主機安全 - Linux操作系統(tǒng)基線檢查指導(dǎo)書1.0版

1、啟明信息安全中心編號：基線檢查指導(dǎo)書基礎(chǔ)網(wǎng)絡(luò)安全-Linux 操作系統(tǒng)V1.0啟明信息安全中心啟明信息安全中心序號類別檢查項檢查方法預(yù)期結(jié)果符合情況檢查：份標識和鑒別機制采用何種措施實現(xiàn)；標識和鑒別；令或空口令重新登錄，觀察是否成功。手工檢查:root#pwdck -n ALL返回結(jié)果應(yīng)為空；戶進行身份標識和鑒別；錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有效性；身份鑒別方法二:在root權(quán)限下，使用命令#cat /etc/passwd #cat /etc/shadow操作系統(tǒng)不存在密碼為空的用戶。不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；空的用戶名。手工檢查：1root#

2、cat /etc/login.defs配置密碼策略；啟用了系統(tǒng)口令復(fù)雜度策略，系統(tǒng)8以不符合復(fù)雜度要求和不符合長敗。序號類別檢查項檢查方法預(yù)期結(jié)果符合情況2合復(fù)雜度要求和不符合最小長度要求的口令創(chuàng)建用戶，查看是否成功。檢查:雜性要求。手工檢查：root制非法登錄次數(shù)和自動退出等措施；防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；#cat /etc/pam.d/system-auth查看該配置文件的內(nèi)容，記錄system-auth 次數(shù)和自動退出結(jié)束會話的配置項。測試：試方法進行測試：作系統(tǒng)，觀察反應(yīng)；檢查：遠程管理數(shù)據(jù)進行加密傳輸。手工檢查：操作系統(tǒng)已啟用登陸失敗處理、結(jié)當超過系統(tǒng)規(guī)定的非法登陸次數(shù)自動

3、斷開連接。SSH連接；議進行遠程管理；序號類別檢查項檢查方法明文。預(yù)期結(jié)果理的信息保密。符合情況的用戶名，確保用戶名具有唯一性。應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用手工檢查:1)應(yīng)測試主要服務(wù)器操作系統(tǒng)， 的標識（如用戶名或UID，查看是否不會成功；2識和所刪除的用戶標識一樣（如用戶名/UID檢查：多人共用一個賬戶的情況。檢查:添加測試賬戶不會成功；情況；確保用戶名具有唯一性。用戶的認證方式選擇兩種或兩種以戶進行身份鑒別。檢查系統(tǒng)管理員詢問系統(tǒng)除用戶名口令外上組合的鑒別技術(shù)只用一種技術(shù)有無其他身份鑒別方式如生物鑒別令牌、 法認證成功。動態(tài)口令等，并手工檢查。檢查:資源的訪問；檢查系統(tǒng)管理

4、員詢問操作系統(tǒng)的重要文件及目錄是否根據(jù)實際環(huán)境設(shè)置了訪問控制策略。手工檢查:執(zhí)行命令#ls -l合理設(shè)置了訪問控制策略。操作系統(tǒng)的重要文件及目錄已根據(jù)實際環(huán)境設(shè)置了訪問控制策略。序號類別檢查項檢查方法預(yù)期結(jié)果符合情況檢查:的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；要有哪些角色每個角色的權(quán)限是否相互制該有系統(tǒng)管理員和安全管理員安約、每個系統(tǒng)用戶是否被賦予相應(yīng)的角色。審計員在有第三方審計工具時可以不要求。離；認帳戶，修改這些帳戶的默認口令；的存在。應(yīng)對重要信息資源設(shè)置敏感標記；檢查：了該項要求。手工檢查:root#cat /etc/passwd查看默認賬戶是否已更名,并且是否已禁用來賓賬戶。手工檢

5、查：賬戶的存在。手工檢查：操作系統(tǒng)是否具備能對信息資源設(shè)置敏感標記功能；置敏感標記。操作系統(tǒng)除具有管理員賬戶外，至少還有專門的審計管理員賬戶，且他們的權(quán)限互斥。默認賬戶已更名，來賓賬戶已禁用。不存在多余、過期和共享賬戶。對重要信息資源已設(shè)置敏感標記。序號類別檢查項信息資源的操作。操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；檢查方法檢查：權(quán)限等。手工檢查：1了第三方安全審計設(shè)備。手工檢查：root#ps -ef | grep syslog，和審計服務(wù)#ps -ef | grep auditd，預(yù)期結(jié)果符合情況通過敏感標記設(shè)定用戶對重要信息資源的訪問。系統(tǒng)開啟了安

