信息安全风险评估检查流程操作系统安全评估检查表H样本.doc

资源描述

1、HP-UX Security CheckList目录HP-UX SECURITY CHECKLIST11初级检查评估内容51.1系统信息51.1.1系统基本信息51.1.2系统网络设立51.1.3系统当前路由51.1.4检查当前系统开放端口61.1.5检查当前系统网络连接状况81.1.6系统运营进程81.2物理安全检查91.2.1检查系统单顾客运营模式中访问控制91.3帐号和口令91.3.1检查系统中Uid相似顾客状况91.3.2检查顾客登录状况91.3.3检查账户登录尝试失效方略101.3.4检查账户登录失败时延方略101.3.5检查所有系统默认帐户登录权限101.3.6空口令顾客检查11

2、1.3.7口令方略设立参数检查111.3.8检查root与否容许从远程登录111.3.9验证已经存在Passwd强度111.3.10顾客启动文献检查121.3.11顾客途径环境变量检查121.4网络与服务121.4.1系统启动脚本检查121.4.2TCP/UDP小服务131.4.3login(rlogin)，shell(rsh)，exec(rexec)131.4.4comsat talk uucp lp kerbd141.4.5Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd G

3、ssd141.4.6远程打印服务141.4.7检查与否开放NFS服务151.4.8检查与否Enables NFS port monitoring151.4.9检查与否存在和使用 NIS ,NIS+151.4.10检查sendmail服务161.4.11Expn，vrfy (若存在sendmail进程)161.4.12SMTP banner161.4.13检查与否限制ftp顾客权限171.4.14TCP_Wrapper171.4.15信任关系171.5文献系统181.5.1suid文献181.5.2sgid文献181.5.3/etc 目录下可写文献181.5.4检测重要文献目录下文献权限属性以及

4、/dev下非设备文献系统191.5.5检查/tmp目录存取属性191.5.6检查UMASK201.5.7检查.rhosts文献201.6日记审核201.6.1Cron logged201.6.2/var/adm/cron/211.6.3Log all inetd services211.6.4Syslog.conf211.7UUCP服务211.8Xwindows检查222中级检查评估内容232.1安全增强性232.1.1TCP IP参数检查232.1.2Inetd启动参数检查242.1.3Syslogd启动参数检查252.1.4系统日记文献内容检查252.1.5系统顾客口令强度检查252.1.

5、6系统补丁安装状况检查252.1.7系统审计检查253高档检查评估内容263.1后门与日记检查263.2系统异常服务进程检查263.3内核状况检查263.4第三方安全产品安装状况261 初级检查评估内容1.1 系统信息1.1.1 系统基本信息1.1.1.1 阐明：检查系统版本和硬件类型等基本信息。1.1.1.2 检查办法：uname auname vPATH=/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/export PATH1.1.2 系统网络设立1.1.2.1 阐明：检查系统网卡与否存在混杂模式。1.1.2.2 检查办法：ifconfig l

6、an01.1.3 系统当前路由1.1.3.1 阐明：检查系统当前路由设定配备，涉及默认路由和永久路由，并检查其合法性。1.1.3.2 检查办法：netstat -nr1.1.3.3 成果分析办法：bash-2.05# netstat -nrRouting Table：IPv4 Destination Gateway Flags Ref Use Interface- - - - - -192.168.10.0 192.168.10.113 U 1 35 hme0default 192.168.10.254 UG 1 78127.0.0.1 127.0.0.1 UH 2 7246 lo01.1.4

7、检查当前系统开放端口1.1.4.1 阐明：检查当前系统运营中开放服务端口1.1.4.2 检查办法：netstat na |grep LISTEN1.1.4.3 成果分析办法：bash-2.05# netstat -na | grep LISTEN1.1.5 检查当前系统网络连接状况1.1.5.1 阐明：依照显示网络连接，记录已建立连接establish数量，地址范畴等。记录listen端口，记录其他状态，例如timewait，finwait，closewait等。1.1.5.2 检查办法：netstat na1.1.6 系统运营进程1.1.6.1 阐明：依照显示当前所有在运营系统进程，记录每

