信息安全風(fēng)險(xiǎn)評(píng)估檢查流程操作系統(tǒng)安全評(píng)估檢查表HPUNIX

1、HP-UX Security CheckList目 錄HP-UX SECURITY CHECKLIST11初級(jí)檢查評(píng)估內(nèi)容51.1系統(tǒng)信息5系統(tǒng)基本信息51.1.2系統(tǒng)網(wǎng)絡(luò)設(shè)置5系統(tǒng)當(dāng)前路由5檢查目前系統(tǒng)開(kāi)放的端口6檢查當(dāng)前系統(tǒng)網(wǎng)絡(luò)連接情況8系統(tǒng)運(yùn)行進(jìn)程81.2物理安全檢查9檢查系統(tǒng)單用戶運(yùn)行模式中的訪問(wèn)控制91.3帳號(hào)和口令9檢查系統(tǒng)中Uid相同用戶情況9檢查用戶登錄情況9檢查賬戶登錄嘗試失效策略10檢查賬戶登錄失敗時(shí)延策略10檢查所有的系統(tǒng)默認(rèn)帳戶的登錄權(quán)限10空口令用戶檢查11口令策略設(shè)置參數(shù)檢查11檢查root是否允許從遠(yuǎn)程登錄11驗(yàn)證已經(jīng)存在的Passwd強(qiáng)度11用戶啟動(dòng)文件檢查12

2、用戶路徑環(huán)境變量檢查121.4網(wǎng)絡(luò)與服務(wù)12系統(tǒng)啟動(dòng)腳本檢查12TCP/UDP小服務(wù)13login(rlogin)，shell(rsh)，exec(rexec)13comsat talk uucp lp kerbd14Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd14遠(yuǎn)程打印服務(wù)14檢查是否開(kāi)放NFS服務(wù)15檢查是否Enables NFS port monitoring15檢查是否存在和使用 NIS ,NIS+15檢查sendmail服務(wù)16Expn, vrfy (若

3、存在sendmail進(jìn)程)16SMTP banner16檢查是否限制ftp用戶權(quán)限17TCP_Wrapper17信任關(guān)系171.5文件系統(tǒng)18suid文件18sgid文件18/etc 目錄下可寫(xiě)的文件181.5.4檢測(cè)重要文件目錄下文件權(quán)限屬性以及/dev下非設(shè)備文件系統(tǒng)19檢查/tmp目錄存取屬性19檢查UMASK20檢查.rhosts文件201.6日志審核201.6.1Cron logged20/var/adm/cron/21Log all inetd services21Syslog.conf211.7UUCP服務(wù)211.8Xwindows檢查222中級(jí)檢查評(píng)估內(nèi)容232.1安全增強(qiáng)性2

4、3TCP IP參數(shù)檢查23Inetd啟動(dòng)參數(shù)檢查24Syslogd啟動(dòng)參數(shù)檢查25系統(tǒng)日志文件內(nèi)容檢查25系統(tǒng)用戶口令強(qiáng)度檢查25系統(tǒng)補(bǔ)丁安裝情況檢查25系統(tǒng)審計(jì)檢查253高級(jí)檢查評(píng)估內(nèi)容263.1后門(mén)與日志檢查263.2系統(tǒng)異常服務(wù)進(jìn)程檢查263.3內(nèi)核情況檢查263.4第三方安全產(chǎn)品安裝情況261 初級(jí)檢查評(píng)估內(nèi)容1.1 系統(tǒng)信息1.1.1 系統(tǒng)基本信息 說(shuō)明：檢查系統(tǒng)的版本和硬件類型等基本信息。 檢查方法：uname auname vPATH="/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/"

5、export PATH1.1.2 系統(tǒng)網(wǎng)絡(luò)設(shè)置 說(shuō)明：檢查系統(tǒng)的網(wǎng)卡是否存在混雜模式。 檢查方法：ifconfig lan01.1.3 系統(tǒng)當(dāng)前路由 說(shuō)明：檢查系統(tǒng)當(dāng)前的路由設(shè)定配置，包括默認(rèn)路由和永久路由，并檢查其合法性。 檢查方法：netstat -nr 結(jié)果分析方法：bash-2.05# netstat -nrRouting Table: IPv4 Destination Gateway Flags Ref Use Interface- - - - - - 13 U 1

