在測評過程中最為常見的是三級系統,所以本文按照三級等保標準進行測評。
本文中出現的測評截圖均為博主搭建的測試環境。(請勿洩露客戶的生產環境資訊)
基礎資訊收集
記錄基本的資產資訊,方便後續統計。
# 檢視系統版本
uname -a
cat /etc/redhat-release
cat /etc/issue
# 檢視本機IP
ifconifg
(一)身份鑑別
1.1 控制項:應對登入的使用者進行身份標識和鑑別,身份標識具有唯一性,身份鑑別資訊具有複雜度要求並定期更換;
測評方法:
1)訪談系統管理員系統使用者是否已設定密碼,並檢視登入過程中系統帳戶是否使用了密碼進行驗證登入;
2)以有許可權的帳戶身份登入作業系統後,使用命令more /etc/shadow檔案,核查系統是否存在空口令帳戶和同名帳戶;
3)使用命令more /etc/login.defs檔案,檢視是否設定密碼長度和定期更換要求;
使用命令more /etc/pam.d/system-auth,檢視密碼長度和複雜度要求。
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
ucredit: upper-case 大寫字母
lcredit: lower-case 小寫字母
dcredit: digit-case 數字
ocredit: other-case 其他特殊字元
✏️最小長度策略,system-auth生效優先順序高於login.def
1.2 控制項:應具有登入失敗處理功能,應配置並啟用結束會話、限制非法登入次數和當登入連線超時自動退出等相關措施;
測評方法:
1)系統配置並啟用了登入失敗處理功能,檢視檔案內容:
本地登入配置:more /etc/pam.d/system-auth
新增auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600(見上圖);
✏️保證pam_tally2.so在pam_unix.so上面即可(不一定非要在第一行)
遠端ssh登入則配置此檔案:more /etc/pam.d/sshd
2)檢視/etc/profile中的TIMEOUT環境變數,是否配置超時鎖定引數;
以秒為單位,此處為30分鐘
3)SSH登入,檢視/etc/ssh/sshd_config;
此處為每600秒檢測一次,檢測到3次不活動就斷開
1.3 控制項:當進行遠端管理時,應採取必要措施防止鑑別資訊在網路傳輸過程中被竊聽;
測評方法:
1)訪談系統管理員,進行遠端管理的方式。
以root身份登入進入:
檢視是否執行了sshd服務(應該啟用): ps -ef | grep sshd ;
檢視是否執行了telnet服務(應該禁用):ps -ef | grep telnet;
2)如果本地管理,本條判定為符合。
1.4 控制項:應採用口令、密碼技術、生物技術等兩種或兩種以上組合的鑑別技術對使用者進行身份鑑別,且其中一種鑑別技術至少應使用密碼技術來實現。
測評方法:
訪談和核查系統管理員在登入作業系統的過程中使用了哪些身份鑑別方法,是否採用了兩種或兩種以上組合的鑑別技術,如口令教字證書Ukey、令牌、指紋等,是否有一種鑑別方法在鑑別過程中使用了密碼技術。
(二)訪問控制
?主要以訪談為主,此處略過
2.1 控制項:應對登入的使用者分配帳戶和許可權;
2.2 控制項:應重新命名或刪除預設帳戶,修改預設帳戶的預設口令;
2.3 控制項:應及時刪除或停用多餘的、過期的帳戶,避免共享帳戶的存在;
2.4 控制項:應授予管理使用者所需的最小許可權,實現管理使用者的許可權分離。
2.5 控制項:應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則;
2.6 控制項:訪問控制的粒度應達到主體為使用者級或程式級,客體為檔案、資料庫表級;
2.7 控制項:應對重要主體和客體設定安全標記,並控制主體對有安全標記資訊資源的訪問。
(三)安全審計
3.1 控制項:應啟用安全審計功能,審計覆蓋到每個使用者,對重要的使用者行為和重要安全事件進行審計;
測評方法:
以root 身份登入進入:
檢視 :
ps -ef | grep rsyslogd
ps -ef | grep auditd
more /etc/audit/audit.rules
3.2 控制項:審計記錄應包括事件的日期和時間、使用者、事件型別、事件是否成功及其他與審計相關的資訊;
測評方法:
以有相應許可權的身份登入進入:
檢視:
more /var/log/audit/audit.log
more /var/log/messages
3.3 控制項:應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
測評方法:
訪問並檢視日誌是否足夠六個月,檢視:
#檢視引數rotate,單位為周
cat /etc/logrotate.conf
ls /var/log/
ls /var/log/audit/
