Linux操作系統(tǒng)安全配置規(guī)范V10

1、版版本本號(hào)號(hào)：1.0.0 l i n u x 操操 作作 系系 統(tǒng)統(tǒng) 安安 全全 配配 置置 規(guī)規(guī) 范范 目錄 1概述概述.1 1.1適用范圍 .1 1.2外部引用說(shuō)明 .1 1.3術(shù)語(yǔ)和定義 .1 1.4符號(hào)和縮略語(yǔ) .1 2linux 設(shè)備安全配置要求設(shè)備安全配置要求.1 2.1賬號(hào)管理、認(rèn)證授權(quán) .2 2.1.1賬號(hào).2 2.1.2口令.4 2.1.3授權(quán).10 2.2日志配置要求 .11 2.3ip 協(xié)議安全配置要求.13 2.3.1ip 協(xié)議安全.13 2.4設(shè)備其他安全配置要求 .14 2.4.1檢查ssh安全配置.14 2.4.2檢查是否啟用信任主機(jī)方式，配置文件是否配置妥當(dāng).1

2、5 2.4.3檢查是否關(guān)閉不必要服務(wù).15 2.4.4檢查是否設(shè)置登錄超時(shí).16 2.4.5補(bǔ)丁管理.17 1 概述概述 1.1 適用范圍適用范圍 本規(guī)范適用于 linux 操作系統(tǒng)的設(shè)備。本規(guī)范明確了 linux 操作系統(tǒng)配 置的基本安全要求，在未特別說(shuō)明的情況下，適用于 redhat 與 suse 操作系統(tǒng) 版本。 1.2 外部引用說(shuō)明外部引用說(shuō)明 1.3 術(shù)語(yǔ)和定義術(shù)語(yǔ)和定義 1.4 符號(hào)和縮略語(yǔ)符號(hào)和縮略語(yǔ) （對(duì)于規(guī)范出現(xiàn)的英文縮略語(yǔ)或符號(hào)在這里統(tǒng)一說(shuō)明。 ） 縮寫英文描述中文描述 2 linux 設(shè)備安全配置設(shè)備安全配置要求要求 本規(guī)范所指的設(shè)備為采用 linux 操作系統(tǒng)的設(shè)備。本

3、規(guī)范提出的安全配 置要求，在未特別說(shuō)明的情況下，均適用于采用 linux 操作系統(tǒng)的設(shè)備。 本規(guī)范從運(yùn)行 linux 操作系統(tǒng)設(shè)備的認(rèn)證授權(quán)功能、安全日志功能、ip 網(wǎng)絡(luò)安全功能，其他自身安全配置功能四個(gè)方面提出安全配置要求。 2.1 賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)管理、認(rèn)證授權(quán) 2.1.1 賬號(hào)賬號(hào) 檢查是否刪除或鎖定無(wú)關(guān)賬號(hào)檢查是否刪除或鎖定無(wú)關(guān)賬號(hào) 檢查項(xiàng)名稱檢查是否刪除或鎖定無(wú)關(guān)賬號(hào) 中文編號(hào) 英文編號(hào) 要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。 檢查項(xiàng)類型賬號(hào)口令和認(rèn)證授權(quán) - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟1、

4、執(zhí)行： #more /etc/passwd /etc/shadow 查看是否存在以下可能無(wú)用的帳戶： lp uucp nobody games rpm smmsp nfsnobody。 adm、sync、shutdown、halt、news、operator 判定條件lp uucp nobody games rpm smmsp nfsnobody 這些帳戶不存在或者它們 的密碼字段為!，則這些帳戶被鎖定，符合安全要求，否則低于安全 要求。 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置1、執(zhí)行備份： #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shado

5、w /etc/shadow_bak 2、鎖定無(wú)用帳戶： 方法一： #vi /etc/shadow 在需要鎖定的用戶名的密碼字段前面加!，如 test:!$1$qd1ju03h$lbv4vdbbpw.my0hz2d/im1:14805:0:99999:7: 方法二： #passwd -l test 3、將/etc/passwd 文件中的 shell 域設(shè)置成/bin/false。 補(bǔ)充操作說(shuō)明lp uucp nobody games rpm smmsp nfsnobody adm、sync、shutdown、halt、news、operator 這些帳戶不存在或者它 們的密碼字段為! 2.1.1

