主机安全- Linux操作系统基线检查指导书1.0版

启明信息安全中心

编号：

基线检查指导书

基础网络安全-Linux操作系统

V1.0

启明信息安全中心

启明信息安全中心

序号 类别 检查项 检查： 1)检查操作系统管理员，询问操作系统的身份标识和鉴别机制采用何种措施实现； 2)登录操作系统，查看是否提示输入用户口令，然后以正确口令登录系统，再以错误口令或空口令重新登录，观察是否成功。 手工检查: a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 检查方法 预期结果 符合情况 1)操作系统使用口令鉴别机制对用户进行身份标识和鉴别； 2)登录时提示输入用户名和口令；以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性； 3)操作系统不存在密码为空的用户。 方法一: 在root权限下，使用命令 #pwdck -n ALL 返回结果应为空； 1 身份鉴别 方法二: 在root权限下，使用命令 #cat /etc/passwd #cat /etc/shadow 查看文件中各用户名状态，记录密码一栏为空的用户名。 手工检查： b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 1)在root权限下，使用命令 #cat /etc/login.defs 查看密码策略配置文件，检查是否合理正确配置密码策略； 1)启用了系统口令复杂度策略，系统用户密码长度不小于8位，由数字、大小写字母和特殊符号组成，并规定了口令更换的周期； 2)以不符合复杂度要求和不符合长度要求的口令创建用户时均提示失败。 启明信息安全中心

序号 类别 检查项 检查方法 2)如果启用了口令复杂度函数，分别以不符合复杂度要求和不符合最小长度要求的口令创建用户，查看是否成功。 检查: 检查系统管理员,询问用户口令是否满足复杂性要求。 手工检查： 1)在root权限下，使用命令 #cat /etc/pam.d/system-auth 查看该配置文件的内容，记录system-auth配置文件中的登录失败处理、限制非法登录次数和自动退出结束会话的配置项。 2)测试： 根据使用的登录失败处理方式，采用如下测试方法进行测试： a)以超过系统规定的非法登陆次数登录操作系统，观察反应； b)当登录系统连接超时时，观察系统反应。 检查： 预期结果 符合情况 c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 1)操作系统已启用登陆失败处理、结束会话、限制非法登录次数等措施； 2)当超过系统规定的非法登陆次数或时间登录操作系统时，系统锁定或自动断开连接。 d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 询问系统管理员，是否采用了技术手段保证远程管理数据进行加密传输。 手工检查： 1)操作系统使用SSH协议进行远程连接； 2)操作系统没有采用明文的传输协议进行远程管理； 启明信息安全中心

序号 类别 检查项 检查方法 采用抓包工具，判断远程管理数据包是否是明文。 手工检查:1)应测试主要服务器操作系统，添加一个新用户，其用户标识为系统原用户的标识（如用户名或UID），查看是否不会成功； 预期结果 3)采用第三方管理工具保证远程管理的信息保密。 符合情况 e) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 2)应测试主要服务器操作系统，删除一个用户标识，然后再添加一个新用户，其用户标识和所删除的用户标识一样（如用户名/UID），查看是否不能成功； 检查： 询问管理员系统中每个账户，查看是否存在多人共用一个账户的情况。 检查: 1)添加测试账户不会成功； 2)系统不存在多人共用一个账户的情况； 3)确保用户名具有唯一性。 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 用户的认证方式选择两种或两种以检查系统管理员，询问系统除用户名口令外上组合的鉴别技术，只用一种技术无有无其他身份鉴别方式，如生物鉴别、令牌、法认证成功。 动态口令等，并手工检查。 检查: 检查系统管理员询问操作系统的重要文件及目录是否根据实际环境设置了访问控制策略。 手工检查: 执行命令#ls -l查询系统内重要文件是否合理设置了访问控制策略。 2 访问控制 a) 应启用访问控制功能，依据安全策略控制用户对资源的访问； 操作系统的重要文件及目录已根据实际环境设置了访问控制策略。 启明信息安全中心

