◆劉俊芳 谷利國(guó) 陳存田 張甲瑞 高翔

網(wǎng)絡(luò)安全等級(jí)保護(hù)中Linux服務(wù)器漏洞整改

◆劉俊芳 谷利國(guó) 陳存田 張甲瑞 高翔

（山西省地震局 山西 030021）

山西省地震信息服務(wù)系統(tǒng)的安全等級(jí)保護(hù)為第三級(jí)，系統(tǒng)包括前兆服務(wù)器、測(cè)震服務(wù)器、OA服務(wù)器和網(wǎng)站服務(wù)器等。本文通過(guò)對(duì)Linux系統(tǒng)服務(wù)器按照三級(jí)等保要求進(jìn)行整改，能有效提升Linux系統(tǒng)服務(wù)器的安全水平，結(jié)合系統(tǒng)在網(wǎng)絡(luò)安全方面的要求，對(duì)Linux系統(tǒng)服務(wù)器的整改進(jìn)行了探討。

地震信息服務(wù)系統(tǒng)；安全等級(jí)保護(hù)；Linux系統(tǒng)服務(wù)器整改；系統(tǒng)安全

2008年，山西省地震信息服務(wù)系統(tǒng)建成并投入運(yùn)行，雖然含有多個(gè)業(yè)務(wù)應(yīng)用子系統(tǒng)，但因網(wǎng)絡(luò)邊界的同一性與應(yīng)用的關(guān)聯(lián)性，最終集成為一個(gè)綜合信息服務(wù)系統(tǒng)。全國(guó)各省地震行業(yè)為實(shí)現(xiàn)業(yè)務(wù)子系統(tǒng)的重點(diǎn)保護(hù)，優(yōu)化信息安全資源配置，有的按測(cè)震業(yè)務(wù)、前兆業(yè)務(wù)、應(yīng)急業(yè)務(wù)和強(qiáng)震業(yè)務(wù)等，劃分出多個(gè)計(jì)算機(jī)等級(jí)保護(hù)業(yè)務(wù)信息系統(tǒng)。山西地震信息服務(wù)系統(tǒng)是“中國(guó)數(shù)字地震觀測(cè)網(wǎng)絡(luò)”的一部分，除提供基礎(chǔ)網(wǎng)絡(luò)支撐和基礎(chǔ)信息服務(wù)的信息系統(tǒng)外，還涵蓋山西數(shù)字地震臺(tái)網(wǎng)、山西地震前兆臺(tái)網(wǎng)、山西數(shù)字強(qiáng)震臺(tái)網(wǎng)等。當(dāng)山西省地震信息服務(wù)系統(tǒng)遭受侵害時(shí)，會(huì)影響一個(gè)或者多個(gè)業(yè)務(wù)子系統(tǒng)的正常運(yùn)轉(zhuǎn)，對(duì)行業(yè)業(yè)務(wù)造成嚴(yán)重?fù)p害（蔣曉山等，2015）。

根據(jù)業(yè)務(wù)和信息服務(wù)受損客體和損害程度，依照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240- 2008），山西省地震信息服務(wù)系統(tǒng)安全等級(jí)保護(hù)定為第三級(jí)，系統(tǒng)包括前兆服務(wù)器、測(cè)震服務(wù)器、OA服務(wù)器和網(wǎng)站服務(wù)器等（蔣曉山等，2015；林春艷等，2020）。目前，相關(guān)學(xué)者對(duì)漏洞的發(fā)展和趨勢(shì)進(jìn)行分析研究，如：2017年以來(lái)，從系統(tǒng)漏洞、Web安全、弱口令、信息泄露等方面分析安息安全。本文通過(guò)對(duì)Linux系統(tǒng)服務(wù)器按照三級(jí)等保要求進(jìn)行整改，能有效提升Linux系統(tǒng)服務(wù)器的安全水平（盧方建等，2021），結(jié)合系統(tǒng)在網(wǎng)絡(luò)安全方面的要求，對(duì)Linux系統(tǒng)服務(wù)器整改進(jìn)行了探討。

