linux主机安全作业指导书111
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
询问管理员审计日志包含哪些内容 查看配置: #grep "@priv-ops" /etc/audit/filter.conf #grep "@mount-ops" /etc/audit/filter.conf #grep "@system-ops" /etc/audit/filter.conf #grep "@file-ops" /etc/audit/filter.conf #grep "@open-ops" /etc/audit/filter.conf #grep "@execute-ops" /etc/audit/filter.conf 查看审计记录内容是否包括时间、类型、主体标 识和时间结果等。 #aucta |tail -100 #augrep -e TEXT -U AUTH_success查看所有成功 pam授权 访谈并查看对审计记录的查看、分析和生成审计 报表情况 访谈对审计进程监控和保护的措施 ls –la /var/log/audit.d 640 访谈审计记录的存储、备份和保护的措施。
26 27
28
a) 应通过设定终端接入方 资源控制 式、网络地址范围等条件限 制终端登录; b) 应根据安全策略设置登 录终端的操作超时锁定;
29
资源控制
30
c) 应对重要服务器进行监 视,包括监视服务器的CPU 资源控制 、硬盘、内存、网络等资源 的使用情况; d) 应限制单个用户对系统 资源控制 资源的最大或最小使用限 度; e) 应能够对系统的服务水 资源控制 平降低到预先规定的最小值 进行检测和报警。 a) 应提供本地数据备份与 备份和恢 恢复功能,完全数据备份至 复 少每天一次,备份介质场外 存放; b) 应提供异地数据备份功 备份和恢 能,利用通信网络将关键数 复 据定时批量传送至备用场 地;
提示:没有作业指导书(初始纪录,不要删除!)
提示:没有作业指导书(初始纪录,不要删除!)
访谈并查看系统备份措施;
15
b) 审计内容应包括重要用 户行为、系统资源的异常使 安全审计 用和重要系统命令的使用等 系统内重要的安全相关事 件;
16
c) 审计记录应包括事件的 安全审计 日期、时间、类型、主体标 识、客体标识和结果等; d) 应能够根据记录数据进 行分析,并生成审计报表; e) 应保护审计进程,避免 安全审计 受到未预期的中断; f) 应保护审计记录,避免受 安全审计 到未预期的删除、修改或覆 盖等。 安全审计 a) 应保证操作系统和数据 库系统用户的鉴别信息所在 剩余信息 的存储空间,被释放或再分 保护 配给其他用户前得到完全清 除,无论这些信息是存放在 硬盘上还是在内存中; b) 应确保系统内的文件、 目录和数据库记录等资源所 剩余信息 在的存储空间,被释放或重 保护 新分配给其他用户前得到完 全清除。 a) 应能够检测到对重要服 务器进行入侵的行为,能够 记录入侵的源IP、攻击的类 入侵防范 型、攻击的目的、攻击的时 间,并在发生严重入侵事件 时提供报警; b) 应能够对重要程序的完 整性进行检测,并在检测到 入侵防范 完整性受到破坏后具有恢复 的措施;
提示:没有作业指导书(初始纪录,不要删除!)
提示:没有作业指导书(初始纪录,不要删除!)
访谈并查看入侵检测的措施; #more /var/log/secure|grep refused 检查是否存在非法监听端口:netstat -an|grep LISTEN 检查系统开放的端口是否正常:netstat -na 访谈是否对使用一些文件完整性检查工具对重要 文件的完整性进行检查,是否对重要的配置文件 进行备份,如/bin目录
访谈管理员是否将操作系统和数据库的管理权限 进行了分离。 # more /etc/passwd 查看系统帐户列表,sys, bin, uucp, nuucp, daemon 等系统默认帐户是否被禁用或没有分配登录shell。 查看root帐户的根目录是否已经修改 #cat /etc/shadow 在用户名前没有#,表示未被禁用 # more /etc/passwd 询问管理员是否存在无测试帐户、临时帐户等; #cat /etc/passwd 访谈系统管理员 访谈系统管理员 查看是否打开系统的安全审计:ps -ef|grep audit或 ps -ef|grep BSM或启动具有相同功能的程序 #service syslog status #service auditd status #service --status-all |grep running #ps -ef|grep auditd查看审计守护进程是否正常
检查正在运行的服务:#service --statusall|grep running 检查系统不需要的服务:cat /etc/inet/services 查看系统安全补丁安装情况:swlist –l fileset | grep patch 访谈采取何种措施进行补丁安装; 补丁在安装前是否做过测试。
主机系统安全作业指导书
