等保测评----LINUX主机(一)

已于 2024-08-12 17:10:57 修改
阅读量736 收藏 3
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 等保测评 初入等保 文章标签: centos 服务器 linux 安全
于 2024-07-26 11:32:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_60936698/article/details/140711018

先稍微收集一下系统的信息

date //查看系统时间

cat /proc/version //查看系统版本号

ifconfig //查看网卡ip和子网掩码

  • 身份鉴别

  • a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

测评要求:

1) 应核查用户在登录时是否采用了身份鉴别措施;

2)应核查用户列表确认用户身份标识是否具有唯一性;

3)应 核查用户配置信息或测试验证是否不存在空口令用户;

4)应核查用户鉴别信息是否具有复杂度要求并定期更换。

操作说明:

1、cat /etc/redhat-release确定服务器版本,查看cat /etc/passwd、cat/etc/shadow 查看用户是否存在空口令用户

2、使用命令useradd test、passwd test、userdel test,查看用户是否能创建相同用户名用户并验证密码复杂度。

3、密码参数设置

A、使用命令cat查看/etc/login.defs文件,查看是否设置密码长度和定期更换要求

PASS_MAX_DAYS(最长使用期限)、PASS_MIN_DAYS(本次密码修改后,下次允许更改密码之前所需的最少天数)、PASS_MIN_LEN(密码长度要求)、PASS_WARN_AGE(口令失效前多少天开始通知用户更改密码)的值                                                   

B、密码复杂度:使用命令cat查看/etc/pam.d/system-auth、/etc/pam.d/password-auth和/etc/security/pwquality.conf文件。查看密码长度和复杂度要求minlen(最小密码长度)、ucredit(大写字母)、lcredit(小写字母)、dcredit(数字)、ocredit(字符)、difok(历史密码记录次数)、maxclassrepeat(同类最大次数),负数标识至少多少个,正数最多多少个

C、使用cat查看:/etc/ssh/sshd_config 开启认证passwordauthentication(基于口令的认证)  yes

附带验证:chage -l [用户]、date -d "1970-01-01  [写入时间戳]   days"(时间戳(日期)换算)可用于验证shadow文件中用户是否修改过密码,密码参数模块是否生效于shadow文件中

命令解释:

cat /etc/passwd //查看所有账号及权限及状态

cat /etc/shadow               //查看账号详情

cat /etc/pam.d/password-auth   //查看密码最小长度,复杂度(局部)     

cat /etc/pam.d/system-auth //查看密码最小长度,复杂度(全局,针对于所有本机/远程登录登录方式的登陆策略)

cat /etc/security/pwquality.conf //查看系统对密码复杂度的要求(相对不重要,大概率生效的是以上那一条的密码复杂度策略)

预期结果:

1)登录需要密码

2)不存在空口令账户

3)得出类似反馈信息,如下:

PASS MAX_DAYS 90 #登录密码有效期90天

PASS MIN_DAYS 0 #登录密码最短修改时间,增加可以防止非法用户短期更改多次

PASS MIN_LEN 7 #登录密码最小长度7位

PASS WARN_AGE 7 #登录密码过期提前7天提示修改

  1. 不存在绕过的安全风险

通过用户名+密码的方式进行身份鉴别,用户身份标识具有唯一性。未发现空密码账户。服务器已配置合规的密码复杂度策略:minlen=8 ucredit=-2  lcredit=-1  dcredit=-4  ocredit=-2,已配置合规的密码长度:PASS_MIN_LEN 7,已设置合规的密码更换周期:PASS_MAX_DAYS 90。

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

测评要求:

1)应核查是否配置并启用了登录失败处理功能;

2)应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等;

3) 应核查是否配置并启用了登录连接超时及自动退出功能。

操作说明:

1、登录失败处理策略:

1.1 /etc/login.defs参考以下设置 LOGIN_RETRIES  5LOGIN_TIMEOUT 600

1.2/etc/pam.d/system-auth是否设置"auth required pam tally2. so onerr=fail deny=3 unlock time=300 even deny root root unlock time=300"

