Linux安全测评指导书
序号 测评指标 测评项 检查方法 访谈: 1)访谈操作系统管理员,询问操作系统的身份标识和鉴别机制采用何种措施实现; 2)登录操作系统,查看是否提示输入用户口令,然后以正确口令登录系统,再以错误口令或空口令重新登录,观察是否成功。 手工检查: 方法一: 在root权限下,使用命令 #pwdck -n ALL 返回结果应为空; 方法二: 在root权限下,使用命令 #cat /etc/passwd #cat /etc/shadow 查看文件中各用户名状态,记录密码一栏为空的用户名。 手工检查: 1)在root权限下,使用命令 #cat /etc/login.defs 查看密码策略配置文件,检查是否合理正确配置密码策略; 2)如果启用了口令复杂度函数,分别以不符合复杂度要求和不符合最小长度要求的口令创建用户,查看是否成功。 访谈: 访谈系统管理员,询问用户口令是否满足复杂性要求。 预期结果 a)检查服务器的身份标识与鉴别和用户登录的配置情况。 1)操作系统使用口令鉴别机制对用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性; 3)操作系统不存在密码为空的用户。 1 身份鉴别 b)检查服务器的身份标识与鉴别和用户登录的配置情况。 1)启用了系统口令复杂度策略,系统用户密码长度不小于8位,由数字、大小写字母和特殊符号组成,并规定了口令更换的周期; 2)以不符合复杂度要求和不符合长度要求的口令创建用户时均提示失败。 c)检查服务器的身份标识与鉴别和手工检查: 1)在root1)操作系统已启用登权限下,使用命令 陆失败处理、结束会#cat 话、限制非法登录次数用户登录的配置情况。 /etc/pam.d/system-auth 查看该配置文件的内容,记录system-auth配置文件中的登录失败处理、限制非法登录次数和自动退出结束会话的配置项。 2)测试: 根据使用的登录失败处理方式,采用如下测试方法进行测试: a)以超过系统规定的非法登陆次数登录操作系统,观察反应; b)当登录系统连接超时时,观察系统反应。 访谈: 询问系统管理员,是否采用了技术手段保证远程管理数据进行加密传输。 手工检查: 采用抓包工具,判断远程管理数据包是否是明文。 手工检查:1)应测试主要服务器操作系统,添加一个新用户,其用户标识为系统原用户的标识(如用户名或UID),查看是否不会成功; 2)应测试主要服务器操作系统,删除一个用户标识,然后再添加一个新用户,其用户标识和所删除的用户标识一样(如用户名/UID),查看是否不能成功; 访谈: 询问管理员系统中每个账户,查看是否存在多人共用一个账户的情况。 等措施; 2)当超过系统规定的非法登陆次数或时间登录操作系统时,系统锁定或自动断开连接。 d)检查服务器的身份标识与鉴别和用户登录的配置情况。 1)操作系统使用SSH协议进行远程连接; 2)操作系统没有采用明文的传输协议进行远程管理; 3)采用第三方管理工具保证远程管理的信息保密。 e)检查服务器的身份标识与鉴别和用户登录的配置情况。 1)添加测试账户不会成功; 2)系统不存在多人共用一个账户的情况; 3)确保用户名具有唯一性。 f)检查服务器的身份标访谈: 访谈系统管理用户的认证方式选择员,询问系统除用户名两种或两种以上组合识与鉴别和用户登录的配置情况。 a)检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 b)检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 2 访问控制 c)检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 d)检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 e)检查服务口令外有无其他身份的鉴别技术,只用一种鉴别方式,如生物鉴技术无法认证成功。 别、令牌、动态口令等,并手工检查。 访谈: 访谈系统管理员询问操作系统的重要文件及目录是否根据实际环境设置了访问控制策略。 手工检查: 执行命令#ls -l查询系统内重要文件是否合理设置了访问控制策略。 操作系统的重要文件及目录已根据实际环境设置了访问控制策略。 系统管理员、安全管理安全审计员由不同访谈: 要有哪些角色、员、每个角色的权限是否的人员和用户担当。至相互制约、每个系统用少应该有系统管理员户是否被赋予相应的和安全管理员,安全审角色。 计员在有第三方审计工具时可以不要求。 操作系统除具有管理访谈: 结合系统管理员账户外,至少还有专员的组成情况,判断是门的审计管理员账户,否实现了该项要求。 且他们的权限互斥。 手工检查: 在root权限下,使用命令 #cat /etc/passwd 查看默默认账户已更名,来宾认账户是否已更名,并账户已禁用。 且是否已禁用来宾账户。 手工检查: 查看是否不存在多余、过期和共器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 f)检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 g)检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 a)检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 b)检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内有多余的、过期的账享账户。 户,避免共享账户的存在。 手工检查: 1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资对重要信息资源已设源设置敏感标记功能; 置敏感标记。 2)询问系统管理员是否对重要信息资源设置敏感标记。 访谈: 如:如何划分通过敏感标记设定用敏感标记分类,如何设户对重要信息资源的定访问权限等。 访问。 手工检查: 1)查看系系统开启了安全审计统是否开启安全审计功能或部署了第三方功能,或部署了第三方安全审计设备。 安全审计设备。 3 安全审计 手工检查: 在root权限下,查看系统日志服务 #ps -ef | grep syslog, 和审计服务 #ps -ef | grep auditd, 是否有效合审计功能已开启,包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的容等;检查安全审计进程和记录的保护情况。 c)检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 d)检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 e)检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 f)检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内理的配置了安全审计内容 系统操作(如用户登录、退出)等设置。 手工检查: 1)使用more命令查看审计记录文件 #cat /etc/audit/auditd.conf #cat /etc/audit/audit.rules 中是否准确记录日期和时间、类型、主体标识、客体标识、事件的结果等 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容。 手工检查: 1)检查audit日志文件,需要根据syslog.conf的定义查看对应的日志文件,确认是否记录了必要的审计要素; 2)能定期生成审计报表若有第三方审计工具并包含必要审计要素。 或系统,则查看其审计日志是否包括必要的审计要素; 3)检查审计日志记录、分析、生成报表情况。 访谈: 访谈对审计进对审计进程已采取相程监控和保护的措施。 关保护措施。 访谈: 访谈对审计记录监控和保护的措施。例如:通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录的修改、通过专用日志服务器或存储设备对审计记录进行备份,并避免对审计记录的修改、删除或覆盖。
Linux安全测评指导书
