【正文】 權(quán)限，即使程序中存在堆棧溢出漏洞，由于被植入惡意代碼的程序只有普通用戶權(quán)限，無法對系統(tǒng)造成嚴重影響，攻擊面大大降低。252。此條目需滿足以下要求：252。ACL訪問控制列表（Access Control List，ACL）。PAMPAM（Pluggable Authentication Modules ）是由Sun提出的一種認證機制。示例：對此規(guī)則/建議從正面給出例子。3. 為產(chǎn)品線安全人員解決Linux安全問題賦能。適用范圍本指導適合于公司涉及使用Linux操作系統(tǒng)的產(chǎn)品（嵌入式產(chǎn)品除外），如使用歐拉server OS、suse 等產(chǎn)品?！禠inux安全應用指導》結(jié)合Linux系統(tǒng)中常用的安全機制安全特性同時結(jié)合業(yè)界最佳實踐，針對業(yè)內(nèi)普遍的Linux系統(tǒng)漏洞和軟件漏洞給出指導方法，幫助產(chǎn)品開發(fā)團隊減少由于設計過程中未引入安全機制或軟件加固方法而引入安全風險。 11 應對允許使用su到root帳號的用戶進行明確授權(quán)，非授權(quán)用戶不能切換到root 11 使用POSIX Capabilities功能避免直接使用root權(quán)限 12 文件和目錄權(quán)限 14 系統(tǒng)中禁止有無主文件存在 14 除有明確需求，應刪除文件不必要的setuid和setgid位 14 應為系統(tǒng)用戶設置缺省的umask值 15 使用特殊屬性位Sticky位對共享目錄權(quán)限進行控制 16 利用特殊文件屬性Appendonly位保護系統(tǒng)命令行歷史日志文件，防止內(nèi)容被篡改 162 訪問控制 18 自主訪問控制 18 使用POSIX ACL進行更細粒度的訪問控制 18 強制訪問控制 20 Linux系統(tǒng)上應安裝強制訪問控制系統(tǒng)作為應急的安全訪問控制手段 203 記錄和審計 22 監(jiān)測、記錄和審計 22 啟用inotify監(jiān)控機制，以文件系統(tǒng)事件進行安全監(jiān)控 22 使用Auditd組件對系統(tǒng)中的重要目錄或文件進行審計 244 認證 26 口令和賬號 26 使用shadow套件對系統(tǒng)賬號口令進行分離保護 26 Linux系統(tǒng)必須使用shadow套件對當前暫時不使用的賬號進行鎖定或登錄限制 27 使用shadow套件對系統(tǒng)口令的時效進行限制 29 可插拔認證模塊（PAM） 29 使用PAM模塊增強認證管理 295 文件系統(tǒng)保護 31 日志文件保護 31 應將操作系統(tǒng)日志發(fā)送至外部服務器單獨存儲，確保日志不被篡改 31 文件系統(tǒng)加密 31 對含有重要信息的文件目錄或分區(qū)進行加密處理 31 分區(qū)和掛載 32 對于系統(tǒng)中的重要目錄必須根據(jù)存儲目的不同進行分區(qū)隔離 32 使用fstab對外接、日志存儲分區(qū)進行訪問控制。 32 禁用自動工具對移動存儲設備進行掛載 336 網(wǎng)絡防護 34 網(wǎng)絡防護能力 34 使用sysctl工具增強系統(tǒng)網(wǎng)絡防護能力 34 使用iptables對系統(tǒng)中不使用的端口進行限制 35 限制網(wǎng)絡服務 35 遠程訪問需使用SSH取代telnet 35 系統(tǒng)中不應安裝不安全的傳統(tǒng)網(wǎng)絡服務 357 漏洞攻擊防護 37 地址隨機化 37 使用Linux自帶的ASLR功能（地址空間布局隨機化）增強漏洞攻擊防護能力 37 數(shù)據(jù)執(zhí)行防護 37 系統(tǒng)必須使用DEP防護手段提升漏洞攻擊防護能力 37 使用棧保護機制 38 增強性安全防護 39 使用Grsecurity增強Linux系統(tǒng)的安全防護能力 39 使用PaX提升系統(tǒng)攻擊防護能力 408 完整性保護 43 文件完整性檢查 43 使用IMA工具對系統(tǒng)文件的完整性進行檢查 439 安全隔離和容器 44 安全隔離 44 對于開放給第三方的shell環(huán)境，應使用隔離技術(shù)對其可訪問的系統(tǒng)資源進行隔離 44 對于系統(tǒng)中運行的第三方應用，需使用控制組或容器等技術(shù)手段將其于系統(tǒng)關鍵資源進行隔離。本指導的制訂目的是希望能指導讀者選擇正確的安全機制和軟件加固方法，以減少安全漏洞的產(chǎn)生。指導解釋Linux安全應用指導目的在于通過結(jié)合業(yè)內(nèi)的最佳實踐，對在Linux系統(tǒng)下合理的使用安全機制和安全特性來解決產(chǎn)品安全問題和增強系統(tǒng)安全能力提出要求。用詞約定規(guī)則：編程時必須遵守的約定。術(shù)語解釋名詞解釋MAC強制訪問控制（Mandatory Access Control——MAC），用于將系統(tǒng)中的信息分密級和類進行管理，以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。