Linux操作系統(tǒng)脆弱性識(shí)別用例_第1頁
Linux操作系統(tǒng)脆弱性識(shí)別用例_第2頁
Linux操作系統(tǒng)脆弱性識(shí)別用例_第3頁
Linux操作系統(tǒng)脆弱性識(shí)別用例_第4頁
Linux操作系統(tǒng)脆弱性識(shí)別用例_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

本文格式為Word版,下載可任意編輯——Linux操作系統(tǒng)脆弱性識(shí)別用例1.1LINUX操作系統(tǒng)脆弱性識(shí)別

1.1.1賬號(hào)管理、認(rèn)證授權(quán)

共享賬號(hào)

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)檢查是否阻止不同用戶間共享賬號(hào)工具檢測/人工核查1、使用cat/etc/passwd命令查看輸出結(jié)果;2、與相關(guān)負(fù)責(zé)人交流賬戶設(shè)置狀況。1、應(yīng)依照不同的用戶分派不同的賬號(hào),避免不同用戶間共享賬號(hào),避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。2、為用戶創(chuàng)立賬號(hào):#useraddusername#創(chuàng)立賬號(hào)#passwdusername#設(shè)置密碼3、修改權(quán)限:#chmod750directory#其中750為設(shè)置的權(quán)限,可根據(jù)實(shí)際狀況設(shè)置相應(yīng)的權(quán)限,directory是要更改權(quán)限的目錄;4、用以上命令為不同的用戶分派不同的賬號(hào),設(shè)置不同的口令及權(quán)限信息等。加固建議賬號(hào)刪除及默認(rèn)帳號(hào)shell變量更改

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)檢查是否刪除或鎖定系統(tǒng)不需要的默認(rèn)帳號(hào)、及是否更改危險(xiǎn)帳號(hào)缺省的shell變量工具檢測/人工核查1、使用cat/etc/passwd命令查看當(dāng)前用戶列表;2、使用cat/etc/shadow命令查看當(dāng)前密碼配置。1、#userdellp#groupdellp2、修改一些系統(tǒng)賬號(hào)的shell變量,例如uucp,ftp和news等,還有一些僅僅需要FTP功能的賬號(hào),一定不要給他們設(shè)置/bin/bash或者/bin/sh等Shell變量??梢栽?etc/passwd中將它們的shell變量設(shè)為/bin/false或者/dev/null等,也可以使用usermod-s/dev/nullusername命令來更改username的shell為/dev/null。加固建議刪除不必要的系統(tǒng)用戶組

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)加固建議檢測系統(tǒng)中是否已經(jīng)刪除不必要的用戶組工具檢測/人工核查more/etc/group刪除系統(tǒng)中不必要的用戶和組,鎖定無關(guān)的組用戶遠(yuǎn)程登錄

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)檢查是否限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄工具檢測/人工核查1、使用cat/etc/securetty命令查看輸出結(jié)果;2、使用cat/etc/ssh/sshd_config命令查看輸出結(jié)果。3、顯示PermitRootLoginno。1、遠(yuǎn)程執(zhí)行管理員權(quán)限操作,應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后,再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。2、SSH:#vi/etc/ssh/sshd_config把PermitRootLoginyes改為PermitRootLoginno3、重啟sshd服務(wù)#servicesshdrestart4、CONSOLE:在/etc/securetty文件中配置:CONSOLE=/dev/tty01加固建議系統(tǒng)賬號(hào)

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)加固建議檢查是否對(duì)系統(tǒng)賬號(hào)進(jìn)行登錄限制工具檢測/人工核查1、使用cat/etc/passwd命令查看帳號(hào)狀態(tài);2、阻止登陸賬號(hào)的shell顯示為/sbin/nologin。1、確保系統(tǒng)賬號(hào)僅被守護(hù)進(jìn)程和服務(wù)使用,不應(yīng)直接由該賬號(hào)登錄。(1)阻止用戶登錄:vi/etc/passwd例:修改lynn:x:500:500::/home/lynn:/sbin/bash更改為lynn:x:500:500::/home/lynn:/sbin/nologin(2)阻止所有用戶登錄(除root以外的用戶不能登錄):touch/etc/nologin(3)阻止交互登錄的系統(tǒng)賬號(hào),譬如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等??湛诹钣脩?/p>

