信息安全风险评估检查流程操作系统安全评估检查表HPUNIX

1、HP-UX Security CheckList目 录HP-UX SECURITY CHECKLIST11初级检查评估内容51.1系统信息5系统基本信息51.1.2系统网络设置5系统当前路由5检查目前系统开放的端口6检查当前系统网络连接情况8系统运行进程81.2物理安全检查9检查系统单用户运行模式中的访问控制91.3帐号和口令9检查系统中Uid相同用户情况9检查用户登录情况9检查账户登录尝试失效策略10检查账户登录失败时延策略10检查所有的系统默认帐户的登录权限10空口令用户检查11口令策略设置参数检查11检查root是否允许从远程登录11验证已经存在的Passwd强度11用户启动文件检查12

2、用户路径环境变量检查121.4网络与服务12系统启动脚本检查12TCP/UDP小服务13login(rlogin)，shell(rsh)，exec(rexec)13comsat talk uucp lp kerbd14Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd14远程打印服务14检查是否开放NFS服务15检查是否Enables NFS port monitoring15检查是否存在和使用 NIS ,NIS+15检查sendmail服务16Expn, vrfy (若

3、存在sendmail进程)16SMTP banner16检查是否限制ftp用户权限17TCP_Wrapper17信任关系171.5文件系统18suid文件18sgid文件18/etc 目录下可写的文件181.5.4检测重要文件目录下文件权限属性以及/dev下非设备文件系统19检查/tmp目录存取属性19检查UMASK20检查.rhosts文件201.6日志审核201.6.1Cron logged20/var/adm/cron/21Log all inetd services21Syslog.conf211.7UUCP服务211.8Xwindows检查222中级检查评估内容232.1安全增强性2

4、3TCP IP参数检查23Inetd启动参数检查24Syslogd启动参数检查25系统日志文件内容检查25系统用户口令强度检查25系统补丁安装情况检查25系统审计检查253高级检查评估内容263.1后门与日志检查263.2系统异常服务进程检查263.3内核情况检查263.4第三方安全产品安装情况261 初级检查评估内容1.1 系统信息1.1.1 系统基本信息 说明：检查系统的版本和硬件类型等基本信息。 检查方法：uname auname vPATH="/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/"

5、export PATH1.1.2 系统网络设置 说明：检查系统的网卡是否存在混杂模式。 检查方法：ifconfig lan01.1.3 系统当前路由 说明：检查系统当前的路由设定配置，包括默认路由和永久路由，并检查其合法性。 检查方法：netstat -nr 结果分析方法：bash-2.05# netstat -nrRouting Table: IPv4 Destination Gateway Flags Ref Use Interface- - - - - - 13 U 1

6、35 hme0default 54 UG 1 78 UH 2 7246 lo01.1.4 检查目前系统开放的端口 说明：检查当前系统运行中开放的服务端口 检查方法：netstat na |grep LISTEN 结果分析方法：bash-2.05# netstat -na | grep LISTEN1.1.5 检查当前系统网络连接情况 说明：根据显示的网络连接，记录已建立连接establish的数量，地址范围等。记录listen的端口，记录其它状态，例如timewait，finw

7、ait，closewait等。 检查方法：netstat na1.1.6 系统运行进程 说明：根据显示的当前所有在运行的系统进程，记录每个进程的运行时间，属主，查看相应的实例位置，检查相应的实例的版本、大小、类型等。 检查方法：ps elf 结果分析方法：# ps ef 1.2 物理安全检查1.2.1 检查系统单用户运行模式中的访问控制 说明：检查和发现系统在进入单用户模式是否具备访问控制。 检查方法：more /tcb/files/auth/system/default，如果d_boot_authentic

8、ate 行的内容大于0，那么说明系统不需要口令就可以进入单用户模式。1.3 帐号和口令1.3.1 检查系统中Uid相同用户情况 说明：检查和发现系统中具有相同uid的用户情况，特别关注udi=0的用户情况。 检查方法：pwck -s1.3.2 检查用户登录情况 说明：检查和发现系统用户的登录情况，特别关注udi=0的用户情况。 检查方法：last -Rlastb R | more1.3.3 检查账户登录尝试失效策略 说明：检查系统允许的单次会话中的登录尝试次数。 检查方法：more /tcb/files/aut

