Linu安全測評指導(dǎo)書

Linux安全測評指導(dǎo)書序號測評指標(biāo)測評項檢查方法預(yù)期結(jié)果1身份鑒別a）檢查服務(wù)器的身份標(biāo)識與鑒別和用戶登錄的配置情況。訪談：1）訪談操作系統(tǒng)管理員，詢問操作系統(tǒng)的身份標(biāo)識和鑒別機制采用何種措施實現(xiàn)；2）登錄操作系統(tǒng)，查看是否提示輸入用戶口令，然后以正確口令登錄系統(tǒng)，再以錯誤口令或空口令重新登錄，觀察是否成功。手工檢查：方法一：在root權(quán)限下，使用命令#pwdck-nALL返回結(jié)果應(yīng)為空；方法二：在root權(quán)限下，使用命令#cat/etc/passwd#cat/etc/shadow查看文件中各用戶名狀態(tài)，記錄密碼一欄為空的用戶名。1）操作系統(tǒng)使用口令鑒別機制對用戶進行身份標(biāo)識和鑒別；2）登錄時提示輸入用戶名和口令；以錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有效性；3）操作系統(tǒng)不存在密碼為空的用戶。b）檢查服務(wù)器的身份標(biāo)識與鑒別和用戶登錄的配置情況。手工檢杳：1）在root權(quán)限卜，使用命令#cat/etc/login.defs 查看密碼策略配置文件，檢杳是否合理正確配置密碼策略；2）如果啟用了口令復(fù)雜度函數(shù)，分別以不符合復(fù)雜度要求和不符合最小長度要求的口令創(chuàng)建用戶，查看是否成功。訪談：訪談系統(tǒng)管理員,詢問用戶口令是否滿足復(fù)雜性要求。1）啟用了系統(tǒng)口令復(fù)雜度策略，系統(tǒng)用戶密碼長度不小于8位，由數(shù)子、大小與子母和特殊符號組成，并規(guī)定了口令更換的周期；2）以不符合復(fù)雜度要求和不符合長度要求的口令創(chuàng)建用戶時均提示失敗。C）檢查服務(wù)器的身份標(biāo)識與鑒別和手工檢杳：1）在root權(quán)限卜，使用命令#cat1）操作系統(tǒng)已啟用登陸失敗處理、結(jié)束會話、限制非法登錄次數(shù)

用戶登錄的配置情況。/etc/pam.d/system-auth查看該配置文件的內(nèi)容，記錄system-auth配置文件中的登錄失敗處理、限制非法登錄次數(shù)和自動退出結(jié)束會話的配置項。2）測試：根據(jù)使用的登錄失敗處理方式，采用如下測試方法進行測試：a）以超過系統(tǒng)規(guī)定的非法登陸次數(shù)登錄操作系統(tǒng)，觀察反應(yīng)；b）當(dāng)?shù)卿浵到y(tǒng)連接超時時，觀察系統(tǒng)反應(yīng)。等措施；2）當(dāng)超過系統(tǒng)規(guī)定的非法登陸次數(shù)或時間登錄操作系統(tǒng)時，系統(tǒng)鎖定或自動斷開連接。d）檢查服務(wù)器的身份標(biāo)識與鑒別和用戶登錄的配置情況。訪談：詢問系統(tǒng)管理員，是否采用了技術(shù)手段保證遠程管理數(shù)據(jù)進行加密傳輸。手工檢查：采用抓包工具，判斷遠程管理數(shù)據(jù)包是否是明文。1） 操作系統(tǒng)使用SSH協(xié)議進行遠程連接；2） 操作系統(tǒng)沒有采用明文的傳輸協(xié)議進行遠程管理；3）采用第三方管理工具保證遠程管理的信息保密。e）檢查服務(wù)器的身份標(biāo)識與鑒別和用戶登錄的配置情況。手工檢查:1）應(yīng)測試主要服務(wù)器操作系統(tǒng)，添加一個新用戶，其用戶標(biāo)識為系統(tǒng)原用戶的標(biāo)識（如用戶名或UID）,查看是否不會成功；2）應(yīng)測試主要服務(wù)器操作系統(tǒng)，刪除一個用戶標(biāo)識，然后再添加一個新用戶，其用戶標(biāo)識和所刪除的用戶標(biāo)識一樣（如用戶名/UID），查看是否不能成功；訪談：詢問管理員系統(tǒng)中每個賬戶，查看是否存在多人共用一個賬戶的情況。1）添加測試賬戶不會成功；2）系統(tǒng)不存在多人共用一個賬戶的情況；3）確保用戶名具有唯一性。f）檢查服務(wù)器的身份標(biāo)訪談：訪談系統(tǒng)管理員，詢問系統(tǒng)除用戶名用戶的認證方式選擇兩種或兩種以上組合

