LINU_操作系统安全测评指导书(三级)

操作系统安全测评指导书
LINUX
1 概述
1.1 适用范围
本测评指导书适用于信息系统等级为三级的主机Linux 操作系统测评。

1.2 说明
本测评指导书基于《信息系统安全等级保护根本要求》的根底上进展设计。

本测评指导书是主机安全对于Linux 操作系统身份鉴别、访问把握、安全审计、剩余信息保护、备份与恢复安全配置要求，对Linux 操作系统主机的安全配置审计作起到指导性作用。

1.4 保障条件
1)需要相关技术人员〔系统治理员〕的乐观协作
2)需要测评主机的治理员帐户和口令
3)提前备份系统及配置文件
第2 页/共10 页
序号测评指标测评项操作步骤预期记录实际状况记录
1 身份鉴别(S3) a)应为操作系统的不同用户安
排不同的用户名，确保用户名具
有唯一性。

b)应对登录操作系统的用户进
展身份标识和鉴别。

查看用户名与UID
cat /etc/passwd、
cat /etc/shadow
查看登录是否需要密码
cat /etc/passwd、
cat /etc/shadow
分别查看用户名〔第1 列〕与UID
〔第3 列〕是否有重复项
全部用户具有身份标识和鉴别，用
户密码栏项〔第2 项〕带有X，表
示登陆都需要密码验证。

假设留空
则表示空密码。

序号测评指标测评项操作步骤预期记录实际状况记录
c)操作系统治理用户身份标识应具有不易被冒用的特点，系统的静态口令应在8 位以上并由字母、数字和符号等混合组成并每三个月更换口令。

①查看登录配置文件
cat /etc/login.defs
②查看密码策略配置文件
(CentOS、Fedora、RHEL 系统)
cat /etc/pam.d/system-auth
(Debian、Ubuntu 或Linux Mint 系统)
cat /etc/pam.d/common-password
①登录相关配置内容：
PASS_MAX_DAYS=90
#登陆密码有效期90 天
PASS_MIN_DAYS=2
#登陆密码最短修改时间，增加可
以防止非法用户短期更改屡次
PASS_MIN_LEN=7
#登陆密码最小长度7 位
PASS_WARN_AGE=10
#登陆密码过期提前10 天提示修改
②密码策略相关配置
password requisite pam_cracklib.so
retry=3 minlen=7 difok=3 ucredit=-
1 lcredit=-1 dcredit=-1 ocredit=-1
#“minlen=7”表示最小密码长度为
7
# “difok=3”启用3 种类型符号
#“ucredit=-1”至少1 个大写字符
# “lcredit=-1”至少1 个小写字符
#“dcredit=-1”至少1 个数字字符
#“ucredit=-1”至少1 个标点字符
序号测评指标测评项
d)应启用登录失败处理功能，
可实行完毕会话、限制登录间
隔、限制非法登录次数和自动退
出等措施。

e)主机系统应对与之相连的效
劳器或终端设备进展身份标识
与鉴别，当对效劳器进展远程治
理时，应实行加密措施，防止鉴
别信息在网络传输过程中被窃
听。

f)宜承受两种或两种以上组合
的鉴别技术对治理用户进展身
份鉴别，例如以密钥证书、动态
口令卡、生物特征等作为身份鉴
别信息。

操作步骤
查看密码策略配置文件
(CentOS、Fedora、RHEL 系统)
cat /etc/pam.d/system-auth
(Debian、Ubuntu 或Linux Mint 系统)
cat /etc/pam.d/common-password
①查看是否安装了SSH 的相应包
rpm –aq|grep ssh
或者查看是否运行了sshd 效劳，
service –status-all |grep sshd；
②假设已经安装则查看相关的端口是
否翻开
netstat –an|grep 22；
③假设未使用ssh 方式进展远程治理，
则查看是否使用了Telnet 方式进展远
程治理
service status-all |grep running
查看是否存在Telnet 效劳。

