收藏
下载资源

b1-4 linux核查表(模板)

上传人:第*** 文档编号:31321642 上传时间:2018-02-06 格式:DOCX 页数:15 大小:171.63KB
返回 下载 相关 举报
b1-4 linux核查表(模板)_第1页
第1页 / 共15页
b1-4 linux核查表(模板)_第2页
第2页 / 共15页
b1-4 linux核查表(模板)_第3页
第3页 / 共15页
b1-4 linux核查表(模板)_第4页
第4页 / 共15页
b1-4 linux核查表(模板)_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《b1-4 linux核查表(模板)》由会员分享,可在线阅读,更多相关《b1-4 linux核查表(模板)(15页珍藏版)》请在金锄头文库上搜索。

1、编号: B1-4Linux 核查表*信息系统委托单位: *报告日期: 年 月(本页空白)声 明1、本报告是第三方独立测评机构在对委托单位信息系统进行资料分析、现场核查与测试的基础上得出的客观评估结果。2、本报告的评估结果仅对测试时间段内信息系统现有的状况有效,测试后系统出现任何变更时,本报告结果不再适用。3、本报告是针对信息系统及其构件使用的正确性和有效性进行测试和评估,本报告结论不能作为对系统内相关产品的结论。4、考虑到测评工作的时间、范围限制,以及测试技术的局限性,信息系统可能仍存在未发现的安全风险。5、本报告版权属中国信息安全测评中心。任何个人、机构未经中国信息安全测评中心的书面授权许可

2、,不得以任何方式复制或引用本文件的任何片断。6、本报告一式三份,一份交委托单位,两份留存本中心。(盖章) 二*年*月(本页空白)报告基本信息委托单位信息单位名称单位地址联系人 电话E-Mail 传真评估单位信息单位名称联系地址 邮编电话 (010)82341588联系人电话 (010)82341598传真组 长测试组组 员测试日期报告审批信息批 准 人年 月 日(本页空白)目 录LINUX 核查表单 .1*信息系统 .1LINUX 核查表单 .2Linux 核查表测试项 基本要求 测试子项 测试内容 测试方法 预期结果 结果记录 判定应对登录操作系统的用户进行身份标识和鉴别检查系统登录是否需要

3、密码登陆系统是否需要密码awk -F: ($2 = !) print $1 /etc/shadow,查看返回是否有账户为空密码存在不能为空 登录需要密码 符合口令复杂度用户口令复杂度要求,查看/etc/pam.d/system-auth文件参数在 pam_cracklib.so 后面是否存在参数password requisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1设置值存在 retry=3,其他参数未设置不符合操作系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换口令定

4、期更换用户口令期限以及长度限制,查看/etc/login.defs 的参数配置查看/etc/login.defs 的是否存在以下参数:PASS_MAX_DAYS 30PASS_MIN_DAYS 7PASS_MIN_LEN 8PASS_WARN_AGE 15设置值存在PASS_MAX_DAYS99999PASS_MIN_DAYS 0PASS_MIN_LEN 5PASS_WARN_AGE 7不符合登录失败措施检查登陆失败一定次数后自动锁定,查看/etc/pam.d/system-auth配置参数查看/etc/pam.d/system-auth 文件中是否有如下两行:auth required /l

5、ib/security/pam_tally.so onerr=fail no_magic_root account required /lib/security/pam_tally.so deny=3 no_magic_root reset存在配置参数 未配置不符合应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施限制 root 只能在系统控制台登陆检测 root 用户只能在控制台登陆检查/etc/securetty 是否仅包含console、vc/*和 tty*(这里*代表数字),检查/etc/securetty 的所有者和权限是否分别为 root 和 400设置值存在

6、 root 允许远程直接登录不符合telnet 禁用尝试使用 telnet 连接,登陆查看是否有telnet 服务启动,或 iptable 防火墙拒绝 telnet 端口telnet 服务已关闭 已关闭符合当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听远程管理服务数据传输安全ssh 版本是否为 ssh2查看 ssh 版本,是否为最新,ssh1 存在安全漏洞,不可靠ssh 版本为2.0 及以上SSH-1.99-OpenSSH_3.9p1不符合身份鉴别应为操作系统不同用户分配不同的用户名,确应用和操作系统用户权限查看以开放应用账户权限是否和操作系统权限套用如数据库账户