9、h/system/default，检查t_maxtrie 变量内容，如果有设定，它将改变默认的5次设定。1.3.4 检查账户登录失败时延策略 说明：检查系统允许的单次会话中的登录失败时延参数。 检查方法：more /tcb/files/auth/system/default，检查t_logdelay 变量内容，如果有设定，它将改变默认的4秒设定。1.3.5 检查所有的系统默认帐户的登录权限 说明： 检查方法：cat /etc/passwd |grep v sh 结果分析方法：例：noaccess:x:60002:60002:

10、No Access User :/:/sbin/noshell1.3.6 空口令用户检查 说明： 检查方法：authck ppwck -s1.3.7 口令策略设置参数检查 说明：检查系统口令的配置策略 检查方法：more /tcb/files/auth/system/default1.3.8 检查root是否允许从远程登录 说明：Root从远程登录时，可能会被网络sniffer窃听到密码。 检查方法：cat /etc/securetty 结果分析方法：/etc/securetty应当包括conso

11、le或者/dev/null1.3.9 验证已经存在的Passwd强度 说明：检查/etc/shadow文件中，是否存在空密码的帐号 检查方法：cat /etc/shadow |awk -F: 'print $1 " "$2'1.3.10 用户启动文件检查 说明：检查用户目录下的启动文件 检查方法：检查用户目录下的.cshrc, .profile, .emacs, .exrc, .Xdefaults, .Xinit, .login, .logout, .Xsession,等文件的内容，包括root用户

12、。1.3.11 用户路径环境变量检查 说明：检查用户路径环境变量下的启动文件 检查方法：切换到用户 echo $PATH，检查输出。1.4 网络与服务1.4.1 系统启动脚本检查 说明：检查系统启动脚本 检查方法：more /sbin/rc?.d1.4.2 TCP/UDP小服务 说明：这些服务通常是用来进行网络调试的，包括：echo、discard、datetime、chargen 检查方法：grep v “#” /etc/inetd.conf 结果分析方法:echo stream tcp n

13、owait root internalecho dgram udp wait root internaldiscard stream tcp nowait root internaldiscard dgram udp wait root internaldaytime stream tcp nowait root internaldaytime dgram udp wait root internalchargen stream tcp nowait root internalchargen dgram udp wait root internal1.4.3 login(rlogin)，she

14、ll(rsh)，exec(rexec) 说明：用来方便的登陆或执行远程系统的命令。1可能被用来获得主机信任关系的信息2被入侵者用来留后门3成为被ip欺骗的服务对象 检查方法：grep v “#” /etc/inetd.conf |egrep “login|shell|exec”1.4.4 comsat talk uucp lp kerbd 说明：以上服务大都不在公开服务器上使用，且存在一定的风险。 检查方法：grep v “#” /etc/inetd.conf |egrep “comsat| talk| uucp| lp| kerbd|k

15、cms”1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd 说明：在inetd.conf中启动的RPC服务，已经有多次极严重的安全漏洞记录 检查方法：grep v “#” /etc/inetd.conf|grep rpc查找 Sadmind ttb sprayd walld cmsd kcms等字样以上服务存在多个严重安全隐患 若不使用以上服务 建议在inetd注释以上服务 备注：不同的版本的某些rpc小服务不一样，而

16、且也因安装方式不同而有异。对于少见的rpc服务，应该征求管理员的意见。1.4.6 远程打印服务 说明：检查主机远程打印服务的配置 检查方法：more /etc/hosts.equivmore /var/adm/lp/.rhosts1.4.7 检查是否开放NFS服务 说明：非有明确使用目的，建议停止运行NFS的相关服务 检查方法：ps ef | grep nfskdshowmount e localhostmore /etc/exportsmore /etc/exportfsmore /etc/fstab1.4.8 检查是否Enables

