《28SGISLOPSA3810AIX等级保护测评作业指导书》由会员分享,可在线阅读,更多相关《28SGISLOPSA3810AIX等级保护测评作业指导书(17页珍藏版)》请在金锄头文库上搜索。
1、.控制编号: SGISL/OP-SA38-10信息安全等级保护测评作业指导书AIX 主机(三级)版号:第 2版修改次数:第 0次生效日期:2010年01月06日中国电力科学研究院信息安全实验室.下载可编辑 .下载可编辑 .修改页版号 /修订号控制编号 修改人 修订原因 批准人 批准日期 备注章节号1SGISL/OP-S郝增帅按公安部要求修订詹雄2010.3.8A38-10.下载可编辑 .一、身份鉴别1. 用户身份标识和鉴别测评项编号ADT-OS-AIX-01 对应要求应对登录操作系统的用户进行身份标识和鉴别。测评项名称用户身份标识和鉴别测评分项 1:检查并记录 R族文件的配置,记录主机信任关系
2、#find / -name .rhosts对每个 .rhosts 文件进行检#find / -name .netrc对 .netrc文件进行检操作步骤#more /etc/hosts.equiv适用版本任何版本实施风险无如果不存在信任关系或存在细粒度控制的信任关系,判定结果为符合;符合性判定如果存在与任意主机任意用户的信任关系,判定结果为不符合。测评分项2:查看系统是否存在空口令用户# more /etc/security/passwd检查空口令帐号,操作步骤适用版本任何版本实施风险无/etc/security/passwd中所有密码位不为空,判定结果为符合;符合性判定/etc/securit
3、y/passwd中所存在密码位为空,判定结果为不符合。备注2. 账号口令强度操作系统管理用户身份标识应具有不易被冒用测评项编号ADT-OS-AIX-02对应要求的特点,口令应有复杂度要求并定期更换测评项名称账号口令强度测评分项1: 检查系统帐号密码策略执行以下命令:操作步骤.下载可编辑 .#more /etc/security/user记录 Default规则 , 以及各用户配置的规则,重点关注:minlen 口令最短长度minalpha 口令中最少包含字母字符个数minother 口令中最少包含非字母数字字符个数loginretries连续登录失败后锁定用户适用版本任何版本实施风险无密码要求
4、8位以上字母、数字、非字母组合, 判定结果为符合;符合性判定8, 判定结果为不符合;密码要求位以下或未要求字母、数字、非字母组合测评分项2:检查系统中是否存在空口令或者是弱口令1. 利用扫描工具进行查看2. 询问管理员系统中是否存在弱口令3. 手工尝试密码是否与用户名相同操作步骤适用版本任何版本实施风险扫描可能会造成账号被锁定系统中不存在弱口令账户,判定结果为符合;符合性判定系统中存在弱口令账户,判定结果为不符合;备注3. 登录失败处理策略测评项编号ADT-OS-AIX-03 对应要求应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施测评项名称登录失败处理策略测评分项 1
5、: 检查系统帐号登录失败处理策略执行以下命令#more /etc/security/user记录 Default 规则 , 以及各用户配置的规则检查 loginretries值#more /etc/security/login.cfg操作步骤检查 loginreenable值(端口锁定解锁时间)logindelay (失败登录后延迟时间)适用版本任何版本.下载可编辑 .实施风险无系统配置了合理的帐号锁定阀值及失败登录间隔时间,判定结果为符合;符合性判定系统未配置登录失败处理策略,判定结果为不符合;测评分项2:如果启用了SSH远程登录,则检查SSH远程用户登录失败处理策略执行以下命令cat /e
6、tc/sshd_config查看 MaxAuthTries等参数。LoginGraceTime 1m 帐号锁定时间(建议为 30 分钟)操作步骤PermitRootLogin noMaxAuthTries 3 帐号锁定阀值(建议5 次)适用版本任何版本实施风险无系统配置了合理的登录失败处理策略,帐号锁定阀值及帐号锁定时间,判定结果符合性判定为符合;系统未配置登录失败处理策略,判定结果为不符合;备注4. 远程管理方式当对服务器进行远程管理时,应采取必要措施,测评项编号ADT-OS-AIX-04对应要求防止鉴别信息在网络传输过程中被窃听测评项名称检查系统远程管理方式测评分项1: 检查系统帐号登录失
7、败处理策略询问系统管理员,并查看开启的服务中是否包含了不安全的远程管理方式,如telnet, ftp,ssh,VNC等。执行: #ps ef查看开启的远程管理服务进程操作步骤执行: #netstat -a查看开启的远程管理服务端口适用版本任何版本实施风险无系统采用了安全的远程管理方式,如ssh ;且关闭了如 telnet、 ftp等不安全的符合性判定远程管理方式,判定结果为符合;系统的开启了telnet、 ftp等不安全的远程管理方式,判定结果为不符合。.下载可编辑 .5. 账户分配及用户名唯一性应为操作系统和数据库系统的不同用户分配不测评项编号ADT-OS-AIX-05对应要求同的用户名,确
8、保用户名具有唯一性测评项名称账户分配及用户名唯一性测评分项1: 检查系统账户执行以下命令:#cat /etc/passwd#cat /etc/security/passwd#cat /etc/group查看 UID是否唯一操作步骤查看系统是否分别建立了系统专用管理帐号,以及帐号的属组情况。适用版本任何版本实施风险无系统管理使用不同的帐户,且系统中不存在重名帐号,UID唯一,判定结果为符符合性判定合;系统管理使用相同的帐户,系统帐号存在重名情况,UID不唯一,判定结果为不符合。6. 双因子身份鉴别测评项编号ADT-OS-HPUX-0对应要求应采用两种或两种以上组合的鉴别技术对管理5用户进行身份鉴
9、别测评项名称双因子身份鉴别测评分项1: 检查系统双因子身份鉴别询问系统管理员, 系统是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。如:帐户 / 口令鉴别,生物鉴别、认证服务器鉴别。操作步骤适用版本任何版本实施风险无系统采用双因子身份鉴别,判定结果为符合;符合性判定系统未采用双因子身份鉴别,判定结果为不符合。二、访问控制1. 检查文件访问控制策略应启用访问控制功能,依据安全策略控制用户测评项编号ADT-OS-AIX-06对应要求对资源的访问测评项名称检查访问控制策略.下载可编辑 .测评分项1:检查重要配置文件或重要文件目录的访问控制操作步骤查看系统命令文件和配置文件的访问许可有无被
10、更改例如:#ls -al /usr/etc /etc/security/* /etc/security/passwd/etc/group/etc/passwd /etc/inetd.conf /var/spool/cron/crontabs/* /etc/securetty /sbin/rc*.d/ /etc/login.defs /etc/*.conf适用版本任何版本实施风险无系统内的配置文件目录 中,所有文件和子目录对组用户和其他用户不提供写权限,判定结果为符合;符合性判定组用户和其他用户对配置文件目录 /etc 中所有(部分)文件和子目录具有写权限,判定结果为不符合。测评分项2:检查文件初始权限执行以下命令:#umask查看输出文件属主、同组用户、其他用户对于文件的操作权限操作步骤适用版本任何版本实施风险无umask 值设置合理,为077 或 027,判定结果