访谈系统治理员，询问系统除用户名口
令外有无其他身份鉴别方法，查看身份
鉴别是否承受两个及两个以上身份鉴
别技术的组合来进展身份鉴别〔如承受
用户名/口令、挑战应答、动态口令、
PKI 物理设备、生物识别技术和数字证
书方式的身份鉴别技术中的任意两个
组合〕
预期记录
查找：account required
/lib/security/pam_tally.so deny=3
no_magic_root reset
登录3 次失败，则拒绝访问锁定账
户。

已安装了SSH 包.sshd 效劳正在运
行.承受SSH 加密方式进展远程登
录。

由于telnet 为明文传输信道，
如使用telnet 方式访问效劳器，应
改用SSH 方式替换。

使用xxx 方式和xxx 方式进展登
录。

实际状况记录
序号测评指标测评项操作步骤预期记录实际状况记录
依据不同linux 操作系统路径，查看系
统重要文件权限，检查其权限不大于
664：
ls –l /etc/passwd
a) 应启用访问把握功能，依据安ls –l /etc/shadow
全策略把握用户对资源的访问。

ls –l /etc/security/passwd
ls –l /etc/security/login.cfg
ls –l /ect/security/user
并查看相应业务软件名目的用户及权
限系统重要文件及业务软件名目权限设置均符合要求。

系统具有完整的安全策略，系统分
2访问把握(S3) b) 应依据治理用户的角色安排
权限，实现治理用户的权限分
离，仅授予治理用户所需的最小
权限。

c)应实现操作系统特权用户的
权限分别。

d)应禁用或严格限制默认帐户
的访问权限，重命名系统默认帐
户，修改这些帐户的默认口令。

查看系统用户，访谈治理员是否有完整
的安全策略、系统主要有哪些角色、每
个角色的权限是否相互制约、每个系统
用户是否被赐予相应的角色。

访谈系统治理员，主机是否装有数据库，
假设有，结合系统治理员的组成状况，判
定是否实现了该项要求。

查看是否限制了系统默认帐号的访问
权限，是否修改了这些帐户的默认口
令：
cat /etc/shadow
为xxx 个角色：xxx、xxx、……，
xxx 角色的权限为：xxx
xxx 角色的权限为：xxx
系统用户均被赐予相应的角色。

数据库用户和操作系统用户为不
同的人员和操作账号。

限制了默认账号的访问权限。

序号测评指标测评项操作步骤预期记录实际状况记录
3安全审计(G3) e)应准时删除多余的、过期的帐
户，避开共享帐户的存在。

f)应对重要信息资源设置敏感
标记。

g)应依据安全策略严格把握用
户对有敏感标记重要信息资源
的操作。

a)审计范围应掩盖到效劳器和
重要客户端上的每个操作系统
用户和数据库用户。

记录系统没有被准时删除或过期的帐
号，避开共享帐户：
cat /etc/passwd
检查“登录shell列〔第7列〕”，非
“/sbin/nologin”的用户，是否为多余
用户。

访谈系统治理员或查看相关文档，确认
操作系统是否具备能对信息资源设置
敏感标记功能；
访谈治理员是否对重要信息资源设置
敏感标记。

询问或查看目前的敏感标记策略的相
关设置，如：如何划分敏感标记分类，
如何设定访问权限等。

①查看效劳进程，系统日志效劳是否启
动；
service syslog status
service audit status
或service --status-all | grep running
②假设运行了安全审计效劳，则查看安
全审计的守护进程是否正常
ps–ef|grep auditd。

不存在多余的、过期的、共享的账
户。

使用系统功能〔或者第三方软件〕
设置了敏感标记。

使用系统功能〔或者第三方软件〕
设置了敏感标记。

已开启系统自带的审计功能；
安全审计进程运行正常。

序号测评指标测评项操作步骤预期记录实际状况记录
b〕审计内容应包括重要用户行为、系统资源的特别使用和重要系统命令的使用、账号的安排、创立与变更、审计策略的调整、审计系统功能的关闭与启动等
系统内重要的安全相关大事。

c)审计记录应包括大事的日期、时间、类型、主体标识、客体标该文件指定如何写入审查记录以及在
哪里写入
cat /etc/audit/audit.conf 审计内容包括重要用户行为、系统查看相关配置文件资源的特别使用和重要系统命令grep“@priv-ops”/etc/audit/filter.conf的使用等重要安全相关大事。

grep“@mount-ops”/etc/audit/filter.conf
grep“@system-ops”/etc/audit/filter.conf
查看审计记录，是否包括必要的审计要
素。

