基于S3A3G3三级等保标准的Linux系统主机安全加固

2024年6月2日发(作者：)

基于S3A3G3三级等保标准的Linux系统主机

安全加固

秦道祥 高润生 秦锐

摘 要：落实信息系统网络安全等级保护制度是高校信息化建设的工作之一。等保测评过程

中主机安全普遍存在问题，本文从黑客攻防的角度，以S3A3G3三级等保要求为标准，提出

Linux操作系统主机安全加固的配置解决方案，能顺利地完成信息系统等级保护工作并通过

测评，信息系统安全防护能力得到有效提升。

关键词：网络安全；等级保护；Linux；主机加固

TP309 文献标志码：A ：1673-8454（2018）15-0088-04

一、引言

随着《中华人民共和国网络安全法》的实施，信息系统等级保护工作受到各单位越来越多的

重视。开展信息安全等级保护工作可以保障网络免受干扰、破坏或者未经授权的访问，防止

网络数据泄露或者被窃取、篡改，解决信息安全面临的威胁和存在的问题，提高信息安全保

障能力和水平，促进信息化建设健康发展。主机安全是等级保护测评工作中的重要组成部

分，笔者单位2017年度测评了7个信息系统，在差距分析整改报告里，主机安全测评最高

的43分，最低的21分，主机安全普遍存在重大安全隐患。由于操作系统是承载应用业务的

基础，修复过程中可能会导致业务中断或升级失败等多种问题，存在一定风险，是等级保护

整改过程中的难点。笔者在等保工作中探索出使用部署安全加固模板机后再对应用业务进行

迁移的方式、完成信息系统的主机安全加固的方法，得到了测评中心肯定，为等保系统顺利

通过测评提供了解决方案。本文以Centos 6.5操作系统为例，基于S3A3G3标准，提出对

Linux服务器主机整改安全加固的解决的方案。

二、S3A3G3三级等级保护要求

根据《计算机信息系统安全保护等级划分准则》（GB 17859-1999）和《信息安全技术信息

系统安全等级保护定级指南》（GB/T2224一2008），信息系统安全保护等级分5个安全等

级。信息系统安全保护等级由两个要素决定：等级保护对象受到破坏时所侵害的客体和对客

体造成的侵害的程度，主要包括业务信息安全（S类），关注的是保护数据在存储、传输、

处理过程中不被泄漏、破坏和免受未授权的修改；系统服务安全（A类）关注的是保护系统

连续正常运行，避免因对系统的未授权修改、破坏而导致系统不可用。简单说，S就是系统

信息泄露或数据被篡改的影响程度，A就是服务器宕机的影响程度，G类（通用安全保护

类）取这2个值中级别高的，定为最终的安全等级。根据等级保护对象受到破坏时的侵害和

造成侵害的程度，高校和一般单位的信息系统最高只能定为三级，即S3A3G3的级别。

三级等保的要求为：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较

为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁

所造成的主要资源损害；能够发现安全漏洞和安全事件；在系统遭到损害后，能够较快恢复

绝大部分功能。三级等级保护基本要求六大类290项，其中主机安有7类32项具体要求。

等保主机安全基本要求框架结构如图1所示。

三、操作系统安全防御思路

Linux是一种开放源代码、免费使用和自由传播的操作系统，它能运行主要的Unix工具软

件、应用程序和网络协议，它继承了Unix以网络为核心的设计思想，是一个性能稳定的多

用户网络操作系统。高校多数的信息系统都是部署在Linux操作系统上。CentOS 是一个基

于Red Hat Linux 提供的可自由使用源代码的企业级Linux发行版本，可以提供一个安

全、低维护、稳定、高预测性、高重复性的 Linux 环境，本文以Centos 6.5版本为例。

操作系统管理计算机的资源，是用户与计算机硬件之间的接口，控制整个系统运行，是计算

机、网络及信息系统安全的基础。操作系统可以实现用户身份标识和鉴别、访问控制、最小

特权的管理、信道保护、安全审计、内存存储保护、文件保护等功能。由于其在保护信息安

全的特殊地位，已成为黑客攻击和利用的重要目标。操作系统的重要性如图2所示。

做好网络安全防护，用白帽的话来说“不知攻，焉知守”，成功防御的一个基本组成部分就

是要了解敌人，了解黑客攻击的过程和方法，才能制订正确的防御策略。通常黑客攻击归纳

为信息收集、获得权限、保持连接、消除痕迹4个步骤。在信息收集阶段，黑客一般会使用

Nmap、Masscan、AWVS等自动化扫描工具获取服务器的IP、开放端口、操作系统类型、安装

的应用等，然后根据所收集到的信息寻找服务器潜在的漏洞。攻击阶段，当黑客探测到了足

够的系统信息，对系统的安全弱点了解后就会发动攻击，常用的攻击方法有利用漏洞攻击、

暴力破解、木马后门攻击、缓冲区溢出等；一旦漏洞存在，会利用metasploit、NC等工具

进行shell上传，从而控制服务器。保持连接阶段，一般黑客攻击成功后除了窃取服务器中

的有用信息，终极目的是能够控制目标系统，攻击后会在系统上添加特权账号，或在服务器

上留下木马，或添加后门程序，从而避开操作系统的安全控制措施，达到长期控制服务器的

目的。消除痕迹阶段，黑客在实现攻击的目的后，通常会采取删除日志、临时文件和账号来

隐藏入侵的痕迹，躲避取证与溯源，逃避惩罚。网络世界瞬息万变，黑客各有不同，他们的

攻击流程也不会全相同，以上是黑客一般情况下采用的攻击步骤。

等保目的除了合规之外，主要是减少服务器存在的漏洞，避免信息系統受到入侵。我们网络

安全管理人员除了解等级保护的要求外，还必须了解黑客工具和技术，并利用这些知识来设

计应对各种攻击的防御框架，做好主机安全加固总体规划。针对Linux操作系统主机防护制

订以下安全策略：①最小特权原则，最小化安装操作系统，仅安装需要的服务，对于系统中

的每个用户和程序“知其所需”，尽可能少地使用特权，拒绝给予超过其所需权限以外的任

何特权。②权限分离，系统的管理权限由多个用户承担，不使用多余的账户，避免共享账户

的存在。③完整的访问控制机制，操作系统对每个访问都要进行合法的检查，防止非法存

取。④日志审计机制，除了做正常用户访问的审计之外，还要做好未经授权、被拒绝访问的

访问记录。⑤其它，包括关闭不必要的服务、关闭不必要的端口、备份敏感文件、禁止建立

空连接、下载最新补丁等。

四、Linux操作系统主机安全加固方案

1.操作系统安装

（1）最小化安装、配置网络（配置方法略）。

（2）开启SSH服务，并把SSH默认端口22修改成5002端口：

# service sshd start

修改/etc/ssh/sshd_config文件，在下面加上一行保存：

“ port5002”

（3）安装补丁升级至最新：

# yum install update

# cat /etc/*release //最后版本 CentOS release 6.9 （Final）

（4）openssh 版本升级到7.5p1 （此过程升级错误可能导致无法远程管理，虚拟机升级前

建议做快照）：

# yum install -y gcc openssl-devel pam-devel rpm-build

# wget http：///pub/OpenBSD/OpenSSH/portable/

# tar -zxvf