6、全審計功能或部署了第三方安全審計設(shè)備。（戶登錄、退出）等設(shè)置。安全審計是否有效合理的配置了安全審計內(nèi)手工檢查：標識、客體標識和結(jié)果等；1more#cat /etc/audit/auditd.conf #cat /etc/audit/audit.rules識、客體標識、事件的結(jié)果等手工檢查：應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；audit能定期生成審計報表并包含必要審計要素。序號類別檢查項檢查方法syslog.conf確認是否記錄了必要的審計要素；計日志是否包括必要的審計要素；預(yù)期結(jié)果符合情況檢查：應(yīng)保護審計進程，避免受到未預(yù)期的中斷；對審計進程已采取相關(guān)保護措施。檢查對審計進程監(jiān)控和保護

7、的措施。檢查：檢查對審計記錄監(jiān)控和保護的措施。例如：通過專用日志服務(wù)器或存儲設(shè)備對覆蓋等。通過專用日志服務(wù)器或存儲設(shè)備對審計記審計記錄進行備份，并避免對審計記錄進行備份并避免對審計記錄的修改刪錄的修改、刪除或覆蓋。除或覆蓋。檢查：應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所剩余信息全清除，無論這些信息是存放在硬盤上還是在內(nèi)存保護中；檢查產(chǎn)品的測試報告、用戶手冊或管理方工具提供了相應(yīng)功能。手工檢查：root#cat /etc/issue#cat /etc/1)若未刪除系統(tǒng)相關(guān)信息則不符合。查看是否清除系統(tǒng)相關(guān)信息。應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源檢查：linux 默認會清除swap 中的

8、存儲內(nèi)序號類別檢查項到完全清除。檢查方法容。檢查產(chǎn)品的測試報告、用戶手冊或管理手工具提供了相應(yīng)功能。檢查，手工檢查:預(yù)期結(jié)果符合情況a) 應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能IP的時間，并在發(fā)生嚴重入侵事件時提供報警；入侵防范b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢到完整性受到破壞后具有恢復(fù)的措施；c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的系統(tǒng)補丁及時得到更新。并對其進行分析。否具備報警功能。如:IDS。檢查，核查：檢查產(chǎn)品的測試報告、用戶手冊或管理手工具(例如：完整性檢查工具或安全防護工具)提供了相應(yīng)功能。檢查：1)檢查系統(tǒng)管理員系統(tǒng)目前是否采取了最小安裝原則。手工檢查：嚴

9、重入侵事件時提供報警。工具(例如：完整性檢查工具或安全防護工具)增強該功能，則該項要求為不符合。了最小安裝的原則；不必要的服務(wù)沒有啟動；不必要的端口沒有打開；確認系統(tǒng)目前正在運行的服務(wù)4)系統(tǒng)補丁先測試，再升級；補丁號-status-all|grep查看并確認為較新版本。是否已經(jīng)關(guān)閉危險的網(wǎng)絡(luò)服務(wù)如 echo、序號類別檢查項檢查方法預(yù)期結(jié)果符合情況shellloginfingerrtalkntalkpop-2SendmailImapd等。# rpm qa | greppatch丁升級方式和已安裝最新的補丁名稱。防范軟件版本和惡意代碼庫；品不同的惡意代碼庫；檢查，核查：新日期是否及時。檢查：檢查

10、系統(tǒng)管理員網(wǎng)絡(luò)防病毒軟件和主機防病毒軟件分別采用什么病毒庫。安裝了防病毒軟件，病毒庫經(jīng)常更新，是最新版本。主機防惡意代碼產(chǎn)品與網(wǎng)絡(luò)防惡意代碼產(chǎn)品的惡意代碼庫不同。檢查：應(yīng)支持防惡意代碼的統(tǒng)一管理。檢查防惡意代碼的管理方式，例如升級式。防惡意代碼統(tǒng)一管理，統(tǒng)一升級。資源控制a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條限制終端登錄；手工檢查：記錄/etc/hosts.deny、/etc/hosts.allow關(guān)配置參數(shù)。已設(shè)定終端登錄安全策略及措施，非授權(quán)終端無法登錄管理。序號類別檢查項檢查方法預(yù)期結(jié)果符合情況訪問控制策略、堡壘機策略等實現(xiàn)。手工檢查：應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；查

11、看并記錄/etc/profile中的TMOUT環(huán)境TMOUT作超時時間。已在/etc/profile 中為 TMOUT 設(shè)置了合理的操作超時時間。應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；度；檢查，手工檢查：檢查系統(tǒng)管理員是否經(jīng)常通過“系統(tǒng)資源監(jiān)控器”或第三方監(jiān)控平臺對重要服務(wù)器CPU情況進行監(jiān)視。檢查：是否對單個用戶系統(tǒng)資源（CPU、內(nèi)存、硬盤等）的最大或最小使用限度。監(jiān)控平臺對重要服務(wù)器的的 CPU已針對系統(tǒng)資源控制的管理措施， 對單個用戶系統(tǒng)資源（CPU硬盤等）的最大或最小使用限度；在/etc/security/limits中已設(shè)定對單手工檢查：個用戶系統(tǒng)資源的最