Liunx系统等级保护测评列表
|
评测项 |
评测要求 |
评测方法 |
评测记录 |
|
身份鉴别 |
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 |
1) 访谈系统管理员系统用户是否已没置密码,并查看登录过程中系统账户是否使用了密码进行险证登录。 2) 以有权限的账户身份登录操作系统后,使用命令 more查看/etc/shadow 文件,核查系统是否存在空口令账户 3) 使用命令more查看/etc/login. defs文件,查看是否设置密码长度和定期更换要求more /etc/login. defs 使用命令more查看/etc/pam.d/system-auth文件。查看密码长度和复杂度要求 4) 检查是否存在旁路或身份鉴别措施可绕过的安全风险 样例: 1) 登录需要密码 2) 不存在空口令账户 3) 得出类似反馈信息,如下 PASS MAX_DAYS 90#登录密码有效期90天 PASS MIN_DAYS 0#登录密码最短修改时间,增加可以防止非法用户短期更改多次 PASS MIN_LEN 7 #登录密码最小长度7位 PASS wARN_AGE 7 #登录密码过期提前7天提示修改 4)不存在绕过的安全风险 |
|
|
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施 |
1) 系统配置并启用了登录失败处理功能 2) 以root身份登录进入Linux, 查看文件内容: # cat /ete/pam. d/system -auth或根据linux版本不同在common文件中 3) 查看/etc/profile中的TIMEOUT环境变量,是否配置超时锁定参数 样例: 1) 和2)查看登录失败处理功能相关参数,/etc/pam.d/system--auth文件中存在”account required /lib/security/pam tally. so deny=3 no_ magic root reset" ; 3)记录在文件/etc/profile中设置了超时锁定参数,在profile 下设置TMOUT= 300s |
|
|
|
c)当进行远程管理时,应采取必要措施、防止鉴别信息在网络传输过程中被窃听 |
访谈系统管理员,进行远程管理的方式。 1) 以root身份登录进入Liunx查看是否运行了SSHD服务,service - status-all | grep sshd查看相关的端口是否打开,netstat -an|grep 22 若未使用SSH方式进行远程管理,则查看是否使用了Telnet方式进行远程管理 service - status-all | grep running,查看是否存在Telnet服务 2) 可使用wireshark等抓包攻击,查看协议是否为加密 3) 本地化管理,N/A |
|
|
|
访问控制 |
a)应对登录得用户分配账户和权限 |
以有相应权限的身份登录进入Liunx,使用“ls-l文件名”命名,查看重要文件和目录权限设置是否合理,如: ls -l /etc/passwd #744. 样例: 重点查看一下文件和目录权限是否设置合理。 -rwx- - - - - :数字表示为 700 -rwxr--r- -: 数字表示为 744 -rw-rw-r-x: 数字表示为 665 drwx-x-x: 数字表示为: 711 drwr- - - - :数字表示为: 700 配置文件权限值不能大于644,对于可执行文件不能大于755 |
|
|
|
b)应重命名或删除默认账户, 修改默认账户的默认口令 |
1) 以有相应权限的身份登录进入Liunx,使用more查看/etc/shadow文件,查看文件中的用户,是否存在adm、lp、sync、shutdown、halt、mail、uucp、operator、games、gopher ftp等默认的、无用的账户。 2) 查看root账号是否能够进行远程登录。 样例: 1) 不存在默认无用的账户 2) 使用more查看/etc/ssh/sshd_config文件中的“PermitRootLogin”参数设置为“no”,即:PermitRootLogin no,即不许可root远程登录 |
|
||
|
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在 |
1) 应核查是否不存在多余或过期账户,如查看games、news、ftp、lp等系统默认账户是否被禁用,特权账号halt、shutdown是否被删除 2) 应访谈网络管理员、安全管理员、系统管理员不同用户是否采用不通账户登录系统 |
|
||
|
d)应授予管理用户所需的最小权限,实现管理用户的权限分离 |
1) 以有相应权限的身份登录进入Liunx,使用more查看/etc/passwd文件中的非默认用户,询问各账户的权限,是否实现管理用户的权限分离 2) 以由相应权限的身份登录进入Liunx,使用more查看、/etc/sudo.conf文件,核查root级用户的权限都授予哪些账户 |
|
||
|
安全审计 |
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 |
