Linux—整改

身份鉴别

检测项a

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

整改步骤

1. 口令复杂度策略

   需调整/etc/security/pwquality.conf文件配置如下

   minlen = 8
   dcredit = -1
   ucredit = -1
   lcredit = -1
   ocredit = -1

2. 口令有效期策略

   需调整/etc/login.defs文件配置如下

   PASS_MAX_DAYS   90
   PASS_MIN_LEN    8
   PASS_WARN_AGE   7

整改完成附图：

• 口令复杂度策略

  

• 口令有效期

  

检测项b

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

整改步骤

1. 登录失败处理策略

   需调整/etc/pam.d/system-auth文件添加如下配置

   auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300

   需调整/etc/pam.d/sshd文件添加如下配置

   auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300

2. 登录连接超时自动退出策略

   需调整/etc/profile文件添加如下配置

   export TMOUT=300

整改完成附图：

• 登录失败处理策略

  
  

• 登录连接超时自动退出策略

  

检测项c

当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

整改步骤

注：一般都是默认使用SSH协议远程管理，默认符合的，若此项不符合需关闭不安全的远程连接协议（Telnet等）

整改完成附图：

检测项d

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

注：Linux自身一般无法实现，常配合堡垒机进行降危整改，这里假设堡垒机IP地址为 192.168.65.110

整改步骤

• 需调整/etc/hosts.allow文件添加如下配置

  sshd:192.168.65.110

• 需调整/etc/hosts.deny文件添加如下配置

  all:all:deny

整改完成附图：

访问控制

检测项a

应对登录的用户分配账户和权限；

整改步骤

1. 分配账户与对应的权限

   整改操作如下：

   • 新建系统管理员、审计管理员、安全管理员账户（三权分立）

• 三类账户权限应相互制约

2. 限制默认账户的访问权限

   需调整/etc/ssh/sshd_config文件配置如下

   PermitRootLogin no

整改完成附图：

1. 分配账户与对应的权限

   

2. 限制默认账户的访问权限

   

检测项b

应重命名或删除默认账户，修改默认账户的默认口令；

整改步骤

整改操作如下：

• 重命名root
• 修改root密码

检测项c

应及时删除或停用多余的、过期的账户，避免共享账户的存在；

整改步骤

1. 禁用或删除多余账户（这里以TestUser为例）

   

   整改操作如下：

   • 删除多余用户（这里为TestUser）

2. 避免共享用户

   注：仅存在一个有效账户的情况，可参照访问控制a项，添加三权分立账户

整改完成附图：

检测项d

应授予管理用户所需的最小权限，实现管理用户的权限分离；

整改步骤

• 注：参照访问控制a项，添加三权分立账户

检测项e

应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

• 默认符合，暂无整改说明

检测项f

访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

• 默认符合，暂无整改说明

检测项g

应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

• 默认不符合，暂无整改说明

安全审计

检测项a

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

整改步骤

• 需开启rsyslog

  service rsyslog start
  service rsyslog status

• 需开启auditd

  service auditd start
  service auditd status

整改完成附图：

检测项b

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

• a项开启默认符合，暂无整改说明

检测项c

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

整改步骤

需调整/etc/logrotate.conf文件配置如下

weekly rotate 26

整改完成附图：

检测项d

应对审计进程进行保护，防止未经授权的中断。

• 默认符合，暂无整改说明

入侵防范

检测项a

应遵循最小安装的原则，仅安装需要的组件和应用程序；

整改步骤

整改操作如下：

• 卸载非必要的应用程序

检测项b

应关闭不需要的系统服务、默认共享和高危端口；

整改步骤

整改操作如下：

• 关闭高危端口，常见高危端口如下：

  135、137、138、139、445、1025

整改完成附图：

检测项c

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

整改步骤

• 需调整/etc/hosts.allow文件添加如下配置

  sshd:192.168.65.0/24 #可信网段

• 需调整/etc/hosts.deny文件添加如下配置

  all:all:deny

整改完成附图：

检测项d

应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

• 默认不适用，暂无整改说明

检测项e

应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

• 根据漏扫结果整改，不另作说明

检测项f

应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；

整改步骤

安装杀毒软件（以ClamAV为例）

yum update
yum install epel-release -y
yum install clamav clamd -y

整改完成附图：

恶意代码防范

检测项a

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；

整改步骤

• 注：参照入侵防范f项，安装杀毒软件

可信验证

检测项a

可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

• 默认不符合，暂无整改说明

数据完整性

检测项a

应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

整改步骤

• 注：参照身份鉴别c项，关闭不安全的远程连接协议（Telnet）

检测项b

应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

• 默认部分符合，暂无整改说明

数据保密性

检测项a

应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

整改步骤

• 注：参照身份鉴别c项，关闭不安全的远程连接协议（Telnet）

检测项b

应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

• 默认部分符合，暂无整改说明

数据备份与恢复

检测项a

应提供重要数据的本地数据备份与恢复功能；

整改步骤

• 虚拟资产配置快照策略

• 实体资产提供自动备份脚本或手动备份策略

检测项b

应提供异地数据备份功能，利用通信网络将重要数据定/实时传送至备用场地。

整改步骤

• 虚拟资产配置异地备份策略

检测项c

应提供重要数据处理系统的热冗余，保证系统的高可用性；

整改步骤

• 虚拟资产配置冗余策略

• 集群部署配置集群策略

剩余信息保护

检测项a

应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

• 默认符合，暂无整改说明

检测项b

应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

整改步骤

需调整/etc/profile文件添加如下配置

export HISTFILESIZE=100
export HISTSIZE=100

整改完成附图：

个人信息保护

检测项a

应仅采集和保存业务必需的用户个人信息；

• 默认不适用，暂无整改说明

检测项b

应禁止未授权访问和非法使用用户个人信息。

• 默认不适用，暂无整改说明