LINUX操作系統(tǒng)安全測(cè)評(píng)指導(dǎo)書三級(jí)

操作系統(tǒng)安全測(cè)評(píng)指導(dǎo)書LINUX1概述1.1適用范圍本測(cè)評(píng)指導(dǎo)書適適用于信息系統(tǒng)等級(jí)為三級(jí)主機(jī)Linux操作系統(tǒng)測(cè)評(píng)。1.2說明本測(cè)評(píng)指導(dǎo)書基于《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》基礎(chǔ)上進(jìn)行設(shè)計(jì)。本測(cè)評(píng)指導(dǎo)書是主機(jī)安全對(duì)于Linux操作系統(tǒng)身份判別、訪問控制、安全審計(jì)、剩下信息保護(hù)、備份與恢復(fù)安全配置要求，對(duì)Linux操作系統(tǒng)主機(jī)安全配置審計(jì)作起到指導(dǎo)性作用。1.4保障條件需要相關(guān)技術(shù)人員（系統(tǒng)管理員）主動(dòng)配合需要測(cè)評(píng)主機(jī)管理員帳戶和口令提前備份系統(tǒng)及配置文件序號(hào)測(cè)評(píng)指標(biāo)測(cè)評(píng)項(xiàng)操作步驟預(yù)期統(tǒng)計(jì)實(shí)際情況統(tǒng)計(jì)1身份判別(S3)a)應(yīng)為操作系統(tǒng)不一樣用戶分配不一樣用戶名，確保用戶名具備唯一性。查看用戶名與UIDcat/etc/passwd、cat/etc/shadow分別查看用戶名（第1列）與UID（第3列）是否有重復(fù)項(xiàng)b)應(yīng)對(duì)登錄操作系統(tǒng)用戶進(jìn)行身份標(biāo)識(shí)和判別。查看登錄是否需要密碼cat/etc/passwd、cat/etc/shadow全部用戶具備身份標(biāo)識(shí)和判別，用戶密碼欄項(xiàng)（第2項(xiàng)）帶有X，表示登陸都需要密碼驗(yàn)證。若留空則表示空密碼。c)操作系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具備不易被冒用特點(diǎn)，系統(tǒng)靜態(tài)口令應(yīng)在8位以上并由字母、數(shù)字和符號(hào)等混合組成并每三個(gè)月更換口令。①查看登錄配置文件cat/etc/login.defs②查看密碼策略配置文件(CentOS、Fedora、RHEL系統(tǒng))cat/etc/pam.d/system-auth(Debian、Ubuntu或LinuxMint系統(tǒng))cat/etc/pam.d/common-password①登錄相關(guān)配置內(nèi)容：PASS_MAX_DAYS=90#登陸密碼使用期90天PASS_MIN_DAYS=2#登陸密碼最短修改時(shí)間，增加能夠預(yù)防非法用戶短期更改數(shù)次PASS_MIN_LEN=7#登陸密碼最小長(zhǎng)度7位PASS_WARN_AGE=10#登陸密碼過期提前10天提醒修改②密碼策略相關(guān)配置passwordrequisitepam_cracklib.soretry=3minlen=7difok=3ucredit=-1lcredit=-1dcredit=-1ocredit=-1#“minlen=7”表示最小密碼長(zhǎng)度為7#“difok=3”啟用3種類型符號(hào)#“ucredit=-1”最少1個(gè)大寫字符#

“l(fā)credit=-1”最少1個(gè)小寫字符#“dcredit=-1”最少1個(gè)數(shù)字字符#“ucredit=-1”最少1個(gè)標(biāo)點(diǎn)字符d)應(yīng)啟用登錄失敗處理功效，可采取結(jié)束會(huì)話、限制登錄間隔、限制非法登錄次數(shù)和自動(dòng)退出等方法。查看密碼策略配置文件(CentOS、Fedora、RHEL系統(tǒng))cat/etc/pam.d/system-auth(Debian、Ubuntu或LinuxMint系統(tǒng))cat/etc/pam.d/common-password查找：accountrequired/lib/security/pam_tally.sodeny=3no_magic_rootreset登錄3次失敗，則拒絕訪問鎖定賬戶。e)主機(jī)系統(tǒng)應(yīng)對(duì)與之相連服務(wù)器或終端設(shè)備進(jìn)行身份標(biāo)識(shí)與判別，當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取加密方法，預(yù)防判別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。