /dir/filename.bak

风险说明：

某些文件的执行需要使用属主或属组权限，如果去除，可能会造成对执行结果有影响甚至影响业务，需与客户沟通确认后执行。

操作方法：

找出系统中所有含有“s”属性的文件，把不必要的“s”属性去掉，或者把不用的直接删除。

# find / -type f \\( -perm -04000 -o -perm -02000 \\) -exec ls -lg {} \\; # chmod a-s filename

操作验证：

1. 验证方法：

再次使用以下命令查找含有“s”属性的文件

# find / -type f \\( -perm -04000 -o -perm -02000 \\) -exec ls -lg {} \\; 2. 预期结果：

无法再次找到含有“s”属性的文件

第39页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

3.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del

安全要求：

禁止ctrl+alt+del，防止非法重新启动服务器。

通用策略：

无

风险说明：

无

操作方法：

# vi /etc/inittab 将以下行

ca::ctrlaltdel:/sbin/shutdown -r -t 4 now 修改为：

ca::ctrlaltdel:/bin/true

操作验证：

1. 验证方法： 按键盘ctrl+alt+del 2. 预期结果： 服务器没有任何反应

3.5 日志审计

3.5.1 SEC-SUSE-LOG-01-记录用户登录信息

安全要求：

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功、登录时间、以及远程登录时、用户使用的IP地址

第40页, 共60页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库业务安全 SUSE Linux 主机安全加固(8)在线全文阅读。