主機(jī)安全 - Linux操作系統(tǒng)基線檢查指導(dǎo)書(shū)1.0版

1、啟明信息安全中心編號(hào)：基線檢查指導(dǎo)書(shū)基礎(chǔ)網(wǎng)絡(luò)安全-Linux 操作系統(tǒng)V1.0啟明信息安全中心啟明信息安全中心序號(hào)類(lèi)別檢查項(xiàng)檢查方法預(yù)期結(jié)果符合情況檢查：份標(biāo)識(shí)和鑒別機(jī)制采用何種措施實(shí)現(xiàn)；標(biāo)識(shí)和鑒別；令或空口令重新登錄，觀察是否成功。手工檢查:root#pwdck -n ALL返回結(jié)果應(yīng)為空；戶進(jìn)行身份標(biāo)識(shí)和鑒別；錯(cuò)誤口令或空口令登錄時(shí)提示登錄失敗，驗(yàn)證了登錄控制功能的有效性；身份鑒別方法二:在root權(quán)限下，使用命令#cat /etc/passwd #cat /etc/shadow操作系統(tǒng)不存在密碼為空的用戶。不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；空的用戶名。手工檢查：1root#

2、cat /etc/login.defs配置密碼策略；啟用了系統(tǒng)口令復(fù)雜度策略，系統(tǒng)8以不符合復(fù)雜度要求和不符合長(zhǎng)敗。序號(hào)類(lèi)別檢查項(xiàng)檢查方法預(yù)期結(jié)果符合情況2合復(fù)雜度要求和不符合最小長(zhǎng)度要求的口令創(chuàng)建用戶，查看是否成功。檢查:雜性要求。手工檢查：root制非法登錄次數(shù)和自動(dòng)退出等措施；防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；#cat /etc/pam.d/system-auth查看該配置文件的內(nèi)容，記錄system-auth 次數(shù)和自動(dòng)退出結(jié)束會(huì)話的配置項(xiàng)。測(cè)試：試方法進(jìn)行測(cè)試：作系統(tǒng)，觀察反應(yīng)；檢查：遠(yuǎn)程管理數(shù)據(jù)進(jìn)行加密傳輸。手工檢查：操作系統(tǒng)已啟用登陸失敗處理、結(jié)當(dāng)超過(guò)系統(tǒng)規(guī)定的非法登陸次數(shù)自動(dòng)

3、斷開(kāi)連接。SSH連接；議進(jìn)行遠(yuǎn)程管理；序號(hào)類(lèi)別檢查項(xiàng)檢查方法明文。預(yù)期結(jié)果理的信息保密。符合情況的用戶名，確保用戶名具有唯一性。應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用手工檢查:1)應(yīng)測(cè)試主要服務(wù)器操作系統(tǒng)， 的標(biāo)識(shí)（如用戶名或UID，查看是否不會(huì)成功；2識(shí)和所刪除的用戶標(biāo)識(shí)一樣（如用戶名/UID檢查：多人共用一個(gè)賬戶的情況。檢查:添加測(cè)試賬戶不會(huì)成功；情況；確保用戶名具有唯一性。用戶的認(rèn)證方式選擇兩種或兩種以戶進(jìn)行身份鑒別。檢查系統(tǒng)管理員詢問(wèn)系統(tǒng)除用戶名口令外上組合的鑒別技術(shù)只用一種技術(shù)有無(wú)其他身份鑒別方式如生物鑒別令牌、 法認(rèn)證成功。動(dòng)態(tài)口令等，并手工檢查。檢查:資源的訪問(wèn)；檢查系統(tǒng)管理

