windows与linux主机加固项

更新时间:2024-01-31 23:21:01 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

1 1.1

主机加固 Windows

账号管理、认证授权

1.1.1

1.1.1.1 账号

1.1.1.1.1 管理缺省账户 项目名称 编号 项目说明 检测操作步骤 操作系统缺省账户要求项 Windows-02-01-01 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: 缺省帐户Administrator->属性 Guest帐号->属性 符合性判定依据 配置方法 缺省账户Administrator名称已更改。 Guest帐号已停用。 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。 Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 实施风险 备注 1.1.1.2 口令 1.1.1.2.1 密码复杂度 项目名称 编号 项目说明 操作系统密码复杂度要求项 Windows-02-02-01 最短密码长度 8个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种: ? 英语大写字母 A, B, C, ? Z ? 英语小写字母 a, b, c, ? z ? 西方阿拉伯数字 0, 1, 2, ? 9 非字母数字字符,如标点符号,@, #, $, %, &, *等 检测操作步进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: 业务系统直接利用Administrator账号管理需相应修改其账号。 骤 符合性判定依据 配置方法 查看是否“密码必须符合复杂性要求”选择“已启动” “密码必须符合复杂性要求”选择“已启动” 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。 “密码必须符合复杂性要求”选择“已启动”设置如下策略 策略 最短密码长度 密码必须符合复杂性要求 为域中所有用户使用可还原的加密来储存密码 默认设置 0 个字符 禁用 禁用 推荐最低设置 8 个字符 启用 禁用 实施风险 备注 风险较小 1.1.1.2.2 密码历史 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统密码历史要求项 Windows-02-02-02 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: 查看“密码最长存留期” “密码最长存留期”设置不大于“90天” 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。 设置如下策略: 策略 默认设置 记住 1 个密码 42 天 0 天 推荐最低设置 记住5个码 90 天 2 天 强制执行密码历史记录 密码最长期限 密码最短期限 实施风险 备注 1.1.2

业务系统直接利用的账号不适用密码最长90天期限 帐户锁定策略

操作系统账户锁定策略要求项 项目名称 编号 项目说明 Windows-02-02-03 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。 检测操作步骤 符合性判定依据 配置方法 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”: 查看“账户锁定阀值”设置 “账户锁定阀值”设置为小于或等于 6次 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”。 设置如下策略: 策略 账户锁定时间 账户锁定阈值 复位账户锁定计数器 默认设置 未定义 0 未定义 推荐最低设置 30 分钟 6 次无效登录 30 分钟 实施风险 备注 1.1.2.1 授权

安全扫描检测暴力破解口令将导致账号锁定。 1.1.2.1.1 远程关机 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统远程关机策略要求项 Windows-02-03-01 在本地安全设置中从远端系统强制关机只指派给Administrators组。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看“从远端系统强制关机”设置 “从远端系统强制关机”设置为“只指派给Administrtors组” 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。 “从远端系统强制关机”设置为“只指派给Administrators组”。 实施风险 备注 风险较小 1.1.2.1.2 本地关机 项目名称 操作系统本地关机策略要求项 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 Windows-02-03-02 在本地安全设置中关闭系统仅指派给Administrators组。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看“关闭系统”设置 “关闭系统”设置为“只指派给Administrators组” 参考配置操作: 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。 “关闭系统”设置为“只指派给Administrators组”。 实施风险 备注 风险较小 1.1.2.1.3 用户权利指派 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统用户权力指派策略要求项 Windows-02-03-03 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 查看是否“取得文件或其它对象的所有权”设置 “取得文件或其它对象的所有权”设置为“只指派给Administrators组” 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”。 “取得文件或其它对象的所有权”设置为“只指派给Administrators组”。 实施风险 备注 1.1.3

风险较小 日志配置操作

1.1.3.1 日志配置 1.1.3.1.1 审核登录 项目名称 编号 项目说明 操作系统审核登录策略要求项 Windows-03-01-01 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。 检测操作步开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略” 骤 符合性判定依据 配置方法 审核登录事件。 审核登录事件,设置为成功和失败都审核。 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核登录事件,双击,设置为成功和失败都审核。 实施风险 备注 风险较小 1.1.3.1.2 审核策略更改 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统审核策略更改要求项 Windows-03-01-02 启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中 查看“审核策略更改”设置。 “审核策略更改”设置为“成功” 和“失败”都要审核。 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核策略更改,双击,设置为成功和失败都审核。 实施风险 备注 风险较小 1.1.3.1.3 审核对象访问 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统审核对象访问要求项 Windows-03-01-03 启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核对象访问”设置。 “审核对象访问”设置为“成功”和“失败”都要审核。 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核对象访问,双击,设置为成功和失败都审核。