8、个进程运营时间，属主，查看相应实例位置，检查相应实例版本、大小、类型等。1.1.6.2 检查办法：ps elf 1.1.6.3 成果分析办法：# ps ef 1.2 物理安全检查1.2.1 检查系统单顾客运营模式中访问控制1.2.1.1 阐明：检查和发现系统在进入单顾客模式与否具备访问控制。1.2.1.2 检查办法：more /tcb/files/auth/system/default，如果d_boot_authenticate 行内容不不大于0，那么阐明系统不需要口令就可以进入单顾客模式。1.3 帐号和口令1.3.1 检查系统中Uid相似顾客状况1.3.1.1 阐明：检查和发现系统中具备相似

9、uid顾客状况，特别关注udi=0顾客状况。1.3.1.2 检查办法：pwck -s1.3.2 检查顾客登录状况1.3.2.1 阐明：检查和发现系统顾客登录状况，特别关注udi=0顾客状况。1.3.2.2 检查办法：last -Rlastb R | more1.3.3 检查账户登录尝试失效方略1.3.3.1 阐明：检查系统容许单次会话中登录尝试次数。1.3.3.2 检查办法：more /tcb/files/auth/system/default，检查t_maxtrie 变量内容，如果有设定，它将变化默认5次设定。1.3.4 检查账户登录失败时延方略1.3.4.1 阐明：检查系统容许单次会话中登

10、录失败时延参数。1.3.4.2 检查办法：more /tcb/files/auth/system/default，检查t_logdelay 变量内容，如果有设定，它将变化默认4秒设定。1.3.5 检查所有系统默认帐户登录权限1.3.5.1 阐明：1.3.5.2 检查办法：cat /etc/passwd |grep v sh1.3.5.3 成果分析办法：例：noaccess:x:60002:60002:No Access User :/:/sbin/noshell1.3.6 空口令顾客检查1.3.6.1 阐明：1.3.6.2 检查办法：authck ppwck -s1.3.7 口令方略设立参数检

11、查1.3.7.1 阐明：检查系统口令配备方略1.3.7.2 检查办法：more /tcb/files/auth/system/default1.3.8 检查root与否容许从远程登录1.3.8.1 阐明：Root从远程登录时，也许会被网络sniffer窃听到密码。1.3.8.2 检查办法：cat /etc/securetty1.3.8.3 成果分析办法：/etc/securetty应当涉及console或者/dev/null1.3.9 验证已经存在Passwd强度1.3.9.1 阐明：检查/etc/shadow文献中，与否存在空密码帐号1.3.9.2 检查办法：cat /etc/shadow

12、|awk -F：print $1 $21.3.10 顾客启动文献检查1.3.10.1 阐明：检查顾客目录下启动文献1.3.10.2 检查办法：检查顾客目录下.cshrc，.profile，.emacs，.exrc，.Xdefaults，.Xinit，.login，.logout，.Xsession,等文献内容，涉及root顾客。1.3.11 顾客途径环境变量检查1.3.11.1 阐明：检查顾客途径环境变量下启动文献1.3.11.2 检查办法：切换到顾客 echo $PATH，检查输出。1.4 网络与服务1.4.1 系统启动脚本检查1.4.1.1 阐明：检查系统启动脚本1.4.1.2 检查办法：

13、more /sbin/rc?.d1.4.2 TCP/UDP小服务1.4.2.1 阐明：这些服务普通是用来进行网络调试，涉及：echo、discard、datetime、chargen1.4.2.2 检查办法：grep v “#” /etc/inetd.conf1.4.2.3 成果分析办法:echo stream tcp nowait root internalecho dgram udp wait root internaldiscard stream tcp nowait root internaldiscard dgram udp wait root internaldaytime str

14、eam tcp nowait root internaldaytime dgram udp wait root internalchargen stream tcp nowait root internalchargen dgram udp wait root internal1.4.3 login(rlogin)，shell(rsh)，exec(rexec)1.4.3.1 阐明：用来以便登陆或执行远程系统命令。1也许被用来获得主机信任关系信息2被入侵者用来留后门3成为被ip欺骗服务对象1.4.3.2 检查办法：grep v “#” /etc/inetd.conf |egrep “login|