序号 类别 检查项 检查方法 预期结果 符合情况 b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限； 系统管理员、安全管理员、安全审计员由不同的人员和用户担当。至少应安全要有哪些角色、每个角色的权限是否相互制该有系统管理员和安全管理员，约、每个系统用户是否被赋予相应的角色。 审计员在有第三方审计工具时可以不要求。 检查: 检查： 结合系统管理员的组成情况，判断是否实现了该项要求。 手工检查: 操作系统除具有管理员账户外，至少还有专门的审计管理员账户，且他们的权限互斥。 c) 应实现操作系统和数据库系统特权用户的权限分离； d) 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； 在root权限下，使用命令 #cat /etc/passwd 查看默认账户是否已更 名,并且是否已禁用来宾账户。 默认账户已更名，来宾账户已禁用。 e) 应及时删除多余的、过期的帐户，避免共享帐户的存在。 手工检查： 查看是否有多余的、过期的账户，避免共享账户的存在。 手工检查： 1)查看操作系统功能手册或相关文档，确认操作系统是否具备能对信息资源设置敏感标记功能； 2)询问系统管理员是否对重要信息资源设置敏感标记。 不存在多余、过期和共享账户。 f) 应对重要信息资源设置敏感标记； 对重要信息资源已设置敏感标记。

启明信息安全中心

序号 类别 检查项 g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 检查方法 检查： 如：如何划分敏感标记分类，如何设定访问权限等。 手工检查： 1)查看系统是否开启安全审计功能，或部署了第三方安全审计设备。 手工检查： 在root权限下，查看系统日志服务 预期结果 符合情况 通过敏感标记设定用户对重要信息资源的访问。 a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； 系统开启了安全审计功能或部署了第三方安全审计设备。 b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； #ps -ef | grep syslog， 和审计服务 #ps -ef | grep auditd， 审计功能已开启，包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如用户登录、退出）等设置。 3 安全审计 是否有效合理的配置了安全审计内容 手工检查： 1)使用more命令查看审计记录文件 c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； #cat /etc/audit/auditd.conf #cat /etc/audit/audit.rules 中是否准确记录日期和时间、类型、主体标识、客体标识、事件的结果等 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容。 d) 应能够根据记录数据进行分析，并生成审计报表； 手工检查： 1)检查audit日志文件，需要根据能定期生成审计报表并包含必要审计要素。 启明信息安全中心

序号 类别 检查项 检查方法 syslog.conf的定义查看对应的日志文件，确认是否记录了必要的审计要素； 2)若有第三方审计工具或系统，则查看其审计日志是否包括必要的审计要素； 3)检查审计日志记录、分析、生成报表情况。 预期结果 符合情况 e) 应保护审计进程，避免受到未预期的中断； 检查： 对审计进程已采取相关保护措施。 检查对审计进程监控和保护的措施。 检查： f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 检查对审计记录监控和保护的措施。例如：通过专用日志服务器或存储设备对审计记录进行备份，并避免对审计记通过专用日志服务器或存储设备对审计记录进行备份，并避免对审计记录的修改、删录的修改、删除或覆盖。 除或覆盖。 检查： 1）检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具提供了相应功能。 手工检查： 在root权限下，使用命令 #cat /etc/issue #cat /etc/issue.net 查看是否清除系统相关信息。 a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完4 剩余信息保护 全清除，无论这些信息是存放在硬盘上还是在内存中； 1)如果测试报告、用户手册或管理手册中没有相关描述，且没有提供第三方工具增强该功能，则该项要求为不符合； 2）若未删除系统相关信息则不符合。 b) 应确保系统内的文件、目录和数据库记录等资源检查： linux默认会清除swap中的存储内 启明信息安全中心

