等保测评 安全计算坏境之linux操作系统

安全计算坏境之linux操作系统

1. 身份鉴别

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

“1)访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。
2)以有权限的账户身份登录操作系统后，使用命令more查看/etc/shadow文件，核查系统是否存在空口令账户
3)使用命令more查看/etc/login. defs文件，查看是否设置密码长度和定期更换要求
#more /etc/login. defs
使用命令more查看/etc/pam.d/system-auth文件。查看密码长度和复杂度要求
4)检查是否存在旁路或身份鉴别措施可绕过的安全风险”

“1)登录需要密码
2)不存在空口令账户
3)得出类似反馈信息，如下:
PASS MAX_DAYS 90 #登录密码有效期90天
PASS MIN_DAYS 0 #登录密码最短修改时间，增加可以防止非法用户短期更改多次
PASS MIN_LEN 7 #登录密码最小长度7位
PASS WARN_AGE 7 #登录密码过期提前7天提示修改
4)不存在绕过的安全风险”

b)具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

"1)系统配置并启用了登录失败处理功能
2)以root身份登录进入Linux， 查看文件内容:
cat /ete/pam.d/system -auth或根据linux版本不同在common文件中
3)查看/etc/profile中的TIMEOUT环境变量，是否配置超时锁定参数
"

“得出类似反馈信息，如下:
1)和2)查看登录失败处理功能相关参数，/etc/pam.d/system—auth文件中存在”“account required /lib/security/pam_tally.so deny=3
no_ magic root reset”" ;
3)记录在文件/etc/profile中设置了超时锁定参数，在profile下设置TMOUT= 300s"

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

“访谈系统管理员，进行远程管理的方式。
1)以root身份登录进入Linux查看是否运行了sshd服务，service - status-all | grep sshd
查看相关的端口是否打开，netstat -an|grep 22
若未使用SSH方式进行远程管理，则查看是否使用了Telnet 方式进行远程管理
service - -status-all|grep running, 查看是否存在Telnet服务
2)可使用wireshark等抓包工具，查看协议是否为加密
3)本地化管理，N/A”

“1)使用SSH方式进行远程管理，防止鉴别信息在传输过程中被窃听,Telnet默认不符合
2)通过抓包工具，截获信息为密文，无法读取，协议为加密
3) N/A本地管理”

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

访谈和核查系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法，是否采用了两种或两种以上组合的鉴别技术，如口令教字证书Ukey、令牌、指纹等，是否有一种鉴别方法在鉴别过程中使用了密码技术

除口令之外，采用了另外一种鉴别机制，此机制采用了密码技术，如调用了密码机或采取SM1-SM4等算法

2. 访问控制

a)应对登录的用户分配账户和权限；

"以有相应权限的身份登录进入Linux,使用“1s-1文件名”命令，查看重要文件和目录权限设置是否合理，如: # 1s -1 /etc/passwd #744。
"

"重点查看以下文件和目录权限是否设置合理。
-rw------- (600) 只有拥有者有读写权限。
-rw-r–r-- (644) 只有拥有者有读写权限；而属组用户和其他用户只有读权限。
-rwx------ (700) 只有拥有者有读、写、执行权限。
-rwxr-xr-x (755) 拥有者有读、写、执行权限；而属组用户和其他用户只有读、执行权限。
-rwx–x--x (711) 拥有者有读、写、执行权限；而属组用户和其他用户只有执行权限。
-rw-rw-rw- (666) 所有用户都有文件读、写权限。
-rwxrwxrwx (777) 所有用户都有读、写、执行权限。

linux权限详解：https://blog.csdn.net/qq_39131177/article/details/85060694
配置文件权限值不能大于644，对于可执行文件不能大于755"

b)应重命名或删除默认账户，修改默认账户的默认口令

“1)以有相应权限的身份登录进入Linux,使用more查看/etc/shadow文件，查看文件中的用户，是否存在adm、 lp. sync、 shutdown、 halt.、mail、 uucp、operator,、games.、gopher ftp等默认的、无用的用户。
2)查看root账户是否能够进行远程登录”

“1)不存在默认无用的账户
2)使用more查看/etc/ssh/sshd_config文件中的”“PermitRootLogin”“参数设置为“no “ ，即: PermitRootLogin no, 即不许可root远程登录”

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

“1)应核查是否不存在多余或过期账户，如查看games、news、 ftp、 1p等系统默认账户是否被禁用，特权账号halt、shutdown是否被删除
2)应访谈网络管理员、安全管理员、系统管理员不同用户是否采用不同账户登录系统”