6、.2檢查是否限制檢查是否限制 root 遠(yuǎn)程登錄遠(yuǎn)程登錄 檢查項(xiàng)名稱檢查是否限制 root 遠(yuǎn)程登錄 中文編號(hào) 英文編號(hào) 要求內(nèi)容限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng) 先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng) 操作。 檢查項(xiàng)類型賬號(hào)口令和認(rèn)證授權(quán) - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟查看配置文件 # more /etc/securetty # more /etc/ssh/sshd_config 判定條件# more /etc/securetty 檢查是否有下列行： pts/x（x 為一個(gè)十進(jìn)

7、制整數(shù)） #more /etc/ssh/sshd_config 檢查下列行設(shè)置是否為 no 并且未被注釋： permitrootlogin 不存在 pts/x 則禁止了 telnet 登錄，permitrootlogin no 禁止了 ssh 登 錄，符合以上條件則禁止了 root 遠(yuǎn)程登錄，符合安全要求，否則低 于安全要求。 補(bǔ)充說(shuō)明# authentication: #logingracetime 2m #permitrootlogin yes #strictmodes yes #maxauthtries 6 permitrootlogin 的值改為 no，不允許 root 遠(yuǎn)程登錄 加固

8、方案類別 參考操作配置1、執(zhí)行備份： #cp -p /etc/securetty /etc/securetty_bak #cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak 2、新建一個(gè)普通用戶并設(shè)置高強(qiáng)度密碼： #useradd username #passwd username 3、禁止 root 用戶遠(yuǎn)程登錄系統(tǒng)： #vi /etc/securetty 注釋形如 pts/x 的行，保存退出，則禁止了 root 從 telnet 登錄。 #vi /etc/ssh/sshd_config 修改 permitrootlogin 設(shè)置為 no

9、并不被注釋，保存退出，則禁止了 root 從 ssh 登錄。 #/etc/init.d/sshd restart 補(bǔ)充操作說(shuō)明以下為測(cè)試 telnet 登錄結(jié)果： /etc/pam.d/login /etc/seruretty 結(jié)果 注釋掉 存在文件，存在 pts 能登錄 注釋掉 存在文件，不存在 pts 不能登錄 注釋掉 不存在文件 能登錄 不注釋 不存在文件 能登陸 不注釋 存在文件，不存在 pts 不能登錄 不注釋 存在文件，存在 pts 能登錄 /etc/ssh/sshd_config 文件中 permitrootlogin 值為 no，并且 /etc/security/user 下值

10、為 pts 2.1.2 口令口令 檢查口令策略設(shè)置是否符合復(fù)雜度要求檢查口令策略設(shè)置是否符合復(fù)雜度要求 檢查項(xiàng)名稱檢查口令策略設(shè)置是否符合復(fù)雜度要求 中文編號(hào)安全要求-設(shè)備-通用-配置-4 英文編號(hào) 要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少 8 位，并包括數(shù)字、小 寫字母、大寫字母和特殊符號(hào) 4 類中至少 2 類。 檢查項(xiàng)類型賬號(hào)口令和認(rèn)證授權(quán) - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟#more /etc/pam.d/system-auth 檢查以下參數(shù)配置： password requisite pam_crackli

11、b.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minclass=2 minlen=8 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok 是否配置了 minlen=8，minclass=2。 或者 password requisite pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3 password sufficient pam_unix.so nullok use_authtok md

12、5 shadow 是否配置了 min=n0,n1,n2,n3,n4。其中 n1 代表使用兩種字符時(shí)， 口令最短長(zhǎng)度。 判定條件使用 pam_cracklib 模塊時(shí)，配置了 minclass 大于等于 2，minlen 大于 等于 6，符合安全要求，否則低于安全要求； 如果使用 pam_passwdqc 模塊，配置了 min=n0,n1,n2,n3,n4,其中 n1 大于等于 6，符合安全要要求，否則低于安全要求。 補(bǔ)充說(shuō)明可使用 pam pam_cracklib module 或 pam_passwdqc module 實(shí)現(xiàn)密碼 復(fù)雜度，兩者不能同時(shí)使用。 pam_cracklib 主要參數(shù)

