Linux安全配置风险评估检查表

设备安全风险评估表格以下是一个示例设备安全风险评估表格:
设备名称:_________________________
评估日期:_________________________
风险级别: 高 / 中 / 低
风险类型:
1.物理安全风险:
- 设备易受到盗窃或失窃的风险
- 设备易受到物理破坏的风险
- 设备易受到自然灾害的影响
- 设备易受到电源故障的影响
- 设备易受到灰尘、湿气或温度变化的影响 - 设备易受到未授权访问的风险
2.网络安全风险:
- 设备易受到网络攻击的风险
- 设备易受到恶意软件的感染
- 设备易受到密码攻击的风险
- 设备易受到未授权访问的风险
- 设备易受到数据泄露的风险
3.操作安全风险:
- 设备易受到误操作的风险
- 设备易受到人为疏忽或错误设置的影响
- 设备易受到未经授权的操作的风险
- 设备易受到缺乏合适的培训或教育的影响 - 设备易受到未更新的软件或操作系统的风险 - 设备易受到未安装或过期的安全补丁的风险评估者签名:_________________________
备注:_________________________。

Linux主机检查流程二〇二二年四月安氏互联网安全系统（中国）有限公司1系统信息1.1主机名1.2域名1.3信息检查1.3.1说明：得到系统主机名、域名1.3.2 检查方法：hostname domainname1.1.1结果分析方法：# hostname# domainname(none)1.4 系统版本信息检查1.4.1说明：得到系统版本信息1.4.2 检查方法：uname -a1.5 网卡信息以及混杂模式检查1.5.1 说明：得到网卡信息1.5.2 检查方法：ifconfig -a1.6 系统路由信息检查1.6.1说明：得到系统路由信息1.6.2检查方法：netstat -r1.7系统加载模块信息检查1.7.1 说明：查看系统已加载的模块1.7.2检查方法：lsmod2补丁安装情况2.1 系统已安装的rpm包信息检查2.2说明：得到系统已经安装的rpm包列表2.3 检查方法：rpm -qa2.4 结果分析方法：# rpm -qa3 帐号和口令3.1 系统空密码帐号信息检查3.1.1 说明：查看系统是否存在空密码帐号3.1.2 检查方法：awk -F: '($2 = = "") { print $1 }' /etc/shadow3.2 系统uid=0帐号信息检查3.2.1 说明：分析系统是否存在uid=0 帐号以及其他uid相同帐号3.2.2 检查方法：cat /etc/passwd |awk -F: '{OFS="||";print $1,$3,$4,$7}'3.3 系统缺省用户（组）信息检查3.3.1 说明：得到系统缺省用户（组）3.3.2 检查方法：cat /etc/passwdcat /etc/group3.3.3 结果分析方法：查看是否存在系统缺省帐号以及缺省系统组，如：lp,sync,shutdown,halt,news,uucp,operator,games,gopher等3.4 系统帐号shell变量以及noshell文件真实性信息检查3.4.1 说明：得到系统帐号shell变量3.4.2 检查方法：cat /etc/passwd |awk –F: ‘{print $7}’|xargs ls -al3.5 passwd、shadow文件检查3.5.1 说明：检查系统passwd、shadow文件，确保系统中每个用户都有密码，并且密码被shadow。

信息安全风险评估检查流程操作系统安全评估检查表HHP-UX Security CheckList目录HP-UX SECURITY CHECKLIST (1)1初级检查评估内容 (6)1.1 系统信息 (6)1.1.1 系统基本信息 (6)1.1.2 系统网络设置 (6)1.1.3 系统当前路由 (7)1.1.4 检查当前系统开放的端口 (7)1.1.5 检查当前系统网络连接情况 (8)1.1.6 系统运行进程 (8)1.2 物理安全检查 (9)1.2.1 检查系统单用户运行模式中的访问控制 (9)1.3 帐号和口令 (9)1.3.1 检查系统中Uid相同用户情况 (9)1.3.2 检查用户登录情况 (10)1.3.3 检查账户登录尝试失效策略 (10)1.3.4 检查账户登录失败时延策略 (10)1.3.5 检查所有的系统默认帐户的登录权限 (11)1.3.6 空口令用户检查 (11)1.3.7 口令策略设置参数检查 (11)1.3.8 检查root是否允许从远程登录 (12)1.3.9 验证已经存在的Passwd强度 (12)1.3.10 用户启动文件检查 (12)1.3.11 用户路径环境变量检查 (13)1.4 网络与服务 (13)1.4.1 系统启动脚本检查 (13)1.4.2 TCP/UDP小服务 (14)1.4.3 login(rlogin), shell(rsh), exec(rexec) (14)1.4.4 comsat talk uucp lp kerbd (15)1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd (15)1.4.6 远程打印服务 (16)1.4.7 检查是否开放NFS服务 (16)1.4.8 检查是否Enables NFS port monitoring (17)1.4.9 检查是否存在和使用 NIS ,NIS+ (17)1.4.10 检查sendmail服务 (17)1.4.11 Expn, vrfy (若存在sendmail进程) (18)1.4.12 SMTP banner (19)1.4.13 检查是否限制ftp用户权限 (20)1.4.14 TCP_Wrapper (20)1.4.15 信任关系 (20)1.5 文件系统 (21)1.5.1 suid文件 (21)1.5.2 sgid文件 (21)1.5.3 /etc 目录下可写的文件 (22)1.5.4 检测重要文件目录下文件权限属性以及/dev下非设备文件系统 (22)1.5.5 检查/tmp目录存取属性 (23)1.5.6 检查UMASK (23)1.5.7 检查.rhosts文件 (24)1.6 日志审核 (27)1.6.1 Cron logged (27)1.6.2 /var/adm/cron/ (28)1.6.3 Log all inetd services (28)1.6.4 Syslog.conf (28)1.7 UUCP服务 (28)1.8 X WINDOWS检查 (29)2中级检查评估内容 (30)2.1 安全增强性 (30)2.1.1 TCP IP参数检查 (30)2.1.2 Inetd启动参数检查 (32)2.1.3 Syslogd启动参数检查 (32)2.1.4 系统日志文件内容检查 (33)2.1.5 系统用户口令强度检查 (33)2.1.6 系统补丁安装情况检查 (33)。

