linux操作系统安全评估作业指导书-V1.0

主机名工作组/域信息路由信息IP地址业务部署类型内、外网分类编号收集项目安全基准建议宏观分析微观分析维度分析变化趋势1.1检查主机系统是否配置了符合安全基准要求的帐户策略（包括密码策略和帐户锁定策略）；1.2检查主机系统是否配置了符合安全基准要求的系统审核策略；1.3检查主机系统账户是否进行重新命名；1.4检查是否为不同角色的用户分配不同的账户；是否对主机系统上的账户列表进行变更备案和定期审查；1.5检查主机系统上是否存在可疑账户、克隆账户、多余的账户、过期的账户，共享账户；1.6检查所分配的账号权限配置是否符合安全基准要求；安全策略安全策略分类编号检查选项1.7检查linux主机的管理方式；当远程方式登录主机设备，是否取必要措施，防止鉴别信息在网络传输过程中被窃听；检查主机系统是否修改了远程桌面默认端口；1.8检查主机系统上开启的默认共享或文件共享；1.9检查主机系统时间是否正确；检查主机系统是否配置屏幕保护；1.10检查主机系统日志存储容量大小是否充足；检查日志文件是否定期备份和审计；1.12检查主机系统的“用户权利分配”配置是否符合安全基准要求；1.13检查主机系统是否开启存在安全风险的服务；1.14检查主机系统重要目录和程序权限配置是否符合安全基准要求；1.15磁盘分区安全策略1.17检查主机系统网络参数设置是否符合安全基准要求；1.18数据定期备份、页面文件、Dump文件1.19检查是否对主机系统的安全策略配置参数进行备案；2.1检查主机系统是否安装防病毒软件并开启实时监控；检查所安装的防病毒软件是否为网络版；检查防病毒软件的版本与厂家最新版本差异；检查防病毒软件病毒库更新是否在一周以内；检查防病毒软件是否设置定期查杀病2.2检查主机系统是否启用linux自带软件防火墙或安装第三方软件防火墙；iptables是否利用防火墙对端口进行严格控制（只开放必要的服务端口）；2.3检查主机系统是否安装主机级的入侵检测软件（NIDS）；2.4检查主机系统是否有远程输出安全日志的措施；2.5检查主机系统补丁更新修复的方式；2.6检查主机系统是否遵守最小安装原则，仅安装需要的组件和应用程序；2.7检查主机系统上是否安装可能存在安全漏洞的应用软件；2.8设置daemon权限umask3.1检查主机系统是否有对CPU、内存、磁盘、网络等资源的使用率进行实时监测；安全状态安全措施安全状态安全策略安全措施3.2检查主机系统是否安装了完整补丁；3.3检查主机系统是否有恶意代码运行；3.4检查主机系统是否有通过对终端接入方式、网络地址范围等条件限制终端登录；3.5检查主机系统是否有根据安全策略设置登录终端的操作超时锁定；3.6限制at/cron给授权的用户;在PAM配置文件中删除.rhosts支持;删除/etc/hosts.equiv文件3.7应限制单个用户对系统资源的最大或最小使用限度安全状态3.8设置LILO/GRUB口令；可以有助于防止基于控制台的物理攻击4.1检查主机系统当前运行的进程是否存在可疑进程；4.2检查主机系统是否存在可疑端口通讯；是否对已对合法的开放端口进行备4.3检查主机系统是否运行了不必要的系统服务；4.4检查主机系统是否存在可疑的隐藏文件；4.5检查主机系统的计划任务、镜像劫持配置等是否存在可疑的启动程序；4.6检查主机系统的系统日志、安全日志和应用日志等是否有异常事件；4.7检查主机系统上业务应用的日志是否有异常的事件；4.8检查主机系统最新创建的文件是否有可疑；4.9检查主机系统是否存在病毒、木马和后门等恶意程序；4.10检查主机系统驱动程序的恶意线程注入；4.11检查主机系统Web应用配置文件；4.12检查主机系统是否存在网站备份文件；入侵检测入侵检测安全状态a.主机系统的管理账户均应配置了强壮的口令；b.使用系统账户进行登录需经过密码等身份验证措施；c.