《21-sgislop-sa32-10 linux等级保护测评作业指导书(三级)资料》由会员分享,可在线阅读,更多相关《21-sgislop-sa32-10 linux等级保护测评作业指导书(三级)资料(26页珍藏版)》请在金锄头文库上搜索。
1、控制编号:SGISL/OP-SA32-10信息安全等级保护测评作业指导书Linux主机(三级)版 号:第 2 版修 改 次 数:第 0 次生 效 日 期:2010年01月06日中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA32-10第 24 页 共 24 页Linux等级保护测评作业指导书(三级)第 2 版 第 0 次修订发布日期:2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA32-10李鹏按公安部要求修订詹雄2010.3.8一、身份鉴别1. 用户身份标识和鉴别测评项编号ADT-O
2、S-LINUX-01对应要求应对登录操作系统的用户进行身份标识和鉴别。测评项名称用户身份标识和鉴别测评分项1:检查并记录R族文件的配置,记录主机信任关系操作步骤#find / -name .rhosts #find / -name .netrc #more /etc/hosts.equiv适用版本任何版本实施风险无符合性判定如果无其它计算机和用户与主机存在信任关系,判定结果为符合;如果有其它计算机和用户与主机存在信任关系,判定结果为不符合。测评分项2:查看系统是否存在空口令用户操作步骤# grep nullok /etc/pam.d/system-auth查看是否有nullok项适用版本任何版
3、本实施风险无符合性判定system-auth文件无nullok项,表示无空密码账户,判定结果为符合;system-auth文件有nullok项,表示有空密账户,判定结果为不符合。备注2. 账号口令强度测评项编号ADT-OS-LINUX-02对应要求操作系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换测评项名称账号口令强度测评分项1: 检查系统帐号密码策略操作步骤执行以下命令:cat /etc/login.defs查看以下值:PASS_MAX_DAYS 99999PASS_MIN_DAYS 0PASS_MIN_LEN 5PASS_WARN_AGE 7适用版本任何版本实施风
4、险无符合性判定口令策略设置合理,口令设置时,长度须满足至少位复杂度(数字、字母、特殊字符混合),密码至少满足个月修改一次等,即:PASS_MAX_DAYS =30 /口令至少每隔30 天更改一次PASS_MIN_LEN =8 /用户口令长度不少于8 个字符判定结果为符合;口令策略设置不合理,包括口令长度不足位,密码从不修改等情况判定结果为不符合。测评分项2:检查系统中是否存在空口令或者是弱口令操作步骤1. 利用扫描工具进行查看2. 询问管理员系统中是否存在弱口适用版本任何版本实施风险扫描可能会造成账号被锁定符合性判定根据扫描结果和管理员回答,确定系统当前可用帐户不存在空口令或弱口令(口令长度不
5、少于8 位,且复杂度很高),判定结果为符合;根据扫描结果和管理员回答,确定系统当前可用帐户存在空口令或弱口令(口令长度小于8 位且复杂度过低),判定结果为不符合;备注3. 登录失败处理策略测评项编号ADT-OS-LINUX-03对应要求应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施测评项名称登录失败处理策略测评分项1: 检查系统帐号登录失败处理策略操作步骤执行以下命令# more /etc/pam.d/system-auth查看是否存在以下参数:account required /lib/security/pam_tally.so deny=3 no_magic_ro
6、ot reset 适用版本任何版本实施风险无符合性判定系统配置了合理的登录失败处理策略,deny=3为允许尝试登录3次,判定结果为符合;系统未配置登录失败处理策略,判定结果为不符合。测评分项2:如果启用了SSH远程登录,则检查SSH远程用户登录失败处理策略操作步骤执行以下命令cat /etc/ssh/sshd_config查看MaxAuthTries 等参数。LoginGraceTime 1m 帐号锁定时间(建议为30 分钟)PermitRootLogin no#StrictModes yesMaxAuthTries 3 帐号锁定阀值(建议5 次)适用版本任何版本实施风险无符合性判定系统配置了
7、合理的登录失败处理策略,帐号锁定阀值及帐号锁定时间,判定结果为符合;系统未配置登录失败处理策略,判定结果为不符合;备注4. 远程管理方式测评项编号ADT-OS-LINUX-04对应要求当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听测评项名称检查系统远程管理方式测评分项1: 检查系统帐号登录失败处理策略操作步骤询问系统管理员,并查看开启的服务中是否包含了不安全的远程管理方式,如telnet, ftp,ssh,VNC 等。执行:#ps ef 查看开启的远程管理服务进程适用版本任何版本实施风险无符合性判定系统采用了安全的远程管理方式,如ssh;且关闭了如telnet、f
