Linux測評指導(dǎo)書.doc

Linux操作系統(tǒng)測評指導(dǎo)書測評指標(biāo)測評項(xiàng)測評實(shí)施過程預(yù)期結(jié)果結(jié)果記錄身份鑒別a)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別； 采用查看方式,在root權(quán)限下,使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用戶名狀態(tài)。1) 以root身份登錄Linux。2) 查看Linux密碼文件內(nèi)容。#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin#cat etc/shadowroot:$1$crpkUkzg$hLl/dYWmlwY4J6FqSG2jS0:14296:0:99999:7:drobbins:$1$1234567890123456789012345678901:111664:0:-1:-1:-1:-1:0bin:*:14296:0:99999:7:沒有密碼為空的用戶名。記錄：/etc/passwd、/etc/shadow文件中密碼一欄為空的用戶名。 b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；1) 以root身份登錄進(jìn)入Linux。2) 查看文件內(nèi)容。#more /etc/login.defsPASS_MAX_DAYS 90 #登錄密碼有效期90天PASS_MIN_DAYS 0 #登錄密碼最短修改時(shí)間，增加可以防止非法用戶短期更改多次PASS_MIN_LEN 8 #登錄密碼最小長度8位PASS_WARN_AGE 7 #登錄密碼過期提前7天提示修改FAIL_DELAY 10 #登錄錯(cuò)誤時(shí)，等待時(shí)間10秒FAILLOG_ENAB yes #登錄錯(cuò)誤記錄到日志SYSLOG_SU_ENAB yes #當(dāng)限制超級用戶管理日志時(shí)使用SYSLOG_SG_ENAB yes #當(dāng)限制超級用戶組管理日志時(shí)使用MD5_CRYPT_ENAB yes #當(dāng)使用md5為密碼的加密方法時(shí)使用登錄密碼有效期為90天、登錄密碼修改時(shí)間為3天、密碼最小長度為8位、登錄密碼過期提示為7天、登錄錯(cuò)誤時(shí)，等待時(shí)間為10秒等，登錄錯(cuò)誤記錄到日志、限制超級用戶管理日志、限制超級用戶組管理日志、私用MD5為密碼的加密方法等。記錄：檢查方法中列出了與/etc/login.defs文件中用戶密碼相關(guān)的一些安全屬性的推薦值。記錄內(nèi)容包括PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN等。c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施； 1) 以root身份登錄進(jìn)入Linux。2) 查看文件內(nèi)容：#cat /etc/pam .d/system-auth#%pam-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth sufficient pam_unix.so nullok try_first_passauth requisite pam_succeed_if.so uid = 500 quietauth required pam_deny.soaccount required pam_unix.soaccount sufficient pam_secceed_if.so uid = 500 quietaccount required pam_permit.sopassword requisite pam_cracklib.so try_first_pass retry = 3password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revokesession required pam_limits.sosession success=1 default=ignore pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.soaccount required /lib/security/pam_tally.so deny = 5 no_magic_root reset 用戶可嘗試登錄5次，5次之后，若登錄失敗，則拒絕該用戶訪問。記錄：etc/pam.d/system-auth文件中是否存在account required /lib/security/pam_tally.so deny=5 no_magic_root resetd)當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽； 1) 以root身份登錄進(jìn)入Linux。2) 首先查看是否安裝SSH的相應(yīng)包：#rpm -aq|grep ssh 或查看是否運(yùn)行了sshd服務(wù)：#service -status-all | grep sshd3) 如果安裝則查看相關(guān)的端口是否打開：#netstat -an|grep :224) 若未使用SSH方式進(jìn)行遠(yuǎn)程管理，則查看是否使用了Telnet方式進(jìn)行遠(yuǎn)程管理。