云主机基线配置核查项

第1章 目的

为保证公司线上业务安全稳定地运行，保护公司机密敏感数据或信息的安全，防止服务器入侵事件的发生，服务器上线前需进行安全配置和加固。为规范Linux服务器的安全配置，特制定此文档。

本文档是对于Linux操作系统设备账号口令、认证授权、日志审计等方面的安全配置要求，对系统的安全配置审计、加固操作起到指导性作用。

第2章 适用范围

除非特别说明，本规范适用于XX集团及其各分子公司

第3章 适用版本

适用于Linux服务器

第4章 安全配置规范

4.1账号口令

4.1.1检查是否已设置口令生存周期

安全基线项目名称检查口令生存周期安全基线项说明长期不修改密码会提高密码暴露风险，所以为了提高保密性，检查是否设置口令生存周期检测操作步骤在文件/etc/login.defs中设置PASS_MAX_DAYS不大于标准值

检查语句：

cat/etc/login.defs|grepPASS_MAX_DAYS基线符合性判定依据推荐值<=90

根据等保要求，推荐口令生存周期为不大于3个月的时间备注

4.1.2检查口令最小长度

安全基线项目名称检查口令最小长度安全基线项说明长度小的口令存在被爆破出的风险，所以为了保证密码的安全，提高保密性需要检查口令最小长度检测操作步骤在文件/etc/login.defs中设置PASS_MIN_LEN不小于标准值

检查语句：

cat/etc/login.defs|grepPASS_MIN_LEN基线符合性判定依据>=8

根据等保要求，口令最小长度不小于8位。备注

4.1.3检查是否设置口令过期警告天数

安全基线项目名称检查口令过期前警告天数安全基线项说明为了防止口令过期而不知道，提高可用性。所以需要去检查设置口令过期警告天数。检测操作步骤在文件/etc/login.defs中设置 PASS_WARN_AGE 不小于标准值

检查语句：

cat /etc/login.defs | grep

PASS_WARN_AGE基线符合性判定依据>=30

根据等保要求，一般设置过期警告天数为提前一个月告知。备注

4.1.4检查设备密码复杂度策略

安全基线项目名称检查密码复杂度策略中设置的大写字母个数

检查密码复杂度策略中设置的数字个数

检查密码复杂度策略中设置的特殊字符个数

检查密码复杂度策略中设置的小写字母个数安全基线项说明口令过于简单会有被爆破出的风险，所以为了防止爆破风险，提高密码的保密性，需要检查设备的密码复杂度策略检测操作步骤Redhat系统：修改/etc/pam.d/system-auth文件,

Suse9：修改/etc/pam.d/passwd文件，

Suse10,Suse11：修改/etc/pam.d/common-password文件，

在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 选3种，追加到password requisite pam_cracklib.so后面，添加到配置文件中。

例如：password requisite pam_cracklib.so ucredit=-1

lcredit=-1 dcredit=-1 ocredit=-1

注：ucredit：大写字母个数；lcredit：小写字母个数；dcredit：数字个数；ocredit：特殊字符个数基线符合性判定依据根据等保要求，至少有一个大写字母、小写字母、数字备注

4.1.5检查是否存在空口令账号

安全基线项目名称是否存在空口令账号安全基线项说明空口令会让攻击者可以不需要口令进入系统，危险性很大。所以需要检查是否存在空口令账号检测操作步骤按照密码设置策略设置非空密码 命令： passwd

[OPTION...]

检查语句：cat /etc/shadow | awk -F: ‘($2 == “”)’基线符合性判定依据不存在空口令账号备注

4.1.6检查是否设置除root之外UID为0 的用户

安全基线项目名称检查是否存在除root之外UID为0的用户安全基线项说明不可设置除了root之外，第二个具有root权限的账号。为了提高可靠性，需要检查是否设置除了root之外UID为0的用户。检测操作步骤文件/etc/passwd中除root所在行外所有行第二个与第三个冒号之间UID不应设置为0

检查语句： cat/etc/passwd | awk -F: ‘($3 == 0 ){ print $1 }’基线符合性判定依据没有除root之外UID为0的用户备注

4.1.7检查是否为不同的管理员分配不同的账号

安全基线项目名称检查是否为不同的管理员分配不同的账号安全基线项说明账号混乱，权限不明确，存在用户越权使用的可能，应根据不同类型的用途设置不同的账号，提高系统安全性。检测操作步骤为用户创建账号：

