序号 | 检查项 | 检查方法 |
1 | 端口监听检查 | 不跨VM访问的端口不能监听在业务IP,以及0.0.0.0上,一般只能在127.0.0.1上 1、使用netstat -an |grep tcp命令检查所有TCP端口 2、根据组网及模块间通信来确保是否跨VM通信.(R2C10为双机) 跨VM访问的端口列表: 不跨VM访问的端口列表: 暂不处理的端口列表: |
2 | 端口列表检查 | 通讯矩阵验证高优先级重视,要与局点针对通讯矩阵达成理解一致 1、通过nmap扫描后,查看是否有通讯矩阵中不存在的端口; 2、检查对应端口的描述是否正确。 |
3 | 组(域)访问最小原则 | 比如两个不同ELB之间的虚拟机不能访问 |
4 | 跨域访问协议审视 | 跨域访问需要HTTPS,SNMP V3等安全协议要求 |
5 | xx业务域主动访问管理域 | 需要有明确的原因,并通过SE,PM,测试评估达成一致意见 需要明确业务域与管理域分别是什么。vodaplex业务域访问管理域的场景有: metadata虚拟机 |
6 | 各VM最小服务集 | 与客户明确最小集服务,保证C3的最小化安装 |
7 | 管理端口协议认证机制 | 管理端口需要认证的有:Apiserver、Omserver、Cloudservice、IEE、ICC、IAM、ILB、ICS、Hbase |
8 | 后门检查 | 固定密码、隐藏帐户、隐藏命令、隐藏参数、隐藏软参,隐藏接口、调试端口/命令检查,可与开发沟通 |
9 | 不安全协议审视 | 不安全服务(Telnet、FTP、NFS、Samba、RPC、TFTP、r 服务、Netbios、X-Windows、Snmp V1.0/V2.0 )。 1、使用chkconfig检查服务是否存在,默认状态应为关闭 2、如果必须使用该服务,必须支持对应安全服务; 3、如果使用到不安全服务,需要提供安全的策略保证使用。 |
10 | 口令不能明文在日志中 | 1、梳理口令应用场景, 2、检查是否写将密码打印在日志中 |
11 | 口令不能明文在配置文件 | 扫描/查看所有配置文件即可 |
12 | 口令不能明文在脚本 | 扫描脚本代码 |
13 | 口令不能明文在数据库 | 1、明确口令入库的场景2、扫描数据库 |
14 | xxx使用口令复杂度检查 | 1、明确口令种类,检查复杂度 |
15 | 加密算法核查 | 收集自己模块使用的加密算法,核实是否为不安全或私有。禁止DES、RC2、MD5、SHA1、HMAC-MD5、HMAC-SHA1等(非AES128的需要关注) |
16 | 目录文件权限审视 | 目录文件权限规定如下: |
17 | 管理日志审查重启 | 对xx系统有影响的操作,需要记录日志(重启xx各个服务) |
18 | 管理日志审查修改 | 对xx系统有影响的操作,需要记录日志(修改日志级别、配置文件等) |
19 | 管理日志审查删除 | 对xx系统有影响的操作,需要记录日志(删除重要资源、配置项) |
20 | 系统安全加固 | 1、检查项、加固项、加固列表要求统一; 2、加固完成后,不通过的项为0,; 3、加固完成后,检查系统,不通过项为0; 4、加固完成后,根据加固列表中加固项检查系统是否真实的完成加固。 |
21 | 数据库加固 | 1、检查项、加固项、加固列表要求统一; 2、加固完成后,不通过的项为0,; 3、加固完成后,检查系统,不通过项为0; 4、加固完成后,根据加固列表中加固项检查系统是否真实的完成加固。 |
22 | 防暴力破解 | xxx防暴力破解包含:xxx/系统/数据库 |
23 | 数据库敏感文件权限 | oracle的敏感文件检查Oracle数据库的init.ora、listener.ora等 以下命令检查为空表示没有问题: find -L $ORACLE_HOME/network/admin/*.ora ! \( -user oracle -a -group dba \) -ls find -L $ORACLE_HOME/network/admin/*.ora \( -perm -u=x -o -perm -g=w -o -perm -g=x -o -perm -o=r -o -perm -o=w -o -perm -o=x \) -ls |
24 | 畸形报文攻击APIserver | 使用xdefend攻击API,并检查API是否出现异常。 |
25 | 畸形报文攻击Omserver | 使用xdefend攻击Omserver,并检查API是否出现异常。 |
26 | 更新部分代码的扫描 | 使用fortify扫描更新部分的代码,要求没有高级别漏洞 |
安全测试 Checklist
最新推荐文章于 2024-08-03 10:02:59 发布