实施风险 备注 风险较小 1.1.3.1.4 审核事件目录服务器访问 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统审核事件目录服务器访问策略要求项 Windows-03-01-04 启用组策略中对Windows系统的审核目录服务访问,失败。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核目录服务器访问”设置。 “审核目录服务器访问”设置为“成功” 和“失败”都要审核。 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核目录服务器访问,双击,设置为成功和失败都审核。 实施风险 备注 风险较小 1.1.3.1.5 审核特权使用 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统审核特权使用策略要求项 Windows-03-01-05 启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核特权使用”设置。 “审核特权使用”设置为“成功” 和“失败”都要审核。 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核特权使用,双击,设置为成功和失败都审核。 实施风险 备注 风险较小 1.1.3.1.6 审核系统事件 项目名称 编号 操作系统审核系统事件策略要求项 Windows-03-01-06 项目说明 检测操作步骤 符合性判定依据 配置方法 启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核系统事件”设置。 “审核系统事件”设置为“成功” 和“失败”都要审核。 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核系统事件,双击,设置为成功和失败都审核。 实施风险 备注 风险较小 1.1.3.1.7 审核账户管理 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统审核账户管理策略要求项 Windows-03-01-07 启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核账户管理” 设置。 “审核账户管理”设置为“成功” 和“失败”都要审核。 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核账户管理,双击,设置为成功和失败都审核。 实施风险 备注 风险较小 1.1.3.1.8 审核过程追踪 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 操作系统审核过程追踪策略要求项 Windows-03-01-08 启用组策略中对Windows系统的审核过程追踪失败。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中: 查看“审核过程追踪”设置。 “审核过程追踪”设置为 “失败”需要审核。 配置方法 参考配置操作: 开始->运行-> 执行“控制面板->管理工具->本地安全策略->审核策略” 审核过程追踪,双击,设置为成功和失败都审核。 实施风险 备注 风险较小 1.1.3.1.9 日志文件大小 项目名称 编号 项目说明 操作系统日志容量要求项 Windows-03-01-09 设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。 检测操作步骤 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中: 查看“应用日志”“系统日志”“安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。 符合性判定依据 配置方法 “应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件” 参考配置操作: 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中: “应用日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件” “系统日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件” 实施风险 备注 1.1.4

需查看C盘剩余空间。 IP协议安全配置

1.1.4.1 IP协议

1.1.4.1.1 启用SYN攻击保护 项目名称 编号 项目说明 操作系统SYN攻击保护要求项 Windows-04-01-01 启用SYN攻击保护;指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。 检测操作步骤 在“开始->运行->键入regedit” 查看注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SynAttackProtect; HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxPortsExhausted; HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpen; HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpenRetried。 符合性判定依据 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SynAttackProtect; 推荐值:2。 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxPortsExhausted; 推荐值:5。 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpen; 推荐值数据:500。 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpMaxHalfOpenRetried。推荐值数据:400。 配置方法 参考配置操作: 在“开始->运行->键入regedit” 启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 之下。值名称:SynAttackProtect。推荐值:2。 以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。 启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。 启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。 实施风险 业务系统可针对自身特点相应调整具体数值,内网系统遇到SYN flood攻击概率较低。 备注 1.1.5

设备其他配置操作

1.1.5.1 共享文件夹及访问权限 1.1.5.1.1 关闭默认共享 项目名称 编号 项目说明 检测操作步骤 操作系统默认共享要求项 Windows-05-01-01 非域环境中,关闭Windows硬盘默认共享,例如C$,D$。 进入“开始->运行->Regedit”,进入注册表编辑器,查看 HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters\\AutoShareServer; 符合性判定依据 配置方法 HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters\\AutoShareServer 键,值为 0。 进入“开始->运行->Regedit”,进入注册表编辑器, 更改注册表键值:在HKLM\\System\\CurrentControlSet\\ REG_DWORD类型的Services\\LanmanServer\\Parameters\\下,增加AutoShareServer键,值为 0。 实施风险 备注 利用共享访问的业务系统需仔细测试。 1.1.5.2 防病毒管理 1.1.5.2.1 数据执行保护 项目名称 编号 项目说明 操作系统数据执行保护要求项 Windows-05-02-01 对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码。 检测操作步进入“控制面板->系统”,在“高级”选项卡的 “性能”下的“设置”。进