对象名称 序号 1 IBM P750(OS) 安全措施 对象类别
测评项 a) 应对登录操作系统和数 身份鉴别 据库系统的用户进行身份标 识和鉴别;
2
b) 操作系统和数据库系统 管理用户身份标识应具有不 身份鉴别 易被冒用的特点,口令应有 复杂度要求并定期更换;
3
c) 应启用登录失败处理功 能,可采取结束会话、限制 身份鉴别 非法登录次数和自动退出等 措施; d) 当对服务器进行远程管 理时,应采取必要措施,防 身份鉴别 止鉴别信息在网络传输过程 中被窃听; e) 应为操作系统和数据库 系统的不同用户分配不同的 身份鉴别 用户名,确保用户名具有唯 一性。 f) 应采用两种或两种以上组 身份鉴别 合的鉴别技术对管理用户进 行身份鉴别。
31
32
33
34
35
c) 应提供主要网络设备、 备份和恢 通信线路和数据处理系统的 复 硬件冗余,保证系统的高可 用性。
主机系统安全作业指导书
服务器设备 测评实施 是否存在空口令用户,执行命令: cat /etc/passwd; cat /etc/shadow cat /etc/login.defs,设置: #more /etc/login.defs 查看以下字段: PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 PASS_MIN_LEN 8 PASS_WARN_AGE 7 FAIL_DELAY 10 FAILLOG_ENAB yes SYSLOG_SU_ENBA yes SYSLOG_SU_ENBA yes MD5_CRTPT_ENBA yes #cat /etc/pam.d/system-auth 查看是否存在"account required /lib/security/pam_tally.so deny=5 no_magic_root reset" 查看是否运行了SSHD服务 #service --status-all|grep sshd 查看端口是否打开 netstat -an|grep 22 查看是否开启telnet服务 #service --status-all | grep running #cat /etc/passwd 查看是否有相同的用户名或UID 访谈并现场查看是否采用了除口令外其它的身份 鉴别技术,如生物鉴别、令牌、动态口令等 IP地址 预期结果
# ls –la /usr/lbin查看网络服务进程权限是否大于 755 绝大多数通过inetd/xinetd运行的网络服务都可以被 禁止,比如echo, exec, login, shell,who,finger等.对于 telnet, r系列服务, ftp等, 强烈建议使用SSH来代替. # ps –ef ls -l 文件名查看文件和目录权限是否合理 访谈并查看管理用户及角色的分配情况
4
5
6
Hale Waihona Puke Baidu
7
a) 应启用访问控制功能, 访问控制 依据安全策略控制用户对资 源的访问;
8
b) 应根据管理用户的角色 分配权限,实现管理用户的 访问控制 权限分离,仅授予管理用户 所需的最小权限; c) 应实现操作系统和数据 访问控制 库系统特权用户的权限分 离;
9
10
d) 应严格限制默认帐户的 访问权限,重命名系统默认 访问控制 帐户,修改这些帐户的默认 口令;
提示:没有作业指导书(初始纪录,不要删除!)
提示:没有作业指导书(初始纪录,不要删除!) 提示:没有作业指导书(初始纪录,不要删除!) 查看是否设置了终端接入范围限制: #ls –la /etc/hosts.allow #ls –la /etc/hosts.deny 在/etc/hosts.deny文件中设置禁止的是否设置all:all #grep “ALL: ALL” /etc/hosts.deny 查看登录该服务器的终端是否设置了屏幕锁定; 查看/etc/profile中设置的TIMEOUT环境变量 访谈对系统CPU、硬盘、网络服务等系统监控的 手段和措施。例如,通过经常地命令查看或专门 监控工具。 访谈管理员针对系统资源控制的管理措施; 查看/etc/security/limits.conf中nproc可以设置的最大 进程数 访谈监控系统是否有报警机制
11 12 13
e) 应及时删除多余的、过 访问控制 期的帐户,避免共享帐户的 存在。 f) 应对重要信息资源设置敏 访问控制 感标记; g) 应依据安全策略严格控 访问控制 制用户对有敏感标记重要信 息资源的操作;
14
a) 审计范围应覆盖到服务 安全审计 器和重要客户端上的每个操 作系统用户和数据库用户;
17 18 19
20
21
22
23
24
c) 操作系统应遵循最小安 装的原则,仅安装需要的组 入侵防范 件和应用程序,并通过设置 升级服务器等方式保持系统 补丁及时得到更新。
25
a) 应安装防恶意代码软 恶意代码 件,并及时更新防恶意代码 防范 软件版本和恶意代码库; b) 主机防恶意代码产品应 恶意代码 具有与网络防恶意代码产品 防范 不同的恶意代码库; 恶意代码 c) 应支持防恶意代码的统 防范 一管理。