LINUX操作系统安全测评指导书三级

操作系统安全测评指导书LINUX1概述1.1适用范围本测评指导书适适用于信息系统等级为三级主机Linux操作系统测评。1.2说明本测评指导书基于《信息系统安全等级保护基本要求》基础上进行设计。本测评指导书是主机安全对于Linux操作系统身份判别、访问控制、安全审计、剩下信息保护、备份与恢复安全配置要求，对Linux操作系统主机安全配置审计作起到指导性作用。1.4保障条件需要相关技术人员（系统管理员）主动配合需要测评主机管理员帐户和口令提前备份系统及配置文件序号测评指标测评项操作步骤预期统计实际情况统计1身份判别(S3)a)应为操作系统不一样用户分配不一样用户名，确保用户名具备唯一性。查看用户名与UIDcat/etc/passwd、cat/etc/shadow分别查看用户名（第1列）与UID（第3列）是否有重复项b)应对登录操作系统用户进行身份标识和判别。查看登录是否需要密码cat/etc/passwd、cat/etc/shadow全部用户具备身份标识和判别，用户密码栏项（第2项）带有X，表示登陆都需要密码验证。若留空则表示空密码。c)操作系统管理用户身份标识应具备不易被冒用特点，系统静态口令应在8位以上并由字母、数字和符号等混合组成并每三个月更换口令。①查看登录配置文件cat/etc/login.defs②查看密码策略配置文件(CentOS、Fedora、RHEL系统)cat/etc/pam.d/system-auth(Debian、Ubuntu或LinuxMint系统)cat/etc/pam.d/common-password①登录相关配置内容：PASS_MAX_DAYS=90#登陆密码使用期90天PASS_MIN_DAYS=2#登陆密码最短修改时间，增加能够预防非法用户短期更改数次PASS_MIN_LEN=7#登陆密码最小长度7位PASS_WARN_AGE=10#登陆密码过期提前10天提醒修改②密码策略相关配置passwordrequisitepam_cracklib.soretry=3minlen=7difok=3ucredit=-1lcredit=-1dcredit=-1ocredit=-1#“minlen=7”表示最小密码长度为7#“difok=3”启用3种类型符号#“ucredit=-1”最少1个大写字符#

“lcredit=-1”最少1个小写字符#“dcredit=-1”最少1个数字字符#“ucredit=-1”最少1个标点字符d)应启用登录失败处理功效，可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等方法。查看密码策略配置文件(CentOS、Fedora、RHEL系统)cat/etc/pam.d/system-auth(Debian、Ubuntu或LinuxMint系统)cat/etc/pam.d/common-password查找：accountrequired/lib/security/pam_tally.sodeny=3no_magic_rootreset登录3次失败，则拒绝访问锁定账户。e)主机系统应对与之相连服务器或终端设备进行身份标识与判别，当对服务器进行远程管理时，应采取加密方法，预防判别信息在网络传输过程中被窃听。①查看是否安装了SSH对应包rpm–aq|grepssh或者查看是否运行了sshd服务，service–status-all|grepsshd；②假如已经安装则查看相关端口是否打开netstat–an|grep22；③若未使用ssh方式进行远程管理，则查看是否使用了Telnet方式进行远程管理servicestatus-all|greprunning查看是否存在Telnet服务。已安装了SSH包.sshd服务正在运行.采取SSH加密方式进行远程登录。因为telnet为明文传输信道，如使用telnet方式访问服务器，应改用SSH方式替换。f)宜采取两种或两种以上组合判别技术对管理用户进行身份判别，比如以密钥证书、动态口令卡、生物特征等作为身份判别信息。访谈系统管理员，问询系统除用户名口令外有没有其余身份判别方法，查看身份判别是否采取两个及两个以上身份判别技术组合来进行身份判别（如采取用户名/口令、挑战应答、动态口令、PKI物理设备、生物识别技术和数字证书方式身份判别技术中任意两个组合）使用xxx方式和xxx方式进行登录。