Linux測評指導書.doc

Linux操作系統(tǒng)測評指導書測評指標測評項測評實施過程預期結果結果記錄身份鑒別a)應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別； 采用查看方式,在root權限下,使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用戶名狀態(tài)。1) 以root身份登錄Linux。2) 查看Linux密碼文件內(nèi)容。#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin#cat etc/shadowroot:$1$crpkUkzg$hLl/dYWmlwY4J6FqSG2jS0:14296:0:99999:7:drobbins:$1$1234567890123456789012345678901:111664:0:-1:-1:-1:-1:0bin:*:14296:0:99999:7:沒有密碼為空的用戶名。記錄：/etc/passwd、/etc/shadow文件中密碼一欄為空的用戶名。 b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；1) 以root身份登錄進入Linux。2) 查看文件內(nèi)容。#more /etc/login.defsPASS_MAX_DAYS 90 #登錄密碼有效期90天PASS_MIN_DAYS 0 #登錄密碼最短修改時間，增加可以防止非法用戶短期更改多次PASS_MIN_LEN 8 #登錄密碼最小長度8位PASS_WARN_AGE 7 #登錄密碼過期提前7天提示修改FAIL_DELAY 10 #登錄錯誤時，等待時間10秒FAILLOG_ENAB yes #登錄錯誤記錄到日志SYSLOG_SU_ENAB yes #當限制超級用戶管理日志時使用SYSLOG_SG_ENAB yes #當限制超級用戶組管理日志時使用MD5_CRYPT_ENAB yes #當使用md5為密碼的加密方法時使用登錄密碼有效期為90天、登錄密碼修改時間為3天、密碼最小長度為8位、登錄密碼過期提示為7天、登錄錯誤時，等待時間為10秒等，登錄錯誤記錄到日志、限制超級用戶管理日志、限制超級用戶組管理日志、私用MD5為密碼的加密方法等。記錄：檢查方法中列出了與/etc/login.defs文件中用戶密碼相關的一些安全屬性的推薦值。記錄內(nèi)容包括PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN等。c)應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施； 1) 以root身份登錄進入Linux。2) 查看文件內(nèi)容：#cat /etc/pam .d/system-auth#%pam-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth sufficient pam_unix.so nullok try_first_passauth requisite pam_succeed_if.so uid = 500 quietauth required pam_deny.soaccount required pam_unix.soaccount sufficient pam_secceed_if.so uid = 500 quietaccount required pam_permit.sopassword requisite pam_cracklib.so try_first_pass retry = 3password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revokesession required pam_limits.sosession success=1 default=ignore pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.soaccount required /lib/security/pam_tally.so deny = 5 no_magic_root reset 用戶可嘗試登錄5次，5次之后，若登錄失敗，則拒絕該用戶訪問。記錄：etc/pam.d/system-auth文件中是否存在account required /lib/security/pam_tally.so deny=5 no_magic_root resetd)當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽； 1) 以root身份登錄進入Linux。2) 首先查看是否安裝SSH的相應包：#rpm -aq|grep ssh 或查看是否運行了sshd服務：#service -status-all | grep sshd3) 如果安裝則查看相關的端口是否打開：#netstat -an|grep :224) 若未使用SSH方式進行遠程管理，則查看是否使用了Telnet方式進行遠程管理。#service -status-all |grep running 查看是否存在Telnet服務。已安裝SSH的相應包，并運行了sshd服務，打開的了22端口，使用了SSH方式進行遠程管理，未使用Telnet方式進行遠程管理。不存在Telnet服務。記錄被測服務器使用何種遠程登錄方式。如：“使用SSH遠程登錄方式”。若被測服務器同時開啟了Telnet服務和SSH服務，則同時記錄。若服務器不接受遠程管理，則無需記錄此項內(nèi)容。e)應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。 1) 以root身份登錄進入Linux。2) 查看文件內(nèi)容。#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin這里UID為0的用戶必須只有一個。