查看系统的版本信息、主机名及配置信息检查网卡数目与状态检查系统端口开放情况及路由查看系统已经安装了哪些程序包以root权限，执行：以root 权限，执行：查看网卡数目、网络配置、是否开启混杂监听模式。

以root 权限，执行：以root 权限，执行：了解系统备份情况、备份机制审核补丁安装情况检查passwd 、shadow 及group 文件检查有无对于login 进行口令认证检查是否问询相关的管理员。

重点了解备份介质，方式，人员，是否有应急恢复制度等状况。

# patchadd -p 检查系统的补丁情况# showrev -p 查看所有已经安装的patch或者# ls /var/sadm/patch 或者ls /var/adm/patchcat /etc/passwdcat /etc/shadowcat /etc/group保存后检查文件执行：执行：设置了口令最短长度要求检查是否设置了口令过期策略无用帐号审核为新增用户配置安全模板执行：查看/etc/passwd 中是否存在uucp,news 等帐号以及确认拥有shell 权限的帐号是否合理确认/usr/sadm/defadduser 有以下类似配置内容：检查是否设置登录超时检查root 的搜索路径检查/tmp 目录的属性检查查看/etc/default/login 文件，确认其中存在合理的设置，下面的举例为30 秒执行：检查root 的$PATH环境变量中是否浮现当前目录“. ”。

执行：查看执行结果是否如下：drwxrwxrwt 7 sys sys 496 6 月8 15:41 /tmp/确认有“t”的粘合位/var/adm/utmp、/var/adm/utmpx、/etc/group、/var/adm /utmp 、/var/adm /utmpx 、/etc/gro up 、/var/adm /wtmp 文件的权限检查是否有属主非有效用户的文件/ 目录检查是否有属组非有效组的文件/目录检查/var/adm 目/var/adm/wtmp 文件的权限应该是 644执行：(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：(检查风险：/var/adm 目录下目录及文件数量非常大，执录下是否存在所有人可写文件检查/var/cron 目录的属性检查是否存在所有人可写的目录检查属性为777 的文件/目录检查属性为666 的文件/目录检查移动介质上的文件系统行时间会很长，建议采用系统利用率比较底的时间执行) 检查/var/cron 目录权限是否为：root:sys 755执行：(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：find / -type f -perm 777 | xargs ls -las(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：find / -type f -perm 666 | xargs ls -las(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：，查看是否做了如下设置执行：(检查风险：如果/etc 目录下目录及文件数量非常大，执 行时间会很长，建议采用系统利用率比较底的时间执行) 执行： (检查风险：如果/etc 目录下目录及文件数量非常大，执 行时间会很长，建议采用系统利用率比较底的时间执行) 查看/etc/default/login 文件中是否有如下配置： 查看 root 的掩码设置，确认/etc/profile 文件中将 umask 设 为 077 或者 027 执行：安全配置检查/etc 目 录 下 所 有 文 件 的 组 可写权限检查/etc 目 录 下 所 有 文 件 的 其 他 用 户 可 写权限检 查 初 始 文 件 权 限 掩码配置检 查 Root 的 文 件 权 限 掩 码 设置查 看 磁 盘 分区情况检查/etc/inetd.c onf 中的各项服务配置检查telnet & SSH 服务状况审核root 用户远程telnet\ftp 登录检查是否限制telnet 或者ssh 等的登录IP 执行：more /etc/inetd.conf查看是否禁止了部份不必要的、危（wei）险的服务。

14检查项名称：检查是否限制root远程登录判断条件：# more /etc/securetty检查是否有下列行：pts/x（x为一个十进制整数）#more /etc/ssh/sshd_config检查下列行设置是否为no并且未被注释：PermitRootLogin不存在pts/x则禁止了telnet登录，PermitRootLogin no禁止了ssh登录，符合以上条件则禁止了root远程登录，符合安全要求，否则低于安全要求。

