21~SGISLOP~SA32~10Linux等级保护测评作业指导书三级.doc

资源描述

控制编号：SGISL/OP-SA32-10 信息安全等级保护测评作业指导书 Linux主机（三级）版号：第 2 版修改次数：第 0 次生效日期： 2010年01月06日中国电力科学研究院信息安全实验室 28 / 31 修改页修订号控制编号版号/ 章节号修改人修订原因批准人批准日期备注 1 SGISL/OP-SA32-10 李鹏按公安部要求修订詹雄 2010.3.8 一、身份鉴别 1. 用户身份标识和鉴别测评项编号 ADT-OS-LINUX-01 对应要求应对登录操作系统的用户进行身份标识和鉴别。测评项名称用户身份标识和鉴别测评分项1：检查并记录R族文件的配置，记录主机信任关系操作步骤 #find / -name .rhosts #find / -name .netrc #more /etc/hosts.equiv 适用版本任何版本实施风险无符合性判定如果无其它计算机和用户与主机存在信任关系，判定结果为符合；如果有其它计算机和用户与主机存在信任关系，判定结果为不符合。测评分项2：查看系统是否存在空口令用户操作步骤 # grep nullok /etc/pam.d/system-auth查看是否有nullok项适用版本任何版本实施风险无符合性判定 system-auth文件无nullok项,表示无空密码账户，判定结果为符合； system-auth文件有nullok项,表示有空密账户，判定结果为不符合。备注 2. 账号口令强度测评项编号 ADT-OS-LINUX-02 对应要求操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换测评项名称账号口令强度测评分项1：检查系统XX密码策略操作步骤执行以下命令： cat /etc/login.defs 查看以下值： PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 适用版本任何版本实施风险无符合性判定口令策略设置合理，口令设置时，长度须满足至少８位复杂度（数字、字母、特殊字符混合），密码至少满足１个月修改一次等，即： PASS_MAX_DAYS =30 //口令至少每隔30 天更改一次 PASS_MIN_LEN =8 //用户口令长度不少于8 个字符判定结果为符合；口令策略设置不合理，包括口令长度不足８位，密码从不修改等情况判定结果为不符合。测评分项2：检查系统中是否存在空口令或者是弱口令操作步骤 1. 利用扫描工具进行查看 2. 询问管理员系统中是否存在弱口适用版本任何版本实施风险扫描可能会造成账号被锁定符合性判定根据扫描结果和管理员回答，确定系统当前可用XX不存在空口令或弱口令（口令长度不少于8 位，且复杂度很高），判定结果为符合；根据扫描结果和管理员回答，确定系统当前可用XX存在空口令或弱口令（口令长度小于8 位且复杂度过低），判定结果为不符合；备注 3. 登录失败处理策略测评项编号 ADT-OS-LINUX-03 对应要求应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施测评项名称登录失败处理策略测评分项1：检查系统XX登录失败处理策略操作步骤执行以下命令 # more /etc/pam.d/system-auth 查看是否存在以下参数： account required /lib/security/pam_tally.so deny=3 no_magic_root reset 适用版本任何版本实施风险无符合性判定系统配置了合理的登录失败处理策略，deny=3为允许尝试登录3次，判定结果为符合；系统未配置登录失败处理策略，判定结果为不符合。测评分项2：如果启用了SSH远程登录，则检查SSH远程用户登录失败处理策略操作步骤执行以下命令 cat /etc/ssh/sshd_config 查看MaxAuthTries 等参数。 LoginGraceTime 1m XX锁定时间（建议为30 分钟） PermitRootLogin no #StrictModes yes MaxAuthTries 3 XX锁定阀值（建议5 次）适用版本任何版本实施风险无符合性判定系统配置了合理的登录失败处理策略，XX锁定阀值与XX锁定时间，判定结果为符合；系统未配置登录失败处理策略，判定结果为不符合；备注 4. 远程管理方式测评项编号 ADT-OS-LINUX-04 对应要求当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听测评项名称检查系统远程管理方式测评分项1：检查系统XX登录失败处理策略操作步骤询问系统管理员，并查看开启的服务中是否包含了不安全的远程管理方式，如telnet, ftp,ssh,VNC 等。执行：#ps –ef 查看开启的远程管理服务进程适用版本任何版本实施风险无符合性判定系统采用了安全的远程管理方式，如ssh；且关闭了如telnet、ftp 等不安全的远程管理方式，判定结果为符合；系统的开启了telnet、ftp 等不安全的远程管理方式，判定结果为不符合。 