6、35 hme0default 54 UG 1 78 UH 2 7246 lo01.1.4 檢查目前系統(tǒng)開(kāi)放的端口 說(shuō)明：檢查當(dāng)前系統(tǒng)運(yùn)行中開(kāi)放的服務(wù)端口 檢查方法：netstat na |grep LISTEN 結(jié)果分析方法：bash-2.05# netstat -na | grep LISTEN1.1.5 檢查當(dāng)前系統(tǒng)網(wǎng)絡(luò)連接情況 說(shuō)明：根據(jù)顯示的網(wǎng)絡(luò)連接，記錄已建立連接establish的數(shù)量，地址范圍等。記錄listen的端口，記錄其它狀態(tài)，例如timewait，finw

7、ait，closewait等。 檢查方法：netstat na1.1.6 系統(tǒng)運(yùn)行進(jìn)程 說(shuō)明：根據(jù)顯示的當(dāng)前所有在運(yùn)行的系統(tǒng)進(jìn)程，記錄每個(gè)進(jìn)程的運(yùn)行時(shí)間，屬主，查看相應(yīng)的實(shí)例位置，檢查相應(yīng)的實(shí)例的版本、大小、類型等。 檢查方法：ps elf 結(jié)果分析方法：# ps ef 1.2 物理安全檢查1.2.1 檢查系統(tǒng)單用戶運(yùn)行模式中的訪問(wèn)控制 說(shuō)明：檢查和發(fā)現(xiàn)系統(tǒng)在進(jìn)入單用戶模式是否具備訪問(wèn)控制。 檢查方法：more /tcb/files/auth/system/default，如果d_boot_authentic

8、ate 行的內(nèi)容大于0，那么說(shuō)明系統(tǒng)不需要口令就可以進(jìn)入單用戶模式。1.3 帳號(hào)和口令1.3.1 檢查系統(tǒng)中Uid相同用戶情況 說(shuō)明：檢查和發(fā)現(xiàn)系統(tǒng)中具有相同uid的用戶情況，特別關(guān)注udi=0的用戶情況。 檢查方法：pwck -s1.3.2 檢查用戶登錄情況 說(shuō)明：檢查和發(fā)現(xiàn)系統(tǒng)用戶的登錄情況，特別關(guān)注udi=0的用戶情況。 檢查方法：last -Rlastb R | more1.3.3 檢查賬戶登錄嘗試失效策略 說(shuō)明：檢查系統(tǒng)允許的單次會(huì)話中的登錄嘗試次數(shù)。 檢查方法：more /tcb/files/aut

9、h/system/default，檢查t_maxtrie 變量?jī)?nèi)容，如果有設(shè)定，它將改變默認(rèn)的5次設(shè)定。1.3.4 檢查賬戶登錄失敗時(shí)延策略 說(shuō)明：檢查系統(tǒng)允許的單次會(huì)話中的登錄失敗時(shí)延參數(shù)。 檢查方法：more /tcb/files/auth/system/default，檢查t_logdelay 變量?jī)?nèi)容，如果有設(shè)定，它將改變默認(rèn)的4秒設(shè)定。1.3.5 檢查所有的系統(tǒng)默認(rèn)帳戶的登錄權(quán)限 說(shuō)明： 檢查方法：cat /etc/passwd |grep v sh 結(jié)果分析方法：例：noaccess:x:60002:60002:

10、No Access User :/:/sbin/noshell1.3.6 空口令用戶檢查 說(shuō)明： 檢查方法：authck ppwck -s1.3.7 口令策略設(shè)置參數(shù)檢查 說(shuō)明：檢查系統(tǒng)口令的配置策略 檢查方法：more /tcb/files/auth/system/default1.3.8 檢查root是否允許從遠(yuǎn)程登錄 說(shuō)明：Root從遠(yuǎn)程登錄時(shí)，可能會(huì)被網(wǎng)絡(luò)sniffer竊聽(tīng)到密碼。 檢查方法：cat /etc/securetty 結(jié)果分析方法：/etc/securetty應(yīng)當(dāng)包括conso

11、le或者/dev/null1.3.9 驗(yàn)證已經(jīng)存在的Passwd強(qiáng)度 說(shuō)明：檢查/etc/shadow文件中，是否存在空密碼的帳號(hào) 檢查方法：cat /etc/shadow |awk -F: 'print $1 " "$2'1.3.10 用戶啟動(dòng)文件檢查 說(shuō)明：檢查用戶目錄下的啟動(dòng)文件 檢查方法：檢查用戶目錄下的.cshrc, .profile, .emacs, .exrc, .Xdefaults, .Xinit, .login, .logout, .Xsession,等文件的內(nèi)容，包括root用戶

