4.2.8 检查异常隐含文件 安全基线项目名称 安全基线项说明 检测操作步骤 操作系统Linux隐含文件安全基线要求项 文件系统-检查异常隐含文件 用“find”程序可以查找到这些隐含文件。例如: # find / -name \–xdev # find / -name \-print -xdev | cat -v 同时也要注意象“.xx”和“.mail”这样的文件名的。(这些文件名看起来都很象正常的文件名) 若返回值非空,则低于安全要求。 基线符合性判定依据 备注 补充操作说明 在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用“ls”命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等)。在UNIX/LINUX下,一个常用的技术就是用一些特殊的名,如:“…”、“.. ”(点点空格)或“..^G”(点点control-G),来隐含文件或目录。 第5章 日志审计 5.1 日志 5.1.1 syslog登录事件记录 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 操作系统Linux登录审计安全基线要求项 日志审计-syslog登录事件记录 执行命令:more /etc/ 查看参数authpriv值 Authpriv.* /var/log/secure 若未对所有登录事件都记录,则低于安全要求。 5.2 审计 5.2.1 的配置审核 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 操作系统Linux配置审计安全基线要求项 开启系统的审计功能,记录用户对系统的操作,包括但不限于账号创建、删除,权限修改和口令修改。 1、参考配置操作 #chkconfig auditd on 1、判定条件 系统能够审计用户操作。 2、检测操作 chkconfig --list auditd 用aureport、ausearch查看审计日志。 备注 5.2.2 日志增强 安全基线项目名称 安全基线项说明 检测操作步骤 操作系统Linux日志增强要求项 使messages只可追加,使轮循的messages文件不可更改,从而防止非法访问目录或者删除日志的操作 执行命令: Chattr +a /var/log/messages Chattr +i /var/log/messages.* Chattr +i /etc/shadow Chattr +i /etc/passwd Chattr +i /etc/group 使用lsattr判断属性 基线符合性判定依据 备注 5.2.3 syslog系统事件审计 安全基线项目名称 安全基线项说明 操作系统Linux登录审计安全基线要求项 日志审计-syslog系统安全事件记录,方便管理员分析 检测操作步骤 基线符合性判定依据 备注 执行命令:more /etc/ 查看参数: *.err;;; /var/adm/messages 若未对所有登录事件都记录,则低于安全要求。 第6章 其他配置操作 6.1 系统状态 6.1.1 系统超时注销 安全基线项目名称 安全基线项说明 检测操作步骤 操作系统超时注销要求项 设置帐号超时自动注销。 1、参考配置操作 编辑/etc/profile文件,添加 TMOUT=300 用户登陆后如果300秒内没有做任何操作,则自动注销登陆。 基线符合性判定依据 备注 1、判定条件 用户登陆后,在指定的时间内没进行操作,可以自动注销。 2、检测操作 登陆系统,在设定时间内不做任何操作动作,检查是否注销。 6.2 Linux服务 6.2.1 禁用不必要服务 安全基线项目名称 安全基线项说明 操作系统系统服务管理安全基线要求项 根据实际情况,关闭不必要的系统服务,如:finger,kudzu,isdn,nfs,apm, sound,pcmcia,vsftpd, rhnsd,Bluetooth,sendmail,lpd,netfs,telnet,RPC,imap等服务。 检测操作步骤 1. grep -v \检查不必要开启的服务。 2. #chkconfig --list #显示服务列表 #chkconfig servicename off #关闭服务自启动 基线符合性判定依据 备注 #service stop servicename #关闭指定服务 在无特殊应用情况下,若有上述提到的服务开启,则不符合要求。 第7章 持续改进 本文件由XXX定期进行审查,根据审查结果修订标准,并重新颁发执行。
Linu系统安全配置基线
