UltraVR安全配置加固指南

UltraVR安全技术白皮书 4产品安全组网建议 UltraVRV100R003C10安全配置加固指南 i 华为专有和保密信息©华为技术有限公司 文档版本01(2015-06-15)目录1操作系统安全加固 11.1Linux安全加固 11.1.1对系统帐号进行登录限制 21.1.2设置登录超时时间 31.1.3设置关键目录的权限 41.1.4设置关键文件的属性 51.1.5修改umask值 71.1.6用户登录信息 81.1.7记录系统安全事件 91.1.8记录系统服务日志 111.1.9更改主机解析地址的顺序 121.1.10打开syncookie 131.1.11不响应ICMP请求 141.1.12防syn攻击优化 151.1.13禁止ICMP重定向 151.1.14关闭网络数据包转发 171.1.15补丁装载 181.1.16禁用无用inetd/xinetd服务 191.1.17为空口令用户设置密码 201.1.18删除root之外UID为0的用户 211.1.19缺省密码长度限制 221.1.20缺省密码生存周期限制 221.1.21防火墙规则设置 231.1.22口令过期提醒 242数据库安全加固 262.1修改数据库用户默认口令 262.2打开log_connections配置 282.3打开log_disconnections配置 292.4设置UNIX域套接字的访问权限 30 UltraVR安全技术白皮书 目录 01 华为专有和保密信息©华为技术有限公司 ix 01 华为专有和保密信息©华为技术有限公司 ix 文档版本01(2015-06-15) 华为专有和保密信息©华为技术有限公司 ii操作系统安全加固Linux安全加固关于本章所有加固项除特殊说明外，均需要手动加固。1.1.1对系统帐号进行登录限制1.1.2设置登录超时时间1.1.3设置关键目录的权限1.1.4设置关键文件的属性1.1.5修改umask值1.1.6记录用户登录信息1.1.7记录系统安全事件1.1.8记录系统服务日志1.1.9更改主机解析地址的顺序1.1.10打开syncookie1.1.11不响应ICMP请求1.1.12防syn攻击优化1.1.13禁止ICMP重定向1.1.14关闭网络数据包转发1.1.15补丁装载1.1.16禁用无用inetd/xinetd服务1.1.17为空口令用户设置密码1.1.18删除root之外UID为0的用户1.1.19缺省密码长度限制1.1.20缺省密码生存周期限制1.1.21防火墙规则设置1.1.22口令过期提醒对系统帐号进行登录限制实施目的对系统帐号进行登录限制，确保系统帐号仅被守护进程和服务使用。问题影响可能利用系统进程默认帐号登录，帐号越权使用。系统当前状态cat/etc/passwd查看各帐号状态。查看/etc/ssh/sshd_config中PermitRootLogin的值。ISO镜像和模板方式安装已经默认加固。实施步骤一．执行命令#chshusername-s/bin/false此命令通过修改用户的shell来禁止用户登录:对Tomcat、GaussDB帐号，请使用/sbin/nologin来禁止其登录权限。对其他root、ICUser以外帐号，请使用/bin/false来禁止其登录权限。对ICUser帐号，不建议禁止其登录权限。对root帐号，建议只禁止远程登录权限，通过将配置文件/etc/ssh/sshd_config中的PermitRootLogin设置为"no”来实现。回退将用户的shell修改成原来的。判断依据/etc/passwd中的禁止登录帐号的shell是/bin/false或者/sbin/nologin禁止root的远程登录权限时，/etc/ssh/sshd_config中的PermitRootLogin值应为”no”实施风险高重要等级★设置登录超时时间实施目的对于具备字符交互界面的设备，应配置定时帐号自动登出。问题影响管理员忘记退出被非法利用。系统当前状态查看/etc/profile文件的配置状态，并记录。ISO镜像和模板方式安装已经默认加固。实施步骤编辑文件/etc/profile#vi/etc/profile文件末尾增加如下行：exportTMOUT=60改变这项设置后，重新登录才能有效。回退方案修改/etc/profile的配置到加固之前的状态。判断依据TMOUT=60TMOUT=60单位秒实施风险中重要等级★设置关键目录的权限实施目的在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响非法访问文件。系统当前状态运行ls-al/etc/记录关键目录的权限。ISO镜像和模板方式安装已经默认加固。