1.身份鉴别
身份验证
登录设备su root切换为root用户,检查用户以及是否含有空口令
more /etc/shadow
密码长度以及定期要求
more /etc/login.defs
登录密码有效期(最好为九十天)
最短修改时间
密码最小长度
过期前七天提示
密码设置规则
vim /etc/pam.d/system-auth
difok 新旧密码允许相同字符个数
minlen 密码最小长度
ucredir 最小大写字母个数(参数加-表示至少)
lcredir 最少小写字母个数(参数加-表示至少)
dcredir 最少数字个数
登录失败处理功能
当用户输入密码错误时结束会话或限制登录次数,以及等待时间
vim /etc/pam.d/system-auth
添加pam_tally2.so参数
查看是否配置超时锁定参数
cat /etc/profile | grep TMOUT -n
(最好大于五分钟)
远程管理安全性验证
查看是否运行了sshd服务
systemctl status sshd.service
查看相关端口是否打开
netstat - an | grep 22
若没有远程管理ssh服务查看是否有telnet
netstat - an | grep 23 (23为telnet端口号)
两种以上身份鉴别技术
访问控制
a)应对登录的用户分配账户和权限:
查看账户密码文件属性 十位
ls -l /etc/password
第一位的种类:
-是普通文件
d是目录
l是一个链接
b是设备文件 dev文件下
剩下的三组分别是 文件拥有者的权限 文件所属组的权限 其他用户权限
r读取
w修改
x执行
b)应重命名或删除默认账户,修改默认账户的默认口令;
cat /etc/shadow
*账户被锁定
!!密码已过期
root是默认名,一般是要修改的
查看root能否远程登录,查看ssh文件
more /etc/ssh/sshd_config
看PermitRootLogin参数,no是不允许远程登录,yes是允许登录
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
检查多余过期账户
more /etc/shadow
禁用账户
usermod -L 账户名
解除禁用
usermod -U 账户名
应该有三个系统账户
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
more /etc/passwd
观察参数,看权限分配是否合理,0为超级管理员权限,可修改数值,修改权限,保证有一个最小权限账户。
检查root用户权限都赋予了那些用户
more /etc/sudoers
e)应由授权主体配置访问控制策略,访间控制策略规定主体对客体的访问规则;
more /etc/passwd
服务器安全员及其访问控制权限
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
ls -l 重要文件文件名
查看文件属性,是否权限合理
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
ls -Z /etc/passwd
切换root,查看selinux是否开启
more /etc/selinux/config
观察selinux参数
disable 关闭selinux
enforcing 阻止行为并记录到日志
permissive 宽容模式,仅记录
安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
查看啊audit(linux审计内核)
切换为root查看该内核是否启动
auditctl -s
enable 1是启动 2是锁定 零是未开启
守护进程未开启 日志会记到/var/log/message
service audit status
观察审计进程是否开启
查看审计记录的总览
aureport -i
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
cat /var/log/audit.log
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
询问管理员是否备份
查看日志权限
ls -l /var/log
查看日志存储规则
cat /etc/audit/auditd.config
询问备份机制
d)应对审计进程进行保护,防止未经授权的中断。
尝试非管理员用户停止守护进程
service auditd stop
询问是否有第三方进程阻断审计进程
入侵防范
a)应遵循最小安装的原则仅安装需要的组件和应用程序
查看已经安装的组件
yum list installed
根据下一项推断
b)应关闭不需要的系统服务、默认共享和高危端口
查看系统服务
systemctl list-units -all --type
查看系统监听的端口以及对应的进程
netstat -anp a代表所有进程,n表示用数字代替进程号,p显示进程号和进程名
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
可以通过host.allow host.deny ssh的配置文件实现控制
查看host.allow
more /etc/host.allow
添加允许ip
vim /etc/host.allow
格式 sshd:192.168.1.1
禁用ip
vim /etc/host.deny
sshd:ALL
查看防火墙是否对接入终端进行了限制
首先检查防火墙是否开启
systemctl status firewall
若没有开启,则使用
systemctl start firewall
检查是否设置ip地址的访问规则
firewall-cmd – zone=public --list- rich- rules
若没有
重置防火墙,使配置生效
firewall- cmd – reload
再次查看,发现新的访问规则
firewall-cmd – zone=public --list- rich- rules
d)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
查看漏扫报告
之后查看补丁安装情况
rpm - qa grep patch
e)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
查看安全日志
more /var/log/secure
恶意代码防范
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒
行为,并将其有效阻断
检查系统中是否安装防病毒软件,如果有安装询问管理员病毒库的更新策略是什么,要符合这一条,需
要安装网络版的主机杀毒软件,并且病毒库是最新的。然后询问管理员网络防病毒软件和主机防病毒软
件分别采用什么病毒库,两个需要不同的病毒库,具备不同的特点,然后询问管理员是否有统一的病毒
更新策略和查杀策略,当发现病毒入侵时,如何有效阻断,意思就是安装的防病毒软件需要具备病毒入
侵报警机制,然后检查系统中采取了何种可信验证机制来阻断病毒。符合这一条需要使用安全可信服务
器或者启用安全可信策略,还有一种情况就是没有安装防恶意代码软件,但是通过阿里云管理中心的恶
意代码防范模块实现对入侵和病毒的阻断和报警,也可以认定为部分符合。
数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于
鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个
人信息等;
一般由应用系统,数据库系统等软件使用https,ssh等安全协议传输数据实现传输过程中的完整性,所
以服务器不适用于此项。
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于
鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个
人信息等。
more /etc/hosts.allow
sshd:192.168.1.1 //允许这个ip连接
all:192.168.1.:deny //拒接这个ip段所有ip
more /etc/hosts.deny
sshd:ALL //拒接所有ip,hosts.allow优先于hosts.deny,所以192.168.1.1不会被拒接
systemctl status firewalld //检查防火墙是否开启
Active: active (running)
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source
address=“192.168.0.200” port protocol=“tcp” port=“80” reject” //限制IP为
192.168.0.200 的地址禁止访问80端口即禁止访问机器
firewal-cmd–reload //重新载入防火墙设置,让配置生效。
firewall-cmd --zone=public --list-rich-rules //查看防火墙配置规则。
在Linux服务器中默认部分符合。
数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、
重要业务数据和重要个人信息等;
一般由应用系统,数据库系统等软件使用https,ssh等安全协议传输数据实现传输过程中的完整性,所
以服务器不适用于此项。
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、
重要业务数据和重要个人信息等。
在Linux服务器中默认符合。
数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能;
对应用系统和数据库进行备份和恢复测试来实现数据备份和恢复功能,所以服务器不适用于此项。
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
对应用系统和数据库进行备份和恢复测试来实现数据备份和恢复功能,所以服务器不适用于此项。
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
首先检查网络拓扑图结构,了解网络线路上服务器节点是否具备其他热备集群等高可用设备。然后访谈
管理员查看资产列表,服务器有没有其他高可用方式。如果重要服务器采用热备或者集群的方式可满足
数据高可用,则该项符合,否则不符合。
扫一扫
895
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
