收藏 分销(赏)

信息安全风险评估检查流程操作系统安全评估检查表H模板.doc

上传人:w****g 文档编号:9899874 上传时间:2025-04-12 格式:DOC 页数:37 大小:350KB 下载积分:12 金币
下载 相关 举报
信息安全风险评估检查流程操作系统安全评估检查表H模板.doc_第1页
第1页 / 共37页
信息安全风险评估检查流程操作系统安全评估检查表H模板.doc_第2页
第2页 / 共37页


点击查看更多>>
资源描述
信息安全风险评估检查流程操作系统安全评估检查表H 36 资料内容仅供参考,如有不当或者侵权,请联系本人改正或者删除。 HP-UX Security CheckList 目 录 HP-UX SECURITY CHECKLIST 1 1 初级检查评估内容 5 1.1 系统信息 5 1.1.1 系统基本信息 5 1.1.2 系统网络设置 5 1.1.3 系统当前路由 5 1.1.4 检查当前系统开放的端口 6 1.1.5 检查当前系统网络连接情况 8 1.1.6 系统运行进程 8 1.2 物理安全检查 9 1.2.1 检查系统单用户运行模式中的访问控制 9 1.3 帐号和口令 9 1.3.1 检查系统中Uid相同用户情况 9 1.3.2 检查用户登录情况 9 1.3.3 检查账户登录尝试失效策略 10 1.3.4 检查账户登录失败时延策略 10 1.3.5 检查所有的系统默认帐户的登录权限 10 1.3.6 空口令用户检查 11 1.3.7 口令策略设置参数检查 11 1.3.8 检查root是否允许从远程登录 11 1.3.9 验证已经存在的Passwd强度 11 1.3.10 用户启动文件检查 12 1.3.11 用户路径环境变量检查 12 1.4 网络与服务 12 1.4.1 系统启动脚本检查 12 1.4.2 TCP/UDP小服务 13 1.4.3 login(rlogin), shell(rsh), exec(rexec) 13 1.4.4 comsat talk uucp lp kerbd 14 1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd 14 1.4.6 远程打印服务 14 1.4.7 检查是否开放NFS服务 15 1.4.8 检查是否Enables NFS port monitoring 15 1.4.9 检查是否存在和使用 NIS ,NIS+ 15 1.4.10 检查sendmail服务 16 1.4.11 Expn, vrfy (若存在sendmail进程) 16 1.4.12 SMTP banner 16 1.4.13 检查是否限制ftp用户权限 17 1.4.14 TCP_Wrapper 17 1.4.15 信任关系 17 1.5 文件系统 18 1.5.1 suid文件 18 1.5.2 sgid文件 18 1.5.3 /etc 目录下可写的文件 18 1.5.4 检测重要文件目录下文件权限属性以及/dev下非设备文件系统 19 1.5.5 检查/tmp目录存取属性 19 1.5.6 检查UMASK 20 1.5.7 检查.rhosts文件 20 1.6 日志审核 20 1.6.1 Cron logged 20 1.6.2 /var/adm/cron/ 21 1.6.3 Log all inetd services 21 1.6.4 Syslog.conf 21 1.7 UUCP服务 21 1.8 Xwindows检查 22 2 中级检查评估内容 23 2.1 安全增强性 23 2.1.1 TCP IP参数检查 23 2.1.2 Inetd启动参数检查 24 2.1.3 Syslogd启动参数检查 25 2.1.4 系统日志文件内容检查 25 2.1.5 系统用户口令强度检查 25 2.1.6 系统补丁安装情况检查 25 2.1.7 系统审计检查 25 3 高级检查评估内容 26 3.1 后门与日志检查 26 3.2 系统异常服务进程检查 26 3.3 内核情况检查 26 3.4 第三方安全产品安装情况 26 1 初级检查评估内容 1.1 系统信息 1.1.1 系统基本信息 1.1.1.1 说明: 检查系统的版本和硬件类型等基本信息。 1.1.1.2 检查方法: uname –a uname –v PATH="/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/" export PATH 1.1.2 系统网络设置 1.1.2.1 说明: 检查系统的网卡是否存在混杂模式。 1.1.2.2 检查方法: ifconfig lan0 1.1.3 系统当前路由 1.1.3.1 说明: 检查系统当前的路由设定配置, 包括默认路由和永久路由, 并检查其合法性。 