序号 类别 检查项 所在的存储空间，被释放或重新分配给其他用户前得到完全清除。 检查方法 检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具提供了相应功能。 检查，手工检查: 1)询问系统管理员是否经常查看系统日志并对其进行分析。 2)询问是否安装了主机入侵检测软件，查看已安装的主机入侵检查系统的配置情况，是否具备报警功能。 3)询问并查看是否有第三方入侵检测系统，如:IDS。 检查，核查： 容。 预期结果 符合情况 a) 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警； 具备入侵检测机制，能够检测到对重要服务器进行入侵的行为，并在发生严重入侵事件时提供报警。 5 入侵防范 b) 应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施； 检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具(例如：完整性检查工具或安全防护工具)提供了相应功能。 检查： 如果测试报告、用户手册或管理手册中没有相关描述，且没有提供第三方工具(例如：完整性检查工具或安全防护工具)增强该功能，则该项要求为不符合。 1)系统安装的组件和应用程序遵循了最小安装的原则； 2)不必要的服务没有启动； 3)不必要的端口没有打开； c) 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。 1)检查系统管理员系统目前是否采取了最小安装原则。 手工检查： 1)确认系统目前正在运行的服务：#service 4)系统补丁先测试，再升级；补丁号--status-all | grep running,查看并确认为较新版本。 是否已经关闭危险的网络服务如echo、 启明信息安全中心

序号 类别 检查项 检查方法 shell、login、finger、r命令等。关闭非必需的网络服务如talk 、ntalk、pop-2、Sendmail、Imapd、Pop3d等。 2)检查补丁升级机制，查看补丁安装情况： # rpm –qa | grep patch 3)记录系统中多余和危险服务，记录系统补丁升级方式和已安装最新的补丁名称。 检查，核查： 预期结果 符合情况 a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； 查看系统中安装的防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否及时。 检查： 检查系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。 检查： 安装了防病毒软件，病毒库经常更新，是最新版本。 6 恶意代码防范 b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库； 主机防恶意代码产品与网络防恶意代码产品的恶意代码库不同。 c) 应支持防恶意代码的统一管理。 检查防恶意代码的管理方式，例如升级方式。 手工检查： 防恶意代码统一管理，统一升级。 7 资源控制 a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录； 1)记录/etc/hosts.deny、/etc/hosts.allow中对终端登录限制的相关配置参数。 已设定终端登录安全策略及措施，非授权终端无法登录管理。 启明信息安全中心

序号 类别 检查项 检查方法 2)若有其他的方式实现此项要求的，如通过访问控制策略、堡垒机策略等实现。 预期结果 符合情况 手工检查： b) 应根据安全策略设置登录终端的操作超时锁定； 查看并记录/etc/profile中的TMOUT环境变量，是否为TMOUT环境变量设置合理的操作超时时间。 已在/etc/profile中为TMOUT设置了合理的操作超时时间。 检查，手工检查： c) 应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况； 检查系统管理员是否经常通过“系统资源监控器”或第三方监控平台对重要服务器的的CPU、硬盘、内存、网络等资源的使用情况进行监视。 检查： 已采用“系统资源监控器”或第三方监控平台对重要服务器的的CPU、硬盘、内存、网络等资源的使用情况进行监视。 d) 应限制单个用户对系统资源的最大或最小使用限度； 1)已针对系统资源控制的管理措施，检查管理员针对系统资源控制的管理措施，对单个用户系统资源（CPU、内存、是否对单个用户系统资源（CPU、内存、硬硬盘等）的最大或最小使用限度； 盘等）的最大或最小使用限度。 2)在/etc/security/limits中已设定对单手工检查： 个用户系统资源的最大最小使用限在/etc/security/limits.conf查看相关配度的配置参数。 置参数。 检查，手工检查： 有主机监控平台，能通过声、光、电、短信或邮件等形式进行告警。 e) 应能够对系统的服务水平降低到预先规定的最小 启明信息安全中心

序号 类别 值进行检测和报警。 检查项 检查方法 询问管理员日常如何监控系统服务水平， 若有主机监控平台，询问能否提供主动的声、光、电、短信或邮件等形式的一种或多种检测报警方式。 预期结果 符合情况

本文来源：https://www.bwwdw.com/article/e362.html