骤 入 “数据执行保护”选项卡。查看“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 符合性判定依据 配置方法 “数据执行保护”选项卡已设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 参考配置操作: 进入“控制面板->系统”,在“高级”选项卡的“性能”下的“设置”。进入 “数据执行保护”选项卡。设置为“ 仅为基本 Windows 操作系统程序和服务启用DEP”。 实施风险 备注 风险较低。 数据执行保护 (DEP) 是一种有助于防止您的计算机免受病毒和其他安全威胁破坏的安全功能。有害的程序可能会通过试图运行(也称为“执行”)计算机内存中为 Windows 和其他已授权程序保留的代码来攻击 Windows。这些类型的攻击可能会损害您的程序和文件。 DEP 可以通过监视程序以确保它们安全使用计算机内存,帮助保护您的计算机。如果 DEP 注意到计算机上的某个程序使用的内存不正确,则它将关闭该程序并通知您。 1.1.5.3 Windows服务 1.1.5.3.1 SNMP服务管理 项目名称 编号 项目说明 检测操作步骤 操作系统SNMP服务管理要求项 Windows-05-03-01 如需启用SNMP服务,则修改默认的SNMP Community String设置。 打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看community strings,也就是微软所说的“团体名称”。 符合性判定依据 配置方法 community strings已改,不是默认的“public”。 参考配置操作: 打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”。 实施风险 备注 相关snmp服务器同时修改“团体名称”。

1.1.5.4 启动项

1.1.5.4.1 关闭Windows自动播放功能 项目名称 编号 项目说明 检测操作步骤 操作系统Windows自动播放要求项 Windows-05-04-01 关闭Windows自动播放功能。 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”查看。 符合性判定依据 配置方法 在“设置”选项卡中选“已启用”选项。 参考配置操作: 点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。 实施风险 备注 1.2 1.2.1

Linux服务器加固 账号管理、认证授权

风险较低。 1.2.1.1 账号

1.2.1.1.1 用户口令设置 项目名称 编号 操作系统Linux用户口令要求项 Linux-02-01-01 项目说明 用户口令设置,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类 检测操作步骤 符合性判定依据 配置方法 1、询问管理员是否存在如下类似的简单用户密码配置,比如: root/root, test/test, root/root1234 2、执行:more /etc/login,检查PASS_MIN_LEN参数是否大于等于8 建议在/etc/login文件中配置:PASS_MIN_LEN=8 不允许存在简单密码,密码设置符合策略,如长度至少为8。 修改配置文件more /etc/login: PASS_MIN_LEN=8 实施风险 备注 1.2.1.1.2 root用户远程登录限制 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 牢记新设置的口令 操作系统Linux远程登录要求项 Linux-02-01-02 帐号与口令-root用户远程登录限制 利用root进行远程登录 Root无法远程登录成功。 1、 参考配置操作 #vi /etc/ssh/sshd_config 把PermitRootLogin yes 改为 PermitRootLogin no 重启sshd服务 #service sshd restart CONSOLE: 在/etc/securetty文件中配置:CONSOLE = /dev/tty01 相关业务系统需自动通过root登录操作的不适用 实施风险 备注 1.2.1.1.3 检查是否存在除root之外UID为0的用户 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 实施风险 备注 操作系统Linux超级用户策略要求项 Linux-02-01-03 帐号与口令-检查是否存在除root之外UID为0的用户 执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd 返回值包括“root”以外的条目,则低于安全要求; 如果UID为0的用户用户闲置,建议删除: userdel 核实UID为0的用户用途 补充操作说明 UID为0的任何用户都拥有系统的最高特权,保证只有root用户的UID为0 1.2.1.1.4 root用户环境变量的安全性 项目名称 编号 项目说明 检测操作步骤 操作系统Linux超级用户环境变量要求项 Linux-02-01-04 帐号与口令-root用户环境变量的安全性 执行:find `echo $PATH | tr ':' ' '` -type d \\( -perm -002 -o -perm -020 \\) -ls,检查是否包含组目录权限为777的目录 符合性判定依据 配置方法 实施风险 备注 1.2.1.2 认证