假设有第三方审计工具或系统，则
查
剩余信息保护4
(S3) 识和结果等，并定期备份审计记
录，涉及敏感数据的记录保存时
间不少于半年。

d)应能够依据记录数据进展分
析，并生成审计报表。

e)应保护审计进程，避开受到未
预期的中断。

f)应保护审计记录，避开受到未
预期的删除、修改或掩盖等。

a)应保证操作系统用户的鉴别
信息所在的存储空间，被释放或
再安排给其他使用人员前得到
完全去除，无论这些信息是存放
在硬盘上还是在内存中。

看其审计日志是否包括必要的审计要
素。

查看audit 下的相关文件
cat /etc/audit/audit.conf
访谈并查看对审计记录的查看、分析和
生成审计报表状况。

访谈审计治理员对审计进程监控和保
护的措施。

查看日志访问权限；
ls -la/var/log/audit.d
访谈审计记录的存储、备份和保护的措
施，如配置日志效劳器等。

检查操作系统维护/操作手册：
①查看其是否明确用户的鉴别信息存
储空间；
②被释放或再安排给其他用户前的处
理方法和过程。

审计记录(或第三方审计工具日志)
包括必要的审计要素。

可以对数据进展分析并生成报表。

使用第三方的工具对主机进展审
计。

审计记录实行了有xxx 措施进展保
护。

依据linux 特性，该项符合。

序号测评指标测评项操作步骤预期记录实际状况记录
5 入侵防范(G3) b)应确保系统内的文件、名目
和数据库记录等资源所在的存
储空间，被释放或重安排给其他
使用人员前得到完全去除。

a)应能够检测到对重要效劳器
进展入侵的行为，能够记录入侵
的源IP、攻击的类型、攻击的目
的、攻击的时间，并在发生严峻
入侵大事时供给报警。

b)应能够对重要程序的完整性
进展检测，并在检测到完整性受
到破坏后具有恢复的措施或在
检测到完整性马上受到破坏时
进展事前阻断。

检查操作系统维护/操作手册，系统内
的文件、名目等资源所在的存储空间，
被释放或重安排给其他用户前的处理
方法和过程。

①访谈并查看入侵检测的措施
more /var/log/secure | grep refused
②检查是否启用了主机防火墙、TCP
SYN 保护机制等设置；
service iptables status
sysctl -a | grep syn
③询问是否有第三方入侵检测系统，如
IDS，是否具备报警功能。

访谈是否使用一些文件完整性检查工具
对重要文件的完整性进展检查，是否对
重要配置文件进展备份。

查看备份演示。

依据linux 特性，该项符合。

系统具有xxx 入侵检测措施；
启用的主机防火墙；
安装了主机入侵检测软件〔或者具
有第三方入侵检测系统〕，具有报
警功能。

对重要文件有备份，对重要程序有
监控。

序号
测评指标 测评项 操作步骤
预期记录 实际状况记录
c) 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级效劳器等
方式保持系统补丁准时得到更 。

a) 应安装国家安全部门认证的正版防恶意代码软件，对于依附于病毒库进展恶意代码查杀的 软件应准时更防恶意代码软 件版本和恶意代码库，对于非依
①访谈系统治理员系统目前是否实行了最小安装原则；
②确认系统目前正在运行的效劳， service --status-all | grep running
查看并确认是否已经关闭危急的网络 效劳，如：
实行了最小安装原则； echo 、shell 、login 、finger 、r 命令 等
系统运行的效劳均为安全效劳； 关闭非必需的网络效劳，如： 实行了xxx 补丁升级机制。

talk 、ntalk 、pop-2、sendmail 、imapd 、
pop3d 等；
③访谈补丁升级机制，查看补丁安装状况。

rpm -qa | grep patch
查看系统中安装了什么防病毒软件。

询
恶意代码防范 6
(G3)
赖于病毒库进展恶意代码防范
的软件，如主动防范类软件，应保证软件所承受的特征库有效 性与实时性，对于某些不能安装相应软件的系统可以实行其他 安全防护措施来保证系统不被 恶意代码攻击。