实施步骤1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明/etc/passwd必须所有用户都可读，root用户可写–rw-r—r—/etc/shadow不可读写–---------/etc/group必须所有用户都可读，root用户可写–rw-r—r—使用如下命令设置：chmod644/etc/passwdchmod000/etc/shadowchmod644/etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod-Rgo-w/etc回退方案通过chmod命令还原目录权限到加固前状态。判断依据[root@localhostsysconfig]#ls-al/etc/passwd|grep'^...-.--.--'-rw-r--r--1rootroot720Mar815:45/etc/passwd[root@localhostsysconfig]#ls-al/etc/group|grep'^...-.--.--'-rw-r--r--1rootroot347Jan2719:25/etc/group[root@localhostsysconfig]#ls-al/etc/shadow|grep'^...-------'----------1rootroot436Mar619:39/etc/shadow实施风险高重要等级★★★设置关键文件的属性实施目的增强关键文件的属性，减少安全隐患。使messages文件只可追加。使轮循的messages文件不可更改。问题影响非法访问目录,或者删除日志。系统当前状态#lsattr/var/log/messages#lsattr/var/log/messages.*#lsattr/etc/shadow#lsattr/etc/passwd#lsattr/etc/group实施步骤#chattr+a/var/log/messages#chattr+i/var/log/messages.*#chattr+i/etc/shadow#chattr+i/etc/passwd#chattr+i/etc/group建议管理员对关键文件进行特殊设置（不可更改或只能追加等）/var/log/目录下有可能不存在message.*的文件。回退方案使用chattr命令还原被修改权限的目录。#chattr-a/var/log/messages#chattr-i/var/log/messages.*#chattr-i/etc/shadow#chattr-i/etc/passwd#chattr-i/etc/group使用软件包方式安装UltraVR之前，请确保该加固项被回退。判断依据#lsattr/var/log/messages#lsattr/var/log/messages.*#lsattr/etc/shadow#lsattr/etc/passwd#lsattr/etc/group判断属性当linux的文件系统为Reiserfs时,不支持使用lsattr命令。实施风险高重要等级★★修改umask值实施目的控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响非法访问目录。系统当前状态more/etc/profile检查是否包含umask值ISO镜像和模板方式安装已经默认加固。实施步骤步骤1 设置全局默认权限：在/etc/profile修改或添加umask077#vi/etc/profileumask077步骤2 设置单个用户默认权限：如果用户需要使用一个不同于默认全局系统设置的umask，可以编辑该用户目录下的.profile文件或.bash_profile文件：#vi$home/.profile(或.bash_profile)修改或者添加umask077#具体值可以根据实际需要进行设置，umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。回退方案修改/etc/profile文件到加固前状态。判断依据实施风险高重要等级★★★记录用户登录信息实施目的设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功、登录时间、以及远程登录时、用户使用的IP地址问题影响无法对用户的登录进行日志记录系统当前状态cat/etc/login.defs，记录LASTLOG_ENAB当前配置。ISO镜像和模板方式安装已经默认加固。实施步骤编辑/etc/login.defs：#vi/etc/login.defs修改LASTLOG_ENAB的属性：LASTLOG_ENAByes回退方案还原“LASTLOG_ENAB”的设置到加固之前配置。判断依据1. 验证方法：使用last命令察看登录日志2. 