7、和 ftp 账户都不可以使用系统账户 root,检测需要管理配合查看各个应用账户不存在应用账号与系统管理账号共用不存在应用账号与系统管理账号共用符合测试项 基本要求 测试子项 测试内容 测试方法 预期结果 结果记录 判定保用户名具有唯一性 非法账户是否存在可利用非法账户使用 grep +: /etc/passwd /etc/shadow /etc/group 命令查看是否存在黑客可利用的“+”的条目不存在“+”条目 不存在“+”条目不符合应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限重要文件权限检查检查带setuid 和setgid 位文件检查带 setui

8、d 和 setgid 位文件,使用如下指令:#find / -perm -02000,查看除这些/usr/libexec/utempter/utempter/usr/lib/vte/gnome-pty-helper/usr/sbin/lockdev/usr/sbin/sendmail.sendmail/usr/bin/screen/usr/bin/crontab/usr/bin/lockfile/usr/bin/ssh-agent/usr/bin/locate/usr/bin/write/usr/bin/wall/proc/3713/task/3713/fd/4/proc/3713/fd/4/

9、sbin/netreport 文件外是否还存在自定义的二进制脚本,需管理员配合无可疑文件权限list of guid fle /opt/ora10g/product/102/bin/emtgtctl2/opt/ora10g/product/102/bin/oracle/opt/ora10g/product/102/bin/nmo/opt/ora10g/product/102/bin/nmb/opt/ora10g/product/102/bin/oradism/usr/bin/ssh-agent/usr/bin/screen/usr/bin/konsole/usr/bin/write/usr/b

10、in/wall/usr/bin/crontab/usr/bin/locate/usr/bin/lockfile/usr/lib/vte/gnome-pty-helper/usr/libexec/utempter/utempter/usr/sbin/sendmail.sendmail/usr/sbin/lockdev/sbin/netreport符合测试项 基本要求 测试子项 测试内容 测试方法 预期结果 结果记录 判定/usr/bin/at/usr/bin/Xorg/usr/bin/newgrp/usr/bin/passwd/usr/bin/rlogin/usr/bin/chfn/usr/bi

11、n/chsh/usr/bin/rcp/usr/bin/sudo/usr/kerberos/bin/ksu/lib/dbus-1/dbus-daemon-launch-helper/proc/3757/task/3757/fd/4/proc/3757/fd/4/sbin/mount.nfs/sbin/unix_chkpwd/sbin/umount.nfs4/sbin/umount.nfs/sbin/pam_timestamp_check/sbin/mount.nfs4/bin/umount/bin/ping6/bin/su/bin/ping/bin/mount,是否存在自定义,需管理员配合无可疑

12、文件权限list of suid fle /bin/mount/bin/ping/bin/ping6/bin/su/bin/umount/lib/dbus-1/dbus-daemon-launch-helper/opt/ora10g/product/102/bin/emtgtctl2/opt/ora10g/product/102/bin/extjob/opt/ora10g/product/102/bin/oracle/opt/ora10g/product/102/bin/nmo/opt/ora10g/product/102/bin/nmb/opt/ora10g/product/102/bin/

13、oradism/opt/ORCLfmap/prot1_32/bin/fmputlhp/usr/bin/sudoedit/usr/bin/chage/usr/bin/gpasswd/usr/bin/rsh/usr/bin/chfn/usr/bin/Xorg/usr/bin/rcp/usr/bin/crontab/usr/bin/staprun/usr/bin/kgrantpty/usr/bin/kpac_dhcp_helper符合测试项 基本要求 测试子项 测试内容 测试方法 预期结果 结果记录 判定/usr/bin/at/usr/bin/sudo/usr/bin/chsh/usr/bin/ne

14、wgrp/usr/bin/passwd/usr/bin/rlogin/usr/lib/nspluginwrapper/plugin-config/usr/libexec/openssh/ssh-keysign/usr/sbin/suexec/usr/sbin/ccreds_validate/usr/sbin/userhelper/usr/sbin/usernetctl/usr/kerberos/bin/ksu/sbin/umount.nfs4/sbin/mount.nfs/sbin/pam_timestamp_check/sbin/mount.nfs4/sbin/unix_chkpwd/sbin/umount.nfs关键账号文件保护关键账号密码文件权限最小限制检查 passwd、shadow 和 group 文件的权限检查 passwd shadow、 group 文件的归属是否属于 root;passwd 和 group 的权限是否为 644;group 的权限是否为400文件权限正常属主均为 root,权限 passwd 和 group的权限为644;shadow 的权限为 400符合应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令默认账号检查 默认账户检查 以 root 身份登录,查看/etc/passwd 文件默认账户除过

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号