2访问控制(S3)a)应启用访问控制功效，依据安全策略控制用户对资源访问。依照不一样linux操作系统路径，查看系统主要文件权限，检验其权限小于664：ls–l/etc/passwdls–l/etc/shadowls–l/etc/security/passwdls–l/etc/security/login.cfgls–l/ect/security/user并查看对应业务软件目录用户及权限系统主要文件及业务软件目录权限设置均符合要求。b)应依照管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限。查看系统用户，访谈管理员是否有完整安全策略、系统主要有哪些角色、每个角色权限是否相互制约、每个系统用户是否被赋予对应角色。系统具备完整安全策略，系统分为xxx个角色：xxx、xxx、……，xxx角色权限为：xxxxxx角色权限为：xxx系统用户均被赋予对应角色。c)应实现操作系统特权用户权限分离。访谈系统管理员，主机是否装有数据库，若有，结合系统管理员组成情况，判定是否实现了该项要求。数据库用户和操作系统用户为不一样人员和操作账号。d)应禁用或严格限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令。查看是否限制了系统默认帐号访问权限，是否修改了这些帐户默认口令：cat/etc/shadow限制了默认账号访问权限。e)应及时删除多出、过期帐户，防止共享帐户存在。统计系统没有被及时删除或过期帐号，防止共享帐户：cat/etc/passwd检验“登录shell列（第7列）”，非“/sbin/nologin”用户，是否为多出用户。不存在多出、过期、共享账户。f)应对主要信息资源设置敏感标识。访谈系统管理员或查看相关文档，确认操作系统是否具备能对信息资源设置敏感标识功效；访谈管理员是否对主要信息资源设置敏感标识。使用系统功效（或者第三方软件）设置了敏感标识。g)应依据安全策略严格控制用户对有敏感标识主要信息资源操作。问询或查看现在敏感标识策略相关设置，如：怎样划分敏感标识分类，怎样设定访问权限等。使用系统功效（或者第三方软件）设置了敏感标识。3安全审计(G3)a)审计范围应覆盖到服务器和主要客户端上每个操作系统用户和数据库用户。①查看服务进程，系统日志服务是否开启；servicesyslogstatusserviceauditstatus或service--status-all|greprunning②若运行了安全审计服务，则查看安全审计守护进程是否正常ps–ef|grepauditd。已开启系统自带审计功效；安全审计进程运行正常。b）审计内容应包含主要用户行为、系统资源异常使用和主要系统命令使用、账号分配、创建与变更、审计策略调整、审计系统功效关闭与开启等系统内主要安全相关事件。该文件指定怎样写入审查统计以及在哪里写入cat/etc/audit/audit.conf查看相关配置文件grep“@priv-ops”/etc/audit/filter.confgrep“@mount-ops”/etc/audit/filter.confgrep“@system-ops”/etc/audit/filter.conf审计内容包含主要用户行为、系统资源异常使用和主要系统命令使用等主要安全相关事件。c)审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等，并定时备份审计统计，包括敏感数据统计保留时间不少于六个月。查看审计统计，是否包含必要审计要素。若有第三方审计工具或系统，则查看其审计日志是否包含必要审计要素。查看audit下相关文件cat/etc/audit/audit.conf审计统计(或第三方审计工具日志)包含必要审计要素。d)应能够依照统计数据进行分析，并生成审计报表。访谈并查看对审计统计查看、分析和生成审计报表情况。能够对数据进行分析并生成报表。e)应保护审计进程，防止受到未预期中止。访谈审计管理员对审计进程监控和保护方法。使用第三方工具对主机进行审计。f)应保护审计统计，防止受到未预期删除、修改或覆盖等。查看日志访问权限；ls-la/var/log/audit.d访谈审计统计存放、备份和保护方法，如配置日志服务器等。