基于S3A3G3三级等保标准的Linux系统主机安全加固_图文

2024年6月2日发(作者：)

基础设施与环境建设

《中国教育信息化》编辑部：mis@

基于S3A3G3三级等保标准的

Linux系统主机安全加固

秦道祥

1

袁高润生

1

袁秦锐

2

渊1.同济大学信息化办公室袁上海200092曰

2.同济大学电子与信息工程学院袁上海200092冤

摘要院落实信息系统网络安全等级保护制度是高校信息化建设的工作之一遥等保测评过程中主机安全

普遍存在问题袁本文从黑客攻防的角度袁以S3A3G3三级等保要求为标准袁提出Linux操作系统主机安全加固

的配置解决方案袁能顺利地完成信息系统等级保护工作并通过测评袁信息系统安全防护能力得到有效提升遥

关键词院网络安全曰等级保护曰Linux曰主机加固

中图分类号院TP309

一尧引言

随着叶中华人民共和国网络安全法曳的实施袁信息系

统等级保护工作受到各单位越来越多的重视遥开展信息

安全等级保护工作可以保障网络免受干扰尧破坏或者未

经授权的访问袁防止网络数据泄露或者被窃取尧篡改袁解

决信息安全面临的威胁和存在的问题袁提高信息安全保

障能力和水平袁促进信息化建设健康发展遥主机安全是

等级保护测评工作中的重要组成部分袁笔者单位2017

年度测评了7个信息系统袁在差距分析整改报告里袁主

机安全测评最高的43分袁最低的21分袁主机安全普遍

存在重大安全隐患遥由于操作系统是承载应用业务的基

础袁修复过程中可能会导致业务中断或升级失败等多种

问题袁存在一定风险袁是等级保护整改过程中的难点遥笔

者在等保工作中探索出使用部署安全加固模板机后再

对应用业务进行迁移的方式尧完成信息系统的主机安全

加固的方法袁得到了测评中心肯定袁为等保系统顺利通

过测评提供了解决方案遥本文以Centos6.5操作系统为

例袁基于S3A3G3标准袁提出对Linux服务器主机整改安

全加固的解决的方案遥

二尧S3A3G3三级等级保护要求

渊GB17859-1999冤和叶信息安全技术信息系统安全等级

根据叶计算机信息系统安全保护等级划分准则曳

文献标志码院A文章编号院1673-8454渊2018冤15-0088-04

破坏和免受未授权的修改曰系统服务安全渊A类冤关注的

是保护系统连续正常运行袁避免因对系统的未授权修

改尧破坏而导致系统不可用遥简单说袁S就是系统信息泄

露或数据被篡改的影响程度袁A就是服务器宕机的影响

程度袁G类渊通用安全保护类冤取这2个值中级别高的袁

定为最终的安全等级遥根据等级保护对象受到破坏时的

侵害和造成侵害的程度袁高校和一般单位的信息系统最

高只能定为三级袁即S3A3G3的级别遥

三级等保的要求为院应能够在统一安全策略下防护

系统免受来自外部有组织的团体尧拥有较为丰富资源的

威胁源发起的恶意攻击尧较为严重的自然灾难袁以及其

他相当危害程度的威胁所造成的主要资源损害曰能够发

现安全漏洞和安全事件曰在系统遭到损害后袁能够较快

恢复绝大部分功能遥三级等级保护基本要求六大类290

项袁其中主机安有7类32项具体要求遥等保主机安全基

本要求框架结构如图1所示遥

保护定级指南曳渊GB/T2224一2008冤袁信息系统安全保护

等级分5个安全等级遥信息系统安全保护等级由两个要

素决定院等级保护对象受到破坏时所侵害的客体和对客

体造成的侵害的程度袁主要包括业务信息安全渊S类冤袁

关注的是保护数据在存储尧传输尧处理过程中不被泄漏尧

图1主机安全等级保护基本要求的框架结构

88

中国教育信息化／2018.15

《中国教育信息化》编辑部：mis@

三尧操作系统安全防御思路

操作系统

Linux

袁

是一种开放源代码

它能运行主要的Unix

尧免费使用和自由传播的

工具软件尧应用程序

和网络协议袁它继承了Unix以网络为核心的设计思

想袁是一个性能稳定的多用户网络操作系统遥高校多数

的信息系统都是部署在Linux操作系统上遥CentOS是一

个基于RedHatLinux提供的可自由使用源代码的企

业级Linux发行版本袁可以提供一个安全尧低维护尧稳定尧

高预测性尧高重复性的Linux环境袁本文以Centos6.5

版本为例遥

操作系统管理计算机的资源袁是用户与计算机硬件

之间的接口袁控制整个系统运行袁是计算机尧网络及信息

系统安全的基础遥操作系统可以实现用户身份标识和鉴

别尧访问控制尧最小特权的管理尧信道保护尧安全审计尧内

存存储保护尧文件保护等功能遥由于其在保护信息安全

的特殊地位袁已成为黑客攻击和利用的重要目标遥操作

系统的重要性如图2所示遥

图2操作系统保护环安全机制

做好网络安全防护袁用白帽的话来说野不知攻袁焉知

守冶袁成功防御的一个基本组成部分就是要了解敌人袁了