1.1.3.2 检查方法: netstat -nr 1.1.3.3 结果分析方法: bash-2.05# netstat -nr Routing Table: IPv4 Destination Gateway Flags Ref Use Interface -------------------- -------------------- ----- ----- ------ --------- 192.168.10.0 192.168.10.113 U 1 35 hme0 default 192.168.10.254 UG 1 78 127.0.0.1 127.0.0.1 UH 2 7246 lo0 1.1.4 检查当前系统开放的端口 1.1.4.1 说明: 检查当前系统运行中开放的服务端口 1.1.4.2 检查方法: netstat –na |grep LISTEN 1.1.4.3 结果分析方法: bash-2.05# netstat -na | grep LISTEN 1.1.5 检查当前系统网络连接情况 1.1.5.1 说明: 根据显示的网络连接, 记录已建立连接establish的数量, 地址范围等。记录listen的端口, 记录其它状态, 例如timewait, finwait, closewait等。 1.1.5.2 检查方法: netstat –na 1.1.6 系统运行进程 1.1.6.1 说明: 根据显示的当前所有在运行的系统进程, 记录每个进程的运行时间, 属主, 查看相应的实例位置, 检查相应的实例的版本、 大小、 类型等。 1.1.6.2 检查方法: ps –elf 1.1.6.3 结果分析方法: # ps –ef 1.2 物理安全检查 1.2.1 检查系统单用户运行模式中的访问控制 1.2.1.1 说明: 检查和发现系统在进入单用户模式是否具备访问控制。 1.2.1.2 检查方法: more /tcb/files/auth/system/default, 如果d_boot_authenticate 行的内容大于0, 那么说明系统不需要口令就能够进入单用户模式。 1.3 帐号和口令 1.3.1 检查系统中Uid相同用户情况 1.3.1.1 说明: 检查和发现系统中具有相同uid的用户情况, 特别关注udi=0的用户情况。 1.3.1.2 检查方法: pwck -s 1.3.2 检查用户登录情况 1.3.2.1 说明: 检查和发现系统用户的登录情况, 特别关注udi=0的用户情况。 1.3.2.2 检查方法: last -R lastb –R | more 1.3.3 检查账户登录尝试失效策略 1.3.3.1 说明: 检查系统允许的单次会话中的登录尝试次数。 1.3.3.2 检查方法: more /tcb/files/auth/system/default, 检查t_maxtrie 变量内容, 如果有设定, 它将改变默认的5次设定。 1.3.4 检查账户登录失败时延策略 1.3.4.1 说明: 检查系统允许的单次会话中的登录失败时延参数。 1.3.4.2 检查方法: more /tcb/files/auth/system/default, 检查t_logdelay 变量内容, 如果有设定, 它将改变默认的4秒设定。 1.3.5 检查所有的系统默认帐户的登录权限 1.3.5.1 说明: 1.3.5.2 检查方法: cat /etc/passwd |grep –v sh 1.3.5.3 结果分析方法: 例: noaccess:x:60002:60002:No Access User :/:/sbin/noshell 1.3.6 空口令用户检查 1.3.6.1 说明: 1.3.6.2 检查方法: authck –p pwck -s 1.3.7 口令策略设置参数检查 1.3.7.1 说明: 检查系统口令的配置策略 1.3.7.2 检查方法: more /tcb/files/auth/system/default 1.3.8 检查root是否允许从远程登录 1.3.8.1 说明: Root从远程登录时, 可能会被网络sniffer窃听到密码。 1.3.8.2 检查方法: cat /etc/securetty 1.3.8.3 结果分析方法: /etc/securetty应当包括console或者/dev/null 1.3.9 验证已经存在的Passwd强度 1.3.9.1 说明: 检查/etc/shadow文件中, 是否存在空密码的帐号 1.3.9.2 检查方法: cat /etc/shadow |awk -F: '{print $1 " "$2}' 1.3.10 用户启动文件检查 1.3.10.1 说明: 检查用户目录下的启动文件 1.3.10.2 检查方法: 检查用户目录下的.cshrc, .profile, .emacs, .exrc, .Xdefaults, .Xinit, .login, .logout, .Xsession,等文件的内容, 包括root用户。 1.3.11 用户路径环境变量检查 1.3.11.1 说明: 检查用户路径环境变量下的启动文件 1.3.11.2 检查方法: 切换到用户 echo $PATH, 检查输出。 