Linux测评指导书--精选文档

1、Linux操作系统测评指导书测评指标测评项测评实施过程预期结果结果记录身份鉴别a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 采用查看方式,在root权限下,使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态。1) 以root身份登录Linux。2) 查看Linux密码文件内容。#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/ma

2、il:/sbin/nologin#cat etc/shadowroot:$1$crpkUkzg$hLl/dYWmlwY4J6FqSG2jS0:14296:0:99999:7:drobbins:$1$1234567890123456789012345678901:111664:0:-1:-1:-1:-1:0bin:*:14296:0:99999:7:没有密码为空的用户名。记录：/etc/passwd、/etc/shadow文件中密码一栏为空的用户名。 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；1) 以root身份登录进入Linux。2) 查看文件内容。#more /etc/login.defsPASS_MAX_DAYS 90 #登录密码有效期90天PASS_MIN_DAYS 0 #登录密码最短修改时间，增加可以防止非法用户短期更改多次PASS_MIN_LEN 8 #登录密码最小长度8位PASS_WARN_AGE 7 #登录密码过期提前7天提示修改FAIL_DELAY 10 #登录错误时，等待时间10秒FAILLOG_ENAB yes #

3、登录错误记录到日志SYSLOG_SU_ENAB yes #当限制超级用户管理日志时使用SYSLOG_SG_ENAB yes #当限制超级用户组管理日志时使用MD5_CRYPT_ENAB yes #当使用md5为密码的加密方法时使用登录密码有效期为90天、登录密码修改时间为3天、密码最小长度为8位、登录密码过期提示为7天、登录错误时，等待时间为10秒等，登录错误记录到日志、限制超级用户管理日志、限制超级用户组管理日志、私用MD5为密码的加密方法等。记录：检查方法中列出了与/etc/login.defs文件中用户密码相关的一些安全属性的推荐值。记录内容包括PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN等。c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 1) 以root身份登录进入Linux。2) 查看文件内容：#cat /etc/pam .d/system-auth#%pam-1.0# This file is auto-generated.# User changes will be destroyed the next

4、time authconfig is run.auth required pam_env.soauth sufficient pam_unix.so nullok try_first_passauth requisite pam_succeed_if.so uid = 500 quietauth required pam_deny.soaccount required pam_unix.soaccount sufficient pam_secceed_if.so uid = 500 quietaccount required pam_permit.sopassword requisite pam_cracklib.so try_first_pass retry = 3password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revokesession required pa

5、m_limits.sosession success=1 default=ignore pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.soaccount required /lib/security/pam_tally.so deny = 5 no_magic_root reset 用户可尝试登录5次，5次之后，若登录失败，则拒绝该用户访问。记录：etc/pam.d/system-auth文件中是否存在account required /lib/security/pam_tally.so deny=5 no_magic_root resetd)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 1) 以root身份登录进入Linux。2) 首先查看是否安装SSH的相应包：#rpm -aq|grep ssh 或查看是否运行了sshd服务：#service -status-all | grep sshd3) 如果安装则查看相关的端口是否打开：#netstat -

6、an|grep :224) 若未使用SSH方式进行远程管理，则查看是否使用了Telnet方式进行远程管理。#service -status-all |grep running 查看是否存在Telnet服务。已安装SSH的相应包，并运行了sshd服务，打开的了22端口，使用了SSH方式进行远程管理，未使用Telnet方式进行远程管理。不存在Telnet服务。记录被测服务器使用何种远程登录方式。如：“使用SSH远程登录方式”。若被测服务器同时开启了Telnet服务和SSH服务，则同时记录。若服务器不接受远程管理，则无需记录此项内容。e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 1) 以root身份登录进入Linux。2) 查看文件内容。#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:

7、lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin这里UID为0的用户必须只有一个。操作系统的不同用户，具有不同的用户名，不存在多个用户共用一个账户的情况。记录/etc/passwd文件中有相同用户名的账户。f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。访谈系统管理员，询问系统有没有做加固，除口令之外有无其他身份鉴别方式，如是否使用令牌等，并对其进行验证。系统使用令牌或证书失效了双因子鉴别。若有出用户名/口令外的其他鉴别方法，则记录这种方法，否则记录“只适用用户名/口令”。访问控制a)应启用访问控制功能，依据安全策略控制用户对资源的访问； 1) 以root身份登录进入Linux。2) 使用“ls l 文件名”命令，查看重要文件和目录权限设置是否合理，如：#ls

8、 -l /etc/passwd #744。应重点查看以下文件和目录权限是否被修改过。/etc/at.allow/etc/at.deny/etc/audit/*/etc/cron.allow/etc/cron.d/*/etc/cron.daily/*/etc/cron.deny/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly/*/etc/crontab/etc/group/etc/gshadow/etc/hosts/etc/inittab/etc/ld.so.conf/etc/login.defs/etc/modules.conf/etc/pam.d/*/etc/passwd/etc/rc.d/init.d/*/etc/securetty/etc/securetty/opasswd/etc/shadow/etc/ssh/ssh-config/etc/ssh/sshd-config/etc/stunnel/*/etc/sysconfig/*/etc/vsftpd.ftpusers/etc/vsftpd/vsftpd.conf/etc

9、/xinetd.conf/var/log/audit.d/*/var/log/faillog/var/log/lastlog/var/spool/at/*/var/spool/cron/*等重要文件和目录的权限设置合理。重要文件和目录的权限未被修改过。文件权限：记录权限存在问题的目录或文件。如：“/etc/passwd文件权限为666”。默认共享：记录默认共享是否开启。b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限； 1) 以root身份登录进入Linux。2) 使用“ls l 文件名”命令，查看重要文件和目录权限设置是否合理，如：#ls -l /etc/passwd #744。应重点查看以下文件和目录权限是否被修改过。/etc/at.allow/etc/at.deny/etc/audit/*/etc/cron.allow/etc/cron.d/*/etc/cron.daily/*/etc/cron.deny/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly/*/etc/crontab/etc/group/etc/gshadow/etc/hosts/etc/inittab/etc/ld.so.conf/etc/login.defs/etc/modules.conf/etc/pam.d/*/etc/passwd/etc/rc.d/init.d

《Linux测评指导书--精选文档》由会员大米分享，可在线阅读，更多相关《Linux测评指导书--精选文档》请在金锄头文库上搜索。