12、。1.3.11 用戶路徑環(huán)境變量檢查 說(shuō)明：檢查用戶路徑環(huán)境變量下的啟動(dòng)文件 檢查方法：切換到用戶 echo $PATH，檢查輸出。1.4 網(wǎng)絡(luò)與服務(wù)1.4.1 系統(tǒng)啟動(dòng)腳本檢查 說(shuō)明：檢查系統(tǒng)啟動(dòng)腳本 檢查方法：more /sbin/rc?.d1.4.2 TCP/UDP小服務(wù) 說(shuō)明：這些服務(wù)通常是用來(lái)進(jìn)行網(wǎng)絡(luò)調(diào)試的，包括：echo、discard、datetime、chargen 檢查方法：grep v “#” /etc/inetd.conf 結(jié)果分析方法:echo stream tcp n

13、owait root internalecho dgram udp wait root internaldiscard stream tcp nowait root internaldiscard dgram udp wait root internaldaytime stream tcp nowait root internaldaytime dgram udp wait root internalchargen stream tcp nowait root internalchargen dgram udp wait root internal1.4.3 login(rlogin)，she

14、ll(rsh)，exec(rexec) 說(shuō)明：用來(lái)方便的登陸或執(zhí)行遠(yuǎn)程系統(tǒng)的命令。1可能被用來(lái)獲得主機(jī)信任關(guān)系的信息2被入侵者用來(lái)留后門(mén)3成為被ip欺騙的服務(wù)對(duì)象 檢查方法：grep v “#” /etc/inetd.conf |egrep “l(fā)ogin|shell|exec”1.4.4 comsat talk uucp lp kerbd 說(shuō)明：以上服務(wù)大都不在公開(kāi)服務(wù)器上使用，且存在一定的風(fēng)險(xiǎn)。 檢查方法：grep v “#” /etc/inetd.conf |egrep “comsat| talk| uucp| lp| kerbd|k

15、cms”1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd 說(shuō)明：在inetd.conf中啟動(dòng)的RPC服務(wù)，已經(jīng)有多次極嚴(yán)重的安全漏洞記錄 檢查方法：grep v “#” /etc/inetd.conf|grep rpc查找 Sadmind ttb sprayd walld cmsd kcms等字樣以上服務(wù)存在多個(gè)嚴(yán)重安全隱患 若不使用以上服務(wù) 建議在inetd注釋以上服務(wù) 備注：不同的版本的某些rpc小服務(wù)不一樣，而

16、且也因安裝方式不同而有異。對(duì)于少見(jiàn)的rpc服務(wù)，應(yīng)該征求管理員的意見(jiàn)。1.4.6 遠(yuǎn)程打印服務(wù) 說(shuō)明：檢查主機(jī)遠(yuǎn)程打印服務(wù)的配置 檢查方法：more /etc/hosts.equivmore /var/adm/lp/.rhosts1.4.7 檢查是否開(kāi)放NFS服務(wù) 說(shuō)明：非有明確使用目的，建議停止運(yùn)行NFS的相關(guān)服務(wù) 檢查方法：ps ef | grep nfskdshowmount e localhostmore /etc/exportsmore /etc/exportfsmore /etc/fstab1.4.8 檢查是否Enables

17、NFS port monitoring 說(shuō)明： 檢查方法：more / 結(jié)果分析方法：1.4.9 檢查是否存在和使用 NIS ,NIS+ 說(shuō)明：檢查/var/nis 檢查方法：more /var/nis1.4.10 檢查sendmail服務(wù) 說(shuō)明：檢查本地sendmail服務(wù)開(kāi)放情況 檢查方法ps ef|grep sendmail 1.4.11 Expn, vrfy (若存在sendmail進(jìn)程) 說(shuō)明：限制用戶通過(guò)這兩個(gè)sendmial命令來(lái)獲取系統(tǒng)的信息 檢

18、查方法：檢查是否存在sendmail.cf文件 若不存在系統(tǒng)當(dāng)前sendmail配置為系統(tǒng)默認(rèn)cat /etc/sendmail.cf |grep PrivacyOPtions是否等于authwarnigs.goawayPrivacyOptions是否等于noexpn,novrfy,authwarnignsLoglevel等于51.4.12 SMTP banner 說(shuō)明：在SMTP banner中隱藏版本號(hào) 檢查方法：cat /etc/sendmail.cf |grep “De Mail Server Ready” 結(jié)果分析方法：#SMTP lo