解黑客攻击的过程和方法袁才能制订正确的防御策略遥

通常黑客攻击归纳为信息收集尧获得权限尧保持连接尧消

除痕迹

Nmap尧Masscan尧AWVS

4个步骤遥在信息收集阶段袁黑客一般会使用

IP尧

所收集到的信息寻找服务器潜在的漏洞

开放端口尧操作系统类型

等自动化扫描工具获取服务器的

尧安装的应用等

遥攻击阶段

袁然后根据

袁当

黑客探测到了足够的系统信息袁对系统的安全弱点了解

后就会发动攻击袁常用的攻击方法有利用漏洞攻击尧暴

力破解尧木马后门攻击尧缓冲区溢出等曰一旦漏洞存在袁

会利用Metasploit尧NC等工具进行shell上传袁从而控制

基础设施与环境建设

服务器遥保持连接阶段袁一般黑客攻击成功后除了窃取

服务器中的有用信息袁终极目的是能够控制目标系统袁

攻击后会在系统上添加特权账号袁或在服务器上留下木

马袁或添加后门程序袁从而避开操作系统的安全控制措

施袁达到长期控制服务器的目的遥消除痕迹阶段袁黑客在

实现攻击的目的后袁通常会采取删除日志尧临时文件和

账号来隐藏入侵的痕迹袁躲避取证与溯源袁逃避惩罚遥网

络世界瞬息万变袁黑客各有不同袁他们的攻击流程也不

会全相同袁以上是黑客一般情况下采用的攻击步骤遥

等保目的除了合规之外袁主要是减少服务器存在的

漏洞袁避免信息系统受到入侵遥我们网络安全管理人员

除了解等级保护的要求外袁还必须了解黑客工具和技

术袁并利用这些知识来设计应对各种攻击的防御框架袁

做好主机安全加固总体规划遥针对Linux操作系统主机

防护制订以下安全策略院淤最小特权原则袁最小化安装

操作系统袁仅安装需要的服务袁对于系统中的每个用户

和程序野知其所需冶袁尽可能少地使用特权袁拒绝给予超

过其所需权限以外的任何特权遥于权限分离袁系统的管

理权限由多个用户承担袁不使用多余的账户袁避免共享

账户的存在遥盂完整的访问控制机制袁操作系统对每个

访问都要进行合法的检查袁防止非法存取遥榆日志审计

机制袁除了做正常用户访问的审计之外袁还要做好未经

授权尧被拒绝访问的访问记录遥虞其它袁包括关闭不必要

的服务尧关闭不必要的端口尧备份敏感文件尧禁止建立空

连接尧下载最新补丁等遥

四尧Linux操作系统主机安全加固方案

渊1冤

渊2冤

最小化安装

SSH服务

尧配置网络

袁并把SSH

渊配置方法略

默认端口

冤遥

5002端口

开启

院

22修改成

#service

修改

sshd

/etc/ssh/sshd_config

start

文件袁在下面加上一

行保存

野port5002冶

院

渊3冤

#yum

安装补丁升级至最新

cat/etc/*release

installupdate

院

渊Final冤

#//最后版本CentOSrelease6.9

能导致无法远程管理

渊4冤openssh版本升级到

袁虚拟机升级前建议做快照

7.5p1渊此过程升级错误可

#yuminstall-ygccopenssl-develpam

冤院

rpm-build

-devel

#wget/pub/OpenBSD/OpenSSH/

TheChineseJournalofICTinEducation

89

基础设施与环境建设

portable/

#

#

cd

tar

openssh-7.5p1

-

with-pam

#./configure

--with

--prefix=/usr

-zlib--with-md5

--sysconfdir=/etc/ssh

-passwords--with

--

tcp-wrappers

-

#

修改配置文件

make&&makeinstall

野PermitRootLogin

/etc/ssh/sshd_config袁

渊5冤修改hostname院

yes冶前的#号去掉

允许root登录院

#

渊6冤

hostname=your_hostname

#

系统Banner院

#

echo

echo

野Authorized

野Authorized

users

users

only!冶

only!冶>/etc/issue

>/etc/redhat-release

文件的完整性相同检查

渊1冤身份标识唯一性

袁

袁

不存在相同

进行/etc/passwd

uid的用户

和/etc/shadow

袁不使

用过期的账号和无用的账号

games尧ftp尧nobody

允许野newuser冶

渊2冤身份标识和鉴别

等默认用户

袁

用户su为root

院创建

遥

限制daemon尧shutdown尧

用户

野newuser冶

:

普通用户袁仅

#

修改配置文件

#

useradd

usermod

newuser

-Gwheelnewuser

野authrequired

cat

pam_

/etc/pam.d/su

use_uid冶

文件院

掉

前的野#冶号去

telnet尧ftp

渊3冤远程管理加密

等明文网络协议

院使用

遥

ssh协议登录袁禁止使用

字母

渊1冤

尧大写字母和特殊符号

口令长度院至少10位

4类元素中的至少

袁且口令需包括数字

3类

尧

院

小写

修改配置文件cat/etc/pam.d/system-auth袁在下面加

上一行保存

野password

院

minlen=10

requisitepam_y=3

difok=3冶

lcredit=-1ucredit=-1dcredit=-1ocredit=-1

5次袁

渊2冤

锁定该账号

口令锁定策略

5分钟

院

cat/etc/pam.d/system-auth

院

需设置连续认证失败次数超过

修改配置文件袁在下面

加上一行保存

野authrequired

院

lock_time=300冶

pam_r=faildeny=5un鄄

渊3冤口令生存期院账户口令的生存期不得长于180天袁

90

中国教育信息化／2018.15

《中国教育信息化》编辑部：mis@

两次修改密码的最小间隔时间7天尧密码最小长度10

位尧密码过期前7天开始提示修改曰

修改配置文件cat/etc/袁在下面加上几行

保存院

野PASS_MAX_DAYS

野PASS_MIN_DAYS

180冶

野PASS_MIN_LEN

7冶

野PASS_WARN_AGE

10冶

用过的口令

渊4冤口令历史有效次数

7冶

遥

院不重复使用最近3次已使

修改配置文件cat/etc/pam.d/system-auth袁在下面加

上一行保存

nulloktry_first_pass

野password

院

sufficient

use_authtok

pam_

remember=3

md5

冶

shadow

启用

#

auditd服务袁启用日志服务

#

service

根据具体的业务需要

service

auditd

rsyslog

start

start

audit/文件里配置审计内容

袁在/etc/audit/尧/etc/

系统资源的异常使用和重要系统命令的使用

院重要用户行为

曰审计记

尧

录院日期和时间尧类型尧主体曰标识尧客体标识尧事件的结

果等曰最后根据需要对审计记录保护袁配置查看日志访

问权限遥

渊1冤

修改配置文件

禁止root用户远程登录

/etc/ssh/sshd_config

把

渊2冤

野PermitRootLoginyes冶

修改配置文件

设置命令行界系统输入超时

改为野PermitRootLogin

野exportTMOUT=600冶

cat/etc/profile袁在下面加上一行保存

10分钟袁自动退出

no冶

院

院

渊3冤

修改配置文件

禁ping院

cat/etc/在下面加上一行

保存院

渊4冤

#

渊5冤

iptables

禁止

野_echo_ignore_all=1冶

Traceroute

精简开机自启动服务

-AFORWARD

探测院

-p

袁开启审计

icmp-j

尧

DROP

火墙等服务院

系统日志尧防

$1}'`曰do

#for

chkconfig

sunin`chkconfig

--level3$

--list

sunoff曰done

|grep3:on|awk'{print

ip6tables曰do

#forsun

chkconfig

inauditd

--level

rsyslog

3$sun

sshd

on曰done

networkiptables

《中国教育信息化》编辑部：mis@

渊7冤

渊6冤

安装杀毒软件

安装zabbix主机监控客户端

渊配置方法略冤遥