識與鑒別和用戶登錄的配置情況?？诹钔庥袩o其他身份鑒別方式，如生物鑒別、令牌、動態(tài)口令等，并手工檢杳。的鑒別技術(shù)，只用一種技術(shù)無法認證成功。2訪問控制a）檢查服務(wù)器的訪問控制設(shè)置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況等。訪談：訪談系統(tǒng)管理員詢問操作系統(tǒng)的重要文件及目錄是否根據(jù)實際環(huán)境設(shè)置了訪問控制策略。手工檢查：執(zhí)行命令#ls-l查詢系統(tǒng)內(nèi)重要文件是否合理設(shè)置了訪問控制策略。操作系統(tǒng)的重要文件及目錄已根據(jù)實際環(huán)境設(shè)置了訪問控制策略。b）檢查服務(wù)器的訪問控制設(shè)置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況等。訪談：要有哪些角色、每個角色的權(quán)限是否相互制約、每個系統(tǒng)用戶是否被賦予相應(yīng)的角色。系統(tǒng)管理員、安全管理員、安全審計員由不同的人員和用戶擔(dān)當(dāng)。至少應(yīng)該有系統(tǒng)管理員和安全管理員，安全審計員在有第二方審計工具時可以不要求。C）檢查服務(wù)器的訪問控制設(shè)置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況等。訪談：結(jié)合系統(tǒng)管理員的組成情況，判斷是否實現(xiàn)了該項要求。操作系統(tǒng)除具有管理員賬戶外，至少還有專門的審計管理員賬戶，且他們的權(quán)限互斥。d）檢查服務(wù)器的訪問控制設(shè)置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況等。手工檢杳：在root權(quán)限下，使用命令#cat/etc/passwd查看默認賬戶是否已更名，并且是否已禁用來賓賬戶。默認賬戶已更名，來賓賬戶已禁用。e）檢查服務(wù)手工檢查：查看是否不存在多余、過期和共

器的訪問控制設(shè)置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況等。有多余的、過期的賬戶，避免共享賬戶的存在。享賬戶。f）檢查服務(wù)器的訪問控制設(shè)置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況等。手工檢查：1）查看操作系統(tǒng)功能手冊或相關(guān)文檔，確認操作系統(tǒng)是否具備能對信息資源設(shè)置敏感標(biāo)記功能；2）詢問系統(tǒng)管理員是否對重要信息資源設(shè)置敏感標(biāo)記。對重要信息資源已設(shè)置敏感標(biāo)記。g）檢查服務(wù)器的訪問控制設(shè)置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況等。訪談：女口：如何劃分敏感標(biāo)記分類，如何設(shè)定訪問權(quán)限等。通過敏感標(biāo)記設(shè)定用戶對重要信息資源的訪問。3安全審計a）檢查服務(wù)器的安全審計的配置情況，如覆蓋范圍、記錄的項目和內(nèi)容等；檢杳安全審計進程和記錄的保護情況。手工檢查：1）查看系統(tǒng)是否開啟安全審計功能，或部署了第三方安全審計設(shè)備。系統(tǒng)開啟了安全審計功能或部署了第三方安全審計設(shè)備。b）檢查服務(wù)器的安全審計的配置情況，如覆蓋范圍、記錄的項目和內(nèi)手工檢杳：在root權(quán)限卜，查看系統(tǒng)日志服務(wù)#ps-ef|grepsyslog，和審計服務(wù)#ps-ef|grepauditd，是否有效合審計功能已開啟，包括：用戶的添加和刪除、審計功能的啟動和關(guān)閉、審計策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的