" 1)禁用或删除不需要的系统默认账户，如games、news、 ftp、 1p、halt、shutdown等
2)各类管理员均使用自己分配的特定权限账户登录，不存在多余、过期账户
"
d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

“1)以有相应权限的身份登录进入Linux, 使用more查看/etc/passwd文件中的非默认用户，询问各账户的权限，是否实现管理用户的权限分离
2)以有相应权限的身份登录进入Linux, 使用more查看/etc/sudo.conf文件，核查root级用户的权限都授予哪些账户”

"
1)各用户均具备最小权限,不与其他用户权限交叉。设备下可支持新建多用户角色功能
2)管理员权限仅分配root用户"

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

“1)访谈系统管理员，是否指定授权人对操作系统访问控制权限进行配置
2)核查账户权限配置，是否依据安全策略配置各账户的访问规则”

“1)由专门的安全员负责对访问控制权限的授权工作
2)各账户权限配置，均是基于安全员的安全策略配置进行的访问控制”

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

使用“ls -1文件名”命令，查看重要文件和目录权限设置是否合理,如:#ls -1/etc/passwd #744,应重点查看以下文件和目录权限是否被修改过

由管理用户进行用户访问权限分配进行设置，依据访问控制策略,对各类文件和数据库表级进行访问。重要文件和目录权限均在合理范围内，用户可根据对文件不同的权限进行操作

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问；

“1)明确系统中是否有敏感信息
2)在主体用户或进程划分级别并设置敏感标记，在客体文件设置敏感标记
3)应测试是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略
4)以有相应权限的身份登录进入Linux,使用more查看/etc/selinux/config文件中的SELINUX参数的设定”

" linux服务器默认关闭SELinux服务。或采取第三方主机加固系统或对操作系统内核进行二次开发加固，并实际查看系统可视化界面。
SELINUX有三种工作模式，分别是:
enforcing:强制模式。违反SELinux规则的行为将阻止并记录到日志中，表示使用SELinux。
permissive:宽容模式。违反SELinux规则的行为只会记录到日志中，一般为调试用，表示使用SELinux disabled:关闭SELinux,使用SELinux"

3. 安全审计

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

“1)以root 身份登录进入Linux, 查看服务进程
2)若运行了安全审计服务，则查看安全审计的守护进程是否正常
#ps -ef|grep auditd
3)若未开启系统安全审计功能，则确认是否部署了第三方安全审计工具
4)以root身份登录进入Linux查看安全事件配置: #gerep“@priv-ops”" /etc/audit/filter.conf
…
more/etc/audit/audit.rules
…"

“1)开启审计进程内容如下:
[root@localhost april]# service auditd status auditd (pid 1656) is running…
[root@localhost april]# service rsyslog statusr syslogd (pid 1681) is running…
[root@localhost april]#
2)Linux服务器默认开启守护进程
3)audit.rules中记录对文件和底层调用的相关记录，记录的安全事件较为全面”

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

以有相应权限的身份登录进入Linux,使用命令"ausearch-ts today ”，其中，-ts指定时间后的log,或命令"tail -20 /var/log/audit/audit.log“查看审计日志

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

"访谈审计记录的存储、备份和保护的措施，是否将操作系统日志定时发送到日志服务器上等，并使用sylog方式或smp方式将日志发送到日志服务器。
如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的范围内
"

操作系统日志定期备份，共定期将本地存储日志转发至日志服务器

d)应对审计进程进行保护，防止未经授权的中断；

“1)访谈对审计进程监控和保护的措施
2)测试使用非安全审计员中断审计进程，查看审计进程的访问权限是否设置合理。
3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护”

“审计进程不可以非审计人员权限修改
部署有第三方审计工具，可实时记录审计日志，管理员不可对日志进行删除”

4. 入侵防范

a)应遵循最小安装的原则，仅安装需要的组件和应用程序；

“1)访谈安装系统时是否遵循最小化安装原则，查看安装操作手册
2)使用命令“yum list installed”" 查看操作系统中已安装的程序包，询问是否有目前不需要的组件和应用程序"

“1)系统安装遵循最小化安装原则
2)不存在业务所不需要的组件和应用程序”

b)应关闭不需要的系统服务、默认共享和高危端口；

“1)以有相应权限的身份登录进入L.inux, 使用命令”“service - status-all| grep running”" 查看是否已经关闭危险的网络服务
2)以有相应权限的身份登录进入L.inux,使用命令"“netstat -ntlp”查看并确认是否开放的端口都为业务需要端口， 是否已经关闭非必需的端口,L.inux不存在共享问题”

