等保测评--计算环境之服务器设备安全（一）

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

服务器设备 Linux

身份鉴别

L3-CES1-01

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度并要求定期更换。
1）访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。
2）以有权限的账户身份登录操作系统后，使用命令more查看/etc/shadow文件，核查系统是否存在空口令账户。
3）使用命令more查看/etc/login.defs文件，查看是否设置密码长度和定期更换要求。
   使用命令more查看/etc/pam.d/system-auth文件，查看密码长度和复杂度要求。
4）核查是否存在旁路或身份鉴别措施可绕过的安全风险
1、登录需要密码
2、不存在空口令账户
3、等处类似反馈信息
4、不存在绕过的安全风险

L3-CES1-02

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
1）系统配置并启用了登录失败处理功能
2）以root身份进入Linux，查看文件内容
3）查看/etc/profie中的TIMEOUT环境变量，是否配置超时锁定参数
1、查看登录失败处理了功能相关参数
2、记录在文件/etc/profile中设置了超时锁定参数，在profile下设置TIMEOUT=300s

L3-CES1-03

当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。
1）以root身份进入Linux
   查看是否运行了sshd
   查看相关端口是否打开
   若未使用ssh方式进行远程连接，则查看是否使用了Telnet服务
2）可使用wireshark等抓包工具，查看协议是否加密
3）本地化管理，N/A
1、使用ssh方式进行远程管理，防止鉴别信息在蹿升过程中被窃听。Telnet默认不符合
2、通过抓包工具，截获信息为密文，无法读取，协议为加密
3、本地化管理，N/A	

L3-CES1-04

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

访谈和核查系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法，是否采用了两种或两种以上组合的鉴别技术，是否由一种鉴别方法在鉴别过程中使用了密码技术。

除口令外，采用另一种鉴别机制，此机制采用了密码技术，如调用密码机或采取SM1-SM4等算法。	

访问控制

L3-CES1-05

应对登录用户分配账户和权限。

以有相应权限的身份登录进入Linux，使用“ls -l 文件名”命令，查看重要文件和目录权限设置是否合理

重点查看文件和目录权限是否设置合理。
配置文件权限值不能大于644
对于可执行文件不能大于755	

L3-CES1-06

应重命名或删除默认账户，修改默认账户的默认密码

1）以有相应权限的身份进入Linux，查看/etc/shadow文件，是否存在默认、无用的用户。
2）查看root账户是否能够进行远程登录

1、不存在默认无用的账户
2、使用more命令查看sshd配置文件中，不许可root远程登录

L3-CES1-07

应及时删除或停用多余的、过期的账户，避免共享账户的存在。
1）核查是否不存在多余或过期的账户，默认账户是否被禁用，特权账号是否被删除
2）应访谈网络管理员、安全管理员、系统管理员不同用户是否采用不同账户登陆系统
1、禁用或删除都不需要的系统默认账户
2、各类管理员均使用自己分配的特定权限账户登录，不存在多余、过期账户

L3-CES1-08

应授予管理用户所需的最小权限，实现管理用户的权限分离。
1）查看/etc/passwd/文件中的非默认用户，询问各账户的权限，是否实现管理用户的权限分离。
2）查看/etc/sudo.conf文件，核查root级用户权限都授予了哪些账户
1、各用户均具备最小权限，不与其他用户权限交叉。设备下可支持新建多用户角色功能。
2、管理员权限仅分配root用户。