渊配置方法略冤遥

渊1冤

修改配置文件

设置文件访问权限

/etc/profile袁

院

野umask=027冶

在下面加上一行保存院

自行配置

渊2冤建议修改以下重要文件和目录权限

冤院

渊根据需要

文件

/etc/group文件

权限值

/etc/passwd

644

/etc/

文件644

/etc/shadow

/etc/services

文件

文件600

400

/etc/security

文件

目录

644

/etc/rc6.d

600

/tmp

文件750

/etc/

文件750

750

要求相关日志保存不少于六个月

渊3冤根据服务器日志情况进行日志策略调整

尧

冤遥

渊等保

等限制策略配置

渊4冤单个用户多重并发会话

遥

最大并发会话连接数

地备份

渊5冤

渊

制订备份策略保证数据安全

例如每天/周对数据库和重要代码进行备份

袁定期进行数据异

冤遥

#

#

yumcleanall

#

echo

#

echo

>

echo

>

/var/log/wtmp

>

/var/log/secure

#

/var/log/messages

#

echo

#

echo

>

>

/var/log/cron

/var/log/dmesg

#

echo

#

echo

>

echo

>

/var/log/lastlog

/var/log/rpmpkgs

#

#

echo>

>

/var/log/yum

/var/log/utmp

#

#

echo

history

echo

>

>

/var/log/btmp

–

./.bash_history

经过加固后的

c

Centos操作系统袁使用铱迅漏洞扫描

基础设施与环境建设

系统

渊RSAS-6

渊Yxlink-NVS-7000冤

未扫描出系统和其它应用的指纹信息

等保专用版冤均未检查出低

和绿盟远程安全评估系统

尧

遥

中

这样黑客在信息

尧高危漏洞袁也

收集阶段袁可以成功避免服务器成为攻击目标曰即使有

黑客找到服务器袁由于短时间找不出有价值的漏洞袁从

黑客攻击成本考虑袁也会舍弃转向去攻击有漏洞的服务

器曰再者袁因为服务器采取了开启防火墙尧关闭不必要端

口和进程尧加强用户和访问控制尧开启审计策略等防护

措施袁在黑客攻击后面的获得权限尧保持连接尧消除痕迹

阶段也会有很好的防护效果遥

五尧结束语

操作系统处在最底层袁是所有其他软件的基础袁它

在解决网络安全上也起着基础性尧关键性的作用袁没有

操作系统的安全支持袁信息系统的安全就缺乏了根基遥

本文以S3A3G3三级等保标准袁介绍了Linux操作系统

安全加固配置袁全方位考虑网络安全的事前防御尧事中

监控尧事后分析的安全管理整体需求袁提出的Linux操

作系统主机安全加固方案袁并且能顺利通过专业测评中

心的测评袁是一种操作上可行尧经济上省钱袁并且能真正

起到信息系统安全防护作用袁确保信息系统安全合规袁

真正落实信息安全等级保护工作的解决方案遥目前本方

案已成为我校叶信息系统网络信息安全配置基线曳的一

部分袁主机加固方法得到全面推广袁数据中心所有新安

装的服器模板机以此为标准进行预配置袁信息系统安全

防护能力得到有效提升遥

参考文献院

[1]GB17859-1999.计算机信息系统安全保护等级划分

准则[S].

[2]GB/T22240-2008.信息安全技术信息系统安全等级

保护定级指南[S].

[3]GB/T22239-2008.信息系统安全等级保护基本要

求[S].

[4]吴世忠等编著.信息安全技术[M].北京:机械工业

出版社,2014.4.

[5](美)ShonHarris著,张胜生尧张博尧付业辉译.CISSP

认证考试指南(第6版)[M].北京:清华大学出版社,2014.1.

[6]周伯恒编著.CentOS6.X系统管理实战宝典[M].

北京:清华大学出版社,2013.

渊编辑院王天鹏冤

TheChineseJournalofICTinEducation

91