主机安全- Linux操作系统基线检查指导书1.0版.docx

主机安全- Linux操作系统基线检查指导书1.0版 启明信息平安中心编号： 基线检查指导书 根底网络平安-Linux操作系统 V1.0 启明信息平安中心 启明信息平安中心 序号 类别 检查项 检查： 1)检查操作系统管理员，询问操作系统的身份标识和鉴别机制采纳何种措施实现； 2)登录操作系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，视察是否胜利 手工检查: a) 应对登录操作系统和数据库系统的用户进展身份标识和鉴别； 检查方法 预期结果 符合状况 1)操作系统运用口令鉴别机制对用户进展身份标识和鉴别； 2)登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录限制功能的有效性； 3)操作系统不存在密码为空的用户 方法一: 在root权限下，运用吩咐 #pwdck -n ALL 返回结果应为空； 1 身份鉴别 方法二: 在root权限下，运用吩咐 #cat /etc/passwd #cat /etc/shadow 查看文件中各用户名状态，记录密码一栏为空的用户名 手工检查： b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有困难度要求并定期更换； 1)在root权限下，运用吩咐 #cat /etc/login.defs 查看密码策略配置文件，检查是否合理正确配置密码策略； 1)启用了系统口令困难度策略，系统用户密码长度不小于8位，由数字、大小写字母和特别符号组成，并规定了口令更换的周期； 2)以不符合困难度要求和不符合长度要求的口令创立用户时均提示失败。

启明信息平安中心 序号 类别 检查项 检查方法 2)假如启用了口令困难度函数，分别以不符合困难度要求和不符合最小长度要求的口令创立用户，查看是否胜利 检查: 检查系统管理员,询问用户口令是否满意困难性要求 手工检查： 1)在root权限下，运用吩咐 #cat /etc/pam.d/system-auth 查看该配置文件的内容，记录system-auth配置文件中的登录失败处理、限制非法登录次数和自动退出完毕会话的配置项 2)测试： 依据运用的登录失败处理方式，采纳如下测试方法进展测试： a)以超过系统规定的非法登陆次数登录操作系统，视察反响； b)当登录系统连接超时时，视察系统反响 检查： 预期结果 符合状况 c) 应启用登录失败处理功能，可采纳完毕会话、限制非法登录次数和自动退出等措施； 1)操作系统已启用登陆失败处理、完毕会话、限制非法登录次数等措施； 2)当超过系统规定的非法登陆次数或时间登录操作系统时，系统锁定或自动断开连接 d) 当对效劳器进展远程管理时，应采纳必要措施，防止鉴别信息在网络传输过程中被窃听； 询问系统管理员，是否采纳了技术手段保证远程管理数据进展加密传输。

手工检查： 1)操作系统运用SSH协议进展远程连接； 2)操作系统没有采纳明文的传输协议进展远程管理； 启明信息平安中心序号 类别 检查项 检查方法 采纳抓包工具，判定远程管理数据包是否是明文 手工检查:1)应测试主要效劳器操作系统，添加一个新用户，其用户标识为系统原用户的标识〔如用户名或UID〕，查看是否不会胜利； 预期结果 3)采纳第三方管理工具保证远程管理的信息保密 符合状况 e) 应为操作系统和数据库系统的不同用户安排不同的用户名，确保用户名具有唯一性 2)应测试主要效劳器操作系统，删除一个用户标识，然后再添加一个新用户，其用户标识和所删除的用户标识一样〔如用户名/UID〕，查看是否不能胜利； 检查： 询问管理员系统中每个账户，查看是否存在多人共用一个账户的状况 检查: 1)添加测试账户不会胜利； 2)系统不存在多人共用一个账户的状况； 3)确保用户名具有唯一性 f) 应采纳两种或两种以上组合的鉴别技术对管理用户进展身份鉴别 用户的认证方式选择两种或两种以检查系统管理员，询问系统除用户名口令外上组合的鉴别技术，只用一种技术无有无其他身份鉴别方式，如生物鉴别、令牌、法认证胜利。

动态口令等，并手工检查 检查: 检查系统管理员询问操作系统的重要文件及书目是否依据实际环境设置了访问限制策略 手工检查: 执行吩咐#ls -l查询系统内重要文件是否合理设置了访问限制策略 2 访问限制 a) 应启用访问限制功能，依据平安策略限制用户对资源的访问； 操作系统的重要文件及书目已依据实际环境设置了访问限制策略 启明信息平安中心序号 类别 检查项 检查方法 预期结果 符合状况 b) 应依据管理用户的角色安排权限，实现管理用户的权限分别，仅授予管理用户所需的最小权限； 系统管理员、平安管理员、平安审计员由不同的人员和用户担当至少应平安要有哪些角色、每个角色的权限是否相互制该有系统管理员和平安管理员，约、每个系统用户是否被给予相应的角色 审计员在有第三方审计工具时可以不要求 检查: 检查： 结合系统管理员的组成状况，判定是否实现了该项要求 手工检查: 操作系统除具有管理员账户外，至少还有特地的审计管理员账户，且他们的权限互斥 c) 应实现操作系统和数据库系统特权用户的权限分别； d) 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； 在root权限下，运用吩咐 #cat /etc/passwd 查看默认账户是否已更 名,并且是否已禁用来宾账户。

