LINUX_操作系统安全测评指导书三级v1.0

《LINUX_操作系统安全测评指导书三级v1.0》由会员分享，可在线阅读，更多相关《LINUX_操作系统安全测评指导书三级v1.0（13页珍藏版）》请在装配图网上搜索。

1、. -操作系统平安测评指导书LINU*1概述1.1 适用围本测评指导书适用于信息系统等级为三级的主机Linu*操作系统测评。1.2说明本测评指导书基于信息系统平安等级保护根本要求的根底上进展设计。本测评指导书是主机平安对于Linu*操作系统身份鉴别、访问控制、平安审计、剩余信息保护、备份与恢复平安配置要求，对Linu*操作系统主机的平安配置审计作起到指导性作用。1.4 保障条件1) 需要相关技术人员系统管理员的积极配合2) 需要测评主机的管理员和口令3) 提前备份系统及配置文件. 优选-. -序号测评指标测评项操作步骤预期记录实际情况记录1 身份鉴别(S3)a) 应为操作系统的不同用户分配不同

2、的用户名，确保用户名具有唯一性。查看用户名与UIDcat /etc/passwd、cat /etc/shadow分别查看用户名第1列与UID第3列是否有重复项b) 应对登录操作系统的用户进展身份标识和鉴别。查看登录是否需要密码cat /etc/passwd、cat /etc/shadow所有用户具有身份标识和鉴别，用户密码栏项第2项带有*，表示登陆都需要密码验证。假设留空则表示空密码。c) 操作系统管理用户身份标识应具有不易被冒用的特点，系统的静态口令应在8位以上并由字母、数字和符号等混合组成并每三个月更换口令。查看登录配置文件cat /etc/login.defs查看密码策略配置文件(Cen

3、tOS、Fedora、RHEL 系统)cat /etc/pam.d/system-auth(Debian、Ubuntu 或 Linu* Mint 系统)cat /etc/pam.d/mon-password登录相关配置容：PASS_MA*_DAYS=90*登陆密码有效期90天PASS_MIN_DAYS=2*登陆密码最短修改时间，增加可以防止非法用户短期更改屡次PASS_MIN_LEN=7*登陆密码最小长度7位PASS_WARN_AGE=10*登陆密码过期提前10天提示修改密码策略相关配置password requisite pam_cracklib.so retry=3minlen=7 dif

4、ok=3ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1*minlen=7表示最小密码长度为7* difok=3启用3种类型符号*ucredit=-1至少1个大写字符*lcredit=-1至少1个小写字符*dcredit=-1至少1个数字字符*ucredit=-1至少1个标点字符d) 应启用登录失败处理功能，可采取完毕会话、限制登录间隔、限制非法登录次数和自动退出等措施。查看密码策略配置文件(CentOS、Fedora、RHEL 系统)cat /etc/pam.d/system-auth(Debian、Ubuntu 或 Linu* Mint 系统)cat

5、/etc/pam.d/mon-password查找：account required/lib/security/pam_tally.so deny=3 no_magic_root reset登录3次失败，则拒绝访问锁定账户。e) 主机系统应对与之相连的效劳器或终端设备进展身份标识与鉴别，当对效劳器进展远程管理时，应采取加密措施，防止鉴别信息在网络传输过程中被窃听。查看是否安装了SSH的相应包rpm aq|grep ssh或者 查看是否运行了sshd效劳，service status-all |grep sshd；如果已经安装则查看相关的端口是否翻开netstat an|grep 22；假设未使

6、用ssh方式进展远程管理，则查看是否使用了Telnet方式进展远程管理service status-all |grep running查看是否存在 Telnet效劳。已安装了SSH包.sshd效劳正在运行.采用SSH加密方式进展远程登录。由于telnet为明文传输信道，如使用telnet方式访问效劳器，应改用SSH方式替换。f) 宜采用两种或两种以上组合的鉴别技术对管理用户进展身份鉴别，例如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。访谈系统管理员，询问系统除用户名口令外有无其他身份鉴别方法，查看身份鉴别是否采用两个及两个以上身份鉴别技术的组合来进展身份鉴别如采用用户名/口令、挑战应答

7、、动态口令、PKI物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合使用*方式和*方式进展登录。2访问控制(S3)a) 应启用访问控制功能，依据平安策略控制用户对资源的访问。根据不同linu*操作系统路径，查看系统重要文件权限，检查其权限不大于664：ls l /etc/passwdls l /etc/shadowls l /etc/security/passwdls l /etc/security/login.cfgls l /ect/security/user并查看相应业务软件目录的用户及权限系统重要文件及业务软件目录权限设置均符合要求。b) 应根据管理用户的角色分配权限，