审计统计采取了有xxx方法进行保护。4剩下信息保护(S3)a)应确保操作系统用户判别信息所在存放空间，被释放或再分配给其余使用人员前得到完全去除，不论这些信息是存放在硬盘上还是在内存中。检验操作系统维护/操作手册：①查看其是否明确用户判别信息存放空间；②被释放或再分配给其余用户前处理方法和过程。依照linux特征，该项符合。b)应确保系统内文件、目录和数据库统计等资源所在存放空间，被释放或重新分配给其余使用人员前得到完全去除。检验操作系统维护/操作手册，系统内文件、目录等资源所在存放空间，被释放或重新分配给其余用户前处理方法和过程。依照linux特征，该项符合。5入侵防范(G3)a)应能够检测到对主要服务器进行入侵行为，能够统计入侵源IP、攻击类型、攻击目标、攻击时间，并在发生严重入侵事件时提供报警。①访谈并查看入侵检测方法more/var/log/secure|greprefused②检验是否启用了主机防火墙、TCPSYN保护机制等设置；serviceiptablesstatussysctl-a|grepsyn③问询是否有第三方入侵检测系统，如IDS，是否具备报警功效。系统具备xxx入侵检测方法；启用主机防火墙；安装了主机入侵检测软件（或者具备第三方入侵检测系统），具备报警功效。b)应能够对主要程序完整性进行检测，并在检测到完整性受到破坏后具备恢复方法或在检测到完整性即将受到破坏时进行事前阻断。访谈是否使用一些文件完整性检验工具对主要文件完整性进行检验，是否对主要配置文件进行备份。查看备份演示。对主要文件有备份，对主要程序有监控。c)操作系统应遵照最小安装标准，仅安装需要组件和应用程序，并经过设置升级服务器等方式保持系统补丁及时得到更新。①访谈系统管理员系统现在是否采取了最小安装标准；②确认系统现在正在运行服务，service--status-all|greprunning查看并确认是否已经关闭危险网络服务，如：echo、shell、login、finger、r命令等关闭非必须网络服务，如：talk、ntalk、pop-2、sendmail、imapd、pop3d等；③访谈补丁升级机制，查看补丁安装情况。rpm-qa|greppatch采取了最小安装标准；系统运行服务均为安全服务；采取了xxx补丁升级机制。6恶意代码防范(G3)a)应安装国家安全部门认证正版防恶意代码软件，对于依附于病毒库进行恶意代码查杀软件应及时更新防恶意代码软件版本和恶意代码库，对于非依赖于病毒库进行恶意代码防御软件，如主动防御类软件，应确保软件所采取特征库有效性与实时性，对于一些不能安装对应软件系统能够采取其余安全防护方法来确保系统不被恶意代码攻击。查看系统中安装了什么防病毒软件。问询管理员病毒库是否经常更新。查看病毒库最新版本更新日期是否超出一个星期。安装了xxx防病毒软件；经常更新防病毒软件病毒库；病毒库为最新版本。b)主机防恶意代码产品应具备与网络防恶意代码产品不一样恶意代码库。问询系统管理员网络防病毒软件和主机防病毒软件分别采取什么病毒库，病毒库是否不一样。网络防病毒软件采取xxx病毒库；主机防病毒软件采取xxx病毒库。c)应支持防恶意代码统一管理。问询系统管理员是否采取统一病毒库更新策略和查杀策略。对病毒库采取统一更新策略；对防病毒软件采取统一查杀策略。d)应建立病毒监控中心，对网络内计算机感染病毒情况进行监控。检验网络防恶意代码产品，查看厂家、版本号和恶意代码库名称产品对网络内各计算机均进行监控。7资源控制(A3)a)应经过设定终端接入方式、网络地址范围等条件限制终端登录。查看linux内置防火墙规则iptables-L-n②查看在/etc/hosts.deny中是否有“sshd:all:deny”，禁止全部请求；/etc/hosts.allow中是否有以下类似设置：sshd：192.168.1.10/255.255.255.0设定了终端接入方式、网络地址范围经过xxx（主机防火墙、网络防火墙、路由器等）限制了终端登录。假如布署了终端管理系统，也能够经过终端管理系统控制终端接入服务器操作系统。b)应依照安全策略设置登录终端操作超时锁定。①查看登录该服务器终端是否设置了超时策略：cat/etc/ssh/sshd_config查看是否设置了

ClientA