#useradd username #创建账号

#passwd username #设置密码

修改权限：

#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)

使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。基线符合性判定依据标记用户用途，定期建立用户列表，比较是否有非法用户备注

4.1.8检查密码最大重试次数

安全基线项目名称检查密码最大重试次数安全基线项说明配置当用户连续认证失败次数超过5次（不含5次），锁定该用户使用的账号。检测操作步骤输入 cat /etc/pam.d/sshd | grep

pam_tally2.so ，查看deny参数设置值基线符合性判定依据小于等于5备注

4.1.9检查是否禁止root账户远程

安全基线项目名称检查是否禁止root账户远程安全基线项说明禁止 root 账户远程登录，仅允许 key 认证登录。检测操作步骤限制 root 从远程

ssh 登录，修改/etc/ssh/sshd_config 文件，设置

PermitRootLogin no

PasswordAuthentication no

PubkeyAuthentication yes

重启 sshd 服务。基线符合性判定依据人工检查：

# cat /etc/ssh/sshd_config 文件，查看相应配置。备注

4.2 认证授权

4.2.1 检查用户umask设置

安全基线项目名称检查文件/etc/csh.cshrc中umask设置

检查文件/etc/bashrc（或/etc/bash.bashrc）中umask设置

检查文件/etc/profile中umask设置安全基线项说明介绍：umask指文件权限的掩码。它是从权限中“拿走”相应的“位”（即bit）,且用户创建时不能赋予执行权限

--- = 000 = 0

--x = 001 = 1

-w- = 010 = 2

-wx = 011 = 3

r-- = 100 = 4

r-x = 101 = 5

rw- = 110 = 6

rwx = 111 = 7

简单来说就是umask配置好后，创建系统用户时所赋予的权限为最高权限减去umask设置的权限。如umask：077，则创建用户时的用户权限为700.检测操作步骤在文件/etc/csh.cshrc中设置 umask 077或UMASK 077

在文件/etc/csh.login中设置 umask 077或UMASK 077

检查文件/etc/bashrc（或/etc/bash.bashrc）中设置 umask 077或UMASK 077

在文件/etc/profile中设置umask 077或UMASK 077基线符合性判定依据=077备注

4.2.2 检查重要目录或文件权限设置

安全基线项目名称/etc/xinetd.conf文件权限是否符合规范

/etc/group文件权限是否符合规范

/etc/shadow文件权限是否符合规范

/etc/services文件权限是否符合规范

/etc/security目录权限是否符合规范

/etc/passwd文件权限是否符合规范

/etc/rc6.d文件权限是否符合规范

/etc/tmp文件权限是否符合规范

/etc/rc0.d文件权限是否符合规范

/etc/rc1.d/文件权限是否符合规范

/etc/rc2.d文件权限是否符合规范

/etc/目录权限是否符合规范 -----设置影响gnome桌面自启动，系统重启时无法自启动gnome桌面。故使用gnome图形化的系统不设置该项。

/etc/rc4.d文件权限是否符合规范

/etc/rc5.d文件权限是否符合规范

/etc/rc3.d文件权限是否符合规范

/etc/rc.d/init.d/文件权限是否符合规范

检查系统引导器配置文件权限安全基线项说明/etc/xinetd.d目录

在Linux系统中有一个超级服务程序inetd，大部分的网络服务都是由它启动的，如chargen、echo、finger、talk、telnet、wu-ftpd等…，在旧版本它的设置是在/etc/inetd.conf中配置的。

在新版本，它就改成了一个xinetd.d目录

/etc/group文件是有关于系统管理员对用户和用户组管理的文件,linux用户组的所有信息都存放在/etc/group文件中

/etc/shadow 文件，用于存储 Linux 系统中用户的密码信息，又称为“影子文件

/etc/services文件是记录网络服务名和它们对应使用的端口号及协议

inux资源限制配置文件是/etc/security/limits.conf；限制用户进程的数量对于linux系统的稳定性非常重要

/etc/passwd文件目录存储的是操作系统用户信息, 该文件为所有用户可见

这个目录存放的是一些脚本，一般是Linux以rpm包安装时设定的一些服务的启动/关闭脚本。系统在安装时装了好多rpm包，这里面就有很多对应的脚本。执行这些脚本可以用来启动、停止、重启这些服务

