《Linux测评指导书》由会员分享,可在线阅读,更多相关《Linux测评指导书(30页珍藏版)》请在金锄头文库上搜索。
1、Linux 操作系统测评指导书测评测评项测评实施过程预期结果结果记录指标a) 应对采用查看方式 , 在 root 权限下 , 使用命令 more、cat 或vi 查看没有密码为空的用户记录:登录操/etc/passwd 和/etc/shadow 文件中各用户名状态。名。/etc/passwd 、作系统1)以root 身份登录 Linux 。/etc/shadow 文件中密码一和数据2)查看 Linux 密码文件内容。栏为空的用户名。库系统#cat /etc/passwd的用户root:x:0:0:root:/root:/bin/bash身份进行身bin:x:1:1:bin:/bin:/sbin
2、/nologin鉴别份标识daemon:x:2:2:daemon:/sbin:/sbin/nologin和鉴adm:x:3:4:adm:/var/adm:/sbin/nologin别;lp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin#cat etc/shadowr
3、oot:$1$crpkUkzg$hLl/dYWmlwY4J6FqSG2jS0:14296:0:99999:7:bin:*:14296:0:99999:7:b) 操作1)以root 身份登录进入 Linux 。登录密码有效期为 90记录:系统和2)查看文件内容。天、登录密码修改时间检查方法中列出了与数据库#more /etc/login.defs为3天、密码最小长度为/etc/login.defs文件中用系统管PASS_MAX_DAYS 90登#录密码有效期 90天8位、登录密码过期提示户密码相关的一些安全属理用户PASS_MIN_DAYS 0 登#录密码最短修改时间,增加可以防为7天、登录错误
4、时,等性的推荐值。记录内容包身份标止非法用户短期更改多次待时间为 10秒等,登录括PASS_MAX_DAYS、识应具PASS_MIN_LEN 8 登#录密码最小长度 8位错误记录到日志、限制PASS_MIN_DAYS、有不易PASS_WARN_AGE 登7#录密码过期提前 7天提示修改超级用户管理日志、限PASS_MIN_LEN等。被冒用FAIL_DELAY 10 #登录错误时,等待时间 10秒制超级用户组管理日的特FAILLOG_ENAB yes #登录错误记录到日志志、私用 MD5为密码的加点,口SYSLOG_SU_ENAB yes当#限制超级用户管理日志时使用密方法等。令应有SYSLOG
5、_SG_ENAB yes当#限制超级用户组管理日志时使用复杂度MD5_CRYPT_ENAB yes当#使用 md5为密码的加密方法时使用要求并定期更换;c) 应启1)以root 身份登录进入 Linux 。用户可尝试登录 5次, 5记录:用登录2)查看文件内容:次之后,若登录失败,etc/pam.d/system-auth 文失败处#cat /etc/pam .d/system-auth则拒绝该用户访问。件中是否存在 account理功#%pam-1.0required能,可# This file is auto-generated./lib/security/pam_tally采取结# Us
6、er changes will be destroyed the next time.so deny=5 no_magic_root束会authconfig is run.reset话、限auth required pam_env.so制非法auth sufficient pam_unix.so nullok try_first_pass登录次auth requisite pam_succeed_if.so uid = 500 quiet数和自auth required pam_deny.so动退出account required pam_unix.so等措account sufficient
7、pam_secceed_if.so uid = 500 quiet施;account required pam_permit.sopassword requisite pam_cracklib.so try_first_passretry = 3password sufficient pam_unix.so md5 shadow nulloktry_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revokesession required pam_limits.sosessi
8、on success=1 default=ignore pam_succeed_if.soservice in crond quiet use_uidsession required pam_unix.soaccount required /lib/security/pam_tally.so deny = 5no_magic_root resetd) 当对1)以root 身份登录进入 Linux 。已安装 SSH的相应包,并记录被测服务器使用何种服务器2)首先查看是否安装 SSH的相应包:运行了 sshd服务,打开远程登录方式。如:“使进行远#rpm -aq|grep ssh的了 22端口,使
9、用了 SSH用SSH远程登录方式”。若程管理或查看是否运行了 sshd服务:方式进行远程管理,未被测服务器同时开启了时,应#service -status-all | grep sshd使用 Telnet 方式进行远Telnet 服务和 SSH服务,则采取必3)如果安装则查看相关的端口是否打开:程管理。不存在 Telnet同时记录。要措#netstat -an|grep :22服务。若服务器不接受远程管施,防4)若未使用 SSH方式进行远程管理,则查看是否使用了理,则无需记录此项内止鉴别Telnet 方式进行远程管理。容。信息在#service -status-all |grep runnin
10、g查看是否存在网络传Telnet 服务。输过程中被窃听;e) 应为1)以root 身份登录进入 Linux 。操作系统的不同用户,记录 /etc/passwd 文件中有操作系2)查看文件内容。具有不同的用户名,不相同用户名的账户。统和数#cat /etc/passwd存在多个用户共用一个据库系root:x:0:0:root:/root:/bin/bash账户的情况。统的不bin:x:1:1:bin:/bin:/sbin/nologin同用户daemon:x:2:2:daemon:/sbin:/sbin/nologin分配不adm:x:3:4:adm:/var/adm:/sbin/nologin
11、同的用lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin户名,sync:x:5:0:sync:/sbin/bin/sync确保用shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown户名具halt:x:7:0:halt:/sbin:/sbin/halt有唯一mail:x:8:12:mail:/var/spool/mail:/sbin/nologin性。这里 UID为 0的用户必须只有一个。f) 应采访谈系统管理员,询问系统有没有做加固,除口令之外有系统使用令牌或证书失若有出用户名 / 口令外的其用两种无其他身份鉴别方式,如是否使用
12、令牌等,并对其进行验效了双因子鉴别。他鉴别方法,则记录这种或两种证。方法,否则记录“只适用以上组用户名 / 口令”。合的鉴别技术对管理用户进行身份鉴别。访问a) 应启1)以root 身份登录进入 Linux 。重要文件和目录的权限文件权限:记录权限存在控制用访问2)使用“ ls l 文件名”命令,查看重要文件和目录权设置合理。重要文件和问题的目录或文件。如:控制功限设置是否合理,如:目录的权限未被修改“/etc/passwd 文件权限为能,依#ls -l /etc/passwd #744。应重点查看以下文件和目录权过。666”。据安全限是否被修改过。默认共享:记录默认共享策略控/etc/at.allow是否开启。制用户/etc/at.deny对资源/etc/audit/*的访/etc/cron.allow问;/etc/cron.d/*/etc/cron.daily/*/etc/cron.deny/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly/*/etc/crontab/etc/group/etc/gshadow/