预期结果：#lastroot:0/10.164.1010.164.104.73FriFeb2014:29-16:53(02:24)root10.164.104.710.164.104.73FriFeb2014:29-16:53(02:23)rootpts/3FriFeb2014:21-14:28(00:06)rokaypts/310.164.104.73FriFeb2014:16-14:19实施风险低重要等级★★★记录系统安全事件实施目的通过设置让系统记录安全事件，方便管理员分析问题影响无法记录系统的各种安全事件系统当前状态cat/etc/syslog-ng/syslog-ng.conf实施步骤#vi/etc/syslog-ng/syslog-ng.conf添加以下行：destinationd_errors{file("/var/log/errors");};filterf_errors{level(err);};log{source(src);filter(f_errors);destination(d_errors);};destinationd_authpriv{file("/var/log/authpriv_info");};filterf_authpriv{level(info)andfacility(authpriv);};log{source(src);filter(f_authpriv);destination(d_authpriv);};destinationd_auth{file("/var/log/auth_none");};filterf_auth{level(none)andfacility(auth);};log{source(src);filter(f_auth);destination(d_auth);};destinationd_info{file("/var/log/info");};filterf_info{level(info);};log{source(src);filter(f_info);destination(d_info);};重启syslog-ng服务#rcsyslogrestart其中log{source(s_sys);filter(f_errors);destination(d_errors);};“src”视其源不同可能会为“s_sys”，配置时需注意。1. 增加安全日志后，日志将会大大增加。要注意监控磁盘可用空间，及时备份清理安全日志文件。2. 对维护有要求，需询问客户后确定是否实施。回退方案还原/etc/syslog-ng/syslog-ng.conf的设置到加固之前配置，重启syslog-ng服务。判断依据1. 验证方法：查看/var/log/errors，/var/log/messages#more/var/log/errors#more/var/log/authpriv_info#more/var/log/info#more/var/log/auth_none2. 预期结果：记录有需要的设备相关的安全事件实施风险高重要等级★记录系统服务日志实施目的系统上运行的应用/服务也应该配置相应日志选项，比如cron问题影响无法记录cron服务（任务）系统当前状态cat/etc/syslog-ng/syslog-ng.conf实施步骤#vi/etc/syslog-ng/syslog-ng.conf添加以下行：destinationd_cron{file("/var/log/cron");};filterf_cron{level(info)andfacility(cron);};log{source(src);filter(f_cron);destination(d_cron);};重启syslog-ng服务#rcsyslogrestart其中log{source(src);filter(f_cron);destination(d_cron);};“src”视其源不同可能会为“s_sys”，配置时需注意。另外，实施此项需要开启cron服务回退方案还原/etc/syslog-ng/syslog-ng.conf的设置到加固之前配置，重启syslog-ng服务。判断依据1. 验证方法执行crontab-l命令，然后查看日志文件：#more/var/log/cron2. 预期结果：日志中能够列出cron服务的详细日志信息实施风险低重要等级★更改主机解析地址的顺序实施目的更改主机解析地址的顺序，减少安全隐患。问题影响对本机未经许可的IP欺骗。系统当前状态cat/etc/host.confISO镜像和模板方式安装已经默认加固。实施步骤“/etc/host.conf”说明了如何解析地址。编辑“/etc/host.conf”文件（vi/etc/host.conf），加入下面该行：#LookupnamesviaDNSfirstthenfallbackto/etc/hosts.orderhosts,bind#WehavemachineswithmultipleIPaddresses.multion#CheckforIPaddressspoofingnospoofon第一项设置首先通过DNS解析IP地址，然后通过hosts文件解析。第二项设置是否“/etc/hosts”文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的IP欺骗。回退方案恢复/etc/host.conf配置文件。