“1)关闭系统多余服务，危险服务和进程
2)关闭多余端口”

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

“查看在/etc/hosts.deny中是否有“ALL: ALL”",禁止所有的请求:在/etc/hosts.allow中，是否有如下配置(举例):
sshd: 192.168.1.10/255. 255. 255. 0
2)是否采用了从防火墙设置了对接入终端的限制"

“1)使用more查看/etc/hosts.allow中是否有如下配置限制IP及其访问方式，如(举例): ssbd; 192. 168. 1.10/255.255 255.0
2)对终端接入方式，网络地址范围等条件进行限制。通过RADUS.、堡垒主机、安全城、防火墙等运维方式实现对终端入方式的限制”

d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；
此项不适合，此项一般在应用系统上实现。

e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

“1)查看甲方自查的洞扫报告或通过第三方检查的漏洞报告，有无高风险漏洞
2)系统有无漏洞测试环境，补丁更新的机制和流程加何?
3)访谈补丁升级机制，查看补丁安装情况：#rpm -qa grep patch”

“1有运维团队定期进行漏洞扫描，发现安全风险，及时补修
2)3）更断补丁时间为最近，对补丁进行控制和管理”

f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；

“1)访谈并查看入侵检测的措施，如经常通过如下命令查看入侵的重要线索(试图Telnet.FTP等),涉及命令“#more /var/log /secure|grep refused”"
2)查看是否启用了主机防火墙、TCP SYN保护机制等设置
3)访谈系统管理员是否安装了主机入侵检测软件。查看已安装的主机入侵，检查系统的配置情况，是否具备报警功能。可执行命令: find / -namie -print 检查是否安装了主机入侵检测软件，如Dragon Squire by Enterasys Networks ，ITA by Symantec. Hostsentry by Psionic Software.Logcheck by Psiomc Software. RealSecure-agent by ISS
4)查看网络拓扑图，查看网络上是否部署了网络入侵检测系统，如IDS"

“1）入侵的重要路径均deny
2)开启主机防火墙相关置
3)安装有基于主机的IDS设备
4)若主机未部署主机IDS设备。可在网络链路上查香是否是IDS、 IPS. 发生入侵事件时，记录报警措施等”

5. 恶意代码防范

a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；

“1)核查操作系统中安装了什么防病毒软件，访谈管理员病毒库是否经常更新，核查病毒库最新版本，更新日期是否超过一个星期
2)核查操作系统是否实现了可信验证机制，能够对系统程序、应用程序和重要配置文件/参数进行可信执行验途”

“1)部署有网络版防病毒软件，病毒库最新，支持防恶意代码的统-管理个
2)部署有主动免疫可信验证机制，可对病责入侵进行及时阻断”

6. 可信验证

a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和 应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检 测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心；

"
1)核查服务器的启动，是否实现可信验证的检测过程，查看对那些系统引导程序、系统程序或重要配置参数进行可信验证
2)修改其中的重要系统程序之一和应用程序之一，核查是否能够检测到并进行报警
3)是否将验证结果形成审计记录送至安全管理中心"

“l）服务器具有可信根芯片或硬件
2)启动过程基于可信根对系统引导程序、系统程序，重要配置参数和关键应用程序等进行可信验证度量
3)在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心
4)安全管理中心可以接收设备的验证结果记录”

7. 数据完整性

a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

8. 数据保密性

a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

9. 数据备份恢复

a)应提供重要数据的本地数据备份与恢复功能；

b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

c)应提供重要数据处理系统的热冗余，保证系统的高可用性；

“1)访谈系统管理员哪些是重要数据处理系统，重要数据处理系统是否有备份机制，是否采用本地热备份站点备份或异地活动互援备份。
2)核查设备列表，重要数据处理系统是否采用热备服务器”

“1)对重要数据，如用户数据，鉴别数据等定期进行备份，通过磁带备份到本地
2)对于重要设备，采取热备、集群、负载均衡等高可用方式”

10. 剩余信息保护

a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除；

11. 个人信息保护

a)应仅采集和保存业务必需的用户个人信息
此项不适合，该项要求一般在应用系统上核查。
b)应禁止未授权访问和非法使用用户个人信息
此项不适合，该项要求一般在应用系统上核查。