信息安全linux標(biāo)準(zhǔn)檢查表全套

信息安全linux標(biāo)準(zhǔn)檢查表測評(píng)項(xiàng)預(yù)期結(jié)果評(píng)估操作示例整改建議應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別1)操作系統(tǒng)使用口令鑒別機(jī)制對(duì)用戶進(jìn)行身份標(biāo)識(shí)和鑒別；

2)登錄時(shí)提示輸入用戶名和口令；以錯(cuò)誤口令或空口令登錄時(shí)提示登錄失敗，驗(yàn)證了登錄控制功能的有效性；

3)操作系統(tǒng)不存在密碼為空的用戶。cat/etc/passwd，cat/etc/shadow查看文件中各用戶名狀態(tài)操作系統(tǒng)和數(shù)據(jù)庫每個(gè)用戶都必須設(shè)置登錄用戶名和登錄密碼，不能存在空密碼操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換密碼策略如下：PASS_MAX_DAYS90（生命期最大為90天）

PASS_MIN_DAYS0（密碼最短周期0天）

PASS_MIN_LEN10（密碼最小長度10位）

PASS_WARN_AGE7（密碼到期前7天提醒）

口令復(fù)雜度：

口令長度8位以上，并包含數(shù)字、字母、特殊字符三種形式more/etc/login.defs密碼最大生存周期為90天密碼最短修改周期為0天，可以隨時(shí)修改密碼密碼最小長度為10位，包含數(shù)字，特殊字符，字母（大小寫）三種形式密碼到期前7天必須提醒應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施1)操作系統(tǒng)已啟用登陸失敗處理、結(jié)束會(huì)話、限制非法登錄次數(shù)等措施；

2)當(dāng)超過系統(tǒng)規(guī)定的非法登陸次數(shù)或時(shí)間登錄操作系統(tǒng)時(shí)，系統(tǒng)鎖定或自動(dòng)斷開連接cat/etc/pam.d/system-auth，查看相應(yīng)的登錄設(shè)置建議限制，密碼過期后重設(shè)的密碼不能和前三次的密碼相同當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽1)操作系統(tǒng)使用SSH協(xié)議進(jìn)行遠(yuǎn)程連接；

2)若未使用SSH方式進(jìn)行遠(yuǎn)程管理，則查看是否使用telnet方式進(jìn)行遠(yuǎn)程管理；查看是否運(yùn)行SSH：

catservice-status-all|grepsshd;

查看是否使用telnet方式：catservice-status-all|greprunning；系統(tǒng)遠(yuǎn)程登錄時(shí)要采取SSH方式登錄或采用密文傳輸信息，保障信息的安全性為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶分配不同的用戶名，確保用戶名具有唯一性用戶的標(biāo)識(shí)唯一，若系統(tǒng)允許用戶名相同，UID不同，則UID是唯一性標(biāo)識(shí)；若系統(tǒng)允許UID相同，則用戶名是唯一性標(biāo)識(shí)。cat/etc/passwd文件中的用戶名信息，每個(gè)信息用“：”分隔開來，每個(gè)字段對(duì)應(yīng)的信息為：

注冊(cè)名：口令（密文用x來代替）：UID：GID：用戶名：用戶主目錄：命令解釋程序ShellUID是唯一性標(biāo)識(shí)，每個(gè)用戶必須采用不同的UID來區(qū)分應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別對(duì)管理員訪談，對(duì)于三級(jí)系統(tǒng)，必須使用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別，如密碼和口令的組合使用。訪談管理員三級(jí)系統(tǒng)建議采用用戶名密碼+證書口令登錄的方式；

三級(jí)以下系統(tǒng)可以采用一種鑒別技術(shù)。應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問root用戶：

passwd文件夾只有rw-r-r權(quán)限

shadow文件夾只有r---權(quán)限

r=4w=2x=1在root權(quán)限下：ls-l/etc/passwd

ls-l/etc/shadow

查看用戶權(quán)限。

-rw-r--r--：第一個(gè)rw表示文件所有者有讀寫權(quán)限；

第二個(gè)r表示與文件所有者同一組的用戶只有讀的權(quán)限；

第三個(gè)r表示不與文件所有者同一組的用戶只有讀的權(quán)限根據(jù)實(shí)際需求，對(duì)每個(gè)用戶的訪問權(quán)限進(jìn)行限制，對(duì)敏感的文件夾限制訪問用戶的權(quán)限應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；訪談管理員，了解每個(gè)用戶的作用、權(quán)限給予賬戶所需最小權(quán)限，避免出現(xiàn)特權(quán)用戶應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離操作系統(tǒng)和數(shù)據(jù)庫的特權(quán)用戶的權(quán)限必須分離，避免一些特權(quán)用戶擁有過大的權(quán)限，減少人為誤操作訪談管理員分離數(shù)據(jù)庫和操作系統(tǒng)的特權(quán)用戶，不能使一個(gè)用戶權(quán)限過大應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令默認(rèn)賬戶已更名，或已被禁用cat/etc/passwd嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限，對(duì)存在的默認(rèn)賬戶的用戶名和口令進(jìn)行修改。

使用usermod-L用戶名，來鎖定默認(rèn)用戶。應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在不存在多余、過期和共享賬戶cat/etc/passwd刪除、禁用例如uucp，ftp等多余賬戶審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶系統(tǒng)開啟了安全審計(jì)功能或部署了第三方安全審計(jì)設(shè)備serviceauditdstatus開啟系統(tǒng)本身的安全審計(jì)功能，完整記錄用戶對(duì)操作系統(tǒng)和文件訪問情況，或采用第三方的安全審計(jì)設(shè)備審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件審計(jì)功能已開啟，包括：用戶的添加和刪除、審計(jì)功能的啟動(dòng)和關(guān)閉、審計(jì)策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作（如用戶登錄、退出）等設(shè)置ps-ef|grepauditd開啟審計(jì)功能，記錄用戶的添加和刪除、審計(jì)功能的啟動(dòng)和關(guān)閉、審計(jì)策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作（如用戶登錄、退出）等操作審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等內(nèi)容cat/etc/audit/auditd.conf

cat/etc/audit/audit.rules記錄事件產(chǎn)生的時(shí)間，日期，類型，主客體標(biāo)識(shí)等操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新1)系統(tǒng)安裝的組件和應(yīng)用程序遵循了最小安裝的原則；

2)不必要的服務(wù)沒有啟動(dòng)；

3)不必要的端口沒有打開；service--status-all|greprunning在不影響系統(tǒng)的正常使用的前提下，對(duì)系統(tǒng)的一些端口和服務(wù)可以進(jìn)行關(guān)閉，避免這些端口或服務(wù)的問題導(dǎo)致系統(tǒng)問題應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄已設(shè)定終端登錄安全策略及措施，非授權(quán)終端無法登錄管理/etc/hosts.deny、/