8、实现管理用户的权限别离，仅授予管理用户所需的最小权限。查看系统用户，访谈管理员是否有完整的平安策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色。系统具有完整的平安策略，系统分为*个角色：*、*、，*角色的权限为：*角色的权限为：*系统用户均被赋予相应的角色。c) 应实现操作系统特权用户的权限别离。访谈系统管理员，主机是否装有数据库，假设有，结合系统管理员的组成情况，判定是否实现了该项要求。数据库用户和操作系统用户为不同的人员和操作账号。d) 应禁用或严格限制默认的访问权限，重命名系统默认，修改这些的默认口令。查看是否限制了系统默认的访问权限，是否修改了这些

9、的默认口令：cat /etc/shadow限制了默认账号的访问权限。e) 应及时删除多余的、过期的，防止共享的存在。记录系统没有被及时删除或过期的，防止共享：cat /etc/passwd检查登录shell列第7列，非/sbin/nologin的用户，是否为多余用户。不存在多余的、过期的、共享的账户。f) 应对重要信息资源设置敏感标记。访谈系统管理员或查看相关文档，确认操作系统是否具备能对信息资源设置敏感标记功能；访谈管理员是否对重要信息资源设置敏感标记。使用系统功能或者第三方软件设置了敏感标记。g) 应依据平安策略严格控制用户对有敏感标记重要信息资源的操作。询问或查看目前的敏感标记策略的相关

10、设置，如：如何划分敏感标记分类，如何设定访问权限等。使用系统功能或者第三方软件设置了敏感标记。3平安审计(G3)a) 审计围应覆盖到效劳器和重要客户端上的每个操作系统用户和数据库用户。查看效劳进程，系统日志效劳是否启动；service syslog statusservice audit status或 service -status-all | grep running假设运行了平安审计效劳，则查看平安审计的守护进程是否正常ps ef | grep auditd。已开启系统自带的审计功能；平安审计进程运行正常。b审计容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创

11、立与变更、审计谋略的调整、审计系统功能的关闭与启动等系统重要的平安相关事件。该文件指定如何写入审查记录以及在哪里写入cat /etc/audit/audit.conf查看相关配置文件greppriv-ops/etc/audit/filter.conf grepmount-ops/etc/audit/filter.confgrepsystem-ops/etc/audit/filter.conf审计容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等重要平安相关事件。c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等，并定期备份审计记录，涉及敏感数据的记录保存时间不少于

12、半年。查看审计记录，是否包括必要的审计要素。假设有第三方审计工具或系统，则查看其审计日志是否包括必要的审计要素。查看 audit 下的相关文件cat /etc/audit/audit.conf审计记录(或第三方审计工具日志)包括必要的审计要素。d) 应能够根据记录数据进展分析，并生成审计报表。访谈并查看对审计记录的查看、分析和生成审计报表情况。 可以对数据进展分析并生成报表。e) 应保护审计进程，防止受到未预期的中断。访谈审计管理员对审计进程监控和保护的措施。使用第三方的工具对主机进展审计。f) 应保护审计记录，防止受到未预期的删除、修改或覆盖等。查看日志访问权限；ls -la/var/log

13、/audit.d访谈审计记录的存储、备份和保护的措施，如配置日志效劳器等。审计记录采取了有*措施进展保护。4剩余信息保护(S3)a) 应保证操作系统用户的鉴别信息所在的存储空间，被释放或再分配给其他使用人员前得到完全去除，无论这些信息是存放在硬盘上还是在存中。检查操作系统维护/操作手册：查看其是否明确用户的鉴别信息存储空间；被释放或再分配给其他用户前的处理方法和过程。根据linu*特性，该项符合。b) 应确保系统的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他使用人员前得到完全去除。检查操作系统维护/操作手册，系统的文件、目录等资源所在的存储空间，被释放或重新分配给其他用户

14、前的处理方法和过程。根据linu*特性，该项符合。5入侵防(G3)a) 应能够检测到对重要效劳器进展入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。访谈并查看入侵检测的措施more /var/log/secure | grep refused检查是否启用了主机防火墙、TCP SYN保护机制等设置；service iptables statussysctl -a | grep syn询问是否有第三方入侵检测系统，如IDS，是否具备报警功能。系统具有*入侵检测措施；启用的主机防火墙；安装了主机入侵检测软件或者具有第三方入侵检测系统，具有报警功能