/tmp文件夹是存放linux临时文件的地方

/etc/rc0.d - /etc/rc5.d 是各启动级别的启动脚本

init.d 启动脚本存放目录

上面介绍了相关目录文件的意思、其重要性。为了安全性提高可靠性需要检查重要目录或文件的权限设置检测操作步骤chmod 600 /etc/xinetd.conf

chmod 644 /etc/group

chmod 400 /etc/shadow

chmod 644 /etc/services

chmod 600 /etc/security

chmod 644 /etc/passwd

chmod 750 /etc/rc6.d

chmod 750 /tmp

chmod 750 /etc/rc0.d/

chmod 750 /etc/rc1.d/

chmod 750 /etc/rc2.d/

chmod 750 /etc/ -----设置影响gnome桌面自启动，系统重启时无法自启动gnome桌面。故使用gnome图形化的系统不设置该项。

chmod 750 /etc/rc4.d

chmod 750 /etc/rc5.d/

chmod 750 /etc/rc3.d

chmod 750 /etc/rc.d/init.d/

如果/etc/grub.conf文件存在，且非链接文件，则执行chmod 600 /etc/grub.conf;

如果/boot/grub/grub.conf文件存在，则执行chmod 600 /boot/grub/grub.conf;

如果/etc/lilo.conf文件存在，则执行chmod

600 /etc/lilo.conf。

检查语句：

stat -c %a /etc/passwd基线符合性判定依据查看检测步骤中的标准值

根据等保要求设置，如etc/shadow只给400权限，表示只读权限备注

4.2.3 检查重要文件属性设置

安全基线项目名称检查/etc/passwd文件属性

检查/etc/shadow文件属性

检查/etc/group文件属性

检查/etc/gshadow文件属性安全基线项说明为了提高完整性、可用性、可靠性。需要检查重要文件的属性设置

下面是对属性值的说明：

a，如果对文件设置a属性，那么只能在文件中增加数据，也不能删除和修改数据，如果对目录设置a属性，那么只允许在目录中建立和修改文件，但不允许删除文件，多用于服务器日志文件安全。

i，如果对文件设置i属性，那么不允许对文件进行删除，改名，也不能添加和修改数据，如果对目录设置i属性，那么只能修改目录下文件的数据，但不允许建立和删除文件

若配置该项，则无法在创建用户，若要创建用户，需要root权限取消设置的i属性：chattr -i /etc/passwd检测操作步骤执行chattr +i /etc/passwd

如果不支持chattr,编辑/etc/fstab

在相应的reiserfs系统的选项中添加"user_xattr,attrs"这两个选项，然后重启主机。

执行chattr +i /etc/shadow

如果不支持chattr,编辑/etc/fstab

在相应的reiserfs系统的选项中添加"user_xattr,attrs"这两个选项，然后重启主机

执行chattr +i /etc/group

如果不支持chattr,编辑/etc/fstab

在相应的reiserfs系统的选项中添加"user_xattr,attrs"这两个选项，然后重启主机。

执行chattr +i /etc/gshadow

如果不支持chattr,编辑/etc/fstab

在相应的reiserfs系统的选项中添加"user_xattr,attrs"这两个选项，然后重启主机。

检查语句：

lsattr /etc/passwd基线符合性判定依据符合依据参考检测步骤中的操作值备注

4.2.4 检查用户目录缺省访问权限设置

安全基线项目名称检查用户目录缺省访问权限设置安全基线项说明为了满足信息安全要求的保密性，需要检查用户目录缺省访问权限设置

如设置缺省权限为027 ，则用户默认的目录访问权限为750，即rwx rx- ---权限。检测操作步骤设置默认权限：

vi /etc/login.defs，

在末尾增加umask 027或UMASK 027基线符合性判定依据027

根据等保要求，建议设置目录缺省访问权限值设置为207备注

4.2.5 检查是否设置SSH登录前警告Banner

安全基线项目名称是否设置ssh登录前警告Banner安全基线项说明为了保证信息安全抗抵赖性，可靠性。需检查是否设置ssh登录前的警告Banner信息，警示登录系统的人员。检测操作步骤执行如下命令创建ssh banner信息文件：