操作系統(tǒng)的不同用戶，具有不同的用戶名，不存在多個用戶共用一個賬戶的情況。記錄/etc/passwd文件中有相同用戶名的賬戶。f)應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。訪談系統(tǒng)管理員，詢問系統(tǒng)有沒有做加固，除口令之外有無其他身份鑒別方式，如是否使用令牌等，并對其進行驗證。系統(tǒng)使用令牌或證書失效了雙因子鑒別。若有出用戶名/口令外的其他鑒別方法，則記錄這種方法，否則記錄“只適用用戶名/口令”。訪問控制a)應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問； 1) 以root身份登錄進入Linux。2) 使用“l(fā)s l 文件名”命令，查看重要文件和目錄權限設置是否合理，如：#ls -l /etc/passwd #744。應重點查看以下文件和目錄權限是否被修改過。/etc/at.allow/etc/at.deny/etc/audit/*/etc/cron.allow/etc/cron.d/*/etc/cron.daily/*/etc/cron.deny/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly/*/etc/crontab/etc/group/etc/gshadow/etc/hosts/etc/inittab/etc/ld.so.conf/etc/login.defs/etc/modules.conf/etc/pam.d/*/etc/passwd/etc/rc.d/init.d/*/etc/securetty/etc/securetty/opasswd/etc/shadow/etc/ssh/ssh-config/etc/ssh/sshd-config/etc/stunnel/*/etc/sysconfig/*/etc/vsftpd.ftpusers/etc/vsftpd/vsftpd.conf/etc/xinetd.conf/var/log/audit.d/*/var/log/faillog/var/log/lastlog/var/spool/at/*/var/spool/cron/*等重要文件和目錄的權限設置合理。重要文件和目錄的權限未被修改過。文件權限：記錄權限存在問題的目錄或文件。如：“/etc/passwd文件權限為666”。默認共享：記錄默認共享是否開啟。b)應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限； 1) 以root身份登錄進入Linux。2) 使用“l(fā)s l 文件名”命令，查看重要文件和目錄權限設置是否合理，如：#ls -l /etc/passwd #744。應重點查看以下文件和目錄權限是否被修改過。/etc/at.allow/etc/at.deny/etc/audit/*/etc/cron.allow/etc/cron.d/*/etc/cron.daily/*/etc/cron.deny/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly/*/etc/crontab/etc/group/etc/gshadow/etc/hosts/etc/inittab/etc/ld.so.conf/etc/login.defs/etc/modules.conf/etc/pam.d/*/etc/passwd/etc/rc.d/init.d/*/etc/securetty/etc/securetty/opasswd/etc/shadow/etc/ssh/ssh-config/etc/ssh/sshd-config/etc/stunnel/*/etc/sysconfig/*/etc/vsftpd.ftpusers/etc/vsftpd/vsftpd.conf/etc/xinetd.conf/var/log/audit.d/*/var/log/faillog/var/log/lastlog/var/spool/at/*/var/spool/cron/*等根據(jù)管理用戶的職責，實現(xiàn)了管理用戶的權限分欄，如系統(tǒng)管理員具有審計管理員的權限，而審計管理員也不具有系統(tǒng)能夠管理員的權限。記錄權限設置不合理的管理用戶名。c)應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離； 結合系統(tǒng)管理員的組成情況，判定是否實現(xiàn)了該項要求。本條基本要求是檢查是否存在多個管理員共用一個賬戶的情況。分兩個層次，首先自然人與其管理員賬戶要做到一一對應，不存在多人共用一個賬戶的情況。其次，每個管理員賬戶應只負責某一方面的內(nèi)容。不能同時管理操作系統(tǒng)和數(shù)據(jù)庫。不存在多人共用一個賬戶的情況，也不存在一個管理員管理多個方面內(nèi)容的情況。若主機運行了數(shù)據(jù)庫，則詢問并記錄操作系統(tǒng)管理員和數(shù)據(jù)庫系統(tǒng)管理員是否為同一自然人。若主機未運行數(shù)據(jù)庫，則此項標記為不適用。d)應嚴格限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令； 1) 以root身份登錄進入Linux。2) 查看Linux密碼文件內(nèi)容。#cat /etc/shadowroot:$1$crpkUKZG$hL1/dYWmlwY4J6FqSG2jS0:14296:0:99999:7:drobbins:$1$1234567890123456789012345678901:11164:0:-1:-1:-1:-1:0bin:*:14296:0:99999:7:說明：在用戶名前沒有“#”號，表明其未被禁用；有“#”則表明該用戶已被禁用。默認賬戶root用戶已被禁用。記錄未重命名的默認賬戶，為禁用的默認賬戶。e)應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。 