等级保护测评指导书主机系统表格推荐下载.xlsx
- 文档编号:1452473
- 上传时间:2023-04-30
- 格式:XLSX
- 页数:20
- 大小:44.21KB
等级保护测评指导书主机系统表格推荐下载.xlsx
《等级保护测评指导书主机系统表格推荐下载.xlsx》由会员分享,可在线阅读,更多相关《等级保护测评指导书主机系统表格推荐下载.xlsx(20页珍藏版)》请在冰点文库上搜索。
more/tcb/files/auth/system/default检查t_logdelay变量3)设定失败登录尝试次数:
more/tcb/files/auth/system/default,检查u_maxtrie和t_maxtriesd)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
重要S2S3RedhatLinux1)以root身份登入Linux2)查看是否安装SSH的相应包rpm-aq|grepssh或查看是否运行了sshd服务service-status-all|grepsshd3)如果已经安装则查看相关端口是否打开netstat-an|grep224)若未使用SSH方式进行远程管理,则查看是否使用了Telnet方式进行远程管理service-status-all|greprunning查看是否存在Telnet服务HPUnix1)以root身份登入系统2)查看是否运行了sshd服务#ps-ef|grepsshd查看相应端口是否打开#netstat-an|grep223)未使用SSH方式进行远程管理,则查看是否使用了Telnet方式进行远程管理ps-ef|greptelnet#netstat-an|grep23查看是否存在Telnet服务e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;
S2S3RedhatLinux1)以root身份登录进入Linux2)查看文件按内容#cat/etc/passwdHPUnix1)以root身份登录进入系统2)查看文件按内容#cat/etc/passwdf)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
重要S3RedhatLinux1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别,并进行验证。
HPUnix1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别,并进行验证。
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
重要S2S3RedhatLinux1)以root身份登录进入Linux2)查看以下文件权限:
#ls-l/etc/passwd#ls-l/etc/shadow#ls-l/etc/rc3.d#ls-l/etc/profile#ls-l/etc/inet.conf#ls-l/etc/xinet.conf等HPUnix1)以root身份登录进入系统2)查看以下文件权限:
umaskls-al/etc/passwdls-al/etc/groupls-al/etc/default/securityls-al/etc/profilels-al/etc/hosts.allowls-al/etc/hosts.deny等b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
重要S3RedhatLinux1)访谈管理员是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色2)查看cat/etc/passwd中各用户所属组分配情况HPUnix1)访谈管理员是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色2)查看cat/etc/passwd中各用户所属组分配情况c)应实现操作系统和数据库系统特权用户的权限分离;
重要S2S3RedhatLinux1)结合系统管理员的组成情况,判定是否实现了该项要求2)查看cat/etc/passwd中各用户所属组分配情况HPUnix1)结合系统管理员的组成情况,判定是否实现了该项要求2)查看cat/etc/passwd中各用户所属组分配情况d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
重要S1S2S3RedhatLinux1)以root身份登录进入Linux2)查看Linux密码文件内容:
#cat/etc/shadowHPUnix1)以root身份登录进入系统2)查看密码文件内容:
#cat/etc/passwdRedhatLinux1)以root身份登录进入Linux2)查看Linux密码文件内容:
#cat/etc/passwdHPUnix1)以root身份登录进入系统2)查看密码文件内容:
#cat/etc/passwdf)应对重要信息资源设置敏感标记;
S3RedhatLinux1)询问管理员是否对重要信息资源设置敏感标记HPUnix1)询问管理员是否对重要信息资源设置敏感标记g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
S3RedhatLinux1)询问或查看目前的敏感信息标记策略的相关设置,如:
如何划分敏感标记分类,如何设定访问权限等HPUnix1)询问或查看目前的敏感信息标记策略的相关设置,如:
如何划分敏感标记分类,如何设定访问权限等安全审计(G2、G3)a)审计范围应覆盖到服务器和重重要要客客户户端端上的每个操作系统用户和数据库用户;
重要G2G3(G2审计服务器,G3审计包括服务器和重要客户端)RedhatLinux1)以root身份登录进入Linux2)查看服务进程:
#servicesyslogstatus#serviceauditstatus或#service-status-all|greprunning3)若运行了安全审计服务,则查看安全审计的守护进程是否正常#ps-ef|grepauditdHPUnix1)以root身份登录进入系统2)查看是否运行了以下进程:
#ps-ef|grepsyslogd#ps-ef|grepauditd#audsysb)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
重要G2G3RedhatLinux1)以root身份登录进入Linux2)查看配置:
#greppriv-ops/etc/audit/filter.conf#grepmount-ops/etc/audit/filter.conf#grepsystem-ops/etc/audit/filter.confHPUnix1)以root身份登录进入系统2)查看以下文件:
cat/etc/rc.config.d/auditing相关参数RedhatLinux查看audit记录是否具有此项要求HPUnix1)分析以下日志文件信息:
/etc/syslog.conf/var/adm/wtmp/var/adm/utmp或者/etc/utmp/var/adm/sulog/var/adm/btmp/etc/security/failedlogin/tmp/ftplog.out2)查看/etc/audit配置文件中audit日志目录,进入目录查看是否符合相关选项d)应能够根据记录数据进行分析,并生成审计报表;
G3RedhatLinux1)访谈并查看对审计记录的查看、分析和生成审计报表的情况;
若有第三方审计报表工具,则记录其相关功能7)询问是否有管理员定期查看审计日志、审计报表等,并对其进行分析主主机机(可采用操作系统信息采集与分析工具对操作系统进行分析)安全审计(G2、G3)HPUnix1)访谈并查看对审计记录的查看、分析和生成审计报表的情况;
若有第三方审计报表工具,则记录其相关功能10)询问是否有管理员定期查看审计日志、审计报表等,并对其进行分析e)应保护审计进程,避免受到未预期的中断;
重要G3RedhatLinux1)访谈对审计进程监控和保护的措施HPUnix1)访谈对审计进程监控和保护的措施f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
重要G2G3RedhatLinux1)以root身份登录进入Linux2)查看日志访问权限ls-la/var/log/audit.d3)访谈审计记录的存储、备份和保护的措施,如配置日志服务器等HPUnix1)以root身份登录进入HPUnix2)查看日志访问权限/var/adm/wtmp/var/adm/utmp或者/etc/utmp/var/adm/sulog/var/adm/btmp等3)访谈审计记录的存储、备份和保护的措施,如配置日志服务器等剩余信息保护(S3)a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
S3RedhatLinux检查Linux操作系统维护/操作手册1)查看其是否明确用户的鉴别信息存储空间2)被释放或再被分配给其他用户前的处理方法和过程HPUnix检查HPUnix操作系统维护/操作手册1)查看其是否明确用户的鉴别信息存储空间2)被释放或再被分配给其他用户前的处理方法和过程3)查看cat/etc/default/security中DISPLAY_LAST_LOGIN参数b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
S3RedhatLinux检查Linux操作系统维护/操作手册,系统内的文件、目录等资源所在的存储空间,被释放或重新分配给其他用户前的处理方法和过程d)应能够根据记录数据进行分析,并生成审计报表;
G3HPUnix检查HPUnix操作系统维护/操作手册,系统内的文件、目录等资源所在的存储空间,被释放或重新分配给其他用户前的处理方法和过程入侵防范(G1、G2、G3)a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
重要G3RedhatLinux1)访谈并查看入侵检测的措施,如经常通过如下命令查看入侵的重要线索,涉及命令#more/var/log/sucure|greprefused2)查看是否启用了主机防火墙、TCPSYN保护机制等设置,使用命令#iptables-L-n3)可执行命令:
find/-name-print检查是否安装了以下主机入侵检测软件。
DragonSquirebyEnterasysNetworks、ITAbySymantec、HostsentrybyPsionicSoftware、LogcheckbyPsionicSoftware、RealSecureagentbyISS4)询问是否有第三方入侵检测系统,如IDS,是否具备报警功能HPUnix1)询问管理员是否定期查看系统日志并对其进行分析;
2)询问是否安装了主机入侵检测软件,并查看其配置情况,是否具备报警功能;
3)询问并查看是否有第三方入侵检测系统,如IDSb)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