1.4 网络与服务 1.4.1 系统启动脚本检查 1.4.1.1 说明: 检查系统启动脚本 1.4.1.2 检查方法: more /sbin/rc?.d 1.4.2 TCP/UDP小服务 1.4.2.1 说明: 这些服务一般是用来进行网络调试的, 包括: echo、 discard、 datetime、 chargen 1.4.2.2 检查方法: grep –v ”#” /etc/inetd.conf 1.4.2.3 结果分析方法: echo stream tcp nowait root internal echo dgram udp wait root internal discard stream tcp nowait root internal discard dgram udp wait root internal daytime stream tcp nowait root internal daytime dgram udp wait root internal chargen stream tcp nowait root internal chargen dgram udp wait root internal 1.4.3 login(rlogin), shell(rsh), exec(rexec) 1.4.3.1 说明: 用来方便的登陆或执行远程系统的命令。 1. 可能被用来获得主机信任关系的信息 2. 被入侵者用来留后门 3. 成为被ip欺骗的服务对象 1.4.3.2 检查方法: grep –v ”#” /etc/inetd.conf |egrep ”login|shell|exec” 1.4.4 comsat talk uucp lp kerbd 1.4.4.1 说明: 以上服务大都不在公开服务器上使用, 且存在一定的风险。 1.4.4.2 检查方法: grep –v ”#” /etc/inetd.conf |egrep ”comsat| talk| uucp| lp| kerbd|kcms” 1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd 1.4.5.1 说明: 在inetd.conf中启动的RPC服务, 已经有多次极严重的安全漏洞记录 1.4.5.2 检查方法: grep –v ”#” /etc/inetd.conf|grep rpc 查找 Sadmind ttb sprayd walld cmsd kcms等字样 以上服务存在多个严重安全隐患 若不使用以上服务 建议在inetd注释以上服务 1.4.5.3 备注: 不同的版本的某些rpc小服务不一样, 而且也因安装方式不同而有异。对于少见的rpc服务, 应该征求管理员的意见。 1.4.6 远程打印服务 1.4.6.1 说明: 检查主机远程打印服务的配置 1.4.6.2 检查方法: more /etc/hosts.equiv more /var/adm/lp/.rhosts 1.4.7 检查是否开放NFS服务 1.4.7.1 说明: 非有明确使用目的, 建议停止运行NFS的相关服务 1.4.7.2 检查方法: ps –ef | grep nfskd showmount –e localhost more /etc/exports more /etc/exportfs more /etc/fstab 1.4.8 检查是否Enables NFS port monitoring 1.4.8.1 说明: 1.4.8.2 检查方法: more /etc/rc.config.d/nfsconf 1.4.8.3 结果分析方法: 1.4.9 检查是否存在和使用 NIS ,NIS+ 1.4.9.1 说明: 检查/var/nis 1.4.9.2 检查方法: more /var/nis 1.4.10 检查sendmail服务 1.4.10.1 说明: 检查本地sendmail服务开放情况 1.4.10.2 检查方法 ps –ef|grep sendmail 1.4.11 Expn, vrfy (若存在sendmail进程) 1.4.11.1 说明: 限制用户经过这两个sendmial命令来获取系统的信息 1.4.11.2 检查方法: 检查是否存在sendmail.cf文件 若不存在系统当前sendmail配置为系统默认 cat /etc/sendmail.cf |grep PrivacyOPtions是否等于authwarnigs.goaway PrivacyOptions是否等于noexpn,novrfy,authwarnigns Loglevel等于5 1.4.12 SMTP banner 1.4.12.1 说明: 在SMTP banner中隐藏版本号 1.4.12.2 检查方法: cat /etc/sendmail.cf |grep ”De Mail Server Ready” 1.4.12.3 结果分析方法: #SMTP login message De Mail Server Ready 1.4.13 检查是否限制ftp用户权限 1.4.13.1 说明: 拒绝系统默认的帐号使用ftp服务 1.4.13.2 检查方法: more /etc/ftpusers more /etc/ftpd/ftpusers 检查ftpusers文件存取权限 以及因该禁用的登陆的用户名 1.4.14 TCP_Wrapper 1.4.14.1 说明: 检查inetd服务的访问情况。 1.4.14.2 检查方法: more /var/adm/inetd.sec 1.4.15 信任关系 1.4.15.1 说明: 主机之间的可信任问题, 可能会导致安全问题; 确保 /etc/hosts.equiv文件的内容为空。 