19、gin messageDe Mail Server Ready1.4.13 檢查是否限制ftp用戶權(quán)限 說(shuō)明：拒絕系統(tǒng)默認(rèn)的帳號(hào)使用ftp服務(wù) 檢查方法：more /etc/ftpusersmore /etc/ftpd/ftpusers檢查ftpusers文件存取權(quán)限 以及因該禁用的登陸的用戶名 1.4.14 TCP_Wrapper 說(shuō)明：檢查inetd服務(wù)的訪問(wèn)情況。 檢查方法：more /var/adm/inetd.sec1.4.15 信任關(guān)系 說(shuō)明：主機(jī)之間的可信任問(wèn)題，可能會(huì)導(dǎo)致安全問(wèn)題；確保 /etc/h

20、osts.equiv文件的內(nèi)容為空。 檢查方法：cat /etc/hosts.equiv若安裝TCP_warpper并對(duì)某些網(wǎng)絡(luò)服務(wù)綁定改服務(wù) 請(qǐng)檢查/etc/hosts.allow和 /etc/hosts.deny文件是否為空 或者不做策略 結(jié)果分析方法：文件內(nèi)容應(yīng)為空或此文件不存在1.5 文件系統(tǒng)1.5.1 suid文件 說(shuō)明：檢查所有屬組為root(uid=0)的suid屬性文件 并且其執(zhí)行權(quán)限為任意用戶可執(zhí)行非法的普通用戶可能會(huì)利用這些程序里潛在的漏洞 以stack, format strings,heap等方法來(lái)溢出和覆蓋緩沖區(qū)執(zhí)行非法代

21、碼提升到root權(quán)限目的 檢查方法：find / -type f perm -4001 user 0 檢查風(fēng)險(xiǎn)：1.5.2 sgid文件 說(shuō)明：移去所有不需要sgid屬性的文件危害性同上 這里是提升組權(quán)限到other 檢查方法：find / -type f perm -2001 group 01.5.3 /etc 目錄下可寫(xiě)的文件 說(shuō)明：將檢查/etc目錄下對(duì)任何用戶和組都可以進(jìn)行寫(xiě)入文件這將造成系統(tǒng)風(fēng)險(xiǎn)隱患 檢查方法：find /etc -type f -perm 00021.5.4 檢測(cè)重要文件目錄下文件權(quán)限屬性以及/d

22、ev下非設(shè)備文件系統(tǒng) 說(shuō)明 不安全的文件系統(tǒng)庫(kù)文件權(quán)限將導(dǎo)致被任意用戶替換危險(xiǎn)1檢查/usr/lib /usr/lib /usr/local/lib(若存在)目錄下對(duì)所有用戶可寫(xiě)文件2 檢查/dev下非設(shè)備類型的文件 3檢查系統(tǒng)所有conf文件權(quán)限是否為任意用戶可寫(xiě) 以及文件屬主 檢查方法find /usr/lib type f perm 0002find /lib type f perm 0002find /usr/local/lib type f perm 0002 find /dev type f find / -type f perm -0002 name

23、*.conf* 1.5.5 檢查/tmp目錄存取屬性 說(shuō)明：在每次重啟時(shí)，設(shè)置/tmp目錄的粘滯位限制攻擊者的部分活動(dòng)。 檢查方法：ls la / |grep tmp 結(jié)果分析方法：bash-2.05# ls -la / |grep tmpdrwxrwxrwt 5 root sys 447 5 13 14:08 tmp1.5.6 檢查UMASK 說(shuō)明：設(shè)置嚴(yán)格的UMASK值，增強(qiáng)文件的存取權(quán)限 檢查方法：more /tc/profile 1.5.7 檢查.rhosts文件 說(shuō)明：.rhosts文件有一定的安全缺

24、陷，當(dāng)使用不正確時(shí)，可能會(huì)導(dǎo)致安全漏洞；推薦禁止所有的.rhosts文件 檢查方法：find / -type f -name ".rhosts" 結(jié)果分析方法：沒(méi)有此文件或文件內(nèi)容為空，若要使用.rhosts信任機(jī)制 則請(qǐng)確保文件屬性為600 備注：Cluster軟件可能需要.rhosts文件，請(qǐng)仔細(xì)檢查使用.rhosts文件Add by weiling 2005/11/02 審核setuid 和 setgid 網(wǎng)絡(luò)安全審計(jì)# hostnameyd_db1# # ll /dev/ether*crw-rw-rw- 1 bin bin

25、5 0x010001 Nov 16 2000 /dev/ether1crw-rw-rw- 1 bin bin 5 0x020001 Nov 16 2000 /dev/ether2crw-rw-rw- 1 bin bin 52 0x030001 Nov 16 2000 /dev/ether3# # ll /ieee*/ieee* not found# # ll /dev/ieee*/dev/ieee* not found# # ll /dev/lan*crw-rw-rw- 1 root sys 72 0x000077 Jan 19 2003 /dev/lancrw-rw-rw- 1 bin bi