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)加固建議檢查是否阻止空口令用戶工具檢測/人工核查1、使用cat/etc/passwd命令查看帳號(hào)狀態(tài);2、使用awk-F':''($2==\命令。1、awk-F':''($2==\2、用root用戶登陸Linux系統(tǒng),執(zhí)行passwd命令,給用戶增加口令。口令長度限制

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)加固建議檢查對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令長度是否至少8位工具檢測/人工核查1、使用cat/etc/login.defs命令查看輸出結(jié)果;2、顯示PASS_MIN_LEN8。1、#vi/etc/login.defs2、PASS_MIN_LEN口令馬上修改

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)加固建議口令是否可以被馬上修改工具檢測/人工核查more/etc/login.defs1、PASS_MIN_DAYS0口令生存期限制

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)加固建議檢查對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,帳戶口令的生存期是否不長于90天工具檢測/人工核查1、使用cat/etc/login.defs命令查看輸出結(jié)果;2、顯示PASS_MAX_DAYS90。1、#vi/etc/login.defs2、PASS_MAX_DAYS900口令過期提醒

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)加固建議檢查是否設(shè)置口令到期前多少天開始通知用戶口令即將到期工具檢測/人工核查1、使用cat/etc/login.defs命令查看輸出結(jié)果;2、顯示PASS_WARN_AGE7。1、#vi/etc/login.defs2、PASS_WARN_AGE71用戶最小權(quán)限

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查是否在設(shè)備權(quán)限配置能力內(nèi),根據(jù)用戶的業(yè)務(wù)需要,配置其所需的最小權(quán)限工具檢測/人工核查1、使用ls–al/etc/查看關(guān)鍵目錄的權(quán)限;2、顯示如下:[root@localhostsysconfig]#ls-al/etc/passwd|grep'^...-.--.--'-rw-r--r--1root16473??719:05/etc/passwd[root@localhostsysconfig]#ls-al/etc/group|grep'^...-.--.--'-rw-r--r--1root6243??719:04/etc/group[root@localhostsysconfig]#ls-al/etc/shadow|grep'^...'-r1root11403??719:06/etc/shadow1、通過chmod命令對(duì)目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。/etc/passwd必需所有用戶都可讀,root用戶可寫–rw-r—r—檢查流程(流程圖)檢查結(jié)果漏洞等級(jí)加固建議/etc/shadow只有root可讀–r/etc/group必需所有用戶都可讀,root用戶可寫–rw-r—r—2、使用如下命令設(shè)置:chmod644/etc/passwdchmod600/etc/shadowchmod644/etc/group3、假使是有寫權(quán)限,就需移去組及其它用戶對(duì)/etc的寫權(quán)限(特別狀況除外),執(zhí)行命令#chmod-Rgo-w/etc2用戶缺省訪問權(quán)限

檢查目的檢測依據(jù)檢測對(duì)象檢測方法檢查是否控制用戶缺省訪問權(quán)限工具檢測/人工核查1、使用如下命令:more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc2、檢查是否包含umask值,且顯示umask027。1、設(shè)置默認(rèn)權(quán)限:vi/etc/profilevi/etc/csh.loginvi/etc/csh.cshrcvi/etc/bashrc在末尾增加umask0272、修改文件或目錄的權(quán)限,例如下:#chmod444dir;#修改目錄dir的權(quán)限為所有人都為只讀。備注:1、假使用戶需要使用一個(gè)不同于默認(rèn)全局系統(tǒng)設(shè)置的umask,可以在需要的時(shí)候通過命令行設(shè)置,或者在用戶的shell啟動(dòng)文件中配置。umask的默認(rèn)設(shè)置一般為022,這給新創(chuàng)立的文件默認(rèn)權(quán)限755(777-022=755),這會(huì)給文件所有者讀、寫權(quán)限,但只給組成員和其

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論