1.4.15.2 检查方法: cat /etc/hosts.equiv 若安装TCP_warpper并对某些网络服务绑定改服务 请检查/etc/hosts.allow和 /etc/hosts.deny文件是否为空 或者不做策略 1.4.15.3 结果分析方法: 文件内容应为空或此文件不存在 1.5 文件系统 1.5.1 suid文件 1.5.1.1 说明: 检查所有属组为root(uid=0)的suid属性文件 而且其执行权限为任意用户可执行 非法的普通用户可能会利用这些程序里潜在的漏洞 以stack, format strings,heap等方法来溢出和覆盖缓冲区执行非法代码提升到root权限目的 1.5.1.2 检查方法: find / -type f –perm -4001 –user 0 检查风险: 1.5.2 sgid文件 1.5.2.1 说明: 移去所有不需要sgid属性的文件 危害性同上 这里是提升组权限到other 1.5.2.2 检查方法: find / -type f –perm - –group 0 1.5.3 /etc 目录下可写的文件 1.5.3.1 说明: 将检查/etc目录下对任何用户和组都能够进行写入文件 这将造成系统风险隐患 1.5.3.2 检查方法: find /etc -type f -perm 0002 1.5.4 检测重要文件目录下文件权限属性以及/dev下非设备文件系统 1.5.4.1 说明 不安全的文件系统库文件权限将导致被任意用户替换危险 1.检查/usr/lib /usr/lib /usr/local/lib(若存在)目录下对所有用户可写文件 2 检查/dev下非设备类型的文件 3.检查系统所有conf文件权限是否为任意用户可写 以及文件属主 1.5.4.2 检查方法 find /usr/lib –type f –perm 0002 find /lib –type f –perm 0002 find /usr/local/lib –type –f –perm 0002 find /dev –type f find / -type f –perm -0002 –name *.conf* 1.5.5 检查/tmp目录存取属性 1.5.5.1 说明: 在每次重启时, 设置/tmp目录的粘滞位.限制攻击者的部分活动。 1.5.5.2 检查方法: ls –la / |grep tmp 1.5.5.3 结果分析方法: bash-2.05# ls -la / |grep tmp drwxrwxrwt 5 root sys 447 5 13 14:08 tmp 1.5.6 检查UMASK 1.5.6.1 说明: 设置严格的UMASK值, 增强文件的存取权限 1.5.6.2 检查方法: more /tc/profile 1.5.7 检查.rhosts文件 1.5.7.1 说明: .rhosts文件有一定的安全缺陷, 当使用不正确时, 可能会导致安全漏洞; 推荐禁止所有的.rhosts文件 1.5.7.2 检查方法: find / -type f -name ".rhosts" 1.5.7.3 结果分析方法: 没有此文件或文件内容为空, 若要使用.rhosts信任机制 则请确保文件属性为600 1.5.7.4 备注: Cluster软件可能需要.rhosts文件, 请仔细检查使用.rhosts文件 Add by weiling /11/02 审核setuid 和 setgid 网络安全审计 # hostname yd_db1 # # ll /dev/ether* crw-rw-rw- 1 bin bin 5 0x010001 Nov 16 /dev/ether1 crw-rw-rw- 1 bin bin 5 0x0 1 Nov 16 /dev/ether2 crw-rw-rw- 1 bin bin 52 0x030001 Nov 16 /dev/ether3 # # ll /ieee* /ieee* not found # # ll /dev/ieee* /dev/ieee* not found # # ll /dev/lan* crw-rw-rw- 1 root sys 72 0x000077 Jan 19 /dev/lan crw-rw-rw- 1 bin bin 32 0x000000 Nov 16 /dev/lan0 crw-rw-rw- 1 bin bin 5 0x010000 Nov 16 /dev/lan1 crw-rw-rw- 1 bin bin 5 0x0 0 Nov 16 /dev/lan2 crw------- 1 root root 45 0x030000 Nov 16 /dev/lan3 1.6 日志审核 1.6.1 Cron logged 1.6.1.1 说明: 检查所有的cron活动是否被记录 1.6.1.2 检查方法: HP-UX默认开启。 1.6.2 /var/adm/cron/ 1.6.2.1 说明: 确保/var/adm/cron的正确属性为700 root用户和sys用户可读写 1.6.2.2 检查方法: ls -la /var |grep cron 1.6.3 Log all inetd services 1.6.3.1 说明: 1.6.3.2 检查方法: ps –elf|grep inetd 检查启动参数 1.6.4 Syslog.conf 1.6.4.1 说明: 查看本地日志输出目录功能 1.6.4.2 检查方法: cat /etc/syslog.conf |grep debug 1.7 UUCP服务 1.7.1.1 说明: 检查UUCP服务的使用情况 1.7.1.2 检查方法: cat /etc/inetd.conf | grep UUCP 1.8 Xwindows检查 1.8.1.1 说明: 检查Xwindows的配置情况 1.8.1.2 检查方法: find / -name .Xauthority –print xhosts ( 什么意思啊? 