16、4.5.2 检查办法：grep v “#” /etc/inetd.conf|grep rpc查找 Sadmind ttb sprayd walld cmsd kcms等字样以上服务存在各种严重安全隐患若不使用以上服务建议在inetd注释以上服务1.4.5.3 备注：不同版本某些rpc小服务不同样，并且也因安装方式不同而有异。对于少见rpc服务，应当征求管理员意见。1.4.6 远程打印服务1.4.6.1 阐明：检查主机远程打印服务配备1.4.6.2 检查办法：more /etc/hosts.equivmore /var/adm/lp/.rhosts1.4.7 检查与否开放NFS服务1.4.7

17、.1 阐明：非有明确使用目，建议停止运营NFS有关服务1.4.7.2 检查办法：ps ef | grep nfskdshowmount e localhostmore /etc/exportsmore /etc/exportfsmore /etc/fstab1.4.8 检查与否Enables NFS port monitoring1.4.8.1 阐明：1.4.8.2 检查办法：more /etc/rc.config.d/nfsconf1.4.8.3 成果分析办法：1.4.9 检查与否存在和使用 NIS ,NIS+1.4.9.1 阐明：检查/var/nis1.4.9.2 检查办法：more /v

18、ar/nis1.4.10 检查sendmail服务1.4.10.1 阐明：检查本地sendmail服务开放状况1.4.10.2 检查办法ps ef|grep sendmail 1.4.11 Expn，vrfy (若存在sendmail进程)1.4.11.1 阐明：限制顾客通过这两个sendmial命令来获取系统信息1.4.11.2 检查办法：检查与否存在sendmail.cf文献若不存在系统当前sendmail配备为系统默认cat /etc/sendmail.cf |grep PrivacyOPtions与否等于authwarnigs.goawayPrivacyOptions与否等于noex

19、pn,novrfy,authwarnignsLoglevel等于51.4.12 SMTP banner1.4.12.1 阐明：在SMTP banner中隐藏版本号1.4.12.2 检查办法：cat /etc/sendmail.cf |grep “De Mail Server Ready”1.4.12.3 成果分析办法：#SMTP login messageDe Mail Server Ready1.4.13 检查与否限制ftp顾客权限1.4.13.1 阐明：回绝系统默认帐号使用ftp服务1.4.13.2 检查办法：more /etc/ftpusersmore /etc/ftpd/ftpuser

20、s检查ftpusers文献存取权限以及因该禁用登陆顾客名 1.4.14 TCP_Wrapper1.4.14.1 阐明：检查inetd服务访问状况。1.4.14.2 检查办法：more /var/adm/inetd.sec1.4.15 信任关系1.4.15.1 阐明：主机之间可信任问题，也许会导致安全问题；保证 /etc/hosts.equiv文献内容为空。1.4.15.2 检查办法：cat /etc/hosts.equiv若安装TCP_warpper并对某些网络服务绑定改服务请检查/etc/hosts.allow和 /etc/hosts.deny文献与否为空或者不做方略1.4.15.3

21、成果分析办法：文献内容应为空或此文献不存在1.5 文献系统1.5.1 suid文献1.5.1.1 阐明：检查所有属组为root(uid=0)suid属性文献并且其执行权限为任意顾客可执行非法普通顾客也许会运用这些程序里潜在漏洞以stack，format strings,heap等办法来溢出和覆盖缓冲区执行非法代码提高到root权限目1.5.1.2 检查办法：find / -type f perm -4001 user 0 检查风险：1.5.2 sgid文献1.5.2.1 阐明：移去所有不需要sgid属性文献危害性同上这里是提高组权限到other1.5.2.2 检查办法：find / -t

22、ype f perm - group 01.5.3 /etc 目录下可写文献1.5.3.1 阐明：将检查/etc目录下对任何顾客和组都可以进行写入文献这将导致系统风险隐患1.5.3.2 检查办法：find /etc -type f -perm 00021.5.4 检测重要文献目录下文献权限属性以及/dev下非设备文献系统1.5.4.1 阐明不安全文献系统库文献权限将导致被任意顾客替代危险1检查/usr/lib /usr/lib /usr/local/lib(若存在)目录下对所有顾客可写文献2 检查/dev下非设备类型文献 3检查系统所有conf文献权限与否为任意顾客可写以及文献属主1.5.