13、說(shuō)明: tretry=n：重試多少次后返回密碼修改錯(cuò)誤 difok=n：新密碼必需與舊密碼不同的位數(shù) dcredit=n：n = 0 密碼中最多有多少個(gè)數(shù)字；n = 0 密碼中最多有多少個(gè)數(shù)字；n 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟執(zhí)行： # more /etc/login.defs 檢查 pass_max_days/pass_min_days/pass_warn_age 參 數(shù)。 判定條件pass_max_days 值不大于 90 天則符合安全要求，否則低于安全 要求。 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置1、執(zhí)行備份： #cp -p /et

14、c/login.defs /etc/login.defs_bak 2、修改策略設(shè)置： #vi /etc/login.defs 修改 pass_min_len 的值為 8，修改 pass_max_days 的值為 90，按要求修改 pass_min_days/pass_warn_age 的值，保存 退出 補(bǔ)充操作說(shuō)明/etc/login.defs 文件中 pass_max_days 值不大于 90 檢查口令重復(fù)次數(shù)限制檢查口令重復(fù)次數(shù)限制 檢查項(xiàng)名稱檢查口令重復(fù)次數(shù)限制 中文編號(hào)安全要求-設(shè)備-通用-配置-6-可選 英文編號(hào) 要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用

15、戶不能重復(fù)使用最 近 5 次（含 5 次）內(nèi)已使用的口令。 檢查項(xiàng)類型賬號(hào)口令和認(rèn)證授權(quán) - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟#cat /etc/pam.d/system-auth 檢查 password required pam_unix.so 所在行是否存在 remember=5 判定條件存在 remember 大于等于 5，則符合安全要求，否則低于安全要求。 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置1、執(zhí)行備份： #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak 2、創(chuàng)建文件/

16、etc/security/opasswd，并設(shè)置權(quán)限： #touch /etc/security/opasswd #chown root:root /etc/security/opasswd #chmod 600 /etc/security/opasswd 3、修改策略設(shè)置： #vi /etc/pam.d/system-auth 在 password required pam_unix.so 所在行增加 remember=5，保存退出； 補(bǔ)充操作說(shuō)明/etc/pam.d/system-auth 文件中存在 passwordxxxremember=值大于等于 5 檢查口令鎖定策略檢

17、查口令鎖定策略 檢查項(xiàng)名稱檢查口令鎖定策略 中文編號(hào)安全要求-設(shè)備-通用-配置-7-可選 英文編號(hào) 要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò) 6 次（不含 6 次），鎖定該用戶使用的賬號(hào)。 檢查項(xiàng)類型賬號(hào)口令和認(rèn)證授權(quán) - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟1、執(zhí)行： #cat /etc/pam.d/system-auth 檢查是否存在 auth required pam_env.so auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlo

18、ck_time=120 判定條件存在 deny 的值小于等于 6，則符合安全要求，否則低于安全要要求。 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置1、執(zhí)行備份： #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak 2、修改策略設(shè)置： #vi /etc/pam.d/system-auth 增加 auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120 到第二行。 保存退出； 補(bǔ)充操作說(shuō)明使配置生效需重啟服務(wù)器。root 帳戶不在鎖定范圍內(nèi)。帳戶被鎖

19、定后， 可使用 faillog -u -r 或 pam_tally -user -reset 解鎖。 /etc/pam.d/system-auth 文件中存在 deny 的值小于等于 6 檢查檢查 ftp 是否禁止匿名登錄是否禁止匿名登錄 檢查項(xiàng)名稱檢查 ftp 是否禁止匿名登錄 中文編號(hào) 英文編號(hào) 要求內(nèi)容ftp 是否禁止匿名登錄。 檢查項(xiàng)類型賬號(hào)口令和認(rèn)證授權(quán) - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟執(zhí)行命令：ftp localhost 輸出成果：使用 anonymous 用戶登錄， 輸入密碼：，測(cè)試是否 成功。 判定條件符合：