①查看是否安裝了SSH對(duì)應(yīng)包rpm–aq|grepssh或者查看是否運(yùn)行了sshd服務(wù)，service–status-all|grepsshd；②假如已經(jīng)安裝則查看相關(guān)端口是否打開netstat–an|grep22；③若未使用ssh方式進(jìn)行遠(yuǎn)程管理，則查看是否使用了Telnet方式進(jìn)行遠(yuǎn)程管理servicestatus-all|greprunning查看是否存在Telnet服務(wù)。已安裝了SSH包.sshd服務(wù)正在運(yùn)行.采取SSH加密方式進(jìn)行遠(yuǎn)程登錄。因?yàn)閠elnet為明文傳輸信道，如使用telnet方式訪問服務(wù)器，應(yīng)改用SSH方式替換。f)宜采取兩種或兩種以上組合判別技術(shù)對(duì)管理用戶進(jìn)行身份判別，比如以密鑰證書、動(dòng)態(tài)口令卡、生物特征等作為身份判別信息。訪談系統(tǒng)管理員，問詢系統(tǒng)除用戶名口令外有沒有其余身份判別方法，查看身份判別是否采取兩個(gè)及兩個(gè)以上身份判別技術(shù)組合來進(jìn)行身份判別（如采取用戶名/口令、挑戰(zhàn)應(yīng)答、動(dòng)態(tài)口令、PKI物理設(shè)備、生物識(shí)別技術(shù)和數(shù)字證書方式身份判別技術(shù)中任意兩個(gè)組合）使用xxx方式和xxx方式進(jìn)行登錄。2訪問控制(S3)a)應(yīng)啟用訪問控制功效，依據(jù)安全策略控制用戶對(duì)資源訪問。依照不一樣linux操作系統(tǒng)路徑，查看系統(tǒng)主要文件權(quán)限，檢驗(yàn)其權(quán)限小于664：ls–l/etc/passwdls–l/etc/shadowls–l/etc/security/passwdls–l/etc/security/login.cfgls–l/ect/security/user并查看對(duì)應(yīng)業(yè)務(wù)軟件目錄用戶及權(quán)限系統(tǒng)主要文件及業(yè)務(wù)軟件目錄權(quán)限設(shè)置均符合要求。b)應(yīng)依照管理用戶角色分配權(quán)限，實(shí)現(xiàn)管理用戶權(quán)限分離，僅授予管理用戶所需最小權(quán)限。查看系統(tǒng)用戶，訪談管理員是否有完整安全策略、系統(tǒng)主要有哪些角色、每個(gè)角色權(quán)限是否相互制約、每個(gè)系統(tǒng)用戶是否被賦予對(duì)應(yīng)角色。系統(tǒng)具備完整安全策略，系統(tǒng)分為xxx個(gè)角色：xxx、xxx、……，xxx角色權(quán)限為：xxxxxx角色權(quán)限為：xxx系統(tǒng)用戶均被賦予對(duì)應(yīng)角色。c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)特權(quán)用戶權(quán)限分離。訪談系統(tǒng)管理員，主機(jī)是否裝有數(shù)據(jù)庫(kù)，若有，結(jié)合系統(tǒng)管理員組成情況，判定是否實(shí)現(xiàn)了該項(xiàng)要求。數(shù)據(jù)庫(kù)用戶和操作系統(tǒng)用戶為不一樣人員和操作賬號(hào)。d)應(yīng)禁用或嚴(yán)格限制默認(rèn)帳戶訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶默認(rèn)口令。查看是否限制了系統(tǒng)默認(rèn)帳號(hào)訪問權(quán)限，是否修改了這些帳戶默認(rèn)口令：cat/etc/shadow限制了默認(rèn)賬號(hào)訪問權(quán)限。e)應(yīng)及時(shí)刪除多出、過期帳戶，防止共享帳戶存在。統(tǒng)計(jì)系統(tǒng)沒有被及時(shí)刪除或過期帳號(hào)，防止共享帳戶：cat/etc/passwd檢驗(yàn)“登錄shell列（第7列）”，非“/sbin/nologin”用戶，是否為多出用戶。不存在多出、過期、共享賬戶。f)應(yīng)對(duì)主要信息資源設(shè)置敏感標(biāo)識(shí)。訪談系統(tǒng)管理員或查看相關(guān)文檔，確認(rèn)操作系統(tǒng)是否具備能對(duì)信息資源設(shè)置敏感標(biāo)識(shí)功效；訪談管理員是否對(duì)主要信息資源設(shè)置敏感標(biāo)識(shí)。使用系統(tǒng)功效（或者第三方軟件）設(shè)置了敏感標(biāo)識(shí)。g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)識(shí)主要信息資源操作。問詢或查看現(xiàn)在敏感標(biāo)識(shí)策略相關(guān)設(shè)置，如：怎樣劃分敏感標(biāo)識(shí)分類，怎樣設(shè)定訪問權(quán)限等。使用系統(tǒng)功效（或者第三方軟件）設(shè)置了敏感標(biāo)識(shí)。3安全審計(jì)(G3)a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和主要客戶端上每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶。①查看服務(wù)進(jìn)程，系統(tǒng)日志服務(wù)是否開啟；servicesyslogstatusserviceauditstatus或service--status-all|greprunning②若運(yùn)行了安全審計(jì)服務(wù)，則查看安全審計(jì)守護(hù)進(jìn)程是否正常ps–ef|grepauditd。已開啟系統(tǒng)自帶審計(jì)功效；安全審計(jì)進(jìn)程運(yùn)行正常。b）審計(jì)內(nèi)容應(yīng)包含主要用戶行為、系統(tǒng)資源異常使用和主要系統(tǒng)命令使用、賬號(hào)分配、創(chuàng)建與變更、審計(jì)策略調(diào)整、審計(jì)系統(tǒng)功效關(guān)閉與開啟等系統(tǒng)內(nèi)主要安全相關(guān)事件。該文件指定怎樣寫入審查統(tǒng)計(jì)以及在哪里寫入cat/etc/audit/audit.conf查看相關(guān)配置文件grep“@priv-ops”/etc/audit/filter.confgrep“@mount-ops”/etc/audit/filter.confgrep“@system-ops”/etc/audit/filter.conf審計(jì)內(nèi)容包含主要用戶行為、系統(tǒng)資源異常使用和主要系統(tǒng)命令使用等主要安全相關(guān)事件。c)審計(jì)統(tǒng)計(jì)應(yīng)包含事件日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等，并定時(shí)備份審計(jì)統(tǒng)計(jì)，包括敏感數(shù)據(jù)統(tǒng)計(jì)保留時(shí)間不少于六個(gè)月。查看審計(jì)統(tǒng)計(jì)，是否包含必要審計(jì)要素。若有第三方審計(jì)工具或系統(tǒng)，則查看其審計(jì)日志是否包含必要審計(jì)要素。查看audit下相關(guān)文件cat/etc/audit/audit.conf審計(jì)統(tǒng)計(jì)(或第三方審計(jì)工具日志)包含必要審計(jì)要素。d)應(yīng)能夠依照統(tǒng)計(jì)數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表。訪談并查看對(duì)審計(jì)統(tǒng)計(jì)查看、分析和生成審計(jì)報(bào)表情況。能夠?qū)?shù)據(jù)進(jìn)行分析并生成報(bào)表。e)應(yīng)保護(hù)審計(jì)進(jìn)程，防止受到未預(yù)期中止。訪談審計(jì)管理員對(duì)審計(jì)進(jìn)程監(jiān)控和保護(hù)方法。使用第三方工具對(duì)主機(jī)進(jìn)行審計(jì)。f)應(yīng)保護(hù)審計(jì)統(tǒng)計(jì)，防止受到未預(yù)期刪除、修改或覆蓋等。查看日志訪問權(quán)限；ls-la/var/log/audit.d訪談審計(jì)統(tǒng)計(jì)存放、備份和保護(hù)方法，如配置日志服務(wù)器等。審計(jì)統(tǒng)計(jì)采取了有xxx方法進(jìn)行保護(hù)。4剩下信息保護(hù)(S3)a)應(yīng)確保操作系統(tǒng)用戶判別信息所在存放空間，被釋放或再分配給其余使用人員前得到完全去除，不論這些信息是存放在硬盤上還是在內(nèi)存中。檢驗(yàn)操作系統(tǒng)維護(hù)/操作手冊(cè)：①查看其是否明確用戶判別信息存放空間；②被釋放或再分配給其余用戶前處理方法和過程。依照l(shuí)inux特征，該項(xiàng)符合。b)應(yīng)確保系統(tǒng)內(nèi)文件、目錄和數(shù)據(jù)庫(kù)統(tǒng)計(jì)等資源所在存放空間，被釋放或重新分配給其余使用人員前得到完全去除。檢驗(yàn)操作系統(tǒng)維護(hù)/操作手冊(cè)，系統(tǒng)內(nèi)文件、目錄等資源所在存放空間，被釋放或重新分配給其余用戶前處理方法和過程。依照l(shuí)inux特征，該項(xiàng)符合。5入侵防范(G3)a)應(yīng)能夠檢測(cè)到對(duì)主要服務(wù)器進(jìn)行入侵行為，能夠統(tǒng)計(jì)入侵源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。①訪談并查看入侵檢測(cè)方法more/var/log/secure|greprefused②檢驗(yàn)是否啟用了主機(jī)防火墻、TCPSYN保護(hù)機(jī)制等設(shè)置；serviceiptablesstatussysctl-a|grepsyn③問詢是否有第三方入侵檢測(cè)系統(tǒng)，如IDS，是否具備報(bào)警功效。系統(tǒng)具備xxx入侵檢測(cè)方法；啟用主機(jī)防火墻；安裝了主機(jī)入侵檢測(cè)軟件（或者具備第三方入侵檢測(cè)系統(tǒng)），具備報(bào)警功效。