26、n 32 0x000000 Nov 16 2000 /dev/lan0crw-rw-rw- 1 bin bin 5 0x010000 Nov 16 2000 /dev/lan1crw-rw-rw- 1 bin bin 5 0x020000 Nov 16 2000 /dev/lan2crw- 1 root root 45 0x030000 Nov 16 2000 /dev/lan31.6 日志審核1.6.1 Cron logged 說(shuō)明：檢查所有的cron活動(dòng)是否被記錄 檢查方法：HP-UX默認(rèn)開(kāi)啟。1.6.2 /var/adm/cron/ 說(shuō)明：確保/

27、var/adm/cron的正確屬性為700 root用戶和sys用戶可讀寫(xiě) 檢查方法：ls -la /var |grep cron1.6.3 Log all inetd services 說(shuō)明： 檢查方法：ps elf|grep inetd 檢查啟動(dòng)參數(shù)1.6.4 Syslog.conf 說(shuō)明：查看本地日志輸出目錄功能 檢查方法：cat /etc/syslog.conf |grep debug1.7 UUCP服務(wù) 說(shuō)明：檢查UUCP服務(wù)的使用情況 檢查方法：cat /etc/inetd.conf

28、| grep UUCP1.8 Xwindows檢查 說(shuō)明：檢查Xwindows的配置情況 檢查方法：find / -name .Xauthority printxhosts ( 什么意思?。?說(shuō)的難道是 find / -name xhosts )2 中級(jí)檢查評(píng)估內(nèi)容2.1 安全增強(qiáng)性2.1.1 TCP IP參數(shù)檢查 檢查套接口序列是否防止SYN攻擊.1 說(shuō)明：各種網(wǎng)絡(luò)應(yīng)用軟件一般必須開(kāi)放一個(gè)或者幾個(gè)端口供外界使用，所以其必定可以會(huì)被惡意攻擊者向這幾個(gè)口發(fā)起拒絕服務(wù)攻擊，其中一個(gè)很流行的攻擊就是SYN FLOOD，在攻擊發(fā)生時(shí)，客戶端的來(lái)源

29、IP地址是經(jīng)過(guò)偽造的(spoofed)，現(xiàn)行的IP路由機(jī)制僅檢查目的IP地址并進(jìn)行轉(zhuǎn)發(fā)，該IP包到達(dá)目的主機(jī)后返回路徑無(wú)法通過(guò)路由達(dá)到的，于是目的主機(jī)無(wú)法通過(guò)TCP三次握手建立連接。在此期間因?yàn)門(mén)CP套接口緩存隊(duì)列被迅速填滿，而拒絕新的連接請(qǐng)求。為了防止這些攻擊，部分UNIX變種采用分離入站的套接口連接請(qǐng)求隊(duì)列，一隊(duì)列針對(duì)半打開(kāi)套接口(SYN 接收,SYN|ACK 發(fā)送), 另一隊(duì)列針對(duì)全打開(kāi)套借口等待一個(gè)accept()調(diào)用，增加這兩隊(duì)列可以很好的緩和這些SYN FLOOD攻擊并使對(duì)服務(wù)器的影響減到最小程度。.2 檢查方法/usr/sbin/ndd -get /dev/tcp

30、tcp_syn_rcvd_max/usr/sbin/ndd -get /dev/tcp tcp_conn_request_max 檢查Redirects參數(shù).1 說(shuō)明：惡意用戶可以使用IP重定向來(lái)修改遠(yuǎn)程主機(jī)中的路由表，在設(shè)計(jì)良好的網(wǎng)絡(luò)中，末端的重定向設(shè)置是不需要的，發(fā)送和接受重定向信息包都要關(guān)閉。.2 檢查方法：通過(guò)如下命令檢查其值是否為0：/usr/sbin/ndd -get /dev/ip ip_send_redirects 檢查源路由的設(shè)置.1 說(shuō)明：通過(guò)源路由，攻擊者可以嘗試到達(dá)內(nèi)部IP地址 -包括RFC1918中的地址，所以不接受源路由信息包可以防止你的內(nèi)部網(wǎng)絡(luò)被探測(cè)。.2 檢查方法：通過(guò)如下命令檢查其值是否為0：ndd -get /dev/ip ip_forward_src_routed 檢查廣播ECHO響應(yīng).1 說(shuō)明：Smurf攻擊