#service -status-all |grep running 查看是否存在Telnet服務(wù)。已安裝SSH的相應(yīng)包，并運(yùn)行了sshd服務(wù)，打開的了22端口，使用了SSH方式進(jìn)行遠(yuǎn)程管理，未使用Telnet方式進(jìn)行遠(yuǎn)程管理。不存在Telnet服務(wù)。記錄被測服務(wù)器使用何種遠(yuǎn)程登錄方式。如：“使用SSH遠(yuǎn)程登錄方式”。若被測服務(wù)器同時(shí)開啟了Telnet服務(wù)和SSH服務(wù)，則同時(shí)記錄。若服務(wù)器不接受遠(yuǎn)程管理，則無需記錄此項(xiàng)內(nèi)容。e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。 1) 以root身份登錄進(jìn)入Linux。2) 查看文件內(nèi)容。#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin這里UID為0的用戶必須只有一個(gè)。操作系統(tǒng)的不同用戶，具有不同的用戶名，不存在多個(gè)用戶共用一個(gè)賬戶的情況。記錄/etc/passwd文件中有相同用戶名的賬戶。f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。訪談系統(tǒng)管理員，詢問系統(tǒng)有沒有做加固，除口令之外有無其他身份鑒別方式，如是否使用令牌等，并對其進(jìn)行驗(yàn)證。系統(tǒng)使用令牌或證書失效了雙因子鑒別。若有出用戶名/口令外的其他鑒別方法，則記錄這種方法，否則記錄“只適用用戶名/口令”。訪問控制a)應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問； 1) 以root身份登錄進(jìn)入Linux。2) 使用“l(fā)s l 文件名”命令，查看重要文件和目錄權(quán)限設(shè)置是否合理，如：#ls -l /etc/passwd #744。應(yīng)重點(diǎn)查看以下文件和目錄權(quán)限是否被修改過。/etc/at.allow/etc/at.deny/etc/audit/*/etc/cron.allow/etc/cron.d/*/etc/cron.daily/*/etc/cron.deny/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly/*/etc/crontab/etc/group/etc/gshadow/etc/hosts/etc/inittab/etc/ld.so.conf/etc/login.defs/etc/modules.conf/etc/pam.d/*/etc/passwd/etc/rc.d/init.d/*/etc/securetty/etc/securetty/opasswd/etc/shadow/etc/ssh/ssh-config/etc/ssh/sshd-config/etc/stunnel/*/etc/sysconfig/*/etc/vsftpd.ftpusers/etc/vsftpd/vsftpd.conf/etc/xinetd.conf/var/log/audit.d/*/var/log/faillog/var/log/lastlog/var/spool/at/*/var/spool/cron/*等重要文件和目錄的權(quán)限設(shè)置合理。重要文件和目錄的權(quán)限未被修改過。文件權(quán)限：記錄權(quán)限存在問題的目錄或文件。如：“/etc/passwd文件權(quán)限為666”。默認(rèn)共享：記錄默認(rèn)共享是否開啟。b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限； 1) 以root身份登錄進(jìn)入Linux。2) 使用“l(fā)s l 文件名”命令，查看重要文件和目錄權(quán)限設(shè)置是否合理，如：#ls -l /etc/passwd #744。應(yīng)重點(diǎn)查看以下文件和目錄權(quán)限是否被修改過。/etc/at.allow/etc/at.deny/etc/audit/*/etc/cron.allow/etc/cron.d/*/etc/cron.daily/*/etc/cron.deny/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly/*/etc/crontab/etc/group/etc/gshadow/etc/hosts/etc/inittab/etc/ld.so.conf/etc/login.defs/etc/modules.conf/etc/pam.d/*/etc/passwd/etc/rc.d/init.d/*/etc/securetty/etc/securetty/opasswd/etc/shadow/etc/ssh/ssh-config/etc/ssh/sshd-config/etc/stunnel/*/etc/sysconfig/*/etc/vsftpd.ftpusers/etc/vsftpd/vsftpd.conf/etc/xinetd.conf/var/log/audit.d/*/var/log/faillog/var/log/lastlog/var/spool/at/*/var/spool/cron/*等根據(jù)管理用戶的職責(zé)，實(shí)現(xiàn)了管理用戶的權(quán)限分欄，如系統(tǒng)管理員具有審計(jì)管理員的權(quán)限，而審計(jì)管理員也不具有系統(tǒng)能夠管理員的權(quán)限。