1) 以root身份登錄Linux。2) 查看Linux密碼文件內(nèi)容。#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/dam:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologin詢問系統(tǒng)賬戶的用途，確認賬戶是否屬于多余的，過期的賬戶或共享賬戶名。不存在多余的、過期的賬戶或共享賬戶名。記錄多余的、過期的賬戶和共享賬戶名。f)應對重要信息資源設置敏感標記； 1) 查看操作系統(tǒng)功能手冊或相關文檔，確認操作系統(tǒng)是否具備能對信息資源設置敏感標記的功能。2) 詢問管理員是否對重要信息資源設置敏感標記。操作系統(tǒng)具備能對信息資源設置敏感標記的功能。管理員對重要信息資源設置了敏感標記。記錄查看和訪談的內(nèi)容。g)應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；詢問或查看當前的敏感標記策略的相關設置，如：如何劃分敏感標記分離，如何設定訪問權限等。敏感標記的資源，只有具有權限的用戶才能訪問。記錄查看和訪談的內(nèi)容。安全審計a)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶； 1) 以root身份登錄進入Linux。2) 查看服務進程。系統(tǒng)日志服務# service syslog status# service audit status或#service -status-all | grep running3) 若運行了安全審計服務，則查看安全審計的守護進程是否正常。#ps -ef | grep auditd系統(tǒng)開啟了安全審計功能。審計范圍覆蓋到了服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。記錄日志服務和安全審計服務是否運行，若有第三方審計工具或系統(tǒng)則記錄其運行狀態(tài)是否正常。b)審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件； 1) 以root身份登錄進入Linux。2) 查看配置。# grep “priv-ops” /etc/audit/filter.conf# grep “mount-ops” /etc/audit/filter.conf# grep “system-ops” /etc/audit/filter.conf# grep “file-ops” /etc/audit/filter.conf# grep “open-ops” /etc/audit/filter.conf# grep “execute-ops” /etc/audit/filter.conf等。審計內(nèi)容中包括了審核賬戶登錄事件、審核賬戶管理、審核目錄服務訪問、審核登錄事件、審核對象訪問、審核策略更改、審核系統(tǒng)事件等內(nèi)容。記錄相關參數(shù)。如file-ops系統(tǒng)事件審計的文件包括，“mkdir”、“rmdir”、“unlink”、“chmod”、“chown”、“l(fā)chown”、“chown32”、“l(fā)chown32”。c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等； 1) 使用aucat和augrep工具查看審計日志：#aucat | tail 100 #查看最近的100條審計記錄。#augrep -e TEXT U AUTH_success #查看所有成功PAM授權。審計日志記錄如下：2005-04-22T17:06:35 19440 6058 -1 execve(“/usr/bin/find”, “find”, “/usr/lib”, “-name”, “*.jar”,data, len=0)2005-4-22T17:06:35 19441 6058 -1 open(“/etc/ld.so.preload”, O_RDONLY); result=-2 “no such file or directory”2005-4-22T17:06:35 19442 6058 -1 open(“/etc/ld.so.cache”, O_RDONLY); result=32005-04-22T17:06:35 19443 6058 -1 open(“/lib/tls/libc-2.3.2.so”, O_RDONLY); result=3審計記錄中包括了時間的日期、時間、類型、主體標識、客體標識和結果。記錄查看的審計記錄，是否包括日期、時間、類型、主體標識、客體標識和結果等必要的審計要素。若有第三方審計工具或系統(tǒng)則查看其審計日志是否包括必要的審計要素d)應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表； 訪談并查看對審計記錄的查看、分析和生成審計報表的情況。提供了一種直觀的分析報告及統(tǒng)計報表的自動生成機制，對審計產(chǎn)生的記錄數(shù)據(jù)進行統(tǒng)一管理與處理，并將日志關聯(lián)起來，保證管理員能夠及時、有效地發(fā)現(xiàn)系統(tǒng)中各種異常狀況及安全事件。記錄訪談內(nèi)容并對審計記錄的查看、分析和生成報表情況進行記錄。如：“系統(tǒng)自動將日志發(fā)到集中審計服務器，由集中審計平臺生成審計報表，并自動分析異常行為，且人工定期查看”。若有第三方審計工具，則記錄其相關功能。e)應保護審計進程，避免受到未預期的中斷； 訪談對審計進程監(jiān)控和保護的措施。同時查看審計進程的訪問權限設置是否合理。訪談是否有第三方對審計進程監(jiān)控和保護的措施。Linux中，Auditd是審計守護進程，syslogd是日志守護進程，這兩個進程得到了很好的保護，當事件發(fā)生時，能夠及時記錄時間發(fā)生的詳細內(nèi)容。