文章目录

等保2.0linux测评指南
身份鉴别
- a
- b
- c
- d
访问控制
- a
- b
- c
- d
- e
- f
安全审计
- a
- b
- c
- d
入侵防范
- a
- b
- c

等保2.0linux测评指南

身份鉴别

a

对登录的用户进行身份标识鉴别，身份表示具有唯一性，身份鉴别信息具有复杂度要求并定期更换

通过访谈的方式看系统是否设置密码进行验证登录
more /etc/shadow 查看是否存在空口令用户

带*号账户是被锁定账户
带双！！是密码过期账户
more /etc/login.defs 查看密码长度和定期更换要求

4.more /etc/pam.d/system-auth 查看密码复杂度

b

具有登录失败处理功能，配置启用结束会话、限制非法登录次数和登录连接超时自动退出

登录失败处理功能
非法登录次数
1）和2）more /etc/pam.d/system-auth是否存在 account required /lib/security/pam_tally.so deny=3 no_magic_root reset
deny=3登录3次锁定
more /etc/profile 设置超时锁定参数
TIMEOUT=300

c

远程管理时，防止鉴别信息在网络传输过程中被窃听

systemctl status sshd.service查看是否启用了sshd服务
netstat -an | grep sshd查看sshd端口是否打开
cat /etc/ssh/ssh_config 限制远程超时连接自动退出

d

采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少使用密码技术来实现

访问控制

a

对登录的用户分配账户和权限

ls -l /etc/passwd 查看目录权限设置是否合理

配置文件权限值不能大于644，对于可执行文件不能大于755

b

重命名或删除默认账户，修改默认账户的默认口令

more /etc/shadow

红色圈住文件都是默认，无用用户

root作为默认重要账户，一般要求禁止远程登录

more /etc/ssh/sshd_config

将permitrootlogin yes 改为 no

c

及时删除或停用多余的、过期的账户，避免共享账户的存在

禁用或删除不需要的系统默认账户，如 games,news,ftp,lp,halt,shutdown等
各类管理员均使用自己分配的特定账户登录，不存在多余、过期账户

d

授予管理员用户所需最小权限，实现管理用户的权限分离

more /etc/passwd

查看非默认用户，询问各账户的权限，是否实现管理用户的权限分离
more /etc/sudo.conf

核查root级用户的权限都授予哪些账户

e

访问控制的粒度应达到主题为用户级或进程级，客体为文件、数据库表级

ls -l /etc/passwd
重点查看目录权限是否被修改过

f

对重要主体和客体设置安全标记，并控制主体对有安全对有安全标记信息资源的访问

敏感标记：是由强认证的安全管理员进行设置的，通过对重要信息资源设置敏感标记，并决定主体以何种权限对客体进行操作，实现强制访问控制

访问控制大致分为***自主访问控制(DAC)和强制访问控制(MAC)***两大类：在自主访问控制下，用户可以对其创建的文件、数据表等进行访问，并可自主地将访问权授予其他用户；在强制访问控制下，系统对需要保护的信息资源进行统一的强制性控制，按照预先设定的规则控制用户、进程等主体对信息资源的访问行为。通过自主访问控制与强制访问控制的协同运作，安全操作系统的访问控制机制可以同时保障系统及系统上应用的安全性与易用性

Selinux的三种工作模式：
Enforcing:强制模式。违反selinux规则的行为将阻止并记录到日志中，表示使用selinux;
Permissive:宽容模式。违反selinux规则的行为只会记录到日志中，一般为调试永，表示使用selinux;
Disabled:关闭selinux,
more /etc/selinux/config 查看SELinux的参数设定

安全审计

a

查看是否开启安全审计功能

service auditd status
service rsyslog status

查看安全审计的守护进程是否正常

ps ef | grep auditd

若未开启，确认是否部署了第三方安全审计工具

Grep “@priv-ops” /etc/audit/filter.conf
More /etc/audit/audit.rules

b

审计记录应该包括事件的日期，用户，事件类型，时间是否成功及其他相关信息

ausearch -ts today
tail -20/var/log/audit/audit.log
查看日志

c

对审计记录保护,定期备份审计记录

访谈审计记录的存储，备份和保护的措施，是否将操作系统日志定时发送到日志服务器上，并使用syslog方式或snmp方式将日志发送到日志服务器上。

d

对审计进程进行保护

在Linux中Auditd是审计守护进程，syslogd是日志守护进程
部署第三方审计工具，实时记录审计日志，管理员不可对日志进行删除

入侵防范

a

遵循最小安装原则，仅安装需要的组件和应用程序

Yum list installed
查看系统中已安装的程序包，询问是否有不需要的组件就和应用程序。

b

关闭不需要的系统服务、默认共享和高危端口

Service – status-all | grep running

是否已经关闭危险的网络服务
Rpm -qa | grep patch

查看补丁安装情况

c

设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

more /etc/hosts.deny
查看是否有“All:All”,禁止所有请求
more /etc/hosts.deny
查看是否有如下配置：sshd:网络地址