《主机安全 - Linux操作系统基线检查指导书1.0版》由会员分享,可在线阅读,更多相关《主机安全 - Linux操作系统基线检查指导书1.0版(11页珍藏版)》请在金锄头文库上搜索。
1、编号:基线检查指导书基础网络安全-Linux操作系统V1.0序号类别检査项检査方法预期结果符合情况1身份鉴别a)应对登录操作系统和数据库系统的用户进行身份 标识和鉴别;检查:1)检查操作系统管理员,询问操作系统的身 份标识和鉴别机制采用何种措施实现;2)登录操作系统,查看是否提示输入用户口 令,然后以正确口令登录系统,再以错误口 令或空口令重新登录,观察是否成功。手工检查:方法一:在root权限下,使用命令#pwdck -n ALL返回结果应为空;方法二:在root权限下,使用命令#cat /etc/passwd#cat /etc/shadow查看文件中各用户名状态,记录密码一栏为 空的用户名
2、。1)操作系统使用口令鉴别机制对用 户进行身份标识和鉴别;2)登录时提示输入用户名和口令;以 错误口令或空口令登录时提示登录 失败,验证了登录控制功能的有效 性;3)操作系统不存在密码为空的用户。b)操作系统和数据库系统管理用户身份标识应具有 不易被冒用的特点,口令应有复杂度要求并定期更 换;手工检查:1)在root权限下,使用命令#cat /etc/login.defs查看密码策略配置文件,检查是否合理正确 配置密码策略;1)启用了系统口令复杂度策略,系统 用户密码长度不小于8位,由数字、 大小写字母和特殊符号组成,并规定 了口令更换的周期;2)以不符合复杂度要求和不符合长 度要求的口令创建
3、用户时均提示失 败。序号类别检查项检查方法预期结果符合情况2)如果启用了口令复杂度函数,分别以不符 合复杂度要求和不符合最小长度要求的口 令创建用户,查看是否成功。检查:检查系统管理员,询问用户口令是否满足复 杂性要求。C)应启用登录失败处理功能,可采取结束会话、限 制非法登录次数和自动退出等措施;手工检查:1)在root权限下,使用命令#cat /etc/pam.d/system-auth查看该配置文件的内容,记录system-auth 配置文件中的登录失败处理、限制非法登录 次数和自动退出结束会话的配置项。2)测试:根据使用的登录失败处理方式,采用如下测 试方法进行测试:a)以超过系统规定
4、的非法登陆次数登录操 作系统,观察反应;b)当登录系统连接超时时,观察系统反应。1)操作系统已启用登陆失败处理、结 束会话、限制非法登录次数等措施;2)当超过系统规定的非法登陆次数 或时间登录操作系统时,系统锁定或 自动断开连接。d)当对服务器进行远程管理时,应采取必要措施, 防止鉴别信息在网络传输过程中被窃听;检查:询问系统管理员,是否采用了技术手段保证 远程管理数据进行加密传输。手工检查:1)操作系统使用SSH协议进行远程 连接;2)操作系统没有采用明文的传输协 议进行远程管理;序号类别检查项检查方法预期结果符合情况采用抓包工具,判断远程管理数据包是否是 明文。3)采用第三方管理工具保证远
5、程管 理的信息保密。e)应为操作系统和数据库系统的不同用户分配不同 的用户名,确保用户名具有唯一性。手工检查:1)应测试主要服务器操作系统, 添加一个新用户,其用户标识为系统原用户 的标识(如用户名或UID),查看是否不会 成功;2)应测试主要服务器操作系统,删除一个用 户标识,然后再添加一个新用户,其用户标 识和所删除的用户标识一样(如用户名 /UID),查看是否不能成功;检查:询问管理员系统中每个账户,查看是否存在 多人共用一个账户的情况。1)添加测试账户不会成功;2)系统不存在多人共用个账户的 情况;3)确保用户名具有唯一性。f)应采用两种或两种以上组合的鉴别技术对管理用 户进行身份鉴别
6、。检查:检查系统管理员,询问系统除用户名口令外 有无其他身份鉴别方式,如生物鉴别、令牌、 动态口令等,并手工检查。用户的认证方式选择两种或两种以 上组合的鉴别技术,只用一种技术无 法认证成功。2访问控制a)应启用访问控制功能,依据安全策略控制用户对 资源的访问;检查:检查系统管理员询问操作系统的重要文件 及目录是否根据实际环境设置了访问控制 策略。手工检查:执行命令#ls -l查询系统内重要文件是否 合理设置了访问控制策略。操作系统的重要文件及目录已根据 实际环境设置了访问控制策略。序号类别检查项检查方法预期结果符合情况b)应根据管理用户的角色分配权限,实现管理用户 的权限分离,仅授予管理用户
7、所需的最小权限;检查:要有哪些角色、每个角色的权限是否相互制 约、每个系统用户是否被赋予相应的角色。系统管理员、安全管理员、安全审计 员由不同的人员和用户担当。至少应 该有系统管理员和安全管理员,安全 审计员在有第三方审计工具时可以 不要求。c)应实现操作系统和数据库系统特权用户的权限分离;检查:结合系统管理员的组成情况,判断是否实现 了该项要求。操作系统除具有管理员账户外,至少 还有专门的审计管理员账户,且他们 的权限互斥。d)应严格限制默认帐户的访问权限,重命名系统默 认帐户,修改这些帐户的默认口令;手工检查:在root权限下,使用命令#cat /etc/passwd查看默认账户是否已更