容等；檢杳安全審計進程和記錄的保護情況。理的配置了安全審計內(nèi)容系統(tǒng)操作（如用戶登錄、退出）等設(shè)置。C）檢查服務(wù)器的安全審計的配置情況，如覆蓋范圍、記錄的項目和內(nèi)容等；檢杳安全審計進程和記錄的保護情況。手工檢查：1）使用more命令查看審計記錄文件#cat/etc/audit/auditd.conf#cat/etc/audit/audit.rules中是否準(zhǔn)確記錄日期和時間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等審計記錄包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等內(nèi)容。d）檢查服務(wù)器的安全審計的配置情況，如覆蓋范圍、記錄的項目和內(nèi)容等；檢杳安全審計進程和記錄的保護情況。手工檢杳：1）檢杳audit日志文件，需要根據(jù)syslog.conf的定義查看對應(yīng)的日志文件，確認是否記錄了必要的審計要素；2）若有第三方審計工具或系統(tǒng)，則查看其審計日志是否包括必要的審計要素；3）檢查審計日志記錄、分析、生成報表情況。冃匕定期生成審計報表并包含必要審計要素。e）檢查服務(wù)器的安全審計的配置情況，如覆蓋范圍、記錄的項目和內(nèi)容等；檢杳安全審計進程和記錄的保護情況。訪談：訪談對審計進程監(jiān)控和保護的措施。對審計進程已采取相關(guān)保護措施。f）檢查服務(wù)器的安全審計的配置情況，如覆蓋范圍、記錄的項目和內(nèi)訪談：訪談對審計記錄監(jiān)控和保護的措施。例如：通過專用日志服務(wù)器或存儲設(shè)備對審計記錄進行備份，并避免對審計記錄的修改、通過專用日志服務(wù)器或存儲設(shè)備對審計記錄進行備份，并避免對審計記錄的修改、刪除或覆蓋。

容等；檢杳安全審計進程和記錄的保護情況。刪除或覆蓋。4剩余信息保護a）檢查服務(wù)器鑒別信息的存儲空間，被釋放或再分配給其他用戶前得到完全清除。訪談：1）檢查產(chǎn)品的測試報告、用戶手冊或管理手冊，確認其是否具有相關(guān)功能；或由第三方工具提供了相應(yīng)功能。手工檢查：在root權(quán)限下，使用命令#cat/etc/issue#cat/etc/ 查看是否清除系統(tǒng)相關(guān)信息。1）如果測試報告、用戶手冊或管理手冊中沒有相關(guān)描述，且沒有提供第三方工具增強該功能，則該項要求為不付合；2）右未刪除系統(tǒng)相關(guān)信息則不符合。b）檢查服務(wù)器鑒別信息的存儲空間，被釋放或再分配給其他用戶前得到完全清除。訪談：檢查產(chǎn)品的測試報告、用戶手冊或管理手冊，確認其是否具有相關(guān)功能；或由第三方工具提供了相應(yīng)功能。linux默認會清除swap中的存儲內(nèi)容。5入侵防范a）檢查服務(wù)器在運行過程中的入侵防范措施，如關(guān)閉不需要的端口和服務(wù)、最小化安裝、部署入侵防范產(chǎn)品等。訪談，手工檢查：1）詢問系統(tǒng)管理員是否經(jīng)常查看系統(tǒng)日志并對其進行分析。2）詢問是否安裝了主機入侵檢測軟件，查看已安裝的主機入侵檢查系統(tǒng)的配置情況，是否具備報警功能。3）詢問并查看是否有第三方入侵檢測系統(tǒng)，