15、。b) 应能够对重要程序的完整性进展检测，并在检测到完整性受到破坏后具有恢复的措施或在检测到完整性即将受到破坏时进展事前阻断。访谈是否使用一些文件完整性检查工具对重要文件的完整性进展检查，是否对重要配置文件进展备份。查看备份演示。对重要文件有备份，对重要程序有监控。c) 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级效劳器等方式保持系统补丁及时得到更新。访谈系统管理员系统目前是否采取了最小安装原则；确认系统目前正在运行的效劳，service -status-all | grep running查看并确认是否已经关闭危险的网络效劳，如：echo、shell、login、

16、finger、r命令 等关闭非必须的网络效劳，如：talk、ntalk、pop-2、sendmail、imapd、pop3d 等；访谈补丁升级机制，查看补丁安装情况。rpm -qa | grep patch采取了最小安装原则；系统运行的效劳均为平安效劳；采取了*补丁升级机制。6恶意代码防(G3)a) 应安装国家平安部门认证的正版防恶意代码软件，对于依附于病毒库进展恶意代码查杀的软件应及时更新防恶意代码软件版本和恶意代码库，对于非依赖于病毒库进展恶意代码防御的软件，如主动防御类软件，应保证软件所采用的特征库有效性与实时性，对于*些不能安装相应软件的系统可以采取其他平安防护措施来保证系统不被恶意代

17、码攻击。查看系统中安装了什么防病毒软件。询问管理员病毒库是否经常更新。查看病毒库的最新版本更新日期是否超过一个星期。安装了*防病毒软件；经常更新防病毒软件的病毒库；病毒库为最新版本。b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库，病毒库是否不同。网络防病毒软件采用*病毒库；主机防病毒软件采用*病毒库。c) 应支持防恶意代码的统一管理。询问系统管理员是否采用统一的病毒库更新策略和查杀策略。对病毒库采用统一的更新策略；对防病毒软件采用统一的查杀策略。d) 应建立病毒监控中心，对网络计算机感染病毒的情况进展监控。检查

18、网络防恶意代码产品，查看厂家、版本号和恶意代码库名称产品对网络各计算机均进展监控。7资源控制(A3)a) 应通过设定终端接入方式、网络地址围等条件限制终端登录。 查看linu*置防火墙规则iptables -L -n查看在/etc/hosts.deny中是否有sshd:all:deny，制止所有请求；/etc/hosts.allow中是否有如下类似设置：设定了终端接入方式、网络地址围通过*主机防火墙、网络防火墙、路由器等限制了终端登录。如果部署了终端管理系统，也可以通过终端管理系统控制终端接入效劳器操作系统。b) 应根据平安策略设置登录终端的操作超时锁定。查看登录该效劳器的终端是否设置了超时策

19、略：cat /etc/ssh/sshd_config查看是否设置了ClientAliveInterval超时响应间隔和ClientAliveCountMa*超时响应次数 查看用户配置文件/etc/profile检查其中timeout值的设置设定了900秒超时锁定。c) 应对重要效劳器进展监视，包括监视效劳器的CPU、硬盘、存、网络等资源的使用情况。访谈系统管理员，询问系统上是否装有第三方主机监控软件或自制的监控脚本；运行这些软件或脚本；如果有相关文档记录也可参阅。安装了第三方主机监控软件或自制监控脚本；对效劳器的CPU、硬盘、存、网络等资源的使用情况进展有效监控。d) 应限制单个用户对系统资源

20、的最大或最小使用限度。参看相关配置文件中设置的最大进程数cat /etc/security/limits.conf参数 nproc 可以设置最大进程数。设置了最大进程数。e) 应定期对系统的性能和容量进展规划，能够对系统的效劳水平降低到预先规定的最小值进展检测和报警。了解系统的资源分配情况，查看各个分区磁盘占用情况，询问管理员日常如何监控系统效劳水平；假设有第三放监控程序，询问并查看它是否有相关功能。系统账户的资源分配情况为*；各个分区磁盘占用情况为*；通过*方式监控系统效劳水平；第三方监控程序的相关功能为*。f) 所有的效劳器应全部专用化，不使用效劳器进展收取、浏览互联网操作。访谈管理员，询问效劳器是否有浏览、互联网等其他业务。效劳器专用化，不进展、浏览互联网的操作。教育之通病是教用脑的人不用手，不教用手的人用脑，所以一无所能。教育革命的对策是手脑联盟，结果是手与脑的力量都可以大到不可思议。. 优选-