5. 账户分配与用户名唯一性测评项编号 ADT-OS-LINUX-05 对应要求应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性测评项名称账户分配与用户名唯一性测评分项1：检查系统账户操作步骤执行以下命令： #cat /etc/passwd #cat /etc/shadow #cat /etc/group 查看系统是否分别建立了系统专用管理XX，以与XX的属组情况。适用版本任何版本实施风险无符合性判定系统XX具有XX／口令鉴别方式，系统管理使用不同的XX，且系统中不存在重名XX，判定结果为符合；系统管理使用一样的XX，且系统XX存在重名情况，判定结果为不符合。 6. 组合鉴别技术鉴别测评项编号 ADT-OS-LINUX-06 对应要求应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别测评项名称组合鉴别技术鉴别测评分项1：检查重要服务器是否采用了两种或两种以上身份鉴别方式操作步骤询问系统管理员，明确重要服务器具有何种身份鉴别方式。适用版本任何版本实施风险无符合性判定系统采用了两种以上组合的鉴别技术对管理用户进行身份鉴别，判定结果为符合；系统不采用或仅采用一种或没有采用鉴别技术对管理用户进行身份鉴别，判定结果为不符合。二、访问控制 1. 检查文件访问控制策略测评项编号 ADT-OS-LINUX-07 对应要求应启用访问控制功能，依据安全策略控制用户对资源的访问测评项名称检查访问控制策略测评分项1：检查重要配置文件或重要文件目录的访问控制操作步骤查看系统命令文件和配置文件的访问许可有无被更改例如： #ls -al /etc/shadow /etc/passwd /etc/group /etc/inittab /etc/lilo.conf /etc/grub.conf /etc/xinetd.conf /etc/crontab /etc/securetty /etc/rc.d/init.d /var/log/messages /var/log/wtmp /var/run/utmp /var/spool/cron /usr/sbin/init /etc/login.defs /etc/*.conf /sbin /bin /etc/init.d /etc/xinetd.d。适用版本任何版本实施风险无符合性判定系统内的配置文件目录中，所有文件和子目录对组用户和其他用户不提供写权限，判定结果为符合；组用户和其他用户对配置文件目录/etc 中所有（部分）文件和子目录具有写权限，判定结果为不符合。测评分项2：检查文件初始权限操作步骤执行以下命令： #umask 查看输出文件属主、同组用户、其他用户对于文件的操作权限适用版本任何版本实施风险无符合性判定 umask 值设置合理，为077 或027，判定结果为符合； umask 值为默认为022，判定结果为不符合。测评分项3：检查root XX是否允许远程登录操作步骤查看ssh 服务配置文件是否设置登录失败处理策略，执行以下命令： cat /etc/ssh/sshd_config 查看PermitRootLogin 参数适用版本任何版本实施风险无符合性判定 PermitRootLogin 值为no， root XX不可以远程登录，判定结果为符合； PermitRootLogin 所属行被注释或值为yes，root XX可以远程登录，判定结果为不符合。 2. 管理用户所需最小权限划分测评项编号 ADT-OS-LINUX-08 对应要求应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限测评项名称管理用户所需最小权限划分测评分项1：检查系统维护人员是否使用root 用户进行日常维护操作步骤询问管理员，并查看系统日志，确定哪些用户曾经以root 身份对Linux 系统进行系统维护。查看系统日志执行： #last |grep root //是否采用root 远程登录适用版本任何版本实施风险无符合性判定系统管理员在日常系统维护工作中使用专用系统管理XX（非root 帐户）系统维护，判定结果为符合；系统管理员在日常系统维护工作中使用root XX系统维护，判定结果为不符合。 3. 特权用户权限分离测评项编号 ADT-OS-LINUX-09 对应要求应实现操作系统和数据库系统特权用户的权限分离测评项名称特权用户权限分离测评分项1：检查系统XX权限设置操作步骤询问管理员系统定义了哪些角色，是否分配给操作系统和数据库系统特权用户不同的角色适用版本任何版本实施风险无符合性判定系统为操作系统和数据库系统特权用户的设置了不同的角色，实现了权限分离，判定结果为符合；系统没有为操作系统和数据库系统特权用户分配角色，判定结果为不符合。 4. 默认账户访问权限测评项编号 ADT-OS-LINUX-10 对应要求应限制默认XX的访问权限，重命名系统默认XX，修改这些XX的默认口令测评项名称默认账户访问权限测评分项1：检查系统XX权限设置操作步骤执行： # cat /etc/shadow 查看不需要的账号games, news, gopher, ftp 、lp是否被删除查看不需要的特权账号halt, shutdown, reboot 、who是否被删除适用版本任何版本实施风险无符合性判定系统删除无用默认账户，判定结果为符合；系统没有删除无用默认账户，判定结果为不符合。 