23、4.2 检查办法find /usr/lib type f perm 0002find /lib type f perm 0002find /usr/local/lib type f perm 0002 find /dev type f find / -type f perm -0002 name *.conf* 1.5.5 检查/tmp目录存取属性1.5.5.1 阐明：在每次重启时，设立/tmp目录粘滞位限制袭击者某些活动。1.5.5.2 检查办法：ls la / |grep tmp1.5.5.3 成果分析办法：bash-2.05# ls -la / |grep tmpdrwxrwxrwt 5

24、 root sys 447 5 13 14:08 tmp1.5.6 检查UMASK1.5.6.1 阐明：设立严格UMASK值，增强文献存取权限1.5.6.2 检查办法：more /tc/profile 1.5.7 检查.rhosts文献1.5.7.1 阐明：.rhosts文献有一定安全缺陷，当使用不对的时，也许会导致安全漏洞；推荐禁止所有.rhosts文献1.5.7.2 检查办法：find / -type f -name .rhosts1.5.7.3 成果分析办法：没有此文献或文献内容为空，若要使用.rhosts信任机制则请保证文献属性为6001.5.7.4 备注：Cluster软件也许需要

25、.rhosts文献，请仔细检查使用.rhosts文献Add by weiling /11/02 审核setuid 和 setgid 网络安全审计# hostnameyd_db1# # ll /dev/ether*crw-rw-rw- 1 bin bin 5 0x010001 Nov 16 /dev/ether1crw-rw-rw- 1 bin bin 5 0x01 Nov 16 /dev/ether2crw-rw-rw- 1 bin bin 52 0x030001 Nov 16 /dev/ether3# # ll /ieee*/ieee* not found# # ll /dev/ieee*/

26、dev/ieee* not found# # ll /dev/lan*crw-rw-rw- 1 root sys 72 0x000077 Jan 19 /dev/lancrw-rw-rw- 1 bin bin 32 0x000000 Nov 16 /dev/lan0crw-rw-rw- 1 bin bin 5 0x010000 Nov 16 /dev/lan1crw-rw-rw- 1 bin bin 5 0x00 Nov 16 /dev/lan2crw- 1 root root 45 0x030000 Nov 16 /dev/lan31.6 日记审核1.6.1 Cron logged1.6.1

27、.1 阐明：检查所有cron活动与否被记录1.6.1.2 检查办法：HP-UX默认启动。1.6.2 /var/adm/cron/1.6.2.1 阐明：保证/var/adm/cron对的属性为700 root顾客和sys顾客可读写1.6.2.2 检查办法：ls -la /var |grep cron1.6.3 Log all inetd services1.6.3.1 阐明：1.6.3.2 检查办法：ps elf|grep inetd 检查启动参数1.6.4 Syslog.conf1.6.4.1 阐明：查看本地日记输出目录功能1.6.4.2 检查办法：cat /etc/syslog.conf |

28、grep debug1.7 UUCP服务1.7.1.1 阐明：检查UUCP服务使用状况1.7.1.2 检查办法：cat /etc/inetd.conf | grep UUCP1.8 Xwindows检查1.8.1.1 阐明：检查Xwindows配备状况1.8.1.2 检查办法：find / -name .Xauthority printxhosts ( 什么意思啊？说难道是 find / -name xhosts )2 中级检查评估内容2.1 安全增强性2.1.1 TCP IP参数检查2.1.1.1 检查套接口序列与否防止SYN袭击2.1.1.1.1 阐明：各种网络应用软件普通必要开放一种或