返回值包含以上条件,则低于安全要求; 利用chmod 改变该目录到适当的权限 核查目录权限为777的目录具体用途 补充操作说明 在非必要的情况下,不应包含组权限为777的目录 1.2.1.2.1 远程连接的安全性配置 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 实施风险 备注 1.2.1.2.2 用户的umask安全配置 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统Linux用户umask要求项 Linux-02-02-02 帐号与口令-用户的umask安全配置 执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc检查是否包含umask值 umask值是默认的022,则低于安全要求 设置默认权限: vi /etc/profile vi /etc/csh.login vi /etc/csh.cshrc vi /etc/bashrc 在末尾增加umask 027 其他组用户将不能访问该组用户内容。 umask的默认设置一般为022,创建的文件默认权限为755(777-022=755),这会给文件所有者读、写权限,给组成员和其他用户读权限。 操作系统Linux远程连接要求项 Linux-02-02-01 帐号与口令-远程连接的安全性配置 执行:find / -name .netrc,检查系统中是否有.netrc文件, 执行:find / -name .rhosts ,检查系统中是否有.rhosts文件 返回值包含以上条件,则低于安全要求; 利用命令rm删除相关文件 核查该文件具体用途,防止误删除 补充操作说明 如无必要,删除这两个文件 实施风险 备注 1.2.1.2.3 重要目录和文件的权限设置 项目名称 编号 操作系统Linux目录文件权限要求项 Linux-02-02-03 项目说明 检测操作步骤 文件系统-重要目录和文件的权限设置 执行以下命令检查目录和文件的权限设置情况: ls –l /etc/passwd–rw-r—r— ls –l /etc/shadow–r-------- ls –l /etc/group–rw-r—r— 权限低于以上权限则低于安全要求; 使用如下命令设置: chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 风险较大,防止误操作。 符合性判定依据 配置方法 实施风险 备注 1.2.1.2.4 查找未授权的SUID/SGID文件 项目名称 编号 项目说明 检测操作步骤 操作系统Linux SUID/SGID文件要求项 Linux-02-02-04 文件系统-查找未授权的SUID/SGID文件 用下面的命令查找系统中所有的SUID和SGID程序,执行: for PART in `grep -v ^# /etc/fstab | awk '($6 != \do find $PART \\( -perm -04000 -o -perm -02000 \\) -type f -xdev -print Done 若存在未授权的文件,则低于安全要求; 利用chmod 改变文件到适当的权限: chmod u-s filename 去掉SUID设置 chmod g-s filename 去掉SGID设置 核实文件的用途是否需要SUID/SGID,防止误操作 补充操作说明 建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门程序 符合性判定依据 配置方法 实施风险 备注 1.2.1.2.5 检查任何人都有写权限的目录 项目名称 编号 项目说明 检测操作步骤 操作系统Linux目录写权限要求项 Linux-02-02-05 文件系统-检查任何人都有写权限的目录 在系统中定位任何人都有写权限的目录用下面的命令: for PART in `awk '($3 == \{ print $2 }' /etc/fstab`; do find $PART -xdev -type d \\( -perm -0002 -a ! -perm -1000 \\) -print Done 若返回值非空,则低于安全要求; 符合性判定依据