8、tp 等不安全的远程管理方式,判定结果为符合;系统的开启了telnet、ftp 等不安全的远程管理方式,判定结果为不符合。5. 账户分配及用户名唯一性测评项编号ADT-OS-LINUX-05对应要求应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性测评项名称账户分配及用户名唯一性测评分项1: 检查系统账户操作步骤执行以下命令:#cat /etc/passwd#cat /etc/shadow#cat /etc/group查看系统是否分别建立了系统专用管理帐号,以及帐号的属组情况。适用版本任何版本实施风险无符合性判定系统帐号具有帐户口令鉴别方式,系统管理使用不同的帐户,且系统
9、中不存在重名帐号,判定结果为符合;系统管理使用相同的帐户,且系统帐号存在重名情况,判定结果为不符合。6. 组合鉴别技术鉴别测评项编号ADT-OS-LINUX-06对应要求应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别测评项名称组合鉴别技术鉴别测评分项1:检查重要服务器是否采用了两种或两种以上身份鉴别方式操作步骤询问系统管理员,明确重要服务器具有何种身份鉴别方式。适用版本任何版本实施风险无符合性判定系统采用了两种以上组合的鉴别技术对管理用户进行身份鉴别,判定结果为符合;系统不采用或仅采用一种或没有采用鉴别技术对管理用户进行身份鉴别,判定结果为不符合。二、访问控制1. 检查文件访问控制策
10、略测评项编号ADT-OS-LINUX-07对应要求应启用访问控制功能,依据安全策略控制用户对资源的访问测评项名称检查访问控制策略测评分项1:检查重要配置文件或重要文件目录的访问控制操作步骤查看系统命令文件和配置文件的访问许可有无被更改例如: #ls -al /etc/shadow /etc/passwd /etc/group /etc/inittab /etc/lilo.conf /etc/grub.conf /etc/xinetd.conf /etc/crontab /etc/securetty /etc/rc.d/init.d /var/log/messages /var/log/wtmp
11、 /var/run/utmp /var/spool/cron /usr/sbin/init /etc/login.defs /etc/*.conf /sbin /bin /etc/init.d /etc/xinetd.d。适用版本任何版本实施风险无符合性判定系统内的配置文件目录 中,所有文件和子目录对组用户和其他用户不提供写权限,判定结果为符合;组用户和其他用户对配置文件目录/etc 中所有(部分)文件和子目录具有写权限,判定结果为不符合。测评分项2:检查文件初始权限操作步骤执行以下命令:#umask查看输出文件属主、同组用户、其他用户对于文件的操作权限适用版本任何版本实施风险无符合性判定um
12、ask 值设置合理,为077 或027,判定结果为符合;umask 值为默认为022,判定结果为不符合。测评分项3:检查root 帐号是否允许远程登录操作步骤查看ssh 服务配置文件是否设置登录失败处理策略,执行以下命令:cat /etc/ssh/sshd_config查看PermitRootLogin 参数适用版本任何版本实施风险无符合性判定PermitRootLogin 值为no, root 帐号不可以远程登录,判定结果为符合;PermitRootLogin 所属行被注释或值为yes,root 帐号可以远程登录,判定结果为不符合。2. 管理用户所需最小权限划分测评项编号ADT-OS-LIN
13、UX-08对应要求应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限测评项名称管理用户所需最小权限划分测评分项1:检查系统维护人员是否使用root 用户进行日常维护操作步骤询问管理员,并查看系统日志,确定哪些用户曾经以root 身份对Linux 系统进行系统维护。查看系统日志执行:#last |grep root /是否采用root 远程登录适用版本任何版本实施风险无符合性判定系统管理员在日常系统维护工作中使用专用系统管理帐户(非root 帐户)系统维护,判定结果为符合;系统管理员在日常系统维护工作中使用root 帐户系统维护,判定结果为不符合。3. 特权用户权限分离测评项编号ADT-OS-LINUX-09对应要求应实现操作系统和数据库系统特权用户的权限分离测评项名称特权用户权限分离测评分项1:检查系统帐户权限设置操作步骤询问管理员系统定义了哪些角色,是否分配给操作系统和数据库系统特权用户不同的角色适用版本任何版本实施风险无符合性判定系统为操作系统和数据库系统特权用户的设置了不同的角色,实现了权限分离,判定结果为符合;系统没有为操作系统和数据库系统特权用户分配角色,判定结果为不符合。4. 默认账户访问权限测评项编号ADT-OS-LINUX-10对应要求应限制默认帐户的访问权