17、NFS port monitoring 说明： 检查方法：more / 结果分析方法：1.4.9 检查是否存在和使用 NIS ,NIS+ 说明：检查/var/nis 检查方法：more /var/nis1.4.10 检查sendmail服务 说明：检查本地sendmail服务开放情况 检查方法ps ef|grep sendmail 1.4.11 Expn, vrfy (若存在sendmail进程) 说明：限制用户通过这两个sendmial命令来获取系统的信息 检

18、查方法：检查是否存在sendmail.cf文件 若不存在系统当前sendmail配置为系统默认cat /etc/sendmail.cf |grep PrivacyOPtions是否等于authwarnigs.goawayPrivacyOptions是否等于noexpn,novrfy,authwarnignsLoglevel等于51.4.12 SMTP banner 说明：在SMTP banner中隐藏版本号 检查方法：cat /etc/sendmail.cf |grep “De Mail Server Ready” 结果分析方法：#SMTP lo

19、gin messageDe Mail Server Ready1.4.13 检查是否限制ftp用户权限 说明：拒绝系统默认的帐号使用ftp服务 检查方法：more /etc/ftpusersmore /etc/ftpd/ftpusers检查ftpusers文件存取权限 以及因该禁用的登陆的用户名 1.4.14 TCP_Wrapper 说明：检查inetd服务的访问情况。 检查方法：more /var/adm/inetd.sec1.4.15 信任关系 说明：主机之间的可信任问题，可能会导致安全问题；确保 /etc/h

20、osts.equiv文件的内容为空。 检查方法：cat /etc/hosts.equiv若安装TCP_warpper并对某些网络服务绑定改服务 请检查/etc/hosts.allow和 /etc/hosts.deny文件是否为空 或者不做策略 结果分析方法：文件内容应为空或此文件不存在1.5 文件系统1.5.1 suid文件 说明：检查所有属组为root(uid=0)的suid属性文件 并且其执行权限为任意用户可执行非法的普通用户可能会利用这些程序里潜在的漏洞 以stack, format strings,heap等方法来溢出和覆盖缓冲区执行非法代

21、码提升到root权限目的 检查方法：find / -type f perm -4001 user 0 检查风险：1.5.2 sgid文件 说明：移去所有不需要sgid属性的文件危害性同上 这里是提升组权限到other 检查方法：find / -type f perm -2001 group 01.5.3 /etc 目录下可写的文件 说明：将检查/etc目录下对任何用户和组都可以进行写入文件这将造成系统风险隐患 检查方法：find /etc -type f -perm 00021.5.4 检测重要文件目录下文件权限属性以及/d

22、ev下非设备文件系统 说明 不安全的文件系统库文件权限将导致被任意用户替换危险1检查/usr/lib /usr/lib /usr/local/lib(若存在)目录下对所有用户可写文件2 检查/dev下非设备类型的文件 3检查系统所有conf文件权限是否为任意用户可写 以及文件属主 检查方法find /usr/lib type f perm 0002find /lib type f perm 0002find /usr/local/lib type f perm 0002 find /dev type f find / -type f perm -0002 name

23、*.conf* 1.5.5 检查/tmp目录存取属性 说明：在每次重启时，设置/tmp目录的粘滞位限制攻击者的部分活动。 检查方法：ls la / |grep tmp 结果分析方法：bash-2.05# ls -la / |grep tmpdrwxrwxrwt 5 root sys 447 5 13 14:08 tmp1.5.6 检查UMASK 说明：设置严格的UMASK值，增强文件的存取权限 检查方法：more /tc/profile 1.5.7 检查.rhosts文件 说明：.rhosts文件有一定的安全缺