1) 以root身份登录进入Linux,查看服务进程 2) 若运行了安全审计服务,则查看安全审计的守护进程是否正常 # ps -ef|grep auditd 3) 若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具 4) 以root身份登录进入Linux查看安全事件配置: #grep"priv-ops" /etc/audit/filter.conf ... more/etc/audit/audit.rules ... 样例: 1) 开启审计进程内容如下: [root@localhost april]# service auditd status auditd (pid 1656) is running... [root@localhost april]# service rsyslog statusr syslogd(pid 1681) is running [root@localhost april]# 2) Linux服务器默认开启守护进程 audit.rules中记录对文件和底层调用的相关记录,记录的安全事件较为全面 |
|
|
|
b)审计记录应用包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息 |
以有相应权限的身份登录进入Linux,使用命令"ausearch-ts today",其中,-ts指定时间后的log.或命令"tail -20/var/log/audit/audit.log"查看审计日志 |
|
|
|
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等 |
访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送到日志服务器上等,并使用sylog方式将日志发送到日志服务器。 如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的范围内
|
|
|
入侵防范 |
a)应遵循最小安装的原则仅安装需要的组件和应用程序 |
1) 访谈安装系统时是否遵循最小化安装原则,查看安装操作手册 2) 使用命令"yum list installed"查看操作系统中安装的程序包,询问是否有目前不需要的组件和应用程序
|
|
|
b)应关闭不需要的系统服务、默认共享和高危端口 |
1) 以由相应权限的身份登录进入Linux,使用命令“service- status-all| grep running”查看是否已经关闭危险的网络服务 2) 以由相应权限的身份登录进入Linux,使用命令“netstat -ntlp”查看病确认是否开放的端口都为业务需求端口,是否已经关闭飞必须的端口,Linux不存在共享问题。 |
|
|
|
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制 |
1)查看在/etc/hosts.deny中是否有“ALL:ALL”,禁止所有的请求:在/etc/hosts.allw中,是否有如下配置(举例): sshd:192.168.1.10/255.255.255.0 2)是否采用了从防火墙设置了对接入终端的限制 |
|
|
|
d)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞 |
1) 查看甲方自查的漏扫报告或通过第三方价差的漏洞报告,有无高风险漏洞 2) 系统有误漏洞测试环境,补丁更新的机制和流程如何? 3) 访谈补丁升级机制,查看补丁安装情况: #rpm -qa grep patch |
|
|
|
恶意代码防范 |
a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库 |
1) 核查操作系统中安装了什么防病毒软件,访谈管理员病毒灵是否经常更新,核查病毒库最新版本,更新日期是否超过一个星期 2) 核查操作系统是否实现了可信验证机制,能够对系统程序、应用程序和重要配置文件/参数进行可信执行验证 |
|
|
可信验证 |
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心 |
1) 核查服务器的启动,是否实现可信验证的加测过程,查看对那些系统引导程序、系统程序或重要配置参数进行可信验证 2) 修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进行报警 3) 是否将验证结果形成审计记录送至安全管理中心 |
|
|
数据完整性 |
应采用校验技术保证重要数据在传输过程中的完整性 |
询问服务器管理员,该系统的鉴别数据、重要业务数据、重要审计数据,重要配置数据,重要视频数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性 |
|
|
数据备份恢复 |
a)应提重要数据处理系统的热冗余,保证系统的高可用性 |
1) 核查操作系统的重要配置数的备份策略设置是否合理,配置是否正确 2) 核查备份结果是否与备份策略一直 3) 核查进去回复测试记录,查看是否能够进行正常的数据恢复 |
|
|
b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地 |
询问操作系统管理员,是否提供异地实时备份功能,并通过网络将重要配置数据,操作系统的重要配置数据实时备份至备份场地 |
|
|
|
剩余信息保护 |
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除 |
询问系统管理员,操作系统是否采取措施保证对存储介质(如硬盘或内存)防止其他用户非授权获取该用户的鉴别信息 |
|