#touch /etc/ssh_banner

#chown bin:bin /etc/ssh_banner

#chmod 644 /etc/ssh_banner

#echo " Authorized only. All activity will be monitored and reported

" > /etc/ssh_banner

可根据实际需要修改该文件的内容。

2. 修改/etc/ssh/sshd_config文件，添加如下行：

Banner /etc/ssh_banner

3.重启sshd服务：

#/etc/init.d/sshd restart或者

/bin/systemctl restart sshd.service

检查语句：

cat /etc/ssh/sshd_config | grep

Banner基线符合性判定依据已设置ssh登录前的Banner信息备注

4.3 日志审计

4.3.1 检查是否配置远程日志功能

安全基线项目名称syslog-ng是否配置远程日志功能

rsyslog是否配置远程日志功能

syslog是否配置远程日志功能安全基线项说明为了保证信息安全的可审计性，抗抵赖性，需要检查是否配置远程日志功能。检测操作步骤在/etc/syslog-ng/syslog-ng.conf中配置destination logserver { udp("10.10.10.10" port(514)); };

log { source(src); destination(logserver); };

可以将此处10.10.10.10替换为实际的IP

修改配置文件vi /etc/rsyslog.conf，

加上这一行：

*.* @192.168.0.1

可以将"*.*"替换为你实际需要的日志信息。比如：kern.* ; mail.* 等等。

可以将此处192.168.0.1替换为实际的IP或域名

修改配置文件vi /etc/syslog.conf，

加上这一行：

*.* @192.168.0.1

可以将"*.*"替换为你实际需要的日志信息。比如：kern.* ; mail.* 等等。

可以将此处192.168.0.1替换为实际的IP或域名(域名格式形如：www.nsfocus.com,根据具体情况填写)。基线符合性判定依据符合依据参考检测步骤内容备注

4.3.2 检查安全事件日志配置

安全基线项目名称检查syslog-ng是否配置安全事件日志

检查rsyslog是否配置安全事件日志

检查syslog是否配置安全事件日志安全基线项说明为了保证信息安全的可审计性，需要检查安全事件日志配置情况。检测操作步骤编辑/etc/syslog-ng/syslog-ng.conf

配置：

filter f_msgs { level(err) or facility(kern) and level(debug) or

facility(daemon) and level(notice); };

destination msgs { file("/var/adm/msgs"); };

log { source(src); filter(f_msgs); destination(msgs); };

其中/var/adm/msgs为日志文件。

如果该文件不存在，则创建该文件，命令为：

touch /var/adm/msgs，并修改权限为666.命令为：chmod 666 /var/adm/msgs.

重启日志服务：

#/etc/init.d/syslog restart

编辑/etc/rsyslog.conf

配置：

*.err;kern.debug;daemon.notice /var/adm/messages

其中/var/adm/messages为日志文件。

如果该文件不存在，则创建该文件，命令为：

touch /var/adm/messages，并修改权限为666.命令为：chmod 666 /var/adm/messages.

重启日志服务：

#/etc/init.d/rsyslog restart

编辑/etc/syslog.conf

配置：

*.err;kern.debug;daemon.notice /var/adm/messages

其中/var/adm/messages为日志文件。

如果该文件不存在，则创建该文件，命令为：

touch /var/adm/messages，并修改权限为666.命令为：chmod 666 /var/adm/messages.

重启日志服务：

#/etc/init.d/syslog restart基线符合性判定依据符合依据请参考检测操作步骤备注

4.3.3 检查日志文件否是非全局可写

安全基线项目名称检查/var/log/cron日志文件是否other用户不可写

检查/var/log/secure文件是否other用户不可写

检查/var/log/messages文件是否不可被其他用户修改

检查/var/log/boot.log是否是否other用户不可写

检查/var/log/mail文件是否other用户不可写

检查/var/log/localmessages文件是否other用户不可写

检查/var/log/spooler文件是否other用户不可写

检查/var/log/maillog文件是否other用户不可写安全基线项说明为了保证信息安全的可审计性，和完整性。需要检查日志文件是否非全局可写。检测操作步骤执行命令：chmod 775 /var/log/cron

执行命令：chmod 775 /var/log/secure

执行命令：chmod 775 /var/log/boot.log

执行命令：chmod 755 /var/log/messages

执行命令：chmod 775 /var/log/mail

执行命令：chmod 775

/var/log/localmessages

执行命令：chmod 775 /var/log/spooler

执行命令：chmod 775 /var/log/maillog

检查语句：

ll /var/log/cron基线符合性判定依据符合依据参考检测操作步骤，根据等保要求，建议非同组的其他用户不可写备注

4.3.4 检查是否对登录进行日志记录

安全基线项目名称检查是否记录成功登陆日志安全基线项说明为了保证信息安全的可审计性、抗抵赖性，需要检查是否对登录进行日志记录。检测操作步骤登录日志文件为/var/log/wtmp,/var/log/utmp.这2个文件中记录着所有登录过主机的用户，时间，来源等内容，这个文件不具可读性，可用last命令来看。