判断依据查看/etc/host.conf文件中的以下配置：orderbind,hostsmultionnospoofon实施风险高重要等级★打开syncookie实施目的打开syncookie缓解synflood攻击。问题影响synflood攻击系统当前状态cat/proc/sys/net/ipv4/tcp_syncookiesISO镜像和模板方式安装已经默认加固。实施步骤#echo1>/proc/sys/net/ipv4/tcp_syncookies可以加入/etc/rc.d/rc.local中。回退方案echo0>/proc/sys/net/ipv4/tcp_syncookies判断依据cat/proc/sys/net/ipv4/tcp_syncookies值为1实施风险高重要等级★不响应ICMP请求实施目的不响应ICMP请求,避免信息泄露。问题影响信息泄露系统当前状态cat/proc/sys/net/ipv4/icmp_echo_ignore_all实施步骤不响应ICMP请求：#echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all回退方案echo0>/proc/sys/net/ipv4/icmp_echo_ignore_all判断依据cat/proc/sys/net/ipv4/icmp_echo_ignore_all返回1实施风险高重要等级★防syn攻击优化实施目的提高未连接队列大小问题影响tcp_syn_floodattack系统当前状态sysctlnet.ipv4.tcp_max_syn_backlogISO镜像和模板方式安装已经默认加固。实施步骤sysctl-wnet.ipv4.tcp_max_syn_backlog="4096"回退方案sysctl-wnet.ipv4.tcp_max_syn_backlog=恢复加固之前的值判断依据sysctlnet.ipv4.tcp_max_syn_backlog值为4096实施风险高重要等级★禁止ICMP重定向实施目的主机系统应该禁止ICMP重定向，采用静态路由。问题影响系统当前状态sysctl-a，记录待修改属性的当前值。ISO镜像和模板方式安装已经默认加固。实施步骤禁止系统发送ICMP重定向包：#vi/etc/sysctl.conf只接受有可靠来源的重定向。net.ipv4.conf.default.secure_redirects=0net.ipv4.conf.all.secure_redirects=0net.ipv4.conf.default.send_redirects=0net.ipv4.conf.all.send_redirects=0net.ipv4.conf.default.accept_redirects=0net.ipv4.conf.all.accept_redirects=0执行以下命令使设置生效：#sysctl-p根据业务需求情况确定是否禁止ICMP重定向。回退方案编辑/etc/sysctl.conf，恢复原设置，执行sysctl-p使设置生效。判断依据1. 验证方法：使用sysctl-a查看配置：#sysctl-a2. 预期结果：相关设置符合预期实施风险高重要等级★关闭网络数据包转发实施目的对于不做路由功能的系统，应该关闭数据包转发功能。问题影响系统当前状态sysctl-a，记录待修改属性的当前值。ISO镜像和模板方式安装已经默认加固。实施步骤关闭数据包转发功能：#vi/etc/sysctl.conf关闭IP转发：net.ipv4.ip_forward=0关闭转发源路由包：net.ipv4.conf.all.accept_source_route=0net.ipv4.conf.default.accept_source_route=0执行以下命令使设置生效：#sysctl-p回退方案编辑/etc/sysctl.conf，恢复原设置，执行sysctl-p使设置生效。判断依据1. 验证方法：使用sysctl-a查看配置：#sysctl-a2. 预期结果：相关设置符合预期实施风险高重要等级★补丁装载实施目的可以使系统版本为最新并解决安全问题。问题影响系统存在严重的安全漏洞系统当前状态uname-arpm-qacat/proc/version实施步骤可以使用OnlineUpdate或PatchCDUpdate等方式升级系统补丁。回退方案patchrm判断依据1. 验证方法：#uname-a2. 预期结果：系统安装必要的补丁。实施风险高重要等级★★应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。禁用无用inetd/xinetd服务实施目的关闭无效的服务，提高系统性能，增加系统安全性。ISO镜像和模板方式安装不需要执行该加固项目。问题影响不用的服务会带来很多安全隐患。系统当前状态chkconfig-l记录当前状态。实施步骤步骤1 关闭inetd服务#chkconfig服务名off步骤2 关闭xinetd服务修改其配置文件，在其属性中修改Disable为yes，如没有，请添加#vi/etc/xinetd.d/服务名disable=yes步骤3 重启inetd服务#/etc/init.d/xinetdrestart回退方案恢复记录的原inetd/xinetd服务状态。