配置方法 实施风险 备注 利用 chmod 改变目录到适当的权限 核实目录用途,防止误操作 1.2.1.2.6 查找任何人都有写权限的文件 项目名称 编号 项目说明 检测操作步骤 操作系统Linux文件写权限要求项 Linux-02-02-06 文件系统-查找任何人都有写权限的文件 在系统中定位任何人都有写权限的文件用下面的命令: for PART in `grep -v ^# /etc/fstab | awk '($6 != \do find $PART -xdev -type f \\( -perm -0002 -a ! -perm -1000 \\) -print Done 若返回值非空,则低于安全要求; 利用 chmod 改变目录到适当的权限 核实目录用途,防止误操作 符合性判定依据 配置方法 实施风险 备注 1.2.1.2.7 检查没有属主的文件 项目名称 编号 项目说明 检测操作步骤 操作系统Linux文件所有权要求项 Linux-02-02-07 文件系统-检查没有属主的文件 定位系统中没有属主的文件用下面的命令: for PART in `grep -v ^# /etc/fstab | awk '($6 != \do find $PART -nouser -o -nogroup -print done 注意:不用管“/dev”目录下的那些文件。 若返回值非空,则低于安全要求; 与管理员核实该文件的用途,利用 chown 改变文件到适当的属主。 核实目录用途,防止误操作 补充操作说明 发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有主人的文件存在。如果在系统中发现了没有主人的文件或目录,先查看它的完整性,如果一切正常,给它一个主人。有时候卸载程序可能会出现一些没有主人的文件或目录,在这种情况下可以把这些文件和目录删除掉。 符合性判定依据 配置方法 实施风险 备注 1.2.1.2.8 检查异常隐含文件 项目名称 编号 项目说明 检测操作步骤 操作系统Linux隐含文件要求项 Linux-02-02-08 文件系统-检查异常隐含文件 用“find”程序可以查找到这些隐含文件。例如: # find / -name \–xdev # find / -name \-print -xdev | cat -v 同时也要注意象“.xx”和“.mail”这样的文件名的。(这些文件名看起来都很象正常的文件名) 若返回值非空,则低于安全要求; 与管理员核实该文件的用途,利用 rm删除无关文件。 防止误删除。 补充操作说明 在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用“ls”命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等)。在UNIX下,一个常用的技术就是用一些特殊的名,如:“?”、“.. ”(点点空格)或“..^G”(点点control-G),来隐含文件或目录。 符合性判定依据 配置方法 实施风险 备注 1.2.2 日志审计

1.2.2.1 日志

1.2.2.1.1 syslog登录事件记录 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统Linux登录审计要求项 Linux-03-01-01 日志审计-syslog登录事件记录 执行命令:more /etc/syslog.conf 查看参数authpriv值 若未对所有登录事件都记录,则低于安全要求; 修改配置文件: vi /etc/syslog.conf # The authpriv file has restricted access. authpriv.* /var/log/secure 之后,重启syslogd: service syslod restart CPU利用率比较高及磁盘空间不足的系统需慎重考虑此项配置 实施风险 备注 1.2.2.2 审计

1.2.2.2.1 Syslog.conf的配置审核 项目名称 编号 项目说明 检测操作步骤 操作系统Linux配置审计要求项 Linux-03-02-01 日志审计-Syslog.conf的配置审核 执行:more /etc/syslog.conf,查看是否设置了下列项: kern.warning;*.err;authpriv.none\\t@loghost *.info;mail.none;authpriv.none;cron.none\\t@loghost *.emerg\\t@loghost local7.*\\t@loghost 若未设置,则低于安全要求; 修改配置文件: vi /etc/syslog.conf kern.warning;*.err;authpriv.none\\t@loghost *.info;mail.none;authpriv.none;cron.none\\t@loghost *.emerg\\t@loghost local7.*\\t@loghost 之后,重启syslogd: service syslod restart CPU利用率比较高及磁盘空间不足的系统需慎重考虑此项配置 补充操作说明 建议配置专门的日志服务器,加强日志信息的异地同步备份 符合性判定依据 配置方法 实施风险 备注 1.2.3 系统文件

1.2.3.1 系统状态

1.2.3.1.1 系统core dump状态 项目名称 编号 项目说明 检测操作步骤 符合性判定依据 配置方法 操作系统Linux core dump 状态要求项 Linux-04-01-01 系统文件-系统core dump状态 执行:more /etc/security/limits.conf 检查是否包含下列项: * soft core 0 * hard core 0 若不存在,则低于安全要求 修改配置文件: Vi /etc/security/limits.conf * soft core 0 * hard core 0 调试中的系统不适用,将无法产生core文件进行分析。 实施风险 备注 补充操作说明 core dump中可能包括系统信息,易被入侵者利用,建议关闭。 “core 0”表示禁止创建core文件; 星号“*”表示的是所有登录到系统中的用户 1.3 1.3.1

网络与安全设备加固 帐号管理、认证授权

1.3.1.1 账号管理 1.3.1.1.1 无效帐户清理 名称: 实施目的: 问题影响: 系统当前状态: 无效帐户清理 删除与设备运行、维护等工作无关的账号 账号混淆,权限不明确,存在用户越权使用的可能。 查看备份的系统配置文件中帐号信息。 1、 参考配置操作 回退方案: 判断依据: 1.3.1.2 登录要求