如果命令无结果，请联系管理员。基线符合性判定依据符合依据参考检测操作步骤备注

4.3.5 检查是否配置su命令使用情况记录

安全基线项目名称检查是否配置su命令使用情况记录安全基线项说明Linux su（英文全拼：swith user）命令用于变更为其他使用者的身份，除 root 外，需要键入该使用者的密码。

使用权限：所有使用者

为了保证信息安全的可审计性、抗抵赖性，需要检查是否配置su命令使用情况记录检测操作步骤1.

Redhat5.x之前(包括5.x):编辑/etc/syslog.conf,

Redhat 6.x:编辑/etc/rsyslog.conf,

Suse 9:编辑/etc/syslog.conf,

配置:

authpriv.* /var/log/secure

2.

Suse10, 11:

编辑:/etc/syslog-ng/syslog-ng.conf。

配置:

filter f_secure { facility(authpriv); };

destination priverr { file("/var/log/secure"); };

log { source(src); filter(f_secure); destination(priverr); };

3.

创建/var/log/secure文件

touch /var/log/secure

4.

重启syslog服务

#/etc/init.d/syslog restart基线符合性判定依据参考操作标准备注

4.4 其他配置操作

4.4.1 检查系统openssh安全配置

安全基线项目名称检查系统openssh安全配置安全基线项说明Openssh是使用加密的远程登录实现，可以有效保护登录及数据的安全，为了保证信息安全的保密性、可靠性，需要检查系统openssh安全配置。

注意该配置需要有多个账号，而不是只有一个root账号。检测操作步骤确保/etc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。如果不存在，则忽略下面配置步骤。

在sshd_config或sshd2_config中配置：Protocol 2 -设置协议版本为ssh2，ssh1有安全漏洞

/bin/systemctl restart sshd.service基线符合性判定依据符合依据参考检测操作步骤备注

4.4.2 检查是否设置命令行界面超时退出

安全基线项目名称检查命令行界面超时时间安全基线项说明为了保证信息安全的保密性，需要检查是否设置命令行界面超时退出检测操作步骤以root账户执行，vi

/etc/profile末尾增加 export TMOUT=600(单位：秒，可根据具体情况设定超时退出时间，要求不小于600秒),注销用户，再用该用户登录激活该功能基线符合性判定依据<=600

根据等保要求，建议设置超时时间不大于600秒备注

4.4.3 检查系统core dump设置

安全基线项目名称检查/etc/security/limits.conf是否设置* hard core 0

检查/etc/security/limits.conf是否设置* soft core 0安全基线项说明当程序运行的过程中异常终止或崩溃，操作系统会将程序当时的内存状态记录下来，保存在一个文件中，这种行为就叫做Core Dump（中文有的翻译成“核心转储”)