1 Linux系統(tǒng)服務(wù)器存在問(wèn)題

漏洞對(duì)系統(tǒng)安全存在威脅，其存在使得病毒得以傳播，網(wǎng)絡(luò)攻擊得以進(jìn)行，對(duì)系統(tǒng)的完整、可用、機(jī)密、可控和可靠造成威脅。在漏洞掃描中，發(fā)現(xiàn)山西省地震信息服務(wù)的Linux系統(tǒng)服務(wù)器存在以下漏洞。

（1）沒(méi)有密碼配置文件或login. defs配置文件中密碼策略不符合要求；密碼未進(jìn)行定期更換。

（2）密碼復(fù)雜程度未配置；登錄失敗處理功能未配置。

（3）未添加審計(jì)賬戶。

（4）未限制遠(yuǎn)程登錄地址。

（5）未配置超時(shí)退出功能。

（6）日志切割配置不夠滿足《網(wǎng)絡(luò)安全法》中日志至少存儲(chǔ)6個(gè)月的要求。

（7）服務(wù)器中未安裝殺毒軟件。

攻擊者可利用以上漏洞入侵服務(wù)器，在未經(jīng)授權(quán)的情況下對(duì)存儲(chǔ)或傳輸過(guò)程中的信息進(jìn)行刪除、修改、偽造、亂序、重放、插入等破壞操作，破壞了服務(wù)器的完整性；攻擊者利用漏洞破壞服務(wù)器系統(tǒng)，阻止網(wǎng)絡(luò)正常運(yùn)行，破壞了服務(wù)器的可用性；攻擊者利用漏洞給非授權(quán)的個(gè)人和實(shí)體泄露受保護(hù)的信息，破壞了服務(wù)器的機(jī)密性；攻擊者利用漏洞，使得系統(tǒng)對(duì)于合法用戶處于“失控”狀態(tài)，破壞了對(duì)信息的控制，使得服務(wù)器不可控；攻擊者利用漏洞使得服務(wù)器無(wú)法在規(guī)定的條件和時(shí)間完成規(guī)定的功能（楊東曉等，2019）?；谝陨戏?wù)器漏洞，提出漏洞修復(fù)方法并及時(shí)更新漏洞。

2 Linux系統(tǒng)服務(wù)器漏洞整改方法

通過(guò)Linux系統(tǒng)服務(wù)器漏洞整改，保證主機(jī)和應(yīng)用系統(tǒng)的登錄安全。根據(jù)公安部的配置核查標(biāo)準(zhǔn)，在口令、防護(hù)軟件和防病毒軟件等方面進(jìn)行了限制（楊東曉等，2019）。在密碼長(zhǎng)度方面要求最少為8位，密碼復(fù)雜度要求至少包含英語(yǔ)大寫(xiě)字母、小寫(xiě)字母、數(shù)字和字符4種類(lèi)別中的3種。對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長(zhǎng)于90天。在軟件防護(hù)方面，根據(jù)業(yè)務(wù)需要，限定允許訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序和允許遠(yuǎn)程登錄該設(shè)備的IP地址范圍。在病毒防護(hù)方面，要安裝防病毒軟件，并及時(shí)更新。

（1）修改 etc/login.defs配置文件或進(jìn)行配置。

PASS MAX_DAYS 90 #登錄密碼有效期90天；PASS MIN_DAYS 30 #登錄密碼最短修改時(shí)間為30天；PASS MIN_LEN 8 #登錄密碼最小長(zhǎng)度8位；PASS WARN_AGE 7 #登錄密碼過(guò)期提前7天提示修改；對(duì)密碼進(jìn)行定期更換，并填寫(xiě)相關(guān)記錄表單（圖1）。

圖1 修改前界面

修改過(guò)程為輸入vim /etc/login.defs 進(jìn)入后修改以下參數(shù)（圖2）：

PASS_MAX_DAYS 90；PASS_MIN_DAYS 30；PASS_MIN_LEN 8；PASS_WARN_AGE 7。

圖2 修改后界面

（2）修改/etc/pam.d/common-auth配置文件（suse系統(tǒng)）。

account required pam_tally.so deny=3，unlock_time=600，even_deny_root unlock_time=600 登錄失敗3次鎖定60秒。