它通過提供一些動態(tài)鏈接庫和一套統(tǒng)一的API，將系統(tǒng)提供的服務 和該服務的認證方式分開，使得系統(tǒng)管理員可以靈活地根據(jù)需要給不同的服務配置不同的認證方式而無需更改服務程序，同時也便于向系 統(tǒng)中添加新的認證手段。1 權(quán)限管理 權(quán)限最小化 禁止直接使用root賬號登錄Linux系統(tǒng)說明：root是Linux系統(tǒng)中的超級特權(quán)用戶，具有所有Linux系統(tǒng)資源的訪問權(quán)限。 禁止直接通過root賬號遠程登錄系統(tǒng)（ssh遠程登錄）252。 系統(tǒng)初始化和調(diào)測階段不在規(guī)則范圍內(nèi)。實施指導:比如一個程序在使用普通用戶就可以正常運行的情況，就不應用 root帳號運行，按照安全設計的最小權(quán)限原則，分析應用程序進程所需要的最小權(quán)限，無特權(quán)需求的程序禁止使用root運行。實施指導:例如典型的WEB應用系統(tǒng)，由WEB系統(tǒng)和數(shù)據(jù)庫系統(tǒng)組成，WEB系統(tǒng)對外提供訪問服務，外部用戶通過WEB服務獲取頁面相關的數(shù)據(jù)，這此頁面數(shù)據(jù)敏感度相對低一些，而數(shù)據(jù)庫系統(tǒng)一般存放業(yè)務相關的重要數(shù)據(jù)，敏感度高，通常會為兩個系統(tǒng)建立不同的帳號和權(quán)限，并分配不同的目錄來存放敏感度不同的數(shù)據(jù)。需要注意的是一旦調(diào)用setuid()函數(shù)放棄root用戶的權(quán)利，在后續(xù)執(zhí)行中這個進程就只能以普通用戶的身份運行。 }else{ printf(setuid error!)。說明：sudo可以使普通用戶以特定的用戶權(quán)限執(zhí)行某些命令。實施指導:下面看一個完整的例子：$ cat /etc/sudoers為方便對允許使用sudo命令的用戶分類，我們可以用戶分組：User_Alias NETWORK_ MAINTAINERS=,定義NETWORK _COMMANDS可以運行網(wǎng)絡接口配置命令Cmnd_Alias NETWORK _COMMANDS = /bin/ifconfig,/bin/ping NETWORK_ MAINTAINERS用戶組可以用 root身份運行NETWORK _COMMANDS中包含的命令NETWORK_ MAINTAINERS localhost = (root) NETWORK _COMMANDS 應對允許使用su到root帳號的用戶進行明確授權(quán)，非授權(quán)用戶不能切換到root說明：su命令可以使一個一般用戶擁有超級用戶或其他用戶的權(quán)限，它經(jīng)常被用于從普通用戶賬號切換到系統(tǒng)root賬號。 需建立su訪問組，非組內(nèi)帳號未無法使用su命令切換到root賬號（包括在已知root口令的情況下）實施指導：l 使用pam_limits模塊限制su root的訪問組例：通過組成員限制能夠su為root的用戶1) 編輯pam的su配置文件vi /etc/2) 查找auth required （若不存在需添加），做如下設置：auth required group=wheel3) 保存文件后，根據(jù)需要將su授權(quán)的賬號加入wheel組即可。因此，POSIX以授予最小的完成工作所需的權(quán)限的方式提供一個更安全的選擇，堅持了最小權(quán)限的安全原則。并且xattr（擴展文件屬性）功能在內(nèi)核設置中被打開。這些文件叫做未分組文件。因此，建議對除必須要帶SUID位的可執(zhí)行文件進行檢查，刪除不必要可執(zhí)行文件的setuid和setgid位。實施指導：可使用如下命令來顯示setuid 和setgid 可執(zhí)行文件：root find / type f \( perm 4000 o perm 2000 \) –print顯然，命令結(jié)果中會列出很多設置了setuid/setgid 位的文件（例如/usr/bin/passwd 文件）：仔細確認文件列表并確認是否有必要設置該權(quán)限。如果用戶希望創(chuàng)建的文件或目錄的權(quán)限不是umask指定的缺省權(quán)限，可以修改缺省的umask值，然后再創(chuàng)建文件或目錄。此條目需滿足以下要求：252。對不希望被修改的文件設置非可變位（Immutable bit），系統(tǒng)不允許對這個文件進行任何的修改。l 設置sticky位chmod +t /tmp$ ls ld /tmpdrwxrwxrwt 1 root root 786 Nov 17 10:45 /tmp注意：rwt權(quán)限中t代表sticky和execute位。如果目錄具有這個屬性，系統(tǒng)將只允許在這個目錄下建立和修改文件，而不允許刪除任何文件。 對命令行日志文件有定期截斷或回滾需求的系統(tǒng)不做追加位（Appendonly bit）設置的強制要求。