附:cat /etc/pam.d/password-auth针对SSH远程的登录失败处理。

2、登录超时值策略:

2.1全局设置:/etc/profile  export TMOUT=300s 使用Source命令进行更新

附:面对SSH登录的超时设置:etc/ssh/sshd_config 设置:ClientAliveCountMax 为0 ClientAliveInterval为超时值

命令解释:

cat /etc/pam.d/login //登录策略

cat /etc/pam.d/system-auth //查看密码最小长度,复杂度(全局,针对于所有本机/远程登录登录方式的登陆策略)

cat /etc/pam.d/sshd //仅针对于SSH登录方式的登陆策略

cat /etc/profile //全局profile文件,设置后会影响到所有用户,主要用于查看闲置退出时间、用户设置

cat /etc/profile | grep TMOUT //这条命令只显示闲置退出时间

预期结果:

1)和2)查看登录失败处理功能相关参数,/etc/pam.d/system—auth文件中存在"account required /lib/security/pam_tally.so deny=3

no_ magic root reset" ;

3)记录在文件/etc/profile中设置了超时锁定参数,在profile下设置TMOUT= 300s

已设置合规的终端登录失败处理策略:deny=3 unlock_time=300 even_deny_root root_unlock_time=300,已设置合规的SSH远程登录失败处理策略:deny=3 unlock_time=300 even_deny_root root_unlock_time=300,已设置合规的空闲超时自动退出时间:TMOUT=600。

已配置登录失败处理策略及登录超时时间,登录失败3次,锁定账户5分钟,登录超时时间为5分钟。

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

测评要求:

应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。

操作说明:

1、cat /etc/ssh/sshd_config,查看PermitRootLogin是否关闭或注释,参考:PermitRootLogin no

2、访谈系统管理员,采用远程管理的方式。

2.1 以root身份登录进入Linux查看是否运行了telnet服务,操作:a.rpm -qa | grep telnet  查看是否存在telent的包,b.netstat -tunlp|grep 23,查看相关的telnet端口是否打开,c.ps -ef|grep telent,查看是否存在telent的服务进程。

2.2 若使用SSH方式进行远程管理,操作:a.rpm -qa | grep ssh  查看是否存在ssh的安装包,b.netstat -tunlp|grep 22,查看相关的SSH端口是否打开,c.ps -ef|grep ssh,查看是否存在ssh的服务进程。

2.3 采用本地化管理,netstat -tunlp,查看是否存在高危端口,判定为不适用

命令解释:

cat /etc/ssh/sshd_config //查看PermitRootLogin参数;

cat /etc/ssh/sshd_config | grep PermitRootLogin //这条命令只显示是否使用root账号账号运程登录

rpm -aq | grep ssh 查看已安装的包

rpm -aq | grep telnet

rpm -aq | grep vsftp

rpm -qa | grep ssl

lsof -i:21 查看端口是否运行

lsof -i:22

lsof -i:23

netstat -tunlp 查看所有端口ssh服务端口

netstat -tunlp | grep 21 查看21端口

netstat -tunlp | grep 22 查看22端口

netstat -tunlp | grep 23 查看23端口(没有显示默认是关闭)

ps -aux  | grep telnet   查看teInet 远程登录端口

ps -aux  | grep vsftp 查看vsftp端口

ps -aux  | grep ssh 查看ssh端口

ps -aux  | grep  rlogin 查看远程登录命令

ps -aux  | grep  ftp 查看ftp端口

预期结果:

1)使用SSH方式进行远程管理,防止鉴别信息在传输过程中被窃听,Telnet默认不符合

2)通过抓包工具,截获信息为密文,无法读取,协议为加密

3) N/A本地管理

仅允许使用SSH协议进行远程管理,鉴别信息在网络中加密传输,以防止鉴别信息在网络传输过程中被窃听。已关闭telnet服务。

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

测评要求:

1)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别,

2)应核查其中一种鉴别技术是否使用密码技术来实现。

操作说明:

访谈和核查系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术。(鉴别技术类型:知道的、拥有的、身份特征)

命令解释:

预期结果:

除口令之外,采用了另外一种鉴别机制,此机制采用了密码技术,如调用了密码机或采取SM1-SM4等算法

等保测评----LINUX主机(三)
m0_60936698的博客
07-26 338
b.使用命令 cat /var/log/secure | tail -n 5、cat /var/log/message | tail -n 5、cat /var/log/cron、who /var/run/utmp、last /var/log/wtmp、lastb /var/log/btmp、lastlog /var/log/lastlog,查看日志类型和是否存在日志内容。mail.none;tail -10 /var/log/audit/audit.log 查看前10条日志内容。
等保测评----LINUX主机(二)
m0_60936698的博客
07-26 240
c.进入Linux,使用“ls -l文件名”命令,查看重要文件和目录权限设置是否合理,主要查看如:/etc/passwd、/etc/group、/etc/shadow、/etc/rsyslog.conf,权限建议:其他文件为644,/etc/shadow为600。ls -l /var/log/secure /var/log/audit/audit.log /var/log/messages 查看账号权限的值(值644)已禁用默认账户访问权限。
Linux服务器等保测评命令
陈苏漾的IT生涯
10-30 906
ls -al /etc/shadow /etc/passwd /etc/group /etc/xinetd.conf /etc/rc.d/init.d /var/log/messages /var/log/wtmp /var/run/utmp /var/log/message /var/log/secure /var/log/audit/audit.log #查看访问级别。如果3次都检查到客户端不响应,那么就认为ssh已经断开了。}' #查看CPU占用率。
等保测评linux
m0_52527037的博客
04-04 7037
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;网络设备、防火墙配置访问控制策略;
等保测评linux服务器
热门推荐
weixin_62380574的博客
03-29 1万+
二、安全审计 a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 Linux系统审计功能有两个,个是audit,另个是syslog,audit 主要用来记录安全信息,用于对系统安全事件的追溯;而 syslog日志系统用来记录系统中的各种信息,如硬件警报和软件日志等。但是 syslog 属于应用层,没办法记录太多信息。audit 来记录内核信息,包括文件的读写,权限的改变等。 两个功能都是相互独立的,谁都不影响谁,我们测评时主要看audit功能,我们可以使用命...
等保测评-Linux主机测评篇
weixin_59005129的博客
05-29 896
通俗来讲:如果应急响应是被攻击后进行的排查溯源,那么等保测评可以理解为在项目上线前对本机进行主机测评,中间件及数据库测评和WEB渗透测试等测评项,降低被攻击拿下的概率,保证"最小权限原则、最小安装原则、最新版本"
等保测评-Linux服务器
mashiro_hibiki的博客
03-20 1342
等保测评中,服务器需要使用安全计算环境中的控制点来进行测评,详情可以测评要求参考《信息安全技术 网络安全等级保护测评要求GB/T 284482019》,以下是Linux服务器测评中有关技术方面的测评方法。
玄机——Linux等保测评
最新发布
m0_73812072的博客
06-05 1674
> (1)**等级保护**(网络安全等级保护)是我国网络安全领域的基本制度,指对国家关键信息基础设施、网络和信息系统,按重要程度划分为不同安全保护等级 > (2)通常来说,**等级保护测评指标**,基于网络安全等级保护 2.0 标准(GB/T 22239-2019),覆盖技术与管理两大维度,适用于第二级、第三级系统(级要求相对基础,四级、五级为国家级关键系统,要求更高且需专项管理)
精选资源
等保测评 linux 主机整改
11-14
等保测评 linux 主机整改 等保测评 linux 主机整改 等保测评 linux 主机整改
等保测评linux主机整改
01-20
