搜索
检查范围检查项名称检查是否禁止匿名FTP访问检查是否修改FTPbanner信息检查是否关闭不必要的服务检查是否对登录超时时间配置系统文件管理检查系统coredump状态检查系统磁盘状态检查系统补丁检查是否开启NTS服务检查常规网络服务是否运行正常系统文件管理网络通信配置检查是否对基本网络服务进行配置检查是否存在未授权的suid/sgid文件检查是否存在异常隐含文件检查是否对重要目录和文件的权限进行设置网络通信配置用户账号配置检查是否配置加密协议检查passwdgroup文件安全权限检查是否配置环境变量检查是否对用户远程登录进行限制检查是否指定用户组成员使用su命令用户账号配置检查不同用户是否共享账号检查帐户口令安全是否符合要求用户账号配置检查是否删除或锁定无用账号检查是否存在除root之外UID为0的用户检查密码长度及复杂度策略检查是否对用户的umask进行配置检查是否存在无用用户组用户账号配置检查用户缺省访问权限检查是否存在无用账号检查是否对远程连接的安全性进行配置检查Cron任务授权用户账号配置日志审计配置检查是否对rsyslog.conf配置审核检查是否对syslog登录事件记录检查系统日志读写权限检查是否对远程日志服务器配置日志审计配置检查项编号权重系统文件-禁止匿名ftp80系统文件-修改FTPbanner信息80系统文件-关闭不必要的服务80系统文件-登陆超时时间设置80系统文件-系统coredump状态80系统文件-系统磁盘系统状态80补丁80网络与服务-只在必需NFS时,才开启NFS80网络与服务-常规网络服务80网络与服务-检查xinetd中基本网络服务配置80文件系统-查找未授权的SUID/SGID文件80文件系统-检查异常隐含文件80文件系统-重要目录和文件的权限设置80账号与口令-SSH登录配置80账号与口令-passwdgroup文件安全性配置80账号与口令-root用户环境变量的安全性80账号与口令-root用户远程登录限制80账号与口令-使用PAM禁止任何人su为root80账号与口令-共享账号检查80账号与口令-口令最长生存期策略80账号与口令-多余账户锁定策略80账号与口令-检查是否存在除root之外UID为0的用户80账号与口令-用户口令设置80账号与口令-用户的umask安全配置80账号与口令-用户组设置80账号与口令-用户缺省权限控制80账号与口令-用户账号设置80账号与口令-远程连接的安全性配置80日志审计-Cron任务授权80日志审计-Syslog.conf的配置审核80日志审计-syslog登录事件记录80日志审计-系统日志读写权限80日志审计-统一远程日志服务器配置80检查意见参考配置操作以vsftpd为例:打开vsftd.conf文件,修改下列行为:anonymous_enable=NO检测方法匿名帐户不能登录参考配置操作使用vsftpd,则修改/etc/vsftpd.d/vsftpd.conf文件的内容:ftpd_banner=Welcometo198FTPservice使用wu-ftpd,则需要修改文件/etc/ftpaccess,在其中添加:banner/path/to/ftpbanner参考配置操作查看所有开启的服务:#ps–ef#chkconfig--list#cat/etc/xinetd.conf在xinetd.conf中关闭不用的服务首先复/etc/xinetd.conf。#cp/etc/xinetd.conf/etc/xinetd.conf.backup然后用vi编辑器编辑xinetd.conf文件,对于需要注释掉的服务在相应行开头标记#字符,重启xinetd服务,即可。还可使用如下方式禁用不必要的服务#service服务名stop#chkconfig--level35off补充操作说明根据每台机器的不同角色,关闭不需要的系统服务。操作指南中的服务项提供参考,根据服务器的角色和应用情况对启动项进行修改。如无特殊需要,应关闭Sendmail、Telnet、Bind等服务Linux/Unix系统服务中,部分服务存在较高安全风险,应当禁用,包括:“lpd”,此服务为行式打印机后台程序,用于假脱机打印工作的UNIX后台程序,此服务通常情况下不用,建议禁用;“telnet”,此服务采用明文传输数据,登录信息容易被窃取,建议用ssh代替;“routed”,此服务为路由守候进程,使用动态RIP路由选择协议建议禁用;“sendmail”,此服务为邮件服务守护进程,非邮件服务器应将其关闭;“Bluetooth”,此服务为蓝牙服务,如果不需要蓝牙服务时应关闭;“identd”,此服务为AUTH服务,在提供用户信息方面与finger类似,一般情况下该服务不是必须的,建议关闭;“xfs”,此服务为Linux中XWindow的字体服务,关于该服务历史上出现过信息泄露和拒绝服务等漏洞,应以减少系统风险;R服务(“rlogin”、“rwho”、“rsh”、“rexec”),R服务设计上存在严重的安全缺陷,仅适用于封闭环境中信任主机之间便捷访问,其它场合下均必须禁用;基于inetd/xinetd的服务(daytime、chargen、echo等),此类服务建议禁用。判定条件所需的服务都列出来;参考配置操作通过修改帐户中“TMOUT”参数,可以实现此功能。TMOUT按秒计算。编辑profile文件(vi/etc/profile),在“HISTFILESIZE=”后面加入下面这行:建议TMOUT=${key}(可根据情况设定)在/etc/bashrc文件中增加如下行:exportHISTTIMEFORMAT=%F%T再用cat/etc/bashrc查看是否有对应配置;执行:more/etc/security/limits.conf配置下列项:*softcore0执行:more/etc/security/limits.conf配置下列项:*hardcore0执行:df-h,检查当前系统文件配置情况判定条件保证有足够的磁盘可用空间补充操作说明处理空间不足情况在保证业务网络稳定运行的前提下,安装最新的OS补丁。补丁在安装前需要测试确定。参考配置操作看版本是否为最新版本。执行下列命令,查看版本及大补丁号。#uname–a补充操作说明检测方法1、判定条件看版本是否为最新版本。#uname–a查看版本及大补丁号RedHatLinux::::检测操作在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的包就不装。执行:chkconfig--level345nfson起用NFSchkconfig--level345nfsoff停用NFS判定条件无补充操作说明如非必要,建议停止NFS。Linux默认停止NFS询问管理员或执行以下操作检查系统运行那些常规网络服务,并记录各类服务的服务系统软件类型和版本,对于运行的服务,提取相关配置文件信息:telnetlocalhost80telnetlocalhost25telnetlocalhost110telnetlocalhost143telnetlocalhost443telnetlocalhost21判定条件无补充操作说明确保web/mail/ftp等常规网络服务的运行正常执行:ls-l/etc/xinetd.dmore*|grepdisable/etc/xinetd.d/*检查/etc/xinetd.d目录中的包含的基本的网络服务的配置文件判定条件若启用了不必要的基本网络服务,则低于安全要求;补充操作说明more*|grepdisable中*为/etc/xinetd.d下的文件,disable=yes说明服务关闭disable=no说明服务启动用下面的命令查找系统中所有的SUID和SGID程序,执行:echoforPARTin\`grep-v^#/etc/fstab|awk'(\$6!=\0\){print\/./\\$2}'\`;do.sasbap_tmpechofind\$PART\(-perm-04000-o-perm-02000\)-typef-xdev-print.sasbap_tmpechodone.sasbap_tmpsh.sasbap_tmprm-rf.sasbap_tmp判定条件若存在未授权的文件,则低于安全要求;补充操作说