b)應(yīng)能夠?qū)χ饕绦蛲暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具備恢復(fù)方法或在檢測(cè)到完整性即將受到破壞時(shí)進(jìn)行事前阻斷。訪談是否使用一些文件完整性檢驗(yàn)工具對(duì)主要文件完整性進(jìn)行檢驗(yàn)，是否對(duì)主要配置文件進(jìn)行備份。查看備份演示。對(duì)主要文件有備份，對(duì)主要程序有監(jiān)控。c)操作系統(tǒng)應(yīng)遵照最小安裝標(biāo)準(zhǔn)，僅安裝需要組件和應(yīng)用程序，并經(jīng)過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。①訪談系統(tǒng)管理員系統(tǒng)現(xiàn)在是否采取了最小安裝標(biāo)準(zhǔn)；②確認(rèn)系統(tǒng)現(xiàn)在正在運(yùn)行服務(wù)，service--status-all|greprunning查看并確認(rèn)是否已經(jīng)關(guān)閉危險(xiǎn)網(wǎng)絡(luò)服務(wù)，如：echo、shell、login、finger、r命令等關(guān)閉非必須網(wǎng)絡(luò)服務(wù)，如：talk、ntalk、pop-2、sendmail、imapd、pop3d等；③訪談補(bǔ)丁升級(jí)機(jī)制，查看補(bǔ)丁安裝情況。rpm-qa|greppatch采取了最小安裝標(biāo)準(zhǔn)；系統(tǒng)運(yùn)行服務(wù)均為安全服務(wù)；采取了xxx補(bǔ)丁升級(jí)機(jī)制。6惡意代碼防范(G3)a)應(yīng)安裝國(guó)家安全部門認(rèn)證正版防惡意代碼軟件，對(duì)于依附于病毒庫(kù)進(jìn)行惡意代碼查殺軟件應(yīng)及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)，對(duì)于非依賴于病毒庫(kù)進(jìn)行惡意代碼防御軟件，如主動(dòng)防御類軟件，應(yīng)確保軟件所采取特征庫(kù)有效性與實(shí)時(shí)性，對(duì)于一些不能安裝對(duì)應(yīng)軟件系統(tǒng)能夠采取其余安全防護(hù)方法來確保系統(tǒng)不被惡意代碼攻擊。查看系統(tǒng)中安裝了什么防病毒軟件。問詢管理員病毒庫(kù)是否經(jīng)常更新。查看病毒庫(kù)最新版本更新日期是否超出一個(gè)星期。安裝了xxx防病毒軟件；經(jīng)常更新防病毒軟件病毒庫(kù)；病毒庫(kù)為最新版本。b)主機(jī)防惡意代碼產(chǎn)品應(yīng)具備與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不一樣惡意代碼庫(kù)。問詢系統(tǒng)管理員網(wǎng)絡(luò)防病毒軟件和主機(jī)防病毒軟件分別采取什么病毒庫(kù)，病毒庫(kù)是否不一樣。網(wǎng)絡(luò)防病毒軟件采取xxx病毒庫(kù)；主機(jī)防病毒軟件采取xxx病毒庫(kù)。c)應(yīng)支持防惡意代碼統(tǒng)一管理。問詢系統(tǒng)管理員是否采取統(tǒng)一病毒庫(kù)更新策略和查殺策略。對(duì)病毒庫(kù)采取統(tǒng)一更新策略；對(duì)防病毒軟件采取統(tǒng)一查殺策略。d)應(yīng)建立病毒監(jiān)控中心，對(duì)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)感染病毒情況進(jìn)行監(jiān)控。檢驗(yàn)網(wǎng)絡(luò)防惡意代碼產(chǎn)品，查看廠家、版本號(hào)和惡意代碼庫(kù)名稱產(chǎn)品對(duì)網(wǎng)絡(luò)內(nèi)各計(jì)算機(jī)均進(jìn)行監(jiān)控。7資源控制(A3)a)應(yīng)經(jīng)過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。查看linux內(nèi)置防火墻規(guī)則iptables-L-n②查看在/etc/hosts.deny中是否有“sshd:all:deny”，禁止全部請(qǐng)求；/etc/hosts.allow中是否有以下類似設(shè)置：sshd：192.168.1.10/255.255.255.0設(shè)定了終端接入方式、網(wǎng)絡(luò)地址范圍經(jīng)過xxx（主機(jī)防火墻、網(wǎng)絡(luò)防火墻、路由器等）限制了終端登錄。假如布署了終端管理系統(tǒng)，也能夠經(jīng)過終端管理系統(tǒng)控制終端接入服務(wù)器操作系統(tǒng)。b)應(yīng)依照安全策略設(shè)置登錄終端操作超時(shí)鎖定。①查看登錄該服務(wù)器終端是否設(shè)置了超時(shí)策略：cat/etc/ssh/sshd_config查看是否設(shè)置了

ClientA