判断依据1. 验证方法：#chkconfig-l2. 预期结果：仅有允许的服务处于开启状态实施风险高重要等级★★★建议关闭的服务：chargen、chargen-udp、cups-lpd、cvs、daytime、daytime-udp、echo、echo-udp、fam、netstat、rsync、servers、services、systat、time、time-udp请根据需要开启相应的服务为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用。系统当前状态awk-F:'($2==""){print$1}'/etc/passwd实施步骤awk-F:'($2==""){print$1}'/etc/passwd，查询空口令用户用root用户登录Linux系统，执行passwd命令，给用户增加口令。例如：passwdtestISO镜像和模板方式安装已经默认加固。回退方案root身份设置用户口令，取消口令如做了口令策略则失败判断依据awk-F:'($2==""){print$1}'/etc/passwd返回值为空实施风险高重要等级★删除root之外UID为0的用户实施目的帐号与口令-检查是否存在除root之外UID为0的用户。问题影响帐号权限过大，容易被非法利用。系统当前状态awk-F:'($3==0){print$1}'/etc/passwdISO镜像和模板方式安装已经默认加固。实施步骤删除除root以外的UID为0的用户。回退方案无判断依据返回值包括“root”以外的条目，则低于安全要求。实施风险高重要等级★UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为0缺省密码长度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少8位。问题影响增加密码被暴力破解的成功率。系统当前状态cat/etc/login.defsISO镜像和模板方式安装已经默认加固。实施步骤#vi/etc/login.defs按如下设置PASS_MIN_LEN8退出root用户重新登录，密码设置生效。回退方案vi/etc/login.defs，修改设置到系统加固前状态。判断依据PASS_MIN_LEN8实施风险低重要等级★★★缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备，帐号口令的生存期不长于90天，减少口令安全隐患。问题影响密码被非法利用，并且难以管理。系统当前状态运行cat/etc/login.defs查看状态，并记录。ISO镜像和模板方式安装已经默认加固。实施步骤#vi/etc/login.defs按如下设置PASS_MAX_DAYS90PASS_MIN_DAYS0回退方案vi/etc/login.defs，修改设置到系统加固前状态。判断依据PASS_MAX_DAYS90PASS_MIN_DAYS0实施风险低重要等级★★★防火墙规则设置实施目的如果网络环境需要对访问服务器的网络连接做限制，如只允许连接指定的端口，那么可以配置iptables防火墙规则。问题影响系统当前状态运行iptables-L-n-v--line-numbers查看现有规则定义的详细信息，并记录。实施步骤步骤1 设置数据包流入的默认策略为DROP：iptables-PINPUTDROP步骤2 参考《通信矩阵》，开放指定的端口：iptables-tfilter-AINPUT-d<IP地址/掩码>-ptcp--dport<端口号>-jACCEPT步骤3 保存规则：iptables-save>/etc/sysconfig/iptables步骤4 将如下命令加入自启动脚本/etc/init.d/boot.local：iptables-restore</etc/sysconfig/iptables请使用VNC（本地终端）登录操作系统进行配置，以root身份执行。回退方案删除num参数指定的第几条规则：iptables-Dnum判断依据只有规则中指定的端口能被连接访问。实施风险低重要等级★★口令过期提醒实施目的口令到期前多少天开始通知用户口令即将到期。问题影响密码被非法利用，并且难以管理。系统当前状态运行cat/etc/login.defs查看状态，并记录。ISO镜像和模板方式安装已经默认加固。实施步骤#vi/etc/login.defs按如下设置PASS_WARN_AGE7回退方案vi/etc/login.defs，修改设置到系统加固前状态。判断依据PASS_WARN_AGE7实施风险低重要等级★★★ UltraVR安全技术白皮书 1关于本文档 文档版本01(2015-06-15) 华为专有和保密信息©华为技术有限公司 1数据库安全加固关于本章UltraVRV100R003C10使用的Gauss数据库，随UltraVRV100R003C10一同安装。