修改 /etc/pam.d/system-auth配置文件（centos系統(tǒng)）：account required pam_tally.so deny=3，unlock_time=600，even_deny_root unlock_time=600 登錄失敗3次鎖定60秒。

修改 /etc/security/ pwquality.conf配置文件（需刪除#注釋符）：difok=2新舊密碼不同位數(shù)為2，ucredit=1大寫(xiě)字母?jìng)€(gè)數(shù)為1，lcredit=2小寫(xiě)字母?jìng)€(gè)數(shù)為2，dcredit=3密碼中最少包含的數(shù)字為3，ocredit=1至少一個(gè)特殊字符。

修改 /etc/pam.d/common-password配置文件（suse系統(tǒng)）：password required pam_pwquality.so 或者password requisite pam_cracklib.so ；difok=2新舊密碼不同位數(shù)為2，ucredit=1大寫(xiě)字母?jìng)€(gè)數(shù)為1，lcredit=2小寫(xiě)字母?jìng)€(gè)數(shù)為2，dcredit=3密碼中最少包含的數(shù)字為3，ocredit=1至少一個(gè)特殊字符。

修改 /etc/pam.d/system-auth配置文件（centos系統(tǒng)）：password required pam_pwquality.so 或者password requisite pam_cracklib.so；difok=2新舊密碼不同位數(shù)為2，ucredit=1大寫(xiě)字母?jìng)€(gè)數(shù)為1，lcredit=2小寫(xiě)字母?jìng)€(gè)數(shù)為2，dcredit=3密碼中最少包含的數(shù)字為3，ocredit=1至少一個(gè)特殊字符（圖3）。

修改過(guò)程（圖4）：增加account required pam_tally.so deny=3 unlock_time=600 even_deny_root unlock_time=600命令。輸入password requisite pam_cracklib.so try_first_pass local_users_only retry=3 authtok_type= difok=2 ucredit=1 lcredit=2 dcredit=3 ocredit=1。

（3）添加審計(jì)賬戶，權(quán)限進(jìn)行合理分配，每個(gè)賬戶最小化權(quán)限，實(shí)現(xiàn)權(quán)限分離，不應(yīng)只有root賬戶。增加審計(jì)賬戶，設(shè)置了用戶名：shenji及相應(yīng)的密碼（圖5、圖6）。

圖5 設(shè)置審計(jì)賬戶

圖6 修改前界面

修改過(guò)程（圖7）：輸入vim /etc/sudoers，進(jìn)入界面后，增加shenji ALL=（root）NOPASSWD：/usr/bin/cat，/usr/bin/less，/usr/bin/more，/usr/bin/tail，/usr/bin/head。

圖7 修改后界面

修改后增加了審計(jì)賬戶，只有查看權(quán)限（圖8）。

圖8 審計(jì)賬戶權(quán)限

（4）修改cat /etc/hosts.allow，添加允許遠(yuǎn)程登錄的地址。修改cat /etc/hosts.deny 添加禁止遠(yuǎn)程登錄的地址?；蛟趀tc/ssd/sshd_config中限制賬戶的遠(yuǎn)程登錄IP。例如allowusers用戶名@XXX.XXX.XXX.XXX。也可以通過(guò)主機(jī)防火墻iptables進(jìn)行限制。

修改過(guò)程（圖9、圖10）：輸入vim /etc/hosts.allow；sshd：10.14.16：ALLOW。

圖9 修改前界面

圖10 修改后界面

（5）在etc/profile配置文件中加入TMOUT=600 ；十分鐘無(wú)操作自動(dòng)退出。

修改過(guò)程（圖11、圖12）：在尾部增加：TMOUT=600；export=TOMOUT。

圖11 修改前配置

圖12 修改后配置

（6）修改etc/ logrotate.conf配置文件或修改etc/ logrotate.d/rsyslog配置文件。

修改過(guò)程（圖13、圖14）：輸入weekly和rotate 26，實(shí)現(xiàn)至少應(yīng)修改為每周切割，可以保存26個(gè)切割后的日志?；蛎吭虑懈?，可以保存7個(gè)切割后的日志。