默认账户已更名，来宾账户已禁用 e) 应刚好删除多余的、过期的帐户，幸免共享帐户的存在 手工检查： 查看是否有多余的、过期的账户，幸免共享账户的存在 手工检查： 1)查看操作系统功能手册或相关文档，确认操作系统是否具备能对信息资源设置敏感标记功能； 2)询问系统管理员是否对重要信息资源设置敏感标记 不存在多余、过期和共享账户 f) 应对重要信息资源设置敏感标记； 对重要信息资源已设置敏感标记启明信息平安中心序号 类别 检查项 g) 应依据平安策略严格限制用户对有敏感标记重要信息资源的操作 检查方法 检查： 如：如何划分敏感标记分类，如何设定访问权限等 手工检查： 1)查看系统是否开启平安审计功能，或部署了第三方平安审计设备 手工检查： 在root权限下，查看系统日志效劳 预期结果 符合状况 通过敏感标记设定用户对重要信息资源的访问 a) 审计范围应覆盖到效劳器和重要客户端上的每个操作系统用户和数据库用户； 系统开启了平安审计功能或部署了第三方平安审计设备 b) 审计内容应包括重要用户行为、系统资源的异样运用和重要系统吩咐的运用等系统内重要的平安相关事务； #ps -ef | grep syslog， 和审计效劳 #ps -ef | grep auditd， 审计功能已开启，包括：用户的添加和删除、审计功能的启动和关闭、审计谋略的调整、权限变更、系统资源的异样运用、重要的系统操作〔如用户登录、退出〕等设置。

3 平安审计 是否有效合理的配置了平安审计内容 手工检查： 1)运用more吩咐查看审计记录文件 c) 审计记录应包括事务的日期、时间、类型、主体标识、客体标识和结果等； #cat /etc/audit/auditd.conf #cat /etc/audit/audit.rules 中是否精确记录日期和时间、类型、主体标识、客体标识、事务的结果等 审计记录包括事务的日期、时间、类型、主体标识、客体标识和结果等内容 d) 应能够依据记录数据进展分析，并生成审计报表； 手工检查： 1)检查audit日志文件，须要依据能定期生成审计报表并包含必要审计要素 启明信息平安中心序号 类别 检查项 检查方法 syslog.conf的定义查看对应的日志文件，确认是否记录了必要的审计要素； 2)假设有第三方审计工具或系统，那么查看其审计日志是否包括必要的审计要素； 3)检查审计日志记录、分析、生成报表状况 预期结果 符合状况 e) 应爱护审计进程，幸免受到未预期的中断； 检查： 对审计进程已采纳相关爱护措施 检查对审计进程监控和爱护的措施 检查： f) 应爱护审计记录，幸免受到未预期的删除、修改或覆盖等。

检查对审计记录监控和爱护的措施例如：通过专用日志效劳器或存储设备对审计记录进展备份，并幸免对审计记通过专用日志效劳器或存储设备对审计记录进展备份，并幸免对审计记录的修改、删录的修改、删除或覆盖 除或覆盖 检查： 1〕检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具供应了相应功能 手工检查： 在root权限下，运用吩咐 #cat /etc/issue #cat /etc/ 查看是否去除系统相关信息 a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再安排给其他用户前得到完4 剩余信息爱护 全去除，无论这些信息是存放在硬盘上还是在内存中； 1)假如测试报告、用户手册或管理手册中没有相关描述，且没有供应第三方工具增加该功能，那么该项要求为不符合； 2〕假设未删除系统相关信息那么不符合 b) 应确保系统内的文件、书目和数据库记录等资源检查： linux默认会去除swap中的存储内 启明信息平安中心序号 类别 检查项 所在的存储空间，被释放或重新安排给其他用户前得到完全去除 检查方法 检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具供应了相应功能。

检查，手工检查: 1)询问系统管理员是否经常查看系统日志并对其进展分析 2)询问是否安装了主机入侵检测软件，查看已安装的主机入侵检查系统的配置状况，是否具备报警功能 3)询问并查看是否有第三方入侵检测系统，如:IDS 检查，核查： 容 预期结果 符合状况 a) 应能够检测到对重要效劳器进展入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生紧要入侵事务时供应报警； 具备入侵检测机制，能够检测到对重要效劳器进展入侵的行为，并在发生紧要入侵事务时供应报警 5 入侵防范 b) 应能够对重要程序的完整性进展检测，并在检测到完整性受到破坏后具有复原的措施； 检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具(例如：完整性检查工具或平安防护工具)供应了相应功能 检查： 假如测试报告、用户手册或管理手册中没有相关描述，且没有供应第三方工具(例如：完整性检查工具或平安防护工具)增加该功能，那么该项要求为不符合 1)系统安装的组件和应用程序遵循了最小安装的原那么； 2)不必要的效劳没有启动； 3)不必要的端口没有翻开； c) 操作系统应遵循最小安装的原那么，仅安装须要的组件和应用程序，并通过设置升级效劳器等方式保持系统补丁刚好得到更新。

1)检查系统管理员系统目前是否采纳了最小安装原那么 手工检查： 1)确认系统目前正在运行的效劳：#service 4)系统补丁先测试，再升级；补丁号--status-all | grep running,查看并确认为较新版本 是否已经关闭危急的网络效劳如echo、 启明信息平安中心序号 类别 检查项 检查方法 shell、login、finger、r吩咐等关闭非必需的网络效劳如talk 、ntalk、pop-2、Sendmail、Imapd、Pop3d等 2)检查补丁升级机制，查看补丁安装状况： # rpm –qa | grep patch 3)记录系统中多余和危急效劳，记录系统补丁升级方式和已安装最新的补丁名称 检查，核查： 预期结果 符合状况 a) 应安装防恶意代码软件，并刚好更新防恶意代码软件版本和恶意代码库； 查看系统中安装的防病毒软件询问管理员病毒库更新策略查看病毒库的最新版本更新日期是否刚好 检查： 检查。