20、使用 anonymous 用戶登錄， 輸入密碼：，登錄失敗 不符合：使用 anonymous 用戶登錄， 輸入密碼：，登錄成功 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置 補(bǔ)充操作說(shuō)明 檢查是否存在弱口令檢查是否存在弱口令 檢查項(xiàng)名稱檢查是否存在弱口令 中文編號(hào) 英文編號(hào) 要求內(nèi)容用戶密碼不能是易猜測(cè)破解的簡(jiǎn)單密碼，要求修改為復(fù)雜密碼，符 合密碼復(fù)雜度要求并且不易聯(lián)想猜測(cè)的密碼 檢查項(xiàng)類型賬號(hào)口令和認(rèn)證授權(quán) - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟查看密碼是否是易猜測(cè)破解的簡(jiǎn)單密碼 判定條件是否存在弱口令 補(bǔ)充說(shuō)明 加固方案類別 參考操作

21、配置更改口令使口令滿足復(fù)雜度要求并且不易猜測(cè) 補(bǔ)充操作說(shuō)明 2.1.3 授權(quán)授權(quán) 檢查帳號(hào)文件權(quán)限設(shè)置檢查帳號(hào)文件權(quán)限設(shè)置 檢查項(xiàng)名稱檢查帳號(hào)文件權(quán)限設(shè)置 中文編號(hào) 英文編號(hào) 要求內(nèi)容在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。 檢查項(xiàng)類型賬號(hào)口令和認(rèn)證授權(quán) - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟執(zhí)行： #ls -l /etc/passwd /etc/shadow /etc/group /etc/passwd 必須所有用戶都可讀，root 用戶可寫 rw-rr /etc/shadow 只有 root 可讀 r-

22、 /etc/group 必須所有用戶都可讀，root 用戶可寫 rw-rr 判定條件/etc/passwd 權(quán)限為 644，/etc/shadow 權(quán)限為 400，/etc/group 權(quán)限為 644，則符合安全要要求，如果權(quán)限高，則低于安全要求。 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置1、執(zhí)行備份： #cp p /etc/passwd /etc/passwd_bak #cp p /etc/shadow /etc/shadow_bak #cp p /etc/group /etc/group_bak 2、修改文件權(quán)限： #chmod 0644 /etc/passwd #chmod 0400 /et

23、c/shadow #chmod 0644 /etc/group 補(bǔ)充操作說(shuō)明/etc/passwd 權(quán)限為 644，/etc/shadow 權(quán)限為 400，/etc/group 權(quán)限為 644 2.2 日志配置要求日志配置要求 本部分對(duì) linux 操作系統(tǒng)設(shè)備的日志功能提出要求，主要考察設(shè)備所具備 的日志功能，確保發(fā)生安全事件后，設(shè)備日志能提供充足的信息進(jìn)行安全事件 定位。根據(jù)這些要求，設(shè)備日志應(yīng)能支持記錄與設(shè)備相關(guān)的重要事件，包括違 反安全策略的事件、設(shè)備部件發(fā)生故障或其存在環(huán)境異常等，以便通過(guò)審計(jì)分 析工具，發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反 acl 規(guī)則的事件時(shí)，通過(guò)對(duì)日志的審 計(jì)分析，能發(fā)

24、現(xiàn)隱患，提高設(shè)備維護(hù)人員的警惕性，防止惡化。 檢查是否記錄安全事件日志檢查是否記錄安全事件日志 檢查項(xiàng)名稱檢查是否記錄安全事件日志 中文編號(hào) 英文編號(hào) 要求內(nèi)容設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備相關(guān)的安全事件。 檢查項(xiàng)類型日志配置 - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟執(zhí)行： #more /etc/syslog.conf 存在類似如下語(yǔ)句： *.err;kern.debug;daemon.notice; /var/log/messages 判定條件存在類似*.err;kern.debug;daemon.notice; /var/lo

25、g/messages 配 置，則符合安全要求，否則低于安全要求。 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置1、執(zhí)行備份： #cp -p /etc/syslog.conf /etc/syslog.conf_bak 2、修改配置： #vi /etc/syslog.conf 配置形如*.err; /var/adm/messages 的語(yǔ)句，保存退出 3、重啟 syslog 服務(wù) #/etc/init.d/syslog stop #/etc/init.d/syslog start 補(bǔ)充操作說(shuō)明/etc/syslog.conf 文件中存在*.info 或者 filter f_message

26、s 或者 *.err; 檢查是否配置遠(yuǎn)程日志保存檢查是否配置遠(yuǎn)程日志保存 檢查項(xiàng)名稱檢查是否配置遠(yuǎn)程日志保存 中文編號(hào)安全要求-設(shè)備-通用-配置-14-可選 英文編號(hào) 要求內(nèi)容設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。 檢查項(xiàng)類型日志配置 - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟redhat6 以下版本執(zhí)行： #more /etc/syslog.conf redhat6 以上版本執(zhí)行： #more /etc/rsyslog.conf 存在類似如下語(yǔ)句： *.* 18 或者*.