为了保证信息安全的保密性，需要检查系统cire dump设置检测操作步骤在文件/etc/security/limits.conf中配置* hard core 0

在文件/etc/security/limits.conf中配置* soft core 0基线符合性判定依据符合依据参考检测操作步骤备注

4.4.4 检查历史命令设置

安全基线项目名称检查保留历史命令的记录文件大小

检查保留历史命令的条数安全基线项说明为了保证信息安全的可审计行、抗抵赖性，需要检查历史命令设置检测操作步骤编辑文件/etc/profile，

配置

HISTFILESIZE=5

编辑文件/etc/profile，将HISTSIZE 值修改为5基线符合性判定依据根据等保要求，符合依据为操作步骤设置值备注

4.4.5 检查是否设置历史命令时间戳

安全基线项目名称检查是否设置历史命令时间戳安全基线项说明配置 history 时间戳，便于审计检测操作步骤1、参考配置操作

在/etc/bashrc 文件中增加如下行：

export HISTTIMEFORMAT="%F

%T"基线符合性判定依据人工检查：cat /etc/bashrc 查看是否有对应配置；备注

4.4.6 检查是否限制远程登录IP范围

安全基线项目名称检查/etc/hosts.allow配置

检查/etc/hosts.deny配置安全基线项说明为了提高信息安全可靠性，需要检查是否限制远程登录ip范围检测操作步骤编辑/etc/hosts.allow

增加一行 : 允许访问的IP；举例如下：

all:192.168.4.44:allow #允许单个IP；

sshd:192.168.1.:allow #允许192.168.1的整个网段的PC通过SSH来访问本机

重启进程：

#/etc/init.d/xinetd restart

编辑/etc/hosts.deny

增加一行 all:all

重启进程：

#/etc/init.d/xinetd restart基线符合性判定依据符合依据参考检测操作步骤备注

4.4.7 检查系统磁盘分区使用率

安全基线项目名称检测系统磁盘根分区已使用空间是否维持在80%以下安全基线项说明为了保证信息安全的可用性，需要检查系统磁盘分区使用率检测操作步骤如果磁盘动态分区空间不足，建议管理员扩充磁盘容量

命令：df -h基线符合性判定依据<=80备注等级：可选 / 评分：3

4.4.8 检查是否删除与设备运行、维护等工作无关的账号

安全基线项目名称是否删除与设备运行、维护等工作无关的账号安全基线项说明为了保证信息安全的保密性、可靠性，需要检查是否删除与设备运行，维护等工作无关的账户检测操作步骤删除用户:#userdel username;

锁定用户：

#usermod -L username

只有具备超级用户权限的使用者方可使用.

#usermod –U username可以解锁。

补充操作说明

需要锁定的用户：adm,lp,mail,uucp,operator,games,gopher,ftp,nobody,nobody4,noaccess,listen,webservd,rpm,dbus,avahi,mailnull,smmsp,nscd,vcsa,rpc,rpcuser,nfs,sshd,pcap,ntp,haldaemon,distcache,apache,webalizer,squid,xfs,gdm,sabayon,named。基线符合性判定依据符合依据参考检测操作步骤备注

4.4.9 检查是否禁用不必要的系统服务

安全基线项目名称列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。安全基线项说明为了保证信息安全的可靠性，检查是否禁用不必要的系统服务

不必要的服务不要开启，既消耗系统内存，又存在安全隐患检测操作步骤查看所有开启的服务：

#ps aux

禁用xinetd.d 目录中不用的服务：

#vi /etc/xinetd.d/servicename

将服务文件里面的disable设置为disable=yes重启xinetd服务,即可。

要直接关闭某个服务，如sshd可用如下命令:

# /etc/init.d/sshd stop #关闭正在运行的sshd服务

补充操作说明

关闭下列不必要的基本网络服务。

chargen-dgram daytime-stream echo-streamklogin tcpmux-server chargen-stream

discard-dgram eklogin krb5-telnet tftp cvs discard-stream ekrb5-telnet kshell

time-dgram daytime-dgram echo-dgram gssftp rsync time-stream基线符合性判定依据符合依据参考检测操作步骤备注

4.4.10 检查是否安装OS补丁

安全基线项目名称检查是否安装OS补丁安全基线项说明为了保证信息安全的可靠性，需要检查是否安装os补丁检测操作步骤可以使用OnlineUpdate或Patch CD Update等方式升级系统补丁基线符合性判定依据系统已安装最新补丁备注

4.4.11 检查是否关闭不必要的服务和端口

安全基线项目名称检查是否关闭kshell服务

检查是否关闭time服务

检查是否关闭ntalk服务

检查是否关闭lpd服务

检查是否关闭sendmail服务

检查是否关闭printer服务

检查是否关闭klogin服务

检查是否关闭nfslock服务

检查是否关闭echo服务

检查是否关闭discard服务

检查是否关闭chargen服务

检查是否关闭bootps服务

检查是否关闭tftp服务

检查是否关闭nfs服务

检查是否关闭ypbind服务

检查是否关闭ident服务

检查是否关闭daytime服务安全基线项说明为了保证信息安全的可靠性，需要检查是否关闭不必要的端端口和服务

不必要的端口和服务会扩大系统的被攻击面

下面介绍相关服务信息：

Shell 服务

time服务正在运行，该服务会泄露服务器当前时钟

服务器聊天

Lpd打印机服务

Sendmail邮件服务

Printer打印服务

Kerberos rlogin连接到该计算机

nfslock：一个可选的服务，用于启动相应的RPC进程，允许NFS客户端在服务器上对文件加锁

echo服务是一种非常有用的用于调试和检测的工具。该协议接收到什么原样发回，类似于日常生活中的“回声”

discard服务由于连接的空服务

CHARGEN字符发生器协议（Character

Generator Protocol）是一种简单网络协议，设计的目的是用来调试TCP或UDP协议程序、测量连接的带宽或进行QoS的微调等。它的默认端口为19，分为基于TCP和UDP两种方式

bootps引导程序协议

TFTP是TrivialFileTransferProtocol的简称，翻译汉语意思就是：简单文件传输协议。TFTP协议是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议，其默认端口号为69