安全加固部份: 。密码90天更换,最小长度8 建议: 对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令. 1)/etc/login.defs,参考以下设置: PASS_MAX_DAYS 90; PASS_MIN_DAYS 1; PASS_WARN_AGE 28;密码失效28天通知用户 PASS_MIN_LEN 8; 修改命令 sed -i.bak -r ‘/^PASS_MAX_DAYS/s/99999/90/’ /etc/login.defs sed -ir ‘/^PASS_MIN_DAYS/s/0/1/’ /etc/login.
等保2.0测评 linux服务器加固 基本安全配置手册.docx
12-25
等保2.0测评 linux服务器加固 基本安全配置手册
等级保护2.0三级-Linux测评指导书V1.0.pdf
09-11
等级保护2.0三级linux测评指导书。应对登录的用户进行身份标识和鉴别,身份标识具有唯性,身份鉴别信息 具有复杂度要求并定期更换; 测评方法: 1) 使用 root 权限的账户登录操作系统后, 使用命令 more查看/etc/shadow 文 件,核查第二列是否为空,为空即存在空口令账户 2) 使用命令 more 查看/etc/login. defs 文件,查看是否设置密码长度和定 期更换要求,使用命令 more查看/etc/pam.d/system-auth 文件。查看密码长 度和复杂度要求,记录 PASS MAX_DAYS 、PASS MIN_DAYS 、PASS MIN_LEN 、
等级保护2.0 Linux加固 Redhat 加固 基线
10-21
Linux安全加固基线。从扫描器中导出的配置结果,提供了检查项目、配置命令等。能够为Linux提供较好的加固方案。
等保2.0 Linux主机测评过程
tigerman20201的博客
11-24 2062
以下结果以centos7 为例,按照等保2.0标准,2021报告模板,三级系统要求进行测评。 、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯性,身份鉴别信息具有复杂度要求并定期更换。 输入more /etc/shadow,得知系统所有用户,此语句字段格式有九段。 第字段:用户名(也被称为登录名),在/etc/shadow中,用户名和/etc/passwd是相同的,这样就把passwd 和shadow中用的用户记录联系在起;这个字段是非空的;第二字段:密码(已被加
Linux系统配置核查-等保测评】网络安全等级保护测评 S3A3 计算环境操作系统(Linux)_等保 s3a3
m0_60750088的博客
04-28 1306
etc/group权限644,/etc/passwd权限为644,/etc/shadow权限为000,/etc/profile权限为644,/etc/crontab权限为644,/etc/ssh/sshd_config权限为400。敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整型数字,也可能是字母,总之,它表示主体和客体的安全级别。用于管理整个系统,可在 /etc/sudoer 中授予各式各样的权限,但无审计管理的权限,不可中断审计进程及修改审计配置等,且不可威胁到root用户。
Linux等保测评与加固
2401_84434570的博客
10-12 2087
它是种基于系统级别的强制性访问控制,不受用户或进程的自主决策的影响,确保系统中的资源只能被授权用户或进程访问,而不依赖于用户或进程的标签或权限。然而,目录和文件的默认权限属性是不同的,因为对于个目录来说它的x权限也就是执行权限是很重要的,进入目录等操作都是需要目录具有执行权限的,而对于文件来说,般情况都是用于数据的记录操作,所以般不需要执行权限。密码(已被加密,所以看到是堆乱码,CentOS7以上都是采取的SHA256加密算法进行加密),如果是有些用户在这段是x,*,!上次修改口令的时间;
等保篇-LINXU操作系统等保测评指南
qq_40181198的博客
02-25 3546
等级保护测评安全计算环境层面-Linux操作系统测评指南
等保测评Centos 7测评命令
bubble87的博客
02-24 2220
2) 应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
Linux下PAM模块学习总结
wo4owen的博客
09-30 1260
转载于: https://www.cnblogs.com/kevingrace/p/8671964.html 如有侵权请联系删除 Linux下PAM模块学习总结 在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

魔同

请给的动力,生活囧迫!!!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值