世界500强企业的主机系统安全配置标准

$HOME 除root用户之外, 用户缺省的home目录 x00或700

6.2 操作系统资源

系统值/参数 描述 设置要求

/etc

/bin

/usr/sbin

/usr/bin

/usr/etc 操作系统资源 通常的所有者为root并属于系统组。

可执行

*.a

*.o

*.so

*.cf

*.conf

*.cfg 操作系统资源文件类型 Other必须设置为r-x或更严格

AIX中/etc/security/ 操作系统资源目录 必须设置为xx0

/tmp和/var/tmp 临时空间 (t) Sticky 位必须设置

(缺省)

/etc/snmpd.conf SNMP配置文件 必须设置为640或更严格

/etc/services 服务设置文件 必须设置为644

例外情况：

系统值/参数 设置要求

/etc/locks 该目录下可以包含world-writeable 文件

socket (s)

named pipe (p)

block special file (b)

character special file (c)

symbolic links (l) 可以是world-writeable 文件

7 操作系统补丁管理

具体操作可以参阅相关的补丁管理规范和流程。

8 审计策略

8.1 系统访问日志

必须启用syslog进程来记录任何成功或失败的访问行为，特别是对于用户认证。在/etc/syslog.conf配置文件中必须定义记录优先级为“info”或高于其的相关信息。