記錄訪談的內(nèi)容。f)應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。訪談審計記錄的存儲、備份和保護的措施，如配置日志服務器等。配置了專門的日志服務器用于存儲審計記錄，防止非法用戶進入系統(tǒng)后清理系統(tǒng)日志和審計日志。記錄日志存儲空間大小，更新模式，日志文件權限設置以及是否有日志服務器等相關措施。剩余信息保護a)應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中； 檢查Linux操作系統(tǒng)維護/操作手冊，查看其是否明確用戶的鑒別信息存儲空間以及被釋放或再分配給其他用戶之前的處理方法及過程。每個用戶有每個用戶單獨的鑒別信息存儲空間，鑒別信息在用戶退出或注銷后自動進行清理。記錄鑒別信息的存儲空間，被釋放或再分配給其他用戶前的處理方法和過程。系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前的處理方法和過程。b)應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。檢查Linux操作系統(tǒng)維護/操作手冊，系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前的處理方法和過程。系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或再分配給其他用戶之前進行了完全清楚，避免了緩沖區(qū)的溢出。記錄系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶之前的處理方法和過程。入侵防范a)應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警； 1）訪談并查看入侵檢測的措施，如經(jīng)常通過如下命令查看入侵的重要線索（試圖Telnet、FTP等），涉及命令“#more/var/log/secure|grep refused”。2）查看是否啟用了主機防火墻、TCP SYN保護機制等設置。3）可執(zhí)行命令：find / -name -print檢查是否安裝了以下主機入侵檢測軟件。Dragon Squire by Enterasys Networks、ITA by Symantec、Hostsentry by Psionic Software、Logcheck by Psionic Software、RealSecure agent by ISS。啟用了主機防火墻，TCP SYN保護機制等設置。安裝了入侵檢測軟件，并進行了正確的配置，對發(fā)生的安全事件有相關的日志記錄，并在發(fā)生安全事件時進行報警。記錄訪談和查看的內(nèi)容，系統(tǒng)管理員查看日志的頻率，是否啟用并合理配置系統(tǒng)自帶防火墻或第三方的防火墻軟件，是否部署并合理配置了入侵檢測系統(tǒng)，入侵檢測系統(tǒng)是否具備了報警功能等。b)應能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復的措施； 訪談是否使用一些文件完整性檢查工具或腳本定期對重要文件進行完整性檢查，如對比校驗值等。是否對重要的配置文件進行備份，查看備份演示，查看備份后的恢復情況。使用校驗值對重要文件的完整性進行檢查。對重要的配置文件進行了備份，使用備份文件能進行恢復。記錄訪談的內(nèi)容和備份演示的過程和恢復過程。c)操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。1) 系統(tǒng)服務#service -status-all | grep running查看并確認是否已經(jīng)關閉危險的網(wǎng)絡服務如：echo、shell、login、finger、r命令等。關閉非必需的網(wǎng)絡服務如：talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等。2) 監(jiān)聽端口在命令行模式下輸入“netstat -an”，查看列表中的監(jiān)聽端口。3) 補丁升級訪談補丁升級機制，查看補丁安裝情況：#rpm -qa | grep patch。僅啟動了必要的服務和開啟了必須的端口，系統(tǒng)補丁通過升級服務器得到更新，已為當前最新的補丁。記錄系統(tǒng)中多余和危險的服務，記錄多余的組件、應用程序等。記錄監(jiān)聽狀態(tài)下的端口。記錄補丁升級方式和已安裝最新的補丁名稱。惡意代碼防范a)應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；查看系統(tǒng)中安裝了什么防病毒軟件。詢問系統(tǒng)管理員是否經(jīng)常更新病毒庫。查看病毒庫的最新版本更新日期是否超過一星期。系統(tǒng)中安裝了防病毒軟件，病毒庫經(jīng)常更新，且最新版本不超過一星期。記錄系統(tǒng)是否安裝了防病毒軟件，防病毒軟件的名稱、版本、最新病毒庫更新時間，且確認病毒庫的最新版本更新日期距離檢查當日是否超過一個星期。b)主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫； 詢問系統(tǒng)管理員網(wǎng)絡防病毒產(chǎn)品和主機防病毒產(chǎn)品分別采用什么病毒庫。查看這兩種產(chǎn)品的病毒庫版本。網(wǎng)絡防病毒產(chǎn)品和主機防病毒產(chǎn)品采用了不同的病毒庫。記錄網(wǎng)絡防病毒產(chǎn)品型號和病毒庫最新更新日期，以及是否與主機防病毒產(chǎn)品使用同一病毒庫等。c)應支持防惡意代碼的統(tǒng)一管理。詢問系統(tǒng)管理員采有統(tǒng)一的病毒更新策略和查殺策略。有統(tǒng)一的更新策略和查殺策略。若采用了網(wǎng)絡版防病毒軟件，則記錄防病毒軟