27、* 17 判定條件配置日志發(fā)送到遠(yuǎn)程日志服務(wù)器，則符合安全要求，否則低于安全 要求。 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置1、執(zhí)行備份： #cp -p /etc/syslog.conf /etc/syslog.conf_bak（redhat6 以上版本使用 rsyslog 替換 syslog） 2、修改配置： #vi /etc/syslog.conf（redhat6 以上版本使用 rsyslog 替換 syslog） 加上這一行： *.* 18 或者 *.* 17 可以將*.*替換為你實(shí)際需要的日志信息。比如：kern.* / mail.*

28、 等 等。18 與 17 修改為實(shí)際的日志服務(wù)器。*.*和之 間為一個(gè) tab。 3、重啟 syslog 服務(wù) #/etc/init.d/syslog stop #/etc/init.d/syslog start 補(bǔ)充操作說(shuō)明/etc/syslog.conf 中存在類似 ip 或者 udp ip 注意： *.*和之間為一個(gè) tab 2.3 ip 協(xié)議安全配置要求協(xié)議安全配置要求 .1 ipip 協(xié)議安全協(xié)議安全 檢查檢查 snmp 配置配置-修改修改 snmp 的默認(rèn)的默認(rèn) community 檢查項(xiàng)名稱檢查 snmp 配置-修

29、改 snmp 的默認(rèn) community 中文編號(hào)安全要求-設(shè)備-linux-配置-21-可選 英文編號(hào) 要求內(nèi)容如果采用了默認(rèn)的 snmp 配置，那么，snmp 的通訊字符串將是默認(rèn)的 public（只讀）和 private（可寫），應(yīng)對(duì)其進(jìn)行更改。 檢查項(xiàng)類型其他配置 - 操作系統(tǒng) - linux 發(fā)布日期 2010-03-03 檢查方式自動(dòng) 檢測(cè)操作步驟1、檢查 snmp 是否開(kāi)啟，若未開(kāi)啟，則符合要求。若開(kāi)啟，執(zhí)行第 2 步。 檢查操作： chkconfig -list snmpd 顯示 snmpd 服務(wù)是否啟動(dòng)，所有運(yùn)行級(jí)別下均為 關(guān)閉，則符合要求。 2、若 snmp 開(kāi)啟，檢查是否

30、使用默認(rèn)字符串，如未修改，則不符合要求。 檢查操作： r 執(zhí)行：cat /etc/snmp/snmpd.conf 輸出結(jié)果：檢查 snmp 的通訊字符串 rocommunity 或 rwcommunity 是否 是默認(rèn)的 public（只讀）和 private（可寫） （備注：應(yīng)更改默認(rèn)團(tuán)體名 public 和 private，才能滿足安全要求） 判定條件符合：未開(kāi)啟 snmp 或連接字符串未設(shè)置為 public、private 不符合：連接字符串設(shè)置為 public、private 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置 補(bǔ)充操作說(shuō)明 2.4 設(shè)備其他安全設(shè)備其他安全配置要求配置要求 本部分作

31、為對(duì)于 linux 操作系統(tǒng)設(shè)備除賬號(hào)認(rèn)證、日志、協(xié)議等方面外的 安全配置要求的補(bǔ)充，對(duì) linux 操作系統(tǒng)設(shè)備提出上述安全功能需求。包括補(bǔ) 丁升級(jí)、文件系統(tǒng)管理等其他方面的安全能力，該部分作為前幾部分安全配置 要求的補(bǔ)充。 2.4.1 檢查檢查 ssh 安全配置安全配置 檢查項(xiàng)名稱檢查 ssh 安全配置 中文編號(hào) 英文編號(hào) 要求內(nèi)容檢查是否只允許協(xié)議 2 檢查項(xiàng)類型賬號(hào)口令和認(rèn)證授權(quán) - 操作系統(tǒng) - linux 發(fā)布日期 檢查方式 檢測(cè)操作步驟檢查操作： 執(zhí)行：grep protocol /etc/ssh/sshd_config 輸出結(jié)果：“protocol 2” （備注：若為“prot