5. 多余与过期账户测评项编号 ADT-OS-LINUX-11 对应要求应与时删除多余的、过期的XX，避免共享XX的存在测评项名称多余与过期账户测评分项1：检查系统多余与过期账户操作步骤访谈系统管理员，是否存在无用的多余XX。同时执行以下命令： cat /etc/passwd 或者以root 身份查看/etc/shadow，执行：cat /etc/shadow 适用版本任何版本实施风险无符合性判定系统中不存在多余自建XX，判定结果为符合；没有删除多余自建账户，判定结果为不符合。测评分项2：检查允许su 为root 的XX信息，确保只有指定组的成员才能su 为root 用户，并且需要密码验证操作步骤查看/bin/su 文件的属性，执行： ls -l `which su` 记录su 的使用权限适用版本任何版本实施风险无符合性判定系统对su 文件的执行权限了进行限制，判定结果为符合；任何用户对su 均有执行权限，系统未对su 文件的执行权限进行限制，判定结果为不符合。测评分项3：检查系统中是否存在除root 用户以外的其它的uid=0 XX 操作步骤查看系统中和用户XX相关的几个文件，执行： #cat /etc/passwd 查看第三列中的UID 的值适用版本任何版本实施风险无符合性判定只有root XXUID=0，判定结果为符合；除root 外，存在其他XXUID=0，判定结果为不符合。测评分项4：检查文件创建初始权限，确保同组人和其他人不具有写权限操作步骤执行： #umask 查看输出文件属主、同组用户、其他用户对于文件的操作权限适用版本任何版本实施风险无符合性判定 umask 值设置合理，为077 或027，判定结果为符合； umask 值为默认，或设置不合理，判定结果为不符合。 6. 敏感标记设置测评项编号 ADT-OS-LINUX-12 对应要求应对重要信息资源设置敏感标记测评项名称敏感标记设置测评分项1：检查系统对重要信息资源是否设置了敏感标记操作步骤询问管理员系统是否对重要信息资源（重要文件、文件夹、重要服务器）设置了敏感标记。并查看标记的设置规则适用版本任何版本实施风险无符合性判定系统对重要信息资源设置敏感标记，判定结果为符合；没有对系统重要信息资源设置敏感标记，判定结果为不符合。 7. 敏感标记安全策略测评项编号 ADT-OS-LINUX-13 对应要求应对重要信息资源设置敏感标记测评项名称敏感标记安全策略测评分项1：检查对有敏感标记资源的访问控制情况操作步骤询问管理员是否有安全策略严格控制用户对有敏感标记重要信息资源的操作适用版本任何版本实施风险无符合性判定制定了有效的安全策略，依据安全策略严格控制用户对有敏感标记信息资源的操作，判定结果为符合；没有制定有效的安全策略或没有依据安全策略严格控制用户对有敏感标记信息资源的操作，判定结果为不符合。三、安全审计 1. 开启日志审核功能测评项编号 ADT-OS-LINUX-14 对应要求审计X围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户测评项名称开启日志审核功能测评分项1：检查系统日志是否开启操作步骤执行 #ps -ef |grep syslogd 查看系统是否运行syslogd进程询问并查看是否有第三方审计工具或系统适用版本任何版本实施风险无符合性判定系统启用了syslogd进程或有第三方审计系统，判定结果为符合；系统未启用syslogd进程也没有第三方审计系统，判定结果为不符合。 2. 日志审计内容测评项编号 ADT-OS-LINUX-15 对应要求审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件测评项名称日志审计内容测评分项1：检查系统日志审计策略配置操作步骤执行： #cat /etc/syslog.conf 查看系统日志配置适用版本任何版本实施风险无符合性判定 syslog.conf 配置文件设置合理，对大多数系统行为、用户行为进行了纪录，并存储在指定的文档中，syslong.conf 中至少应包括： *.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg *；判定结果为符合； syslog.conf 配置文件设置不合理，对大多数系统行为、用户行为未进行纪录，判定结果为不符合。测评分项2：检查系统管理、特权和安全等行为进行审计操作步骤执行： # grep “priv-ops” /etc/audit/filter.conf # grep “mount-ops” /etc/audit/filter.conf # grep “system-ops” /etc/audit/filter.conf 查看是否有相应参数适用版本任何版本实施风险无符合性判定系统启用了管理、特权和安全行为进行审计，判定结果为符合；系统未启用管理、特权和安全行为进行审计，判定结果为不符合。 