記錄權(quán)限設(shè)置不合理的管理用戶名。c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離； 結(jié)合系統(tǒng)管理員的組成情況，判定是否實(shí)現(xiàn)了該項(xiàng)要求。本條基本要求是檢查是否存在多個(gè)管理員共用一個(gè)賬戶的情況。分兩個(gè)層次，首先自然人與其管理員賬戶要做到一一對應(yīng)，不存在多人共用一個(gè)賬戶的情況。其次，每個(gè)管理員賬戶應(yīng)只負(fù)責(zé)某一方面的內(nèi)容。不能同時(shí)管理操作系統(tǒng)和數(shù)據(jù)庫。不存在多人共用一個(gè)賬戶的情況，也不存在一個(gè)管理員管理多個(gè)方面內(nèi)容的情況。若主機(jī)運(yùn)行了數(shù)據(jù)庫，則詢問并記錄操作系統(tǒng)管理員和數(shù)據(jù)庫系統(tǒng)管理員是否為同一自然人。若主機(jī)未運(yùn)行數(shù)據(jù)庫，則此項(xiàng)標(biāo)記為不適用。d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令； 1) 以root身份登錄進(jìn)入Linux。2) 查看Linux密碼文件內(nèi)容。#cat /etc/shadowroot:$1$crpkUKZG$hL1/dYWmlwY4J6FqSG2jS0:14296:0:99999:7:drobbins:$1$1234567890123456789012345678901:11164:0:-1:-1:-1:-1:0bin:*:14296:0:99999:7:說明：在用戶名前沒有“#”號，表明其未被禁用；有“#”則表明該用戶已被禁用。默認(rèn)賬戶root用戶已被禁用。記錄未重命名的默認(rèn)賬戶，為禁用的默認(rèn)賬戶。e)應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。 1) 以root身份登錄Linux。2) 查看Linux密碼文件內(nèi)容。#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/dam:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin詢問系統(tǒng)賬戶的用途，確認(rèn)賬戶是否屬于多余的，過期的賬戶或共享賬戶名。不存在多余的、過期的賬戶或共享賬戶名。記錄多余的、過期的賬戶和共享賬戶名。f)應(yīng)對重要信息資源設(shè)置敏感標(biāo)記； 1) 查看操作系統(tǒng)功能手冊或相關(guān)文檔，確認(rèn)操作系統(tǒng)是否具備能對信息資源設(shè)置敏感標(biāo)記的功能。2) 詢問管理員是否對重要信息資源設(shè)置敏感標(biāo)記。操作系統(tǒng)具備能對信息資源設(shè)置敏感標(biāo)記的功能。管理員對重要信息資源設(shè)置了敏感標(biāo)記。記錄查看和訪談的內(nèi)容。g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；詢問或查看當(dāng)前的敏感標(biāo)記策略的相關(guān)設(shè)置，如：如何劃分敏感標(biāo)記分離，如何設(shè)定訪問權(quán)限等。敏感標(biāo)記的資源，只有具有權(quán)限的用戶才能訪問。記錄查看和訪談的內(nèi)容。安全審計(jì)a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶； 1) 以root身份登錄進(jìn)入Linux。2) 查看服務(wù)進(jìn)程。系統(tǒng)日志服務(wù)# service syslog status# service audit status或#service -status-all | grep running3) 若運(yùn)行了安全審計(jì)服務(wù)，則查看安全審計(jì)的守護(hù)進(jìn)程是否正常。#ps -ef | grep auditd系統(tǒng)開啟了安全審計(jì)功能。審計(jì)范圍覆蓋到了服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。記錄日志服務(wù)和安全審計(jì)服務(wù)是否運(yùn)行，若有第三方審計(jì)工具或系統(tǒng)則記錄其運(yùn)行狀態(tài)是否正常。b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件； 1) 以root身份登錄進(jìn)入Linux。2) 查看配置。# grep “priv-ops” /etc/audit/filter.conf# grep “mount-ops” /etc/audit/filter.conf# grep “system-ops” /etc/audit/filter.conf# grep “file-ops” /etc/audit/filter.conf# grep “open-ops” /etc/audit/filter.conf# grep “execute-ops” /etc/audit/filter.conf等。