8、名,并且是否已禁用来宾账户。默认账户已更名,来宾账户已禁用。e)应及时删除多余的、过期的帐户,避免共享帐户 的存在。手工检查:查看是否有多余的、过期的账户,避免共享 账户的存在。不存在多余、过期和共享账户。f)应对重要信息资源设置敏感标记;手工检查:1)查看操作系统功能手册或相关文档,确认 操作系统是否具备能对信息资源设置敏感 标记功能;2)询问系统管理员是否对重要信息资源设 置敏感标记。对重要信息资源已设置敏感标记。序号类别检查项检查方法预期结果符合情况g)应依据安全策略严格控制用户对有敏感标记重要 信息资源的操作。检查:女如如何划分敏感标记分类,如何设定访问 权限等。通过敏感标记设定用户对
9、重要信息 资源的访问。3安全审计a)审计范围应覆盖到服务器和重要客户端上的每个 操作系统用户和数据库用户;手工检查:1)查看系统是否开启安全审计功能,或部署 了第三方安全审计设备。系统开启了安全审计功能或部署了 第三方安全审计设备。b)审计内容应包括重要用户行为、系统资源的异常 使用和重要系统命令的使用等系统内重要的安全相 关事件;手工检查:在root权限下,查看系统日志服务#ps -ef | grep syslog,和审计服务#ps -ef | grep auditd,是否有效合理的配置了安全审计内容审计功能已开启,包括:用户的添加 和删除、审计功能的启动和关闭、审 计策略的调整、权限变更、
10、系统资源 的异常使用、重要的系统操作(如用 户登录、退出)等设置。c)审计记录应包括事件的日期、时间、类型、主体 标识、客体标识和结果等;手工检查:1)使用more命令查看审计记录文件#cat /etc/audit/auditd.conf#cat /etc/audit/audit .rules中是否准确记录日期和时间、类型、主体标 识、客体标识、事件的结果等审计记录包括事件的日期、时间、类 型、主体标识、客体标识和结果等内 容。d)应能够根据记录数据进行分析,并生成审计报表;手工检查:1)检查audit日志文件,需要根据能定期生成审计报表并包含必要审 计要素。序号类别检查项检查方法预期结果符合
11、情况syslog.conf的定义查看对应的日志文件, 确认是否记录了必要的审计要素;2)若有第二方审计工具或系统,则查看其审 计日志是否包括必要的审计要素;3)检查审计日志记录、分析、生成报表情况。e)应保护审计进程,避免受到未预期的中断;检查:检查对审计进程监控和保护的措施。对审计进程已采取相关保护措施。f)应保护审计记录,避免受到未预期的删除、修改或 覆盖等。检查:检查对审计记录监控和保护的措施。例如: 通过专用日志服务器或存储设备对审计记 录进行备份,并避免对审计记录的修改、删 除或覆盖。通过专用日志服务器或存储设备对 审计记录进行备份,并避免对审计记 录的修改、删除或覆盖。4剩余信息
12、保护a)应保证操作系统和数据库系统用户的鉴别信息所 在的存储空间,被释放或再分配给其他用户前得到完 全清除,无论这些信息是存放在硬盘上还是在内存 中;检查:1)检查产品的测试报告、用户手册或管理 手册,确认其是否具有相关功能;或由第三 方工具提供了相应功能。手工检查:在root权限下,使用命令#cat /etc/issue#cat /etc/issue. net查看是否清除系统相关信息。1)如果测试报告、用户手册或管理手 册中没有相关描述,且没有提供第三 方工具增强该功能,则该项要求为不 符合;2)若未删除系统相关信息则不符合。b)应确保系统内的文件、目录和数据库记录等资源检查:linux默认
13、会清除swap中的存储内序号类别检查项检查方法预期结果符合情况所在的存储空间,被释放或重新分配给其他用户前得 到完全清除。检查产品的测试报告、用户手册或管理手 册,确认其是否具有相关功能;或由第三方 工具提供了相应功能。容。5入侵防范a)应能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的、攻击 的时间,并在发生严重入侵事件时提供报警;检查,手工检查:1)询问系统管理员是否经常查看系统日志 并对其进行分析。2)询问是否安装了主机入侵检测软件,查看 已安装的主机入侵检查系统的配置情况,是 否具备报警功能。3)询问并查看是否有第三方入侵检测系统, 女如:IDS。具
14、备入侵检测机制,能够检测到对重 要服务器进行入侵的行为,并在发生 严重入侵事件时提供报警。b)应能够对重要程序的完整性进行检测,并在检测 到完整性受到破坏后具有恢复的措施;检查,核查:检查产品的测试报告、用户手册或管理手 册,确认其是否具有相关功能;或由第三方 工具(例如:完整性检查工具或安全防护工 具)提供了相应功能。如果测试报告、用户手册或管理手册 中没有相关描述,且没有提供第三方 工具(例如:完整性检查工具或安全 防护工具)增强该功能,则该项要求 为不符合。C)操作系统应遵循最小安装的原则,仅安装需要的 组件和应用程序,并通过设置升级服务器等方式保持 系统补丁及时得到更新。检查:1)检查系统管理员系统目前是否采取了最 小安装原则。手工检查:1)确认系统目前正在运行的服务:#service -stat us-all | grep running,查看并确认 是否已经关闭危险的网络服务如echo、1)系统安装的组件和应用程序遵循 了最小安装的原则;2)不必要的服务没有启动;3)不必要的端口没有打开;4)系统补丁先测试,再升级;补丁号 为较新版本。序号类别检查项检查方法预期结果符合情况shell、login、fing