每一個文件系統(tǒng)對象都有一條對應的訪問ACL，用于控制對該對象的訪問。此條目需滿足以下要求：252。主體通常是進程，而對象可以是文件、目錄、共享內(nèi)存、端口、設備等。與自主訪問控制不同，普通用戶不能對其進行設置，不能對所擁有對象的訪問規(guī)則進行自行設置。SELinux與Apparmor最大的區(qū)別在于Apparmor使用文件名（路徑名）作為安全標簽，而SELinux使用文件的inode作為安全標簽。此條目需滿足以下要求：252。實施指導：參考設計樣例中的《SELinux應用指南》、《SELinux進程隔離方案指導書》3 記錄和審計1 監(jiān)測、記錄和審計 啟用inotify監(jiān)控機制，以文件系統(tǒng)事件進行安全監(jiān)控說明：Inotify 是基于inode級別的文件系統(tǒng)監(jiān)控技術(shù),是一種強大的、細粒度的、異步的機制，它滿足各種各樣的文件監(jiān)控需要，可用于對文件系統(tǒng)進行安全監(jiān)控，提高系統(tǒng)安全性。 l Inotify 使用文件描述符作為接口，因而可以使用通常的文件 I/O 操作select 和 poll 來監(jiān)視文件系統(tǒng)的變化。 對系統(tǒng)性能有嚴格要求，啟用相關功能影響產(chǎn)品交付的，不做強制要求。/proc/sys/fs/inotify/max_user_watches 默認值: 8192 指定了每個inotify instance相關聯(lián)的watches的上限。Inotifywatch程序用于收集關于被監(jiān)視的文件系統(tǒng)的統(tǒng)計數(shù)據(jù)，包括每個 inotify 事件發(fā)生多少次。%T %w%f %e39。 MOVED_FROM|MOVED_FROM,ISDIR|DELETE|DELETE,ISDIR) echo $event39。配置審計規(guī)則是通過auditctl程序完成的，該程序啟動時從/etc/audit/。系統(tǒng)中一些文件是非常重要的，是不可以輕意修改的，對于這類文件使用Auditd程序?qū)ζ溥M行審計是非常有必要的。 密鑰文件應進行審計。為獲取密碼信息，執(zhí)行Su命令使系統(tǒng)訪問/etc/shadow 文件。而在一些舊的LINUX系統(tǒng)或某些被過度裁剪的發(fā)行版本中，在/etc/passwd 中同時保存了系統(tǒng)中所有的用戶，帳號和密碼哈希值。實施指導：1) 備份系統(tǒng)原始命令Shadow Suite會替換系統(tǒng)內(nèi)部分命令，在安裝前需對這部分命令進行備份：/bin/su /bin/login /usr/bin/passwd /usr/bin/newgrp /usr/bin/chfn /usr/bin/chsh /usr/bin/id 2) 下載安裝Shadow Suite tar xzvf cd /usr/src/shadowYYMMDD cp Makefile cp make all make install3) 使用pwconv分離出passwd和shadow文件 cd /etc /usr/sbin/pwconv4) Pwconv輸出的分離文件名稱為npasswd和nshadow，需重命名復制到/etc目錄中使用，在復制前應對原passwd文件進行備份。 對無登錄需求的賬號，設置為不可登錄實施指導：可通過以下方法對帳號進行鎖定，限制該帳號登陸，該方法無法限制root用戶使用su的方式切換到該帳號。該方法的好處在于修改后root用戶也無法用su方式切換到該帳號。252。252。 使用PAM模塊增強認證管理說明： PAM認證是Linux服務器系統(tǒng)主流的安全認證模式，PAM模塊提供了許多在原有Linux系統(tǒng)之上加強的手段，如：對口令復雜度檢查、登錄嘗試次數(shù)限制、禁用歷史密碼等功能。 密碼字符要求至少包含數(shù)字和字母。賬號也因此被鎖定一段時間，知道系統(tǒng)管理員解鎖該賬號。提示用戶輸入新密碼之后又進行了多種測試，最重要的是檢驗了新密碼是否是字典的一部分。remember=N 選項設置記住的舊密碼個數(shù)為N。此條目對以下情況不做強制要求：252。 }。}。加密方法有兩種：一種是使用cryptsetup創(chuàng)建加密分區(qū)，別一種是使用ecryptFS 對文件目錄進行加密。 分區(qū)和掛載 對于系統(tǒng)中的重要目錄必須根據(jù)存儲目的不同進行分區(qū)隔離說明： 隔離的原因有多個：第一個原因就是控制資源，確切的說是控制存儲空間。第二個原因是不同的分區(qū)可以有不同的選項和不同的權(quán)限，從而遵循最小權(quán)限原則。 /var 可能包含全局可寫的文件或目錄，應該放到一個獨立的分區(qū)。252。此條目需滿足以下要求：252。l noexec:表示該分區(qū)不能包含可執(zhí)行的二進制文件。在這種情況下，jail所在的分區(qū)不能配置nodev選項*。如果必須要使用移動存儲設備，應手動安裝。 o ro, nosuid,n