问治理员病毒库是否常常更。

查看病毒
库的最版本更日期是否超过一个星期。

安装了xxx 防病毒软件；
常常更防病毒软件的病毒库； 病
毒库为最版本。

序号测评指标测评项
b)主机防恶意代码产品应具有
与网络防恶意代码产品不同的
恶意代码库。

c)应支持防恶意代码的统一治
理。

d)应建立病毒监控中心，对网
操作步骤
询问系统治理员网络防病毒软件和主
机防病毒软件分别承受什么病毒库，病
毒库是否不同。

询问系统治理员是否承受统一的病毒
库更策略和查杀策略。

预期记录
网络防病毒软件承受xxx 病毒库；
主机防病毒软件承受xxx 病毒库。

对病毒库承受统一的更策略；对
防病毒软件承受统一的查杀策略。

实际状况记录
络内计算机感染病毒的状况进展监控。

检查网络防恶意代码产品，查看厂家、产品对网络内各计算机均进展监版本号和恶意代码库名称控。

7 资源把握(A3) a)应通过设定终端接入方式、网
络地址范围等条件限制终端登
录。

b)应依据安全策略设置登录终
端的操作超时锁定。

① 查看linux 内置防火墙规章
iptables -L -n
②查看在/etc/hosts.deny 中是否有
“sshd:all:deny”，制止全部恳求；
/etc/hosts.allow 中是否有如下类似设
置：
sshd：192.168.1.10/255.255.255.0
①查看登录该效劳器的终端是否设置
了超时策略：
cat /etc/ssh/sshd_config
查看是否设置了ClientAliveInterval
〔超时响应间隔〕和
ClientAliveCountMax〔超时响应次数〕
② 查看用户配置文件/etc/profile 检查
其中timeout 值的设置
设定了终端接入方式、网络地址范
围
通过xxx〔主机防火墙、网络防火
墙、路由器等〕限制了终端登录。

假设部署了终端治理系统，也可以
通过终端治理系统把握终端接入
效劳器操作系统。

设定了900 秒超时锁定。

序号测评指标测评项操作步骤预期记录实际状况记录
c)应对重要效劳器进展监视，包括监视效劳器的CPU、硬盘、内存、网络等资源的使用状况。

d)应限制单个用户对系统资源的最大或最小使用限度。

e)应定期对系统的性能和容量进展规划，能够对系统的效劳水平降低到预先规定的最小值进
行检测和报警。

f)全部的效劳器应全部专用化，不使用效劳器进展收取邮件、扫瞄互联网操作。

①访谈系统治理员，询问系统上是否装
有第三方主机监控软件或自制的监控
脚本；
②运行这些软件或脚本；
③假设有相关文档记录也可参阅。

参看相关配置文件中设置的最大进程
数
cat /etc/security/limits.conf
参数nproc 可以设置最大进程数。

①了解系统帐户的资源安排状况，查看
各个分区磁盘占用状况，询问治理员日
常如何监控系统效劳水平；
②假设有第三放监控程序，询问并查看
它是否有相关功能。

访谈治理员，询问效劳器是否有扫瞄邮
件、互联网等其他业务。

安装了第三方主机监控软件〔或自
制监控脚本；
对效劳器的CPU、硬盘、内存、网
络等资源的使用状况进展有效监
控。

设置了最大进程数。

系统账户的资源安排状况为xxx；
各个分区磁盘占用状况为xxx；通
过xxx 方式监控系统效劳水平；
〔第三方监控程序的相关功能为
xxx〕。

效劳器专用化，不进展邮件、扫瞄
互联网的操作。