信息安全风险评估检查流程操作系统安全评估检查表Linux样本.doc

1、操作系统评估检查表 LINUX 安全审核 被审核部门 审核人员 审核日期 配合人员 序号 审核项目 审核环节/办法 审核成果 补充阐明 改进建议 1 操作系统安装过程 检查操作系统安装过程与否遵循安全方略。 2 操作系统口令安全方略 检查操作系统口令与否满足安全方略规定。 3 顾客帐号设立 1、执行：more /etc/passwd 查看与否存在如下也许无用帐号： adm / lp / sync / shutdown / halt / news /

2、uucp / operator / games / gopher 同步应当检查与否对所有顾客授予了合理shell。 2、检查 /etc/passwd文献属性设立与否为 644 3、检查 /etc/shadow文献属性设立与否为 600 4 顾客组设立 1、执行：more /etc/group 检查顾客组设立状况，查看与否存在如下也许无用顾客组： adm / lp / news / uucp / operator / games / gopher 2、查看/etc/gshadow文献属性与否为700 5 顾客口令设立 询问管理员与否存在如下

3、类似简朴顾客密码配备，例如： root/root test/test root/root1234 2、执行：more /etc/login.defs ，检查与否存在PASS_MIN_LEN 5 或PASS_MIN_LEN 8配备行 6 Root顾客登陆控制台限制 执行：more /etc/securetty 检查所有无被注释掉tty，这些控制台root可以直接登陆。 7 重要目录和文献权限设立 检查如下目录和文献权限设立状况： /etc/ /etc/rc.d/init.d/ /tmp /etc/inetd.conf或者 /etc/xin

4、et.d/ /etc/passwd /etc/shadow /etc/securietty /etc/services /etc/rc.local 8 文献系统mount控制 执行：/etc/fstab查看文献系统mount控制状况。 9 任何人均有写权限文献和目录 在系统中定位任何人均有写权限文献和目录取下面命令： [root@linux]# find / -type f \( -perm -2 –o –perm –20 \) –exec ls –lg {} \; [root@linux]# find / -type d \( -

5、perm -2 –o –perm –20 \ ) –exec ls –ldg {} \; 10 没有属主文献 定位系统中没有属主文献用下面命令： [root@linux]# find / -nouser -o -nogroup 注意：不用管“/dev”目录下那些文献。 11 异常隐含文献 在系统每个地方都要查看一下有无异常隐含文献（点号是起始字符，用“ls”命令看不到文献），由于这些文献也许是隐藏黑客工具或者其他某些信息（口令破解程序、其他系统口令文献，等等）。在UNIX下，一种惯用技术就是用某些特殊名，如：“…”、“.. ”（点点空格）或

6、^G”（点点control-G），来隐含文献或目录。 用“find”程序可以查找到这些隐含文献。例如： # find / -name “.. “ –print –xdev # find / -name “…*” –print –xdev | cat –v 同步也要注意象“.xx”和“.mail”这样文献名。（这些文献名看起来都很象正常文献名） 12 inetd或xinetd中基本网络服务配备 检查/etc/inetd.conf文献中基本网络服务启动或禁止状况 或者检查/etc/xinetd.d/目录下有关服务配备文献。 13 TCP_WR

7、APPERS 访问列表设立 查看/etc/hosts.deny & /etc/hosts.allow文献中访问控制配备。 14 R系列服务命令控制 如果系统容许R系列服务命令使用，则应当查看所有.rhosts文献。 建议执行下面命令定位系统中“.rhosts”文献： # find / -name .rhosts -print 并且需要查看这些.rhosts文献中与否存在 + + 配备。 15 NFS服务配备 执行：more /etc/export 检查文献中对于NFS共享权限控制 16 常规网络服务 询问管理员或执

8、行如下操作检查系统运营那些常规网络服务，并记录各类服务服务系统软件类型和版本，对于运营服务，提取有关配备文献信息： telnet 0 80 telnet 0 25 telnet 0 110 telnet 0 143 telnet 0 443 telnet 0 21 17 cron行为审核 查看所有cron任务 在/var/spool/cron/crontabs文献中你可以找到它们。 同步需要查看与否配备了审核， 执行：more /etc/default/cron 确认存在如下内容 CRONLOG=YES 18 root顾客登陆审核

9、 执行：more /etc/default/login 确认其中存在如下内容: SYSLOG=YES 19 login行为记录 查看与否有 /var/adm/loginlog文献。 20 syslog.conf配备 重要查看/etc/syslog.conf配备文献中与否设立了loghost，需要提取/etc/syslog.conf文献所有配备信息。 21 通过inetd启动TCP服务日记记录 执行：more /etc/init.d/inetsvc 确认其中存在如下内容(普通在该文献最后) /usr/sbin/ine

10、td –s –t & 22 LILO设立 执行：more /etc/lilo.conf 检查lilo安全设立状况。 23 TCP SYN Cookie保护 执行：more /proc/sys/net/ipv4/tcp_syncookies 查看输出内容与否为：1 24 Control-Alt-Delete关机热键 执行：more /etc/inittab 检查与否已经将ca::ctrlaltdel:/sbin/shutdown –t3 –r now配备信息行注释掉了。即: #ca::ctrlaltdel:/sbin/shutdown –t3 –r now