说的难道是 find / -name xhosts ) 2 中级检查评估内容 2.1 安全增强性 2.1.1 TCP IP参数检查 2.1.1.1 检查套接口序列是否防止SYN攻击 2.1.1.1.1 说明: 各种网络应用软件一般必须开放一个或者几个端口供外界使用, 因此其必定能够会被恶意攻击者向这几个口发起拒绝服务攻击, 其中一个很流行的攻击就是SYN FLOOD, 在攻击发生时, 客户端的来源IP地址是经过伪造的(spoofed), 现行的IP路由机制仅检查目的IP地址并进行转发, 该IP包到达目的主机后返回路径无法经过路由达到的, 于是目的主机无法经过TCP三次握手建立连接。在此期间因为TCP套接口缓存队列被迅速填满, 而拒绝新的连接请求。为了防止这些攻击, 部分UNIX变种采用分离入站的套接口连接请求队列, 一队列针对半打开套接口(SYN 接收,SYN|ACK 发送), 另一队列针对全打开套借口等待一个accept()调用, 增加这两队列能够很好的缓和这些SYN FLOOD攻击并使对服务器的影响减到最小程度。 2.1.1.1.2 检查方法 /usr/sbin/ndd -get /dev/tcp tcp_syn_rcvd_max /usr/sbin/ndd -get /dev/tcp tcp_conn_request_max 2.1.1.2 检查Redirects参数 2.1.1.2.1 说明: 恶意用户能够使用IP重定向来修改远程主机中的路由表, 在设计良好的网络中, 末端的重定向设置是不需要的, 发送和接受重定向信息包都要关闭。 2.1.1.2.2 检查方法: 经过如下命令检查其值是否为0: /usr/sbin/ndd -get /dev/ip ip_send_redirects 2.1.1.3 检查源路由的设置 2.1.1.3.1 说明: 经过源路由, 攻击者能够尝试到达内部IP地址 --包括RFC1918中的地址, 因此不接受源路由信息包能够防止你的内部网络被探测。 2.1.1.3.2 检查方法: 经过如下命令检查其值是否为0: ndd -get /dev/ip ip_forward_src_routed 2.1.1.4 检查广播ECHO响应 2.1.1.4.1 说明: Smurf攻击就是一个伪造的地址经过发送ICMP 8 0 (ECHO REQUEST) 信息到一个广播地址, 一些IP堆栈默认情况下会响应这些信息, 因此必须关闭这个特征。如果这个主机作为防火墙使用(router), 关闭这个特征就不能处理处理广播。 2.1.1.4.2 检查方法: 经过如下命令检查其值是否为0: ndd -get /dev/ip ip_respond_to_echo_broadcast 2.1.1.5 检查TIME_WAIT setting 设置 2.1.1.5.1 说明: 在一些比较繁忙的网络服务器上, 许多套接口可能就处于TIME_WAIT状态, 这是由于一些不正规编码的客户端应用程序没有很正确的处理套接口所引起的, 这就可能引起如DDOS的攻击。 2.1.1.5.2 检查方法: 经过如下命令检查其值是否大于6000: ndd -get /dev/tcp tcp_time_wait_interval 2.1.2 Inetd启动参数检查 检查inetd是否严格使用了-t参数来记录所有对inetd守护进程所绑定网络服务的连接记录 2.1.3 Syslogd启动参数检查 检查Syslogd的启动参数 2.1.4 系统日志文件内容检查 检查/var/log和/var/admin目录下的日志文件。 2.1.5 系统用户口令强度检查 将口令文件/etc/passwd和/etc/shadow导出, 经过运行john the ripper检查其强度。 2.1.6 系统补丁安装情况检查 执行swlist , 检查补丁情况。 2.1.7 系统审计检查 执行tail etc/rc.config.d/auditing, 检查其内容 3 高级检查评估内容 3.1 后门与日志检查 检查系统日志文件是否完备, 是否存在异常情况, 如日期, 大小, 完整性。 3.2 系统异常服务进程检查 检查系统是否存在异常的服务进程, 需要安装lsof等工具进行检查和确定系统运行进程和服务之间的关系。 3.3 内核情况检查 检查HP-UX内核与模块加载情况 执行kmtune –l 执行kmadmin –k 执行/usr/sbin/kmadmin –s 3.4 第三方安全产品安装情况 是否禁用telnetd service使用openssh等加密连接协议来进行remote login登陆 若安装md5软件包 请检测/bin/login的md5效检值是否一至 与文件权限问题 若有必要能够truss跟踪ls, ps ,netstat 等系统调用 查看是否存在不正常的系统调用和函数劫持.
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服