主机安全测评linux
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
操作系统测评
1.身份鉴别
a)身份标识和鉴别:以root身份登录
#cat /etc/passwd 以x代替口令
#cat /etc/shadow 保存个人口令文档
b)不易被冒用,口令复杂且定期更换
#more /etc/login.defs
UID_MIN 500 注:最小UID为500 ,也就是说添加用户时,UID 是从500开始的;
UID_MAX 60000 注:最大UID为60000;
PASS_MAX_DAYS 99999 注:用户的密码不过期最多的天数;
PASS_MIN_DAYS 0 注:密码修改之间最小的天数;
PASS_MIN_LEN 5 注:密码最小长度;
PASS_WARN_AGE 7 注:密码过期前7天提醒
c)登录失败处理功能
#cat /etc/pam.d/system-auth
找到password requisite pam_cracklib.so这么一行替换成如下:
password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1
lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict
参数含义:
尝试次数:5
最少不同字符:3
最小密码长度:10
最少大写字母:1
最少小写字母:3
最少数字:3
密码字典:/usr/share/cracklib/pw_dict
d)防止鉴别信息被窃听
首先查看是否安装SSH相应包
#rpm -aq|grep ssh
或者查看是否运行了sshd服务
#service -status-all | grep sshd
如果已经安装则查看相关的端口是否打开
#netstat -an | grep 22
若未使用SSH方式进行远程管理,则查看是否使用了Telnet的方式进行远程管理
#service -statusa-all | grep running 查看是否存在Telnet服务
e)确保用户名具有唯一性
#cat /etc/passwd
UID为0 的用户只能有1个,查看是否有相同用户名的账号
2.访问控制
a)启用访问控制
文件权限:
使用“ls –l 文件名”命令,查看重要文件和目录权限设置是否合理
默认共享:
Linux中默认不开启
b)管理用户的权限分离,授予管理用户最小权限
c)特权用户的权限分离
d)严格限制默认账户的访问权限
#cat /etc/shadow 查看用户,用户名前有“#”表示被禁用
e)及时删除过期多余的账户,避免共享账户的存在
#cat /etc/shadow
f)对重要信息资源设置敏感标记
g)控制用户对有敏感标记重要信息资源的操作
3.安全审计
a)审计范围应该全覆盖
查看服务进程:
系统日志服务:
#service syslog status
#service audit status
或
#service -status-all | grep running
若运行了安全审计服务,则查看安全审计的守护进程是否正常
#ps -ef | grep auditd
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等重要
的安全相关事件
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
#aucat | tail -100 查看最近的100条审查记录
#augrep -e TEXT -U AUTH_success 查看所有成功PAM授权
d)根据记录数据分析,生成审计报表
e)保护审计进程,避免中断
f)保护审计记录
4.剩余信息保护
5.入侵防范
a)检测入侵行为,报警
1)#more /var/log/secure | grep refused 查看入侵的重要线索
2)查看是否启用了主机防火墙、TCP SYN保护机制等
3)可执行命令:find / -name
侵检测软件
b)完整性检测,恢复措施
c)最小安装原则,更新系统补丁
1)系统服务
#service -status-all | grep running 确认目前正在运行的系统服务
危险网络服务:echo、shell、login、finger、r
非必须网络服务:talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等
2)监听端口
命令行模式下netstat -an 查看列表中的监听端口
3)补丁升级
查看补丁安装情况#rpm -qa | grep patch
6.恶意代码防范
a)安装防恶意代码软件
b)主机与网络防恶意代码产品应具有不同的恶意代码库
c)支持防恶意代码的统一管理
7.资源控制
a)设定终端接入方式、网络地址范围等限制终端登录
#cat /etc/hosts.deny 查看有“ALL:AL”,禁止所有请求
#cat /etc/hosts.allow 查看是否有限制ip及其访问方式
b)操作超时锁定
查看/etc/profile 中TIMEOUT环境变量
c)对重要服务器进行监视