4、員詢問(wèn)操作系統(tǒng)的重要文件及目錄是否根據(jù)實(shí)際環(huán)境設(shè)置了訪問(wèn)控制策略。手工檢查:執(zhí)行命令#ls -l合理設(shè)置了訪問(wèn)控制策略。操作系統(tǒng)的重要文件及目錄已根據(jù)實(shí)際環(huán)境設(shè)置了訪問(wèn)控制策略。序號(hào)類(lèi)別檢查項(xiàng)檢查方法預(yù)期結(jié)果符合情況檢查:的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；要有哪些角色每個(gè)角色的權(quán)限是否相互制該有系統(tǒng)管理員和安全管理員安約、每個(gè)系統(tǒng)用戶是否被賦予相應(yīng)的角色。審計(jì)員在有第三方審計(jì)工具時(shí)可以不要求。離；認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；的存在。應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；檢查：了該項(xiàng)要求。手工檢查:root#cat /etc/passwd查看默認(rèn)賬戶是否已更名,并且是否已禁用來(lái)賓賬戶。手工檢

5、查：賬戶的存在。手工檢查：操作系統(tǒng)是否具備能對(duì)信息資源設(shè)置敏感標(biāo)記功能；置敏感標(biāo)記。操作系統(tǒng)除具有管理員賬戶外，至少還有專(zhuān)門(mén)的審計(jì)管理員賬戶，且他們的權(quán)限互斥。默認(rèn)賬戶已更名，來(lái)賓賬戶已禁用。不存在多余、過(guò)期和共享賬戶。對(duì)重要信息資源已設(shè)置敏感標(biāo)記。序號(hào)類(lèi)別檢查項(xiàng)信息資源的操作。操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；檢查方法檢查：權(quán)限等。手工檢查：1了第三方安全審計(jì)設(shè)備。手工檢查：root#ps -ef | grep syslog，和審計(jì)服務(wù)#ps -ef | grep auditd，預(yù)期結(jié)果符合情況通過(guò)敏感標(biāo)記設(shè)定用戶對(duì)重要信息資源的訪問(wèn)。系統(tǒng)開(kāi)啟了安

6、全審計(jì)功能或部署了第三方安全審計(jì)設(shè)備。（戶登錄、退出）等設(shè)置。安全審計(jì)是否有效合理的配置了安全審計(jì)內(nèi)手工檢查：標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；1more#cat /etc/audit/auditd.conf #cat /etc/audit/audit.rules識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等手工檢查：應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；audit能定期生成審計(jì)報(bào)表并包含必要審計(jì)要素。序號(hào)類(lèi)別檢查項(xiàng)檢查方法syslog.conf確認(rèn)是否記錄了必要的審計(jì)要素；計(jì)日志是否包括必要的審計(jì)要素；預(yù)期結(jié)果符合情況檢查：應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；對(duì)審計(jì)進(jìn)程已采取相關(guān)保護(hù)措施。檢查對(duì)審計(jì)進(jìn)程監(jiān)控和保護(hù)

7、的措施。檢查：檢查對(duì)審計(jì)記錄監(jiān)控和保護(hù)的措施。例如：通過(guò)專(zhuān)用日志服務(wù)器或存儲(chǔ)設(shè)備對(duì)覆蓋等。通過(guò)專(zhuān)用日志服務(wù)器或存儲(chǔ)設(shè)備對(duì)審計(jì)記審計(jì)記錄進(jìn)行備份，并避免對(duì)審計(jì)記錄進(jìn)行備份并避免對(duì)審計(jì)記錄的修改刪錄的修改、刪除或覆蓋。除或覆蓋。檢查：應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所剩余信息全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存保護(hù)中；檢查產(chǎn)品的測(cè)試報(bào)告、用戶手冊(cè)或管理方工具提供了相應(yīng)功能。手工檢查：root#cat /etc/issue#cat /etc/1)若未刪除系統(tǒng)相關(guān)信息則不符合。查看是否清除系統(tǒng)相關(guān)信息。應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源檢查：linux 默認(rèn)會(huì)清除swap 中的