3. 审计记录事件内容测评项编号 ADT-OS-LINUX-16 对应要求审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等测评项名称审计记录事件内容测评分项1：查看审计记录内容是否包括时间、类型、主体标识和时间结果等操作步骤执行： #more /var/log/audit.d #more /var/log/secure.* #more /var/log/messages.* 查看系统历史日志信息适用版本任何版本实施风险无符合性判定审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等判定结果为符合；审计记录不包括事件的日期、时间、类型、主体标识、客体标识和结果等判定结果为符合； 4. 日志分析测评项编号 ADT-OS-LINUX-17 对应要求应能够根据记录数据进行分析，并生成审计报表测评项名称日志分析测评分项1：检查网络中是否部署了日志集中审计系统操作步骤询问系统管理员网路中是否部署了日志集中审计系统，并对审计系统的功能进行检查（该系统应能够对网络中的各重要设备，服务器系统的日志进行集中收集、审计，并可根据用户需求形成审计报表适用版本任何版本实施风险无符合性判定网络中部署了日志集中审计系统，该系统能够对网络中的各重要设备，系统的日志进行集中收集、审计，并可以生成审计报表，判定结果为符合；网络未部署日志集中审计系统，判定结果为符合； 5. 审计进程保护测评项编号 ADT-OS-LINUX-18 对应要求应保护审计进程，避免受到未预期的中断测评项名称审计进程保护测评分项1：查看日志审计守护进程状态操作步骤执行： Service syslog status Service audit status 查看日志进程是否运行适用版本任何版本实施风险无符合性判定系统进程运行正常，判定结果为符合；系统进程未运行，判定结果为不符合； 6. 审计记录保护测评项编号 ADT-OS-LINUX-19 对应要求应保护审计记录，避免受到未预期的删除、修改或覆盖等测评分项1：查看日志审计文件权限设置操作步骤执行： ls –la /var/log/audit.d ls -la /var/log 查看系统历史日志信息适用版本任何版本实施风险无符合性判定日志审计文件访问权限为640，判定结果为符合；日志审计文件访问权限过大，判定结果为不符合四、剩余信息保护 1. 剩余鉴别信息保护测评项编号 ADT-OS-LINUX-20 对应要求应保证操作系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中测评分项1：剩余鉴别信息保护操作步骤访谈管理员，询问操作系统鉴别信息所在的存储空间，被释放或重新分配给其他用户前是否得到完全清除适用版本任何版本实施风险无符合性判定系统用户的鉴别信息所在的存储空间，被释放或重新分配给其他用户前得到完全清除，判定结果为符合；系统用户的鉴别信息所在的存储空间，被释放或重新分配给其他用户前没有得到完全清除，判定结果为不符合； 2. 剩余文件信息保护测评项编号 ADT-OS-LINUX-21 对应要求应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除测评分项1：剩余文件信息保护操作步骤访谈管理员，询问操作系统鉴别信息所在的存储空间，被释放或重新分配给其他用户前是否得到完全清除适用版本任何版本实施风险无符合性判定系统内的文件、目录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除，判定结果为符合；系统内的文件、目录等资源所在的存储空间，被释放或重新分配给其他用户前没有得到完全清除，判定结果为不符合；五、入侵防X 1. 入侵行为监控与报警测评项编号 ADT-OS-LINUX-22 对应要求应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；测评项名称入侵行为监控与报警测评分项1：主机入侵检测防御系统操作步骤询问管理员是否部署主机入侵检测系统（HIDS）或者主机系统是否被网络入侵检测系统(NIDS)保护；检测入侵检测系统是否启用记录日志：包括入侵的源IP、攻击的类型、攻击的目的、攻击的时间；检测入侵检测系统是否对入侵行为进行报警；适用版本任何版本实施风险无符合性判定部署入侵检测系统并启用日志记录与报警功能，判定结果为符合；未部署入侵检测系统，判定结果为不符合； 2. 数据完整性检查测评项编号 ADT-OS-LINUX-23 对应要求应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施测评项名称数据完整性检查测评分项1：查看Linux 服务器是否具有负载平衡、磁盘冗余（RAID）、双机热备（Cluster集群）、冷备等冗余机制操作步骤询问系统管理员重要的系统询没有负载平衡、磁盘冗余（RAID）、双机热备（Cluster 集群）、冷备等冗余机制适用版本任何版本实施风险无符合性判定系统具有负载平衡、磁盘冗余（RAID）、双机热备（Cluster 集群）、冷备等冗余机制，判定结果为符合；系统不具有负载平衡、磁盘冗余（RAID）、双机热备（Cluster 集群）、冷备等冗余机制，判定结果为不符合； 3. 