Nfs 网络文件系统

Nis管理-NIS，

表示网络信息服务 (Network Information Services)。ypbind-“绑定(bind)” NIS 客户机到它的 NIS 服务器上。 这样， 它将从系统中获取 NIS 域名， 并使用 RPC 连接到服务器上。 ypbind 是 NIS 环境中， 客户机-服务器通讯的核心； 如果客户机上的 ypbind 死掉的话， 它将无法访问 NIS 服务器

认证协bai议(ident

protocol)在RFC1413中的描述：du每个类unix的操作系统都带有一个默zhi认监听dao113端口的身份服zhuan务器。身份服务器能够提供本机某发起TCP连接进程的用户名

DAYTIME协议是基于TCP的应用，是一种有用的调试工具，它的作用是返回当前时间和日期，格式是字符串格式检测操作步骤chkconfig [--level levels] kshell off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] time off

chkconfig [--level levels] time-udp off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] ntalk off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] lpd off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] printer

off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] klogin off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] nfslock

off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] echo off

chkconfig [--level levels] echo-udp off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] discard

off

chkconfig [--level levels] discard-udp off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] chargen

off

chkconfig [--level levels] chargen-udp off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] bootps off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] tftp off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] nfs off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] ypbind off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] ident off

注:levels为运行级别,需要重启机器

chkconfig [--level levels] daytime

off

注:levels为运行级别,需要重启机器

chkconfig --level 345 atd off ##和cron很相似的定时运行程序的服务

注：以上chkcofig 命令中的3和5是系统启动的类型，以下为数字代表意思

0:开机(请不要切换到此等级)

1:单人使用者模式的文字界面

2:多人使用者模式的文字界面,不具有网络档案系统(NFS)功能

3:多人使用者模式的文字界面,具有网络档案系统(NFS)功能

4:某些发行版的linux使用此等级进入x windows system

5:某些发行版的linux使用此等级进入x windows system

6:重新启动

检查语句：

Chkconfig --list基线符合性判定依据符合依据参考检测操作步骤备注

4.4.12 检查内核版本是否处于漏洞影响版本

安全基线项目名称检查内核版本是否处于CVE-2021-43267漏洞影响版本安全基线项说明CVE-2021-43267漏洞是Linux内核TIPC模块中的一个堆溢出漏洞，攻击者利用该漏洞可以实现本地或远程代码执行漏洞。

漏洞影响Linux内核范围：

5.10-rc1 < Linux kernel <

5.14.16检测操作步骤输入命令 uname –r即可查看Linux内核版本是否在5.10-5.14.16之间。基线符合性判定依据内核版本不在5.10-rc1和5.14.16之间。备注

4.4.13 检查是否存在潜在的危险文件

安全基线项目名称检查是否存在潜在的危险文件安全基线项说明.rhosts，.netrc，hosts.equiv等文件都具有潜在的危险，如果没有应用，应该删除检测操作步骤1、参考配置

（1）检查系统中是否有.netrc文件

#find / -name .netrc

（2）检查系统中是否有.rhosts文件

#find / -name .rhosts

（2）检查系统中是否有hosts.equiv文件

#find /etc -name hosts.equiv

（3）如无应用，在相关文件目录下，删除以上文件：

#mv .rhost .rhost.bak

#mv .netr .netr.bak

#mv hosts.equiv hosts.equiv.bak基线符合性判定依据如无应用，删除.rhosts，.netrc，hosts.equiv。备注

第2章 实施

本规范的解释权和修改权属于XX信息安全部，在本规范的执行过程中若有任何疑问或建议，应及时反馈。

本规范发布之日起生效。

第3章 评审与修订

本规范由XX信息安全部定期进行审查，根据审视结果修订标准，并颁发执行。