Linux主机评估检查表教学文稿

1、Good is good, but better carries it.精益求精，善益求善。Linux主机评估检查表-操作系统评估检查表LINUX安全审核被审核部门审核人员审核日期配合人员序号审核项目审核步骤/方法审核结果补充说明改进建议操作系统安装过程检查操作系统安装过程是否遵循安全策略。操作系统口令安全策略检查操作系统口令是否满足安全策略要求。用户帐号设置1、执行：more/etc/passwd查看是否存在以下可能无用的帐号：adm/lp/sync/shutdown/halt/news/uucp/operator/games/gopher同时应该检查是否对所有用户授予了合理的shell。2

2、、检查/etc/passwd文件属性设置是否为6443、检查/etc/shadow文件属性设置是否为600用户组设置1、执行：more/etc/group检查用户组的设置情况，查看是否存在以下可能无用的用户组：adm/lp/news/uucp/operator/games/gopher2、查看/etc/gshadow的文件属性是否为700用户口令设置询问管理员是否存在如下类似的简单用户密码配置，比如：root/roottest/testroot/root12342、执行：more/etc/login.defs，检查是否存在PASS_MIN_LEN5或PASS_MIN_LEN8配置行Root用户

3、的登陆控制台限制执行：more/etc/securetty检查所有没有被注释掉的tty，这些控制台root可以直接登陆。重要目录和文件的权限设置检查以下目录和文件的权限设置情况：/etc/etc/rc.d/init.d/tmp/etc/inetd.conf或者/etc/xinet.d/etc/passwd/etc/shadow/etc/securietty/etc/services/etc/rc.local文件系统的mount控制执行：/etc/fstab查看文件系统的mount控制情况。任何人都有写权限的文件和目录在系统中定位任何人都有写权限的文件和目录用下面的命令：rootlinux#fi

4、nd/-typef(-perm-2operm20)execlslg;rootlinux#find/-typed(-perm-2operm20)execlsldg;没有属主的文件定位系统中没有属主的文件用下面的命令：rootlinux#find/-nouser-o-nogroup注意：不用管“/dev”目录下的那些文件。异常隐含文件在系统的每个地方都要查看一下有没有异常隐含文件（点号是起始字符的，用“ls”命令看不到的文件），因为这些文件可能是隐藏的黑客工具或者其它一些信息（口令破解程序、其它系统的口令文件，等等）。在UNIX下，一个常用的技术就是用一些特殊的名，如：“”、“.”（点点空格）或“

5、.G”（点点control-G），来隐含文件或目录。用“find”程序可以查找到这些隐含文件。例如：#find/-name“.“printxdev#find/-name“*”printxdev|catv同时也要注意象“.xx”和“.mail”这样的文件名的。（这些文件名看起来都很象正常的文件名）inetd或xinetd中基本网络服务配置检查/etc/inetd.conf文件中的基本的网络服务的开启或禁止情况或者检查/etc/xinetd.d/目录下的相关服务配置文件。TCP_WRAPPERS访问列表设置查看/etc/hosts.deny&/etc/hosts.allow文件中的访问控制配置。R

6、系列服务命令控制如果系统允许R系列服务命令的使用，则应该查看所有的.rhosts文件。建议执行下面的命令定位系统中的“.rhosts”文件：#find/-name.rhosts-print并且需要查看这些.rhosts文件中是否存在+配置。NFS服务配置执行：more/etc/export检查文件中对于NFS共享的权限控制常规网络服务询问管理员或执行以下操作检查系统运行那些常规网络服务，并记录各类服务的服务系统软件类型和版本，对于运行的服务，提取相关配置文件信息：telnet080telnet025telnet0110telnet0143telnet0443telnet021cron行为审核查

7、看所有的cron任务在/var/spool/cron/crontabs文件中你可以找到它们。同时需要查看是否配置了审核，执行：more/etc/default/cron确认存在如下内容CRONLOG=YESroot用户的登陆审核执行：more/etc/default/login确认其中存在如下内容:SYSLOG=YESlogin行为的记录查看是否有/var/adm/loginlog文件。syslog.conf配置主要查看/etc/syslog.conf配置文件中是否设置了loghost，需要提取/etc/syslog.conf文件的所有配置信息。通过inetd启动的TCP服务的日志记录执行：more/etc/init.d/inetsvc确认其中存在如下内容(一般在该文件最后)/usr/sbin/inetdst&LILO设置执行：more/etc/lilo.conf检查lilo的安全设置情况。TCPSYNCookie保护执行：more/proc/sys/net/ipv4/tcp_syncookies查看输出内容是否为：1Control-Al