操作系统最小安装测评项编号 ADT-OS-LINUX-24 对应要求操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁与时得到更新测评项名称入侵防X 测评分项1：检查操作系统是否开启了与业务无关的服务操作步骤执行以下命令： ps –ef #setup 通过图形界面记录系统开启的网络服务 #chkconfig --list;查看各运行级别下系统开启的服务（#who –r 查看系统运行级别）适用版本任何版本实施风险无符合性判定系统没有开启与业务无关的服务，判定结果为符合；系统开启了与业务无关的服务，判定结果为符合；测评分项2：查检查操作系统是否开启了与业务无关的网络端口操作步骤执行以下命令： netstat –antp (查看开启的tcp 端口) netstat –anup （查看开启的udp 端口）适用版本任何版本实施风险无符合性判定系统禁用了与业务无关的端口，判定结果为符合；系统没有禁用与业务无关的端口，判定结果为不符合测评分项3：检查操作系统版本与补丁升级情况操作步骤执行以下命令，查看Linux 内核版本： cat /proc/version 或 uname –a 或 uname –r 执行以下命令，查看Linux 版本： lsb_release –a 或 cat /etc/redhat-release 或 rpm -q redhat-release 适用版本任何版本实施风险无符合性判定系统安装了最新的补丁，判定结果为符合；系统没有安装最新的补丁，判定结果为不符合五、恶意代码防X（linux系统不适用）六、资源控制 1. 终端登录限制测评项编号 ADT-OS-LINUX-25 对应要求应通过设定终端接入方式、网络地址X围等条件限制终端登录；测评项名称终端登录限制测评分项1：检查系统是否有网络访问控制策略操作步骤访谈系统管理员，是否制定了严格的访问控制策略，包括是否限制登录用户，对远程登录的IP 是否有限制，采用哪种远程登录方式等。查看hosts.allow、hosts.deny 是否对某些服务，某些IP 进行了限制。 #cat hosts.allow #cat hosts.deny 适用版本任何版本实施风险无符合性判定系统开启了远程登录IP 限制功能，并配置了合理的限制策略，判定结果为符合；系统没有开启远程登录IP 限制功能，未配置合理的限制策略，判定结果为不符合 2. 终端操作超时锁定测评项编号 ADT-OS-LINUX-26 对应要求应根据安全策略设置登录终端的操作超时锁定；测评项名称终端操作超时锁定测评分项1：检查系统是否开启了超时自动注销功能操作步骤执行以下命令： cat /etc/profile | grep TMOUT 查看输出结果适用版本任何版本实施风险无符合性判定系统开启了超时注销功能，并设置了合理的TMOUT 注销时间（如5 分钟、10 分钟、15 分钟等），判定结果为符合；系统没有开启超时注销功能，判定结果为不符合 3. 对重要服务器进行监视测评项编号 ADT-OS-LINUX-27 对应要求应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；测评项名称对重要服务器进行监视测评分项1：检查是否能够对服务器进行监视操作步骤询问管理员，网络是否部署了监控系统，对服务器进行监视，并检查该系统的功能适用版本任何版本实施风险无符合性判定网络中部署了监控系统，能够对服务器进行实时监控，判定结果为符合；网络中没有部署监控系统，不能对服务器进行实时监控，判定结果为不符合 4. 单个用户系统资源使用限制测评项编号 ADT-OS-LINUX-28 对应要求应限制单个用户对系统资源的最大或最小使用限度；测评项名称单个用户系统资源使用限制测评分项1：检查系统是否限制单个用户系统资源的使用操作步骤执行： #quota UserName 查看UserName 用户对系统资源使用的限制值适用版本任何版本实施风险无符合性判定限制了单个用户对系统资源的最大或最小使用，判定结果为符合；未限制单个用户对系统资源的最大或最小使用，判定结果为不符合； 5. 系统服务水平检查报警测评项编号 ADT-OS-LINUX-29 对应要求应能够对系统的服务水平降低到预先规定的最小值进行检测和报警；测评项名称系统服务水平检查报警测评分项1：检查系统服务水平检测与报警功能操作步骤查看监控系统是否具有报警功能，并设置合理的触发报警的上限和下限。适用版本任何版本实施风险无符合性判定网络中部署了监控系统，能够对系统的服务水平降低到预先规定的最小值进行监测和报警，判定结果为符合；网络中没有部署监控系统，不够对系统的服务水平降低到预先规定的最小值进行监测和报警，判定结果为不符合；您好，欢迎您阅读我的文章，本WORD文档可编辑修改，也可以直接打印。阅读过后，希望您提出保贵的意见或建议。阅读和学习是一种非常好的习惯，坚持下去，让我们共同进步。

展开阅读全文