審計(jì)內(nèi)容中包括了審核賬戶登錄事件、審核賬戶管理、審核目錄服務(wù)訪問、審核登錄事件、審核對象訪問、審核策略更改、審核系統(tǒng)事件等內(nèi)容。記錄相關(guān)參數(shù)。如file-ops系統(tǒng)事件審計(jì)的文件包括，“mkdir”、“rmdir”、“unlink”、“chmod”、“chown”、“l(fā)chown”、“chown32”、“l(fā)chown32”。c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等； 1) 使用aucat和augrep工具查看審計(jì)日志：#aucat | tail 100 #查看最近的100條審計(jì)記錄。#augrep -e TEXT U AUTH_success #查看所有成功PAM授權(quán)。審計(jì)日志記錄如下：2005-04-22T17:06:35 19440 6058 -1 execve(“/usr/bin/find”, “find”, “/usr/lib”, “-name”, “*.jar”,data, len=0)2005-4-22T17:06:35 19441 6058 -1 open(“/etc/ld.so.preload”, O_RDONLY); result=-2 “no such file or directory”2005-4-22T17:06:35 19442 6058 -1 open(“/etc/ld.so.cache”, O_RDONLY); result=32005-04-22T17:06:35 19443 6058 -1 open(“/lib/tls/libc-2.3.2.so”, O_RDONLY); result=3審計(jì)記錄中包括了時(shí)間的日期、時(shí)間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果。記錄查看的審計(jì)記錄，是否包括日期、時(shí)間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等必要的審計(jì)要素。若有第三方審計(jì)工具或系統(tǒng)則查看其審計(jì)日志是否包括必要的審計(jì)要素d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； 訪談并查看對審計(jì)記錄的查看、分析和生成審計(jì)報(bào)表的情況。提供了一種直觀的分析報(bào)告及統(tǒng)計(jì)報(bào)表的自動生成機(jī)制，對審計(jì)產(chǎn)生的記錄數(shù)據(jù)進(jìn)行統(tǒng)一管理與處理，并將日志關(guān)聯(lián)起來，保證管理員能夠及時(shí)、有效地發(fā)現(xiàn)系統(tǒng)中各種異常狀況及安全事件。記錄訪談內(nèi)容并對審計(jì)記錄的查看、分析和生成報(bào)表情況進(jìn)行記錄。如：“系統(tǒng)自動將日志發(fā)到集中審計(jì)服務(wù)器，由集中審計(jì)平臺生成審計(jì)報(bào)表，并自動分析異常行為，且人工定期查看”。若有第三方審計(jì)工具，則記錄其相關(guān)功能。e)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷； 訪談對審計(jì)進(jìn)程監(jiān)控和保護(hù)的措施。同時(shí)查看審計(jì)進(jìn)程的訪問權(quán)限設(shè)置是否合理。訪談是否有第三方對審計(jì)進(jìn)程監(jiān)控和保護(hù)的措施。Linux中，Auditd是審計(jì)守護(hù)進(jìn)程，syslogd是日志守護(hù)進(jìn)程，這兩個(gè)進(jìn)程得到了很好的保護(hù)，當(dāng)事件發(fā)生時(shí)，能夠及時(shí)記錄時(shí)間發(fā)生的詳細(xì)內(nèi)容。記錄訪談的內(nèi)容。f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。訪談審計(jì)記錄的存儲、備份和保護(hù)的措施，如配置日志服務(wù)器等。配置了專門的日志服務(wù)器用于存儲審計(jì)記錄，防止非法用戶進(jìn)入系統(tǒng)后清理系統(tǒng)日志和審計(jì)日志。記錄日志存儲空間大小，更新模式，日志文件權(quán)限設(shè)置以及是否有日志服務(wù)器等相關(guān)措施。剩余信息保護(hù)a)應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中； 檢查Linux操作系統(tǒng)維護(hù)/操作手冊，查看其是否明確用戶的鑒別信息存儲空間以及被釋放或再分配給其他用戶之前的處理方法及過程。每個(gè)用戶有每個(gè)用戶單獨(dú)的鑒別信息存儲空間，鑒別信息在用戶退出或注銷后自動進(jìn)行清理。記錄鑒別信息的存儲空間，被釋放或再分配給其他用戶前的處理方法和過程。系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前的處理方法和過程。