3.4 控制項:應對審計程式進行保護,防止未經授權的中斷;
略
(四)入侵防範
4.1 控制項:應遵循最小安裝的原則,僅安裝需要的元件和應用程式;
測評方法:
訪談加檢視:
yum list installed
4.2 控制項:應關閉不需要的系統服務、預設共享和高危埠;
測評方法:
檢視:
# 檢視服務
chkconfig --list
# 檢視埠
netstat -ano | more
4.3 控制項:應透過設定終端接入方式或網路地址範圍對透過網路進行管理的管理終端進行限制;
測評方法:
訪談網路防火牆、堡壘機或其他安全裝置有無限制或檢視:
# 白名單
cat /etc/hosts.allow
# 黑名單
cat /etc/hosts.deny
4.4 控制項:應提供資料有效性檢驗功能,保證透過人機介面輸入或透過通訊介面輸入的內容符合系統設定要求;
不適用
4.5 控制項:應能發現可能存在的已知漏洞,並在經過充分測試評估後,及時修補漏洞;
測評方法:訪談檢視漏掃報告,檢視補丁:
rpm -qa | grep patch
4.6 控制項:應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供報警;
測評方法:訪談並核查是否有入侵檢測軟體。
(五)惡意程式碼防範
5.1 控制項:應採用免受惡意程式碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為,並將其有效阻斷;
測評方法:訪談並核查是否有防病毒軟體。
(六)可信驗證
略
(七)資料完整性
7.1 控制項:應採用校驗技術或密碼技術保證重要資料在傳輸過程中的完整性,包括但不限於鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等;
測評方法:
#檢視是否執行sshd服務
ps -ef | grep sshd
#檢視是否執行telnet服務
ps -ef | grep telnet
7.2 控制項:應採用校驗技術或密碼技術保證重要資料在儲存過程中的完整性,包括但不限於鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等;
測評方法:訪談並核查是否安裝第三方主機防護軟體。
(八)資料保密性
8.1 控制項:應採用密碼技術保證重要資料在傳輸過程中的保密性,包括但不限於鑑別資料、重要業務資料和重要個人資訊等;
測評方法:訪談管理員遠端管理的方式,檢視sshd和telnet服務。
8.2 控制項:應採用密碼技術保證重要資料在儲存過程中的保密性,包括但不限於鑑別資料、重要業務資料和重要個人資訊等。
測評方法:
# 檢視 password pam_unix.so
more /etc/pam.d/system-auth
(九)資料備份恢復
?主要以訪談為主,此處略過
9.1 控制項:應提供重要資料的本地資料備份與恢復功能;
9.2 控制項:應提供異地實時備份功能,利用通訊網路將重要資料實時備份至備份場地;
9.3 控制項:應提供重要資料處理系統的熱冗餘,保證系統的高可用性;
(十)剩餘資訊保護
10.1 控制項:應保證鑑別資訊所在的儲存空間被釋放或重新分配前得到完全清除;
測評方法:嘗試登入伺服器後退出,確認再次登記時是否需要重新輸入使用者名稱和密碼(憑證)。
10.2 控制項:應保證存有敏感資料的儲存空間被釋放或重新分配前得到完全清除;
測評方法:作業系統是否採用了主機加固保證敏感資料儲存空間被釋放或重新分配前得到完全的清除。
命令合集
uname -a
cat /etc/redhat-release
cat /etc/issue
ifconfig
cat /etc/passwd
cat /etc/shadow
cat /etc/login.defs
cat /etc/pam.d/system-auth
cat /etc/pam.d/sshd
cat /etc/profile
cat /etc/ssh/sshd_config
ps -ef | grep sshd
ps -ef | grep telnet
ps -ef | grep rsyslogd
ps -ef | grep auditd
cat /etc/logrotate.conf
more /etc/audit/audit.rules
more /var/log/audit/audit.log
more /var/log/messages
ls /var/log/
ls /var/log/audit/
yum list installed
chkconfig --list
netstat -ano | more
cat /etc/hosts.allow
cat /etc/hosts.deny
rpm -qa | grep patch
***************************轉載請註明出處,尊重原創!***************************