密码策略设置：1）密码必须符合复杂度要求：启用2）密码长度最小值：12个字符（注：外网主机密码长度最小值可设置到20位以上；）3）密码最长使用期限：90天（注：考虑应用系统使用了操作系统账户密码进行管理）4）密码最短使用期限：0天5）强制密码历史：24个6）用可还原的加密来储存密码：已禁用d.帐户锁定策略（注：互联网可登录的主机慎重配置此项，防止被恶意利用，造成拒绝服务；建议不显示上次登录的账户，在账户锁定后使用其他账户登录）：1）帐户锁定阈值：3-5次2）帐户锁定时间：20-30分钟3）账户锁定计数器：20-30分钟之后高a.启用系统安全审计或使用第三方安全审计产品实施审计活动；b.系统日志设置包括主机系统错误日志、登录日志等；c.应要求系统管理人员对每次登录和退出系统的时间、账户等信息进行记录，以便和系统审核日志比对；中a.严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令(root除外)低a.应为操作系统和数据库系统的不同用户分配不同的账户；b.应每周对主机系统上的账户列表进行异常审查和对每次账户变更进行备案；a.主机系统上应无可疑账户、克隆账户、多余账户、过期账户和共享账户；a.对账号进行合理的权限管理，根据用户的需求进行权限分配；安全策略风险等级安全基准建议安全风险指标分数a.采用本地控制台的管理方式或是使用工具远程管理方式；b.所使用的远程管理工具在网络传输信息上应有加密措施，该工具不存在公开的可被破解加密技术漏洞；c.通过互联网远程登录管理主机系统时，应采用两种或以上组合的鉴别技术进行身份鉴别，必须通过普通用户登录root用户；d.建议修改用于远程访问的SSH默认端口号22；a.在确认不必要情况下关闭系统默认共享；b.文件共享账户访问权限应合理设置，应遵守最小权限原则；a.主机系统时间不应存在滞后现象；b.应配置屏幕保护程序：1）等待：3分钟2）在恢复时使用密码保护：启用a.主机系统日志存储容量应根据日志生成量相应设置；建议在100M以上；b.应每周对主机系统的日志文件进行备份和审计分析；a.系统用户权利分配配置：1）禁止root用户直接登录系统；2）禁止使用Control-Alt-Delete键盘关闭命令信息；a.建议在确认不需要的情况下只开放如下系统服务：atdcrondirqbalancemicrocode_ctlnetworksshdsysloga.目录：磁盘、linux目录；b.采用查看方式，在root权限下，使用命令ls-l查看/etc/passwd644/etc/shadow640/etc/rc3.d744/etc/profile744/etc/inet.conf744/etc/xinet.conf744建议配置文件权限不能大于644，可执行文件不能大于755c.查找任何人都有写权限的文件和目录；a.磁盘分区应合理利用资源；a.防范小规模的SYN碎片、Ddos攻击a.数据应定期执行完备或增量备份；a.对主机系统或各类软件的安全配置进行文档化；a.主机系统应安装主流防病毒软件并开启实时监控功能；b.建议主机系统统一部署网络版防病毒软件，设置统一的更新和查杀策略；c.主机系统所安装的防病毒软件版本应是较版本；d.防病毒软件病毒库更新时间应在最近一周内；e.防病毒软件应设置每周执行全盘查杀病毒的策略；f.防病毒软件查杀记录中应不存在无法清除的病毒；g.是不是商用版；a.主机系统应开启自带软件防火墙组件或安装第三方软件防火墙；b.应根据业务服务需要，利用防火墙严格控制开放的网络服务端口；a.建议重要或外网的主机系统安装主机级别的入侵检测软件（NIDS）；b.建议每周对主机入侵检测软件告警日志进行分析；a.建议重要或外网的主机系统部署操作系统和应用系统日志远程备份措施，防止日志受到清除；b.建议远程备份的日志记录保存6个月以上；a.主机系统应部署补丁统一管理分发措施，如yum源或第三方工具；b.软件补丁更新措施，软件升级或修改配置等；a.操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序；a.