b)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。檢查Linux操作系統(tǒng)維護(hù)/操作手冊，系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前的處理方法和過程。系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或再分配給其他用戶之前進(jìn)行了完全清楚，避免了緩沖區(qū)的溢出。記錄系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶之前的處理方法和過程。入侵防范a)應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警； 1）訪談并查看入侵檢測的措施，如經(jīng)常通過如下命令查看入侵的重要線索（試圖Telnet、FTP等），涉及命令“#more/var/log/secure|grep refused”。2）查看是否啟用了主機(jī)防火墻、TCP SYN保護(hù)機(jī)制等設(shè)置。3）可執(zhí)行命令：find / -name -print檢查是否安裝了以下主機(jī)入侵檢測軟件。Dragon Squire by Enterasys Networks、ITA by Symantec、Hostsentry by Psionic Software、Logcheck by Psionic Software、RealSecure agent by ISS。啟用了主機(jī)防火墻，TCP SYN保護(hù)機(jī)制等設(shè)置。安裝了入侵檢測軟件，并進(jìn)行了正確的配置，對發(fā)生的安全事件有相關(guān)的日志記錄，并在發(fā)生安全事件時(shí)進(jìn)行報(bào)警。記錄訪談和查看的內(nèi)容，系統(tǒng)管理員查看日志的頻率，是否啟用并合理配置系統(tǒng)自帶防火墻或第三方的防火墻軟件，是否部署并合理配置了入侵檢測系統(tǒng)，入侵檢測系統(tǒng)是否具備了報(bào)警功能等。b)應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施； 訪談是否使用一些文件完整性檢查工具或腳本定期對重要文件進(jìn)行完整性檢查，如對比校驗(yàn)值等。是否對重要的配置文件進(jìn)行備份，查看備份演示，查看備份后的恢復(fù)情況。使用校驗(yàn)值對重要文件的完整性進(jìn)行檢查。對重要的配置文件進(jìn)行了備份，使用備份文件能進(jìn)行恢復(fù)。記錄訪談的內(nèi)容和備份演示的過程和恢復(fù)過程。c)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。1) 系統(tǒng)服務(wù)#service -status-all | grep running查看并確認(rèn)是否已經(jīng)關(guān)閉危險(xiǎn)的網(wǎng)絡(luò)服務(wù)如：echo、shell、login、finger、r命令等。關(guān)閉非必需的網(wǎng)絡(luò)服務(wù)如：talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等。2) 監(jiān)聽端口在命令行模式下輸入“netstat -an”，查看列表中的監(jiān)聽端口。3) 補(bǔ)丁升級訪談補(bǔ)丁升級機(jī)制，查看補(bǔ)丁安裝情況：#rpm -qa | grep patch。僅啟動了必要的服務(wù)和開啟了必須的端口，系統(tǒng)補(bǔ)丁通過升級服務(wù)器得到更新，已為當(dāng)前最新的補(bǔ)丁。記錄系統(tǒng)中多余和危險(xiǎn)的服務(wù)，記錄多余的組件、應(yīng)用程序等。記錄監(jiān)聽狀態(tài)下的端口。記錄補(bǔ)丁升級方式和已安裝最新的補(bǔ)丁名稱。惡意代碼防范a)應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫；查看系統(tǒng)中安裝了什么防病毒軟件。詢問系統(tǒng)管理員是否經(jīng)常更新病毒庫。查看病毒庫的最新版本更新日期是否超過一星期。系統(tǒng)中安裝了防病毒軟件，病毒庫經(jīng)常更新，且最新版本不超過一星期。記錄系統(tǒng)是否安裝了防病毒軟件，防病毒軟件的名稱、版本、最新病毒庫更新時(shí)間，且確認(rèn)病毒庫的最新版本更新日期距離檢查當(dāng)日是否超過一個(gè)星期。b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫； 詢問系統(tǒng)管理員網(wǎng)絡(luò)防病毒產(chǎn)品和主機(jī)防病毒產(chǎn)品分別采用什么病毒庫。查看這兩種產(chǎn)品的病毒庫版本。網(wǎng)絡(luò)防病毒產(chǎn)品和主機(jī)防病毒產(chǎn)品采用了不同的病毒庫。記錄網(wǎng)絡(luò)防病毒產(chǎn)品型號和病毒庫最新更新日期，以及是否與主機(jī)防病毒產(chǎn)品使用同一病毒庫等。c)應(yīng)支持防惡意代碼的統(tǒng)一管理。詢問系統(tǒng)管理員采有統(tǒng)一的病毒更新策略和查殺策略。有統(tǒng)一的更新策略和查殺策略。若采用了網(wǎng)絡(luò)版防病毒軟件，則記錄防病毒軟