1.3.1.2.1 远程登录加密传输 名称: 实施目的: 问题影响: 系统当前状态: 实施方案: 回退方案: 判断依据: 远程登录加密传输 远程登陆采用加密传输 泄露密码 查看备份的系统配置文件中远程登陆的配置状态。 还原系统配置文件。 查看备份的系统配置文件中远程登陆的配置状态。 还原系统配置文件。 标记用户用途,定期建立用户列表,比较是否有非法用户 实施方案: 1.3.1.2.2 加固AUX端口的管理 名称: 实施目的: 问题影响: 加固AUX端口的管理 除非使用拨号接入时使用AUX端口,否则禁止这个端口。 用户非法登陆 系统当前状态: 查看备份的系统配置文件中关于CON配置状态。 实施方案: 回退方案: 判断依据: 还原系统配置文件。 查看备份的系统配置文件中关于CON配置状态。 1.3.1.2.3 远程登陆源地址限制 名称: 实施目的: 问题影响: 系统当前状态: 实施方案: 回退方案: 判断依据: 1.3.1.3 认证和授权 1.3.1.3.1 认证和授权设置 名称: 实施目的: 问题影响: 系统当前状态: 实施方案: 还原系统配置文件。 查看备份的系统配置文件中相关配置。 认证和授权设置 设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。 非法登陆。 查看备份的系统配置文件中相关配置。 远程登陆源地址限制 对登录用户的源IP地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。 非法登陆。 查看备份的系统配置文件中关于登录配置状态。 还原系统配置文件。 查看备份的系统配置文件中关于登录配置状态。 回退方案: 判断依据:

1.3.2 日志配置

1.3.2.1 开启日志功能 名称: 开启日志功能 支持数据日志,可以记录系统日志与用户日志。系统日志指系统运行过程中记录的相关信息,用以对运行情况、故障进行分析和定位,日志文件可以通过XModem、FTP、TFTP协议,远程传送到网管中心。 无法对用户的登陆进行日志记录。 查看备份的系统配置文件中关于日志功能的配置。 还原系统配置文件。 查看备份的系统配置文件中关于日志功能的配置。 实施目的: 判断依据: 系统当前状态: 实施方案: 回退方案: 判断依据:

1.3.3

SNMP

1.3.3.1 SNMP服务配置 名称: 实施目的: 问题影响: 系统当前状态: 实施方案: 回退方案: 判断依据:

1.3.3.2 更改SNMP TRAP协议端口 名称: 实施目的: 问题影响: 系统当前状态: 更改SNMP TRAP协议端口; 如开启SNMP协议,要求更改SNMP trap协议的标准端口号,以增强其安全性。 容易引起拒绝服务攻击。 查看备份的系统配置文件中关于SNMP服务的配置。 SNMP服务配置 如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。 对系统造成不安全影响。 查看备份的系统配置文件中关于SNMP服务的配置。 还原系统配置文件。 查看备份的系统配置文件中关于SNMP服务的配置。 实施方案: 回退方案: 判断依据: 还原系统配置文件。 1.3.3.3 限制发起SNMP连接的源地址 名称: 实施目的: 问题影响: 系统当前状态: 实施方案: 回退方案: 判断依据: 限制发起SNMP连接的源地址 如开启SNMP协议,要求更改SNMP 连接的源地址,以增强其安全性。 被非法攻击。 查看备份的系统配置文件中关于SNMP服务的配置。 还原系统配置文件。 查看备份的系统配置文件中关于SNMP服务的配置。 1.3.3.4 设置SNMP密码 名称: 实施目的: 系统当前状态: 问题影响: 实施方案: 回退方案: 判断依据: 设置SNMP密码 如开启SNMP协议,要求设置并定期更改SNMP Community(至少半年一次),以增强其安全性。 查看备份的系统配置文件中关于SNMP服务的配置。 泄露密码,引起非法登陆。 还原系统配置文件。 查看备份的系统配置文件中关于SNMP服务的配置。 1.3.3.5 SNMP访问安全限制 名称: 实施目的: 问题影响: 系统当前状态: 实施方案: SNMP访问安全限制 设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。 非法登陆。 查看备份的系统配置文件中关于SNMP服务的配置。 回退方案: 判断依据: 还原系统配置文件。 查看备份的系统配置文件中关于SNMP服务的配置。

本文来源:https://www.bwwdw.com/article/24hw.html

Top