对安装的应用支持软件，应持续跟踪应用软件厂家安全更新情况，及时更新补丁或软件版本；b.关注应用软件安全通告，修复存在漏洞的软件；默认系统umask至少为022，以防止daemon被其他低权限用户修改。a.使用cacti、nagios或zabbix等软件对主机资源进行监控；安全状态安全措施a.配合漏洞扫描结果，检测补丁修复情况或列表；a.监视主机系统运行情况，确定进程运行情况；a.应通过设定终端接入方式、网络地址范围等条件限制终端登录；a.对主机系统设置登录操作超时锁定；b.启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；a.Cron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单,在多数系统上通常只有系统管理员才需要运行这些命令；b./etc/hosts.equiv文件为系统上的所有用户设置全局信任关系,与.rhost的作用类似；a.限制单个用户的系统资源使用限度；a.限制单用户模式下修改系统密码；a.查看系统进程及连接情况；a.建立端口开放备案列表，对一些需要开放的敏感端口进行备案；a.主机系统应符合最小化安装；a.查看隐藏文件是否被修改或替换；a.列出系统任务计划，查看系统中定时执行脚本的位置；a.建立syslog-ng日志服务器，并保证日志完整性和日志记录连续性；a.建立应用日志分析系统，并保证日志完整性和日志记录连续性；a.对最新修改或创建的文件进行监控，确保文件的完整性、保密性及可用性；a.安装防毒软件，定期升级杀毒软件特征库并全盘查杀；b.不直接运行不明来历的可执行程序或脚本；a.查看系统中apache、nginx、tomcat、jboss、php等中间件应用配置文件，可按照相应应用安全配置进行设置；a.查看后缀名是否bak等命名方式；入侵检测状态查看cat/etc/login.defs文件中相关配置参数#more/etc/login.defsPASS_MAX_DAYS90#登录密码有效期90天PASS_MIN_DAYS0#登录密码最短修改时间，增加可以防止非法用户短期更改多次PASS_MIN_LEN12#登录密码最小长度12位PASS_WARN_AGE7#登录密码过期提前7天提示修改FAIL_DELAY10#登录错误时等待时间10秒FAILLOG_ENAByes#登录错误记录到日志SYSLOG_SU_ENAByes#当限定超级用户管理日志时使用SYSLOG_SG_ENAByes#当限定超级用户组管理日志时使用MD5_CRYPT_ENAByes#当使用md5为密码的加密方法时使用符合1、查看系统审计文件more/etc/audit/auditd.conf或auditd-llog_file=/var/log/audit/audit.log#日志存放路径log_format=RAW#日志记录格式priority_boost=3#设置auditd的优先启动级，0的话是正常顺序启动flush=INCREMENTAL#表示多少条记录一组写到磁盘freq=20#审计守护进程在写到日志文件中之前从，内核中接收的记录数num_logs=4#指定log的数目dispatcher=/sbin/audispd#当启动这个守护进程时，由审计守护进程自动启动程序disp_qos=lossy#控制调度程序与审计守护进程之间的通信类型max_log_file=5#最大日志个数max_log_file_action=ROTATE#当达到max_log_file的日志文件大小时采取的动作1、以root身份登陆进入linux2、查看linux密码文件内容#cat/etc/shadow记录没有被禁用的系统默认用户名采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态，查看是否存在以下可能无用的帐户：adm、lp、sync、shutdown、halt、news、uucp、operator、games、ftp