32、ocol 2”則符合安全要求。 ） 備注：如果 protocol 行被注釋，利用 ssh 登錄工具（如 securecrt）登錄，如果允許協(xié)議 1，則不符合要求。 判定條件符合：protocol 2 不符合：protocol 2 不存在或被注釋 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置 補(bǔ)充操作說(shuō)明 2.4.2 檢查是否啟用信任主機(jī)方式，配置文件是否配置檢查是否啟用信任主機(jī)方式，配置文件是否配置 妥當(dāng)妥當(dāng) 檢查項(xiàng)名稱檢查是否啟用信任主機(jī)方式，配置文件是否配置妥當(dāng) 中文編號(hào) 英文編號(hào) 要求內(nèi)容檢查 root,數(shù)據(jù)庫(kù)管理賬號(hào)目錄下的.rhosts、hosts.equiv 檢查項(xiàng)類型其他配置 - 操作系

33、統(tǒng) - linux 發(fā)布日期 檢查方式 檢測(cè)操作步驟執(zhí)行命令：cat $home/.rhosts 或者 cat /etc/hosts.equiv 結(jié)果輸出：(不能設(shè)置+，要配置具體的 ip 地址或主機(jī)名） 判定條件符合：/.rhosts、/etc/hosts.equiv 不存在+、只配置了具體 ip 地址或 主機(jī)名 不符合：/.rhosts、/etc/hosts.equiv 存在+ 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置 補(bǔ)充操作說(shuō)明 2.4.3 檢查是否關(guān)閉不必要服務(wù)檢查是否關(guān)閉不必要服務(wù) 檢查項(xiàng)名稱檢查是否關(guān)閉不必要服務(wù) 中文編號(hào) 英文編號(hào) 要求內(nèi)容列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))

34、，不在此列表的服務(wù)需 關(guān)閉。 檢查項(xiàng)類型其他配置 - 操作系統(tǒng) - linux 發(fā)布日期 檢查方式 檢測(cè)操作步驟執(zhí)行： #chkconfig -list #所有服務(wù)的開(kāi)啟關(guān)閉列表 檢查基本的網(wǎng)絡(luò)服務(wù)的開(kāi)啟或禁止情況，以下服務(wù)都需要關(guān)閉： amanda chargen chargen-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogin ekrb5-telnet finger gssftp imap imaps ipop2 ipop3 klogin krb5-telnet kshell ktalk ntalk rexec rlog

35、in rsh rsync talk tcpmux- server telnet tftp time-dgram time-stream uucp; shell, login, exec, finger, auth，anancron，cups，gpm，isdn，kudzu，pcmcia，rhnsd，send mail 判定條件以下服務(wù)都需要關(guān)閉： amanda chargen chargen-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogin ekrb5-telnet finger gssftp imap imaps ipop2

36、 ipop3 klogin krb5-telnet kshell ktalk ntalk rexec rlogin rsh rsync talk tcpmux- server telnet tftp time-dgram time-stream uucp; shell, login, exec, finger, auth，anancron，cups，gpm，isdn，kudzu，pcmcia，rhnsd，send mail 補(bǔ)充說(shuō)明 加固方案類別 參考操作配置1、#chkconfig -list 2、禁止非必要服務(wù)：#chkconfig service off 開(kāi)啟服務(wù)為：#chkconfig service on 補(bǔ)充操作說(shuō)明以下服務(wù)都需要關(guān)閉： amanda chargen chargen-udp cups cups-lpd daytime daytime-udp echo echo-udp eklogin ekrb5-telnet finger gssftp imap imaps ipop2 ipop3 klogin krb5-telnet kshell ktalk ntalk rexec rlogin rsh rsync talk tcpmux- server telnet tftp time-dgram time-stream uu