安装时已经进行了数据库加固，请不要随意修改安全设置，避免引起安全问题。所有加固项除特殊说明外，已被加固。2.1修改GaussDB用户默认口令2.2打开log_connections配置2.3打开log_disconnections配置2.4设置UNIX域套接字的访问权限0.修改数据库用户默认口令实施目的软件包方式安装时，数据库管理员帐号GaussDB的密码是用户自定义的，数据库访问帐号及其密码也是用户自定义的，因此不涉及此加固项；使用ISO镜像和模板方式安装时，数据库管理员帐号GaussDB的密码是默认的，数据库访问帐号默认为RDDBUser，其密码也是默认的，因此，为了安全起见，安装后必须修改GaussDB和RDDBUser的默认密码，修改时帐号密码的复杂度要求如下:至少包含大写字母(A-Z)，小写字母(a-z)，数字(0-9)，三类字符中的两类字符。需要包含特殊字符，特殊字符只能是下列字符~!@#$%*-_=+\\[{}];:,./?最少8个字符，最多15个字符。不能和用户名相同。不能和当前密码相同。问题影响为了保证用户的安全登录。系统当前状态查看系统当前的密码，查看postgres的pg_user表。ISO镜像和模板方式安装需要进行此加固。实施步骤执行以下命令，用GaussDB帐号登录数据库修改GaussDB或RDDBUser的密码，如果是修改RDDBUser密码，请先停止UltraVRServer服务。#/usr/local/gaussdb/bin/gsql-UGaussDB-dpostgres-p6432根据提示输入GaussDB的原密码，然后执行以下命令修改数据库帐号密码，其中xxx代表数据库帐号名称。#POSTGRES=#ALTERUSERxxxIDENTIFIEDBY"newpwd"replace"oldpwd";以上命令执行成功后，新密码即刻生效，如果修改的是RDDBUser的密码，在修改后需要同步修改UltraVR配置的数据库访问密码，具体方法参考《UltraVRV100R003C10产品文档》操作与维护章节。回退方案恢复原始密码到加固前的设置。判断依据使用新密码连接数据库，如果登录成功，则修改成功。实施风险低重要等级★★★0.打开log_connections配置实施目的审计客户端何时连接到数据库。问题影响如果不打开该配置,则在遇到攻击进行审计时无法详细定位攻击事件。系统当前状态数据库单独安装后默认未开启该设置。系统安装后已经默认实现该加固。实施步骤在<Gaussdb_Install_Dir>/gs/app/data目录下的postgresql.conf配置文件中修改log_connections=on。修改后重启数据库。回退方案将postgresql.conf还原到之前的状态。判断依据登录数据库，使用如下语句检查。POSTGRES=#showlog_connections;log_connections-----------------on(1row)实施风险低重要等级★★★0.打开log_disconnections配置实施目的审计客户端何时退出数据库。问题影响如果不打开该配置,则在遇到攻击进行审计时无法详细定位攻击事件。系统当前状态数据库单独安装后默认未开启该设置。系统安装后已经默认实现该加固。实施步骤在<Gaussdb_Install_Dir>/gs/app/data的postgresql.conf配置文件中修改log_disconnections=on。修改后重启数据库。回退方案将postgresql.conf还原到之前的状态。判断依据登录数据库，使用如下语句检查。POSTGRES=#showlog_disconnections;log_disconnections-----------------on(1row)实施风险低重要等级★★★0.设置UNIX域套接字的访问权限实施目的只有用户和组允许UNIX域套接字的访问权限。问题影响默认UNIX域套接字的访问权限是所有人都可以连接，这样会造成越权访问和攻击。系统当前状态unix_socket_permissions设置了UNIX域套接字的访问权限。权限为0777。系统安装后已经默认实现该加固。实施步骤在高斯数据库安装目录下（/opt/gs/app/data）的postgresql.conf配置文件中修改unix_socket_permissions=0770。修改后重启数据库。回退方案将postgresql.conf还原到之前的状态。判断依据登录数据库，使用如下语句检查。POSTGRES=#SELECTname,settingFROMpg_settingsWHEREname='unix_socket_permissions';NAME|SETTING-------------------------+---------unix_socket_permissions|0770(1row)实施风险低重要等级★★★ 文档版本01(2015-06-15) 华为专有和保密信息©华为技术有限公司 9