8、存儲(chǔ)內(nèi)序號(hào)類(lèi)別檢查項(xiàng)到完全清除。檢查方法容。檢查產(chǎn)品的測(cè)試報(bào)告、用戶手冊(cè)或管理手工具提供了相應(yīng)功能。檢查，手工檢查:預(yù)期結(jié)果符合情況a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能IP的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；入侵防范b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢到完整性受到破壞后具有恢復(fù)的措施；c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的系統(tǒng)補(bǔ)丁及時(shí)得到更新。并對(duì)其進(jìn)行分析。否具備報(bào)警功能。如:IDS。檢查，核查：檢查產(chǎn)品的測(cè)試報(bào)告、用戶手冊(cè)或管理手工具(例如：完整性檢查工具或安全防護(hù)工具)提供了相應(yīng)功能。檢查：1)檢查系統(tǒng)管理員系統(tǒng)目前是否采取了最小安裝原則。手工檢查：嚴(yán)

9、重入侵事件時(shí)提供報(bào)警。工具(例如：完整性檢查工具或安全防護(hù)工具)增強(qiáng)該功能，則該項(xiàng)要求為不符合。了最小安裝的原則；不必要的服務(wù)沒(méi)有啟動(dòng)；不必要的端口沒(méi)有打開(kāi)；確認(rèn)系統(tǒng)目前正在運(yùn)行的服務(wù)4)系統(tǒng)補(bǔ)丁先測(cè)試，再升級(jí)；補(bǔ)丁號(hào)-status-all|grep查看并確認(rèn)為較新版本。是否已經(jīng)關(guān)閉危險(xiǎn)的網(wǎng)絡(luò)服務(wù)如 echo、序號(hào)類(lèi)別檢查項(xiàng)檢查方法預(yù)期結(jié)果符合情況shellloginfingerrtalkntalkpop-2SendmailImapd等。# rpm qa | greppatch丁升級(jí)方式和已安裝最新的補(bǔ)丁名稱(chēng)。防范軟件版本和惡意代碼庫(kù)；品不同的惡意代碼庫(kù)；檢查，核查：新日期是否及時(shí)。檢查：檢查

10、系統(tǒng)管理員網(wǎng)絡(luò)防病毒軟件和主機(jī)防病毒軟件分別采用什么病毒庫(kù)。安裝了防病毒軟件，病毒庫(kù)經(jīng)常更新，是最新版本。主機(jī)防惡意代碼產(chǎn)品與網(wǎng)絡(luò)防惡意代碼產(chǎn)品的惡意代碼庫(kù)不同。檢查：應(yīng)支持防惡意代碼的統(tǒng)一管理。檢查防惡意代碼的管理方式，例如升級(jí)式。防惡意代碼統(tǒng)一管理，統(tǒng)一升級(jí)。資源控制a) 應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條限制終端登錄；手工檢查：記錄/etc/hosts.deny、/etc/hosts.allow關(guān)配置參數(shù)。已設(shè)定終端登錄安全策略及措施，非授權(quán)終端無(wú)法登錄管理。序號(hào)類(lèi)別檢查項(xiàng)檢查方法預(yù)期結(jié)果符合情況訪問(wèn)控制策略、堡壘機(jī)策略等實(shí)現(xiàn)。手工檢查：應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；查

11、看并記錄/etc/profile中的TMOUT環(huán)境TMOUT作超時(shí)時(shí)間。已在/etc/profile 中為 TMOUT 設(shè)置了合理的操作超時(shí)時(shí)間。應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；度；檢查，手工檢查：檢查系統(tǒng)管理員是否經(jīng)常通過(guò)“系統(tǒng)資源監(jiān)控器”或第三方監(jiān)控平臺(tái)對(duì)重要服務(wù)器CPU情況進(jìn)行監(jiān)視。檢查：是否對(duì)單個(gè)用戶系統(tǒng)資源（CPU、內(nèi)存、硬盤(pán)等）的最大或最小使用限度。監(jiān)控平臺(tái)對(duì)重要服務(wù)器的的 CPU已針對(duì)系統(tǒng)資源控制的管理措施， 對(duì)單個(gè)用戶系統(tǒng)資源（CPU硬盤(pán)等）的最大或最小使用限度；在/etc/security/limits中已設(shè)定對(duì)單手工檢查：個(gè)用戶系統(tǒng)資源的最