圖13 修改前配置

（7）在服務(wù)器中部署360天擎。

修改步驟（圖15）：輸入：# wget "http://10.14.2.158/download/setup/360installer-linuxs（10.14.2.158_80）.sh"和# sh 360installer-linuxs（10.14.2.158_80）.sh；原來(lái)已經(jīng)安裝360天擎，本次不需要再裝，顯示已經(jīng)安裝該程序，執(zhí)行安裝失敗。

3 結(jié)果與討論

網(wǎng)絡(luò)安全等級(jí)保護(hù)中，Linux服務(wù)器在漏洞掃描中發(fā)現(xiàn)存在漏洞，通過(guò)修復(fù)漏洞的過(guò)程，及時(shí)加強(qiáng)信息網(wǎng)絡(luò)系統(tǒng)安全。綜上所述，可得到以下結(jié)論：

（1）通過(guò)修改 etc/login.defs配置文件或進(jìn)行配置，實(shí)現(xiàn)密碼策略要求。

（2）通過(guò)修改 /etc/pam.d/common-auth配置文件（suse系統(tǒng)）和修改/etc/pam.d/system-auth配置文件（centos系統(tǒng)），實(shí)現(xiàn)登錄失敗處理功能配置。

通過(guò)修改 /etc/security/ pwquality.conf配置文件（需刪除#注釋符）、修改 /etc/pam.d/common-password配置文件（suse系統(tǒng)）和修改 /etc/pam.d/system-auth配置文件（centos系統(tǒng)），實(shí)現(xiàn)密碼復(fù)雜程度配置。

（3）通過(guò)增加shenji ALL=（root）NOPASSWD：/usr/bin/cat， /usr/bin/less，/usr/bin/more，/usr/bin/tail，/usr/bin/head，實(shí)現(xiàn)添加審計(jì)賬戶，只有查看權(quán)限。

（4）通過(guò)修改cat /etc/hosts.allow，輸入vim /etc/hosts.allow；sshd：10.14. 16：ALLOW，可以添加允許遠(yuǎn)程登錄的地址。

（5）通過(guò)在etc/profile配置文件中加入TMOUT=600；export=TOMOUT，實(shí)現(xiàn)十分鐘無(wú)操作自動(dòng)退出。

（6）通過(guò)修改etc/ logrotate.conf或etc/ logrotate.d/rsyslog配置文件，輸入weekly和rotate 26，可實(shí)現(xiàn)至少應(yīng)修改為每周切割，可以保存26個(gè)切割后的日志。

（7）通過(guò)安裝360天擎，實(shí)現(xiàn)在服務(wù)器中部署360天擎。

Linux服務(wù)器整改方案操作簡(jiǎn)單，效果明顯，把服務(wù)器的主要隱患通過(guò)上述方案的操作步驟進(jìn)行整改，能明顯提升服務(wù)器安全水平，有效保障了地震信息系統(tǒng)的服務(wù)水平。

[1]蔣曉山，程紫燕. 山西地震信息服務(wù)系統(tǒng)安全等級(jí)保護(hù)與安全體系框架[J]. 山西地震，2015（03）：42-45.

[2]盧方建，盧方玉，關(guān)益香，等. 對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)中服務(wù)器整改的探討[J].環(huán)球市場(chǎng)/科技縱橫，2021（11）：326.

[3]林春艷，陳建云. 基于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的氣象信息網(wǎng)絡(luò)安全體系研究[J].信息記錄材料，2020，41（04）：101-102.

[4]楊東曉，張鋒，段曉光，等. 漏洞掃描與防護(hù)[M]. 北京：清華大學(xué)出版社，2019：112-118.