29、者几种端口供外界使用，因此其必然可以会被恶意袭击者向这几种口发起回绝服务袭击，其中一种很流行袭击就是SYN FLOOD，在袭击发生时，客户端来源IP地址是通过伪造(spoofed)，现行IP路由机制仅检查目IP地址并进行转发，该IP包到达目主机后返回途径无法通过路由达到，于是目主机无法通过TCP三次握手建立连接。在此期间由于TCP套接口缓存队列被迅速填满，而回绝新连接祈求。为了防止这些袭击，某些UNIX变种采用分离入站套接口连接祈求队列，一队列针对半打开套接口(SYN 接受,SYN|ACK 发送)，另一队列针对全打开套借口等待一种accept()调用，增长这两队列可以较好缓和这些SYN FLO

30、OD袭击并使对服务器影响减到最小限度。2.1.1.1.2 检查办法/usr/sbin/ndd -get /dev/tcp tcp_syn_rcvd_max/usr/sbin/ndd -get /dev/tcp tcp_conn_request_max2.1.1.2 检查Redirects参数2.1.1.2.1 阐明：恶意顾客可以使用IP重定向来修改远程主机中路由表，在设计良好网络中，末端重定向设立是不需要，发送和接受重定向信息包都要关闭。2.1.1.2.2 检查办法：通过如下命令检查其值与否为0：/usr/sbin/ndd -get /dev/ip ip_send_redirects2.1.1

31、.3 检查源路由设立2.1.1.3.1 阐明：通过源路由，袭击者可以尝试到达内部IP地址 -涉及RFC1918中地址，因此不接受源路由信息包可以防止你内部网络被探测。2.1.1.3.2 检查办法：通过如下命令检查其值与否为0：ndd -get /dev/ip ip_forward_src_routed2.1.1.4 检查广播ECHO响应2.1.1.4.1 阐明：Smurf袭击就是一种伪造地址通过发送ICMP 8 0 (ECHO REQUEST) 信息到一种广播地址，某些IP堆栈默认状况下会响应这些信息，因此必要关闭这个特性。如果这个主机作为防火墙使用(router)，关闭这个特性就不能解决解决

32、广播。2.1.1.4.2 检查办法：通过如下命令检查其值与否为0：ndd -get /dev/ip ip_respond_to_echo_broadcast2.1.1.5 检查TIME_WAIT setting 设立2.1.1.5.1 阐明：在某些比较繁忙网络服务器上，许多套接口也许就处在TIME_WAIT状态，这是由于某些不正规编码客户端应用程序没有很对的解决套接口所引起，这就也许引起如DDOS袭击。2.1.1.5.2 检查办法：通过如下命令检查其值与否不不大于6000：ndd -get /dev/tcp tcp_time_wait_interval2.1.2 Inetd启动参数检查检查in

33、etd与否严格使用了-t参数来记录所有对inetd守护进程所绑定网络服务连接记录2.1.3 Syslogd启动参数检查检查Syslogd启动参数2.1.4 系统日记文献内容检查检查/var/log和/var/admin目录下日记文献。2.1.5 系统顾客口令强度检查将口令文献/etc/passwd和/etc/shadow导出，通过运营john the ripper检查其强度。2.1.6 系统补丁安装状况检查执行swlist ，检查补丁状况。2.1.7 系统审计检查执行tail etc/rc.config.d/auditing，检查其内容3 高档检查评估内容3.1 后门与日记检查检查系统日记文献

34、与否完备，与否存在异常状况，如日期，大小，完整性。3.2 系统异常服务进程检查检查系统与否存在异常服务进程，需要安装lsof等工具进行检查和拟定系统运营进程和服务之间关系。3.3 内核状况检查检查HP-UX内核与模块加载状况执行kmtune l执行kmadmin k执行/usr/sbin/kmadmin s3.4 第三方安全产品安装状况与否禁用telnetd service使用openssh等加密连接合同来进行remote login登陆若安装md5软件包请检测/bin/loginmd5效检值与否一至与文献权限问题若有必要可以truss跟踪ls，ps ,netstat 等系统调用查看与否存在不正常系统调用和函数劫持.

展开阅读全文