重要G3RedhatLinux1)访谈是否使用文件完整性检查工具对重要文件进行完整性检查;
2)是否对重要配置文件进行备份,并查看和记录备份演示HPUnix1)访谈是否使用文件完整性检查工具对重要文件进行完整性检查;
2)是否对重要配置文件进行备份,并查看和记录备份演示b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
S3RedhatLinux1)访谈系统管理员系统目前是否采取了最小安装原则2)确认系统目前正在运行的服务:
#service-status-all|greprunning查看并确认是否已经关闭危险的网络服务如echo、shell、login、finger、r命令等。
关闭非必须的网络服务如talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等3)访谈补丁升级机制,查看补丁安装情况:
#rpm-qa|greppatchHPUnix1)访谈系统管理员系统目前是否采取了最小安装原则2)分析文件inetd.conf查看并确认是否已经关闭危险的网络服务如:
chargen、daytime、cmsd、rlogin、rsh、dtspc、echo、exec、finger、ftp、telnet、rstatd、rwalld等3)访谈补丁升级机制,查看补丁安装情况:
more/var/adm/sw/saveswlistlfileset|greppatch恶意代码防范(G1、G2、G3)a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
重要G1G2G3RedhatLinux1)查看系统中安装了什么防病毒软件,询问管理员病毒库是否经常更新,并查看病毒库的最新版本更新日期是否超过一个星期HPUnix1)查看系统中安装了什么防病毒软件,询问管理员病毒库是否经常更新,并查看病毒库的最新版本更新日期是否超过一个星期b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
G3RedhatLinux1)询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库HPUnix1)询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库c)应支持防恶意代码的统一管理。
G2G3RedhatLinux1)询问系统管理员是否采用了统一的病毒更新策略和查杀策略HPUnix1)询问系统管理员是否采用了统一的病毒更新策略和查杀策略RedhatLinux1)查看在/etc/hosts.deny中是否有“ALL:
ALL”,禁止所有的请求2)在/etc/hosts.allow中,是否有如下配置(举例):
sshd:
192.168.1.10/限制IP及其访问方式3)若系统对iptalbes进行了设置,则查看其配置情况HPUnix1)查看/etc/hosts.allow和/etc/hosts.deny中限制IP情况2)若系统对iptalbes进行了设置,则查看其配置情况b)应根据安全策略设置登录终端的操作超时锁定;
重要A2A3RedhatLinux1)查看/etc/profile中的TIMEOUT环境变量HPUnix分析/etc/profile文件中是否有TMOUT项(单位为秒),并且此项设置是否合理c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
重要A3RedhatLinux1)访谈系统管理员,询问系统上是否装有如Tivoli的第三方主机监控软件或自制的监控脚本2)运行这些软件或脚本3)如果有相关文档记录也可参阅HPUnix1)访谈系统管理员,询问系统上是否装有如Tivoli的第三方主机监控软件或自制的监控脚本2)运行这些软件或脚本3)如果有相关文档记录也可参阅d)应限制单个用户对系统资源的最大或最小使用限度;
A2A3RedhatLinux1)查看/etc/security/limits.conf中参数nproc可以设置最大进程数HPUnix1)查看/usr/conf/master.d/core-hpux中相关参数e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
重要A3RedhatLinux1)了解系统账户的资源分配情况,查看各个分区磁盘占用情况:
#df-k;
询问管理员日常如何监控系统服务水平2)若有第三方监控程序,询问并查看它是否有相关功能HPUnix1)了解系统账户的资源分配情况,查看各个分区磁盘占用情况;
询问管理员日常如何监控系统服务水平2)若有第三方监控程序,询问并查看它是否有相关功能e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
预期结果说明登录操作系统的用户口令不为空或弱口令1)密码栏为空则表示空密码;
记录/etc/passwd和/etc/shadow文件中密码一栏为空的账户名2)破解工具应为Pwdump7等登录操作系统的用户口令不为空或弱口令1)破解工具应为Pwdump7等以上配置项均有合理设置该文件里的配置对root用户无效,如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准。
推荐配置值:
PASS_MAX_DAYS90#登录密码有效期90天PASS_MIN_DAYS2#登录密码最短修改时间PASS_MIN_LEN8#登录密码最小长度8位PASS_WARN_AGE7#登录密码过期提前7天提示修改MD5_CRYPT_ENAByes#当使用md5为密码的加密方法时使用以上配置项均有合理设置推荐配置:
MIN_PASSWORD_LENGTH=8密码最小长度为8PASSWORD_MIN_UPPER_CASE_CHARS=1至少包括一个大写字母PASSWORD_MIN_DIGIT_CHARS=1至少包括一个数字PASSWORD_MIN_SPECIAL_CHARS=1至少包括一个特殊字符PASSWORD_MIN_LOWER_CASE_CHARS=1至少包括一个小写字母记录文件中是否存在accountrequired/lib/security/pam_tally.sodeny=3no_magic_rootreset存在此条信息,“三次密码错误即锁定账户”设置合适参数无1)有安装SSH包并运行sshd服务,且打开了22端口1)若服务器不接受远程管理,则无需记录此项内容。
推荐在远程登录时使用SSH协议。
2)可使用数据包嗅探工具,对数据包进行分析,确定其是否对数据进行加密传输,如Wireshark、Iris等3)可使用SSH连接工具、SecureCRT工具进行远程连接1)有安装SSH包并运行sshd服务,且打开了22端口1)若服务器不接受远程管理,则无需记录此项内容。
2)可使用数据包嗅探工具,对数据包进行分析,确定其是否对数据进行加密传输,如Wireshark、Iris等3)可使用SSH连接工具、SecureCRT工具进行远程连接记录文件中有相同用户名的账户这里UID为0的用户必须只有一个记录文件中有相同用户名的账户这里UID为0的用户必须只有一个1)使用了两种或两种以上身份验证鉴别技术。
如有除用户名口令外的其他身份鉴别方法,则记录这种方法1)使用了两种或两种以上身份验证鉴别技术。
如有除用户名口令外的其他身份鉴别方法,则记录这种方法各文件权限设置合理推荐值:
#ls-l/etc/passwd744#ls-l/etc/shadow740#ls-l/etc/rc3.d744#ls-l/etc/profile744#ls-l/etc/inet.conf744#ls-l/etc/xinet.conf744可使用扫描工具扫描共享,如nessus、等各文件权限设置合理umask设置应大于022可使用扫描工具扫描共享,如nessus、等系统设置合理的用户,并授予用户最小权限授予用户最小权限,避免出现权限的漏洞使一些高级用户拥有过大的权限系统设置合理的用户,并授予用户最小权限授予用户最小权限,避免出现权限的漏洞使一些高级用户拥有过大的权限实现了操作系统和数据库特权用户权限的分离无实现了操作系统和数据库特权用户权限的分离无实现本项要求。
1)记录没有被禁用的系统默认用户名2)可使用扫描工具扫描默认用户名和默认口令,如Xscan、nessus、等实现本项要求。
记录没有被及时删除多余的、过期的账户,避免共享账户实现本项要求。
记录没有被及时删除多余的、过期的账户,避免共享账户1)对重要信息资源设置敏感标记1)对重要信息资源设置敏感标记1)敏感标记分类合理划分,访问权限设置合理无1)敏感标记分类合理划分,访问权限设置合理无日志服务和安全审计服务正常运行。
若有第三方审计工具或系统则记录其运行状态是否正常日志服务和安全审计服务正常运行。
若有第三方审计工具或系统则记录其运行状态是否正常具有相关设置,记录相关参数无具有相关设置,记录相关参数无具有此项要求在/etc/autid/filter.conf里,加入下面几行:
syscallexecve=always&
return(log-verbose);
syscallopen=always&
includefilesets.conf;
用aucat
(1)来查看audit记录如下:
2005-04-22T17:
06:
35194406058-1execve(/usr/bin/find,find,/usr/lib,-name,*.jar,data,len=0)2005-04-22T17:
35194416058-1open(/etc/ld.so.preload,O_RDONLY);
result=-2Nosuchfileordirectory2005-04-22T17:
35194426058-1open(/etc/ld.so.cache,O_RDONLY);
result=32005-04-22T17:
35194436058-1open(/lib/tls/libc-2.3.2.so,O_RDONLY);
result=3第三列是进程id,每个正在运行的进程,每个二进制程序和打开文件都可以在这里观察到。
具有此项要求无1)具有系统报表的自动生成机制,并分析和查看3)有专人定期对审计日志、报表等进行查看和分析须提供一种直观的分析报告及统计报表的自动生成机制,对审计产生的记录数据进行统一管理与处理,并将日志关联起来,来保证管理员能够及时、有效发现系统中各种异常状况及安全事件。
1)具有系统报表的自动生成机制,并分析和查看6)有专人定期对审计日志、报表等进行查看和分析须提供一种直观的分析报告及统计报表的自动生成机制,对审计产生的记录数据进行统一管理与处理,并将日志关联起来,来保证管理员能够及时、有效发现系统中各种异常状况及安全事件。
应具有相应的措施保护审计就弄成保护好审计进程,当事件发生时,能够及时记录事件发生的详细内容应具有相应的措施保护
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 测评 指导书 主机 系统
![提示](https://static.bingdoc.com/images/bang_tan.gif)