24、陷，当使用不正确时，可能会导致安全漏洞；推荐禁止所有的.rhosts文件 检查方法：find / -type f -name ".rhosts" 结果分析方法：没有此文件或文件内容为空，若要使用.rhosts信任机制 则请确保文件属性为600 备注：Cluster软件可能需要.rhosts文件，请仔细检查使用.rhosts文件Add by weiling 2005/11/02 审核setuid 和 setgid 网络安全审计# hostnameyd_db1# # ll /dev/ether*crw-rw-rw- 1 bin bin

25、5 0x010001 Nov 16 2000 /dev/ether1crw-rw-rw- 1 bin bin 5 0x020001 Nov 16 2000 /dev/ether2crw-rw-rw- 1 bin bin 52 0x030001 Nov 16 2000 /dev/ether3# # ll /ieee*/ieee* not found# # ll /dev/ieee*/dev/ieee* not found# # ll /dev/lan*crw-rw-rw- 1 root sys 72 0x000077 Jan 19 2003 /dev/lancrw-rw-rw- 1 bin bi

26、n 32 0x000000 Nov 16 2000 /dev/lan0crw-rw-rw- 1 bin bin 5 0x010000 Nov 16 2000 /dev/lan1crw-rw-rw- 1 bin bin 5 0x020000 Nov 16 2000 /dev/lan2crw- 1 root root 45 0x030000 Nov 16 2000 /dev/lan31.6 日志审核1.6.1 Cron logged 说明：检查所有的cron活动是否被记录 检查方法：HP-UX默认开启。1.6.2 /var/adm/cron/ 说明：确保/

27、var/adm/cron的正确属性为700 root用户和sys用户可读写 检查方法：ls -la /var |grep cron1.6.3 Log all inetd services 说明： 检查方法：ps elf|grep inetd 检查启动参数1.6.4 Syslog.conf 说明：查看本地日志输出目录功能 检查方法：cat /etc/syslog.conf |grep debug1.7 UUCP服务 说明：检查UUCP服务的使用情况 检查方法：cat /etc/inetd.conf

28、| grep UUCP1.8 Xwindows检查 说明：检查Xwindows的配置情况 检查方法：find / -name .Xauthority printxhosts ( 什么意思啊？ 说的难道是 find / -name xhosts )2 中级检查评估内容2.1 安全增强性2.1.1 TCP IP参数检查 检查套接口序列是否防止SYN攻击.1 说明：各种网络应用软件一般必须开放一个或者几个端口供外界使用，所以其必定可以会被恶意攻击者向这几个口发起拒绝服务攻击，其中一个很流行的攻击就是SYN FLOOD，在攻击发生时，客户端的来源

29、IP地址是经过伪造的(spoofed)，现行的IP路由机制仅检查目的IP地址并进行转发，该IP包到达目的主机后返回路径无法通过路由达到的，于是目的主机无法通过TCP三次握手建立连接。在此期间因为TCP套接口缓存队列被迅速填满，而拒绝新的连接请求。为了防止这些攻击，部分UNIX变种采用分离入站的套接口连接请求队列，一队列针对半打开套接口(SYN 接收,SYN|ACK 发送), 另一队列针对全打开套借口等待一个accept()调用，增加这两队列可以很好的缓和这些SYN FLOOD攻击并使对服务器的影响减到最小程度。.2 检查方法/usr/sbin/ndd -get /dev/tcp

30、tcp_syn_rcvd_max/usr/sbin/ndd -get /dev/tcp tcp_conn_request_max 检查Redirects参数.1 说明：恶意用户可以使用IP重定向来修改远程主机中的路由表，在设计良好的网络中，末端的重定向设置是不需要的，发送和接受重定向信息包都要关闭。.2 检查方法：通过如下命令检查其值是否为0：/usr/sbin/ndd -get /dev/ip ip_send_redirects 检查源路由的设置.1 说明：通过源路由，攻击者可以尝试到达内部IP地址 -包括RFC1918中的地址，所以不接受源路由信息包可以防止你的内部网络被探测。.2 检查方法：通过如下命令检查其值是否为0：ndd -get /dev/ip ip_forward_src_routed 检查广播ECHO响应.1 说明：Smurf攻击