等保作业常见操作实践--linux版--访问控制篇

亚里士多没有德775

于 2024-09-10 17:19:51 发布

阅读量598

点赞数 4

分类专栏：等保测评实习文章标签： linux 运维服务器

本文链接：https://blog.youkuaiyun.com/weixin_67876387/article/details/142102918

版权

等保测评实习专栏收录该内容

11 篇文章

订阅专栏

接着上面等保作业常见操作实践--linux版--身份鉴别篇-优快云博客

a) 应对登录的用户分配账户和权限；

1) 应核查是否为用户分配了账户和权限相关设置情况；
2) 应核查是否已禁用或限制匿名、默认账户的访问权限。
如果1)和2)均为肯定，则符合本测评单元指标要求，否则不符合或部分符合本测评单元指标要求。

b) 应重命名或删除默认账户，修改默认账户的默认口令；

1)以有相应权限的身份登录进入Linux,使用more查看/etc/shadow文件，查看文件中的用户，是否存在adm、 lp. sync、 shutdown、 halt.、mail、 uucp、operator,、games.、gopher ftp等默认的、无用的用户。

[user@localhost ~]$ sudo more /etc/shadow
[sudo] password for user: 
root:$6$4smooHmircvV.RNZ$7ouZ/RI1ZImktSr8yTZ5aIH1wmVeyQc8vu48fBw56nYX7QNzd3L5Vu/h5QHjHqjSyx5ko3yHgBfJMUG0Dz4ag0::0:99999:7:::
bin:*:18353:0:99999:7:::
daemon:*:18353:0:99999:7:::
adm:*:18353:0:99999:7:::
lp:*:18353:0:99999:7:::
sync:*:18353:0:99999:7:::
shutdown:*:18353:0:99999:7:::
halt:*:18353:0:99999:7:::
mail:*:18353:0:99999:7:::
operator:*:18353:0:99999:7:::
games:*:18353:0:99999:7:::
ftp:*:18353:0:99999:7:::
nobody:*:18353:0:99999:7:::
systemd-network:!!:19971::::::
dbus:!!:19971::::::
polkitd:!!:19971::::::
libstoragemgmt:!!:19971::::::
colord:!!:19971::::::
rpc:!!:19971:0:99999:7:::
saned:!!:19971::::::
gluster:!!:19971::::::
saslauth:!!:19971::::::
abrt:!!:19971::::::
setroubleshoot:!!:19971::::::
rtkit:!!:19971::::::
pulse:!!:19971::::::
radvd:!!:19971::::::
chrony:!!:19971::::::
unbound:!!:19971::::::
qemu:!!:19971::::::
tss:!!:19971::::::
sssd:!!:19971::::::
usbmuxd:!!:19971::::::
geoclue:!!:19971::::::
ntp:!!:19971::::::
gdm:!!:19971::::::
rpcuser:!!:19971::::::
nfsnobody:!!:19971::::::
gnome-initial-setup:!!:19971::::::
sshd:!!:19971::::::
avahi:!!:19971::::::
--More--(86%)

2)查看root账户是否能够进行远程登录

使用more查看/etc/ssh/sshd_config文件中的"PermitRootLogin"参数设置为“no “ ，即: PermitRootLogin no, 即不许可root远程登录

[user@localhost ~]$ sudo more /etc/ssh/sshd_config
[sudo] password for user: 
#	$OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
--More--(19%)

这个好像没有欸

c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；

1)应核查是否不存在多余或过期账户，如查看games、news、 ftp、 1p等系统默认账户是否被禁用，特权账号halt、shutdown是否被删除
2)应访谈网络管理员、安全管理员、系统管理员不同用户是否采用不同账户登录系统

d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；

1)以有相应权限的身份登录进入Linux, 使用more查看/etc/passwd文件中的非默认用户，询问各账户的权限，是否实现管理用户的权限分离
2)以有相应权限的身份登录进入Linux, 使用more查看/etc/sudo.conf文件，核查root级用户的权限都授予哪些账户

e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

1)访谈系统管理员，是否指定授权人对操作系统访问控制权限进行配置
2)核查账户权限配置，是否依据安全策略配置各账户的访问规则

f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

使用“ls -1文件名”命令，查看重要文件和目录权限设置是否合理,如:#ls -1/etc/passwd #744,应重点查看以下文件和目录权限是否被修改过
etc/shadow
etc/profile
etc/passwd
etc/group
etc/security

例如：

[user@localhost ~]$ ls -1 /etc/passwd
/etc/passwd

g) 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

1)明确系统中是否有敏感信息
2)在主体用户或进程划分级别并设置敏感标记，在客体文件设置敏感标记
3)应测试是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略
4)以有相应权限的身份登录进入Linux,使用more查看/etc/selinux/config文件中的SELINUX参数的设定