操作系统评估检查表LINUX 安全审核被审核部门 审核人员 审核日期 配合人员 序号 审核项目 审核步骤/ 方法 审核结果 补充说明 改进建议1 操作系统安装过程 检查操作系统安装过程是否遵循安全策略2 操作系统口令安全策略 检查操作系统口令是否满足安全策略要求3用户帐号设置 1、执行:more /etc/passwd查看是否存在以下可能无用的帐号:adm / lp / sync / shutdown / halt / news / uucp / operator / games / gopher同时应该检查是否对所有用户授予了合理的 shell2、检查 /etc/passwd 文件属性设置是否为 6443、检查 /etc/shadow 文件属性设置是否为 6004用户组设置 1、执行:more /etc/group检查用户组的设置情况,查看是否存在以下可能无用的用户组:adm / lp / news / uucp / operator / games / gopher2、查看/etc/gshadow 的文件属性是否为 700 LINUX 安全审核被审核部门 审核人员 审核日期 配合人员 序号 审核项目 审核步骤/ 方法 审核结果 补充说明 改进建议5用户口令设置 询问管理员是否存在如下类似的简单用户密码配置,比如:root/roottest/testroot/root12342、执行:more /etc/login.defs ,检查是否存在PASS_MIN_LEN 5 或 PASS_MIN_LEN 8 配置行6Root 用户的登陆控制台限制执行:more /etc/securetty检查所有没有被注释掉的 tty,这些控制台 root 可以直接登陆。
7重要目录和文件的权限设置检查以下目录和文件的权限设置情况:/etc//etc/rc.d/init.d//tmp/etc/inetd.conf 或者 /etc/xinet.d//etc/passwd/etc/shadow/etc/securietty/etc/services/etc/rc.local LINUX 安全审核被审核部门 审核人员 审核日期 配合人员 序号 审核项目 审核步骤/ 方法 审核结果 补充说明 改进建议8文件系统的mount 控制执行:/etc/fstab 查看文件系统的 mount 控制情况9任何人都有写权限的文件和目录在系统中定位任何人都有写权限的文件和目录用下面的命令:[root@linux]# find / -type f \( -perm -2 –o –perm –20 \) –exec ls –lg {} \;[root@linux]# find / -type d \( -perm -2 –o –perm –20 \ ) –exec ls –ldg {} \;10没有属主的文件定位系统中没有属主的文件用下面的命令:[root@linux]# find / -nouser -o -nogroup注意:不用管“/dev”目录下的那些文件。
11异常隐含文件 在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用“ls”命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等) 在 UNIX 下,一个常用的技术就是用一些特殊的名,如:“…” 、 “.. ”(点点空格)或“..^G ”(点点 control-G) ,来隐含文件或目录用“find”程序可以查找到这些隐含文件例如: LINUX 安全审核被审核部门 审核人员 审核日期 配合人员 序号 审核项目 审核步骤/ 方法 审核结果 补充说明 改进建议# find / -name “.. “ –print –xdev# find / -name “…*” –print –xdev | cat –v同时也要注意象“.xx”和“.mail”这样的文件名的 (这些文件名看起来都很象正常的文件名)12inetd 或 xinetd中基本网络服务配置检查/etc/inetd.conf 文件中的基本的网络服务的开启或禁止情况或者检查/etc/xinetd.d/目录下的相关服务配置文件。
13TCP_WRAPPERS 访问列表设置查看/etc/hosts.deny & /etc/hosts.allow 文件中的访问控制配置14R 系列服务命令控制如果系统允许 R 系列服务命令的使用,则应该查看所有的.rhosts 文件建议执行下面的命令定位系统中的“.rhosts”文件:# find / -name .rhosts -print并且需要查看这些.rhosts 文件中是否存在 + + 配置15 NFS 服务配置 执行:more /etc/export检查文件中对于 NFS 共享的权限控制 LINUX 安全审核被审核部门 审核人员 审核日期 配合人员 序号 审核项目 审核步骤/ 方法 审核结果 补充说明 改进建议16常规网络服务 询问管理员或执行以下操作检查系统运行那些常规网络服务,并记录各类服务的服务系统软件类型和版本,对于运行的服务,提取相关配置文件信息:telnet 0 80telnet 0 25telnet 0 110telnet 0 143telnet 0 443telnet 0 2117cron 行为审核 查看所有的 cron 任务在/var/spool/cron/crontabs 文件中你可以找到它们。
同时需要查看是否配置了审核,执行:more /etc/default/cron确认存在如下内容CRONLOG=YES18root 用户的登陆审核执行:more /etc/default/login确认其中存在如下内容:SYSLOG=YES LINUX 安全审核被审核部门 审核人员 审核日期 配合人员 序号 审核项目 审核步骤/ 方法 审核结果 补充说明 改进建议19login 行为的记录查看是否有 /var/adm/loginlog 文件20syslog.conf 配置主要查看/etc/syslog.conf 配置文件中是否设置了loghost,需要提取/etc/syslog.conf 文件的所有配置信息21通过 inetd 启动的 TCP 服务的日志记录执行:more /etc/init.d/inetsvc确认其中存在如下内容(一般在该文件最后 )/usr/sbin/inetd –s –t &22 LILO 设置 执行:more /etc/lilo.conf检查 lilo 的安全设置情况23TCP SYN Cookie 保护执行:more /proc/sys/net/ipv4/tcp_syncookies查看输出内容是否为:124Control-Alt-Delete 关机热键执行:more /etc/inittab检查是否已经将 ca::ctrlaltdel:/sbin/shutdown –t3 –r now 配置信息行注释掉了。
即:#ca::ctrlaltdel:/sbin/shutdown –t3 –r now。