[root@fct_web_web2 ~]# SSHSTATUS=`netstat -an |grep":22\>"|wc -l`[root@fct_web_web2 ~]# if [ x"$SSHSTATUS" != "x0" ];> then if [[ `grep "^PermitRootLogin no"/etc/ssh/sshd_config|wc -l` != 0 ]];> then grep "^PermitRootLogin no"/etc/ssh/sshd_config;> echo "This device does not permit root to ssh login,check result:true";> else echo "This device permits root to sshlogin,check result:false" ;> fi> else echo "The ssh service of device is not running,check result:true";> fiThis device permits root to ssh login,check result:false [root@fct_web_web2 ~]# TELSTATUS=`netstat -an |grep":23\>"|wc -l`[root@fct_web_web2 ~]# if [ x"$TELSTATUS" != "x0" ];> then if ([ -f /etc/securetty ] && [ `grep -i "^pts"/etc/securetty|wc -l` = 0 ]);> then echo "This device does not permit root to telnet login,check result:true";> else echo "This device permits root to telnet login,check result:false";> fi> else echo "The telnet service of device is notrunning,check result:true" ;> fiThe telnet service of device is not running,check result:true参考配置操作：1、执行备份：#cp -p /etc/securetty /etc/securetty_bak#cp -p /etc/ssh/sshd_config/etc/ssh/sshd_config_bak2、新建一个普通用户并设置高强度密码：#useradd username#passwd username3、禁止root用户远程登录系统：#vi /etc/securetty注释形如pts/x的行，保存退出，则禁止了root从telnet登录。

信息安全-风险评估-检查流程-操作系统安全评估检查表-Linux评估背景为了保障公司信息系统的安全，防范信息泄漏、攻击和破坏等安全事件，我们需要对公司的操作系统进行安全评估。

本文将介绍Linux操作系统的安全评估检查表，以保障公司信息系统的完整性、保密性和可用性。

安全评估检查流程步骤一：评估目标评估目标包括评估对象、评估的系统、应用程序及软件等，确定评估的范围和深度。

步骤二：信息采集信息的采集可以通过网络扫描、访问日志分析、系统配置文件分析等方式获取。

步骤三：信息分析在信息采集的基础上，通过查看系统配置文件、读取访问日志，将采集到的信息进行分析，得出评估结果。

步骤四：评估报告根据评估结果，生成一份详细的评估报告，包括评估过程中的发现、风险评估和相应的建议和改进措施。

Linux操作系统安全评估检查表一、系统配置检查1.1、系统版本号•[ ] 系统版本已更新至最新版本•[ ] 对于长期支持 (LTS) 版本，已更新至最新推荐内核•[ ] 如果使用非LTS版本，已更新至最新推荐版本1.2、系统服务和软件包•[ ] 已安装的服务和软件包已经得到主要厂商的官方支持1.3、安全配置•[ ] 系统已启用SELinux•[ ] 防火墙已经配置和启用•[ ] SSH已经配置和启用•[ ] 安全日志已经启用二、用户和权限检查2.1、用户管理•[ ] 限制root用户的登陆，使用sudo等方式进行操作•[ ] 禁止共享root密码2.2、密码策略•[ ] 密码复杂性已配置，并且安全性高•[ ] 禁用不必要的账户，并删除长期未使用的账户2.3、文件和目录权限•[ ] 敏感文件和目录已设置为只读访问权限，只有需要修改的用户才拥有写权限三、日志和审计检查3.1、日志记录•[ ] 安全事件日志（SElinux / Audit）已启用•[ ] 合适的日志轮转机制已启用3.2、日志分析•[ ] 日志监控已经启用，并在异常事件后自动发送邮件通知管理员•[ ] 敏感操作的审计记录已经记录四、网络安全检查4.1、端口扫描•[ ] 基础网络防火墙已经配置，禁止不必要的端口访问•[ ] 详情请查看防火墙配置文档4.2、SSL/TLS•[ ] SSL/TLS 已经启用配置，禁止支持不安全的协议和算法•[ ] CA认证更新至最新版本结论以上是我们对 Linux 操作系统的安全评估检查表，以保障公司信息系统的完整性、保密性和可用性。

编号: B1-4
Linux核查表
*********信息系统
委托单位：************* 报告日期：年月
（本页空白）
声明
1、本报告是第三方独立测评机构在对委托单位信息系统进行资料分析、现场核查与测试的基础上得出的客观评估结果。

2、本报告的评估结果仅对测试时间段内信息系统现有的状况有效，测试后系统出现任何变更时，本报告结果不再适用。

3、本报告是针对信息系统及其构件使用的正确性和有效性进行测试和评估，本报告结论不能作为对系统内相关产品的结论。

4、考虑到测评工作的时间、范围限制，以及测试技术的局限性，信息系统可能仍存在未发现的安全风险。

5、本报告版权属中国信息安全测评中心。

任何个人、机构未经中国信息安全测评中心的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

6、本报告一式三份，一份交委托单位，两份留存本中心。

（盖章）
二〇**年*月
（本页空白）
报告基本信息
（本页空白）
目录
LINUX核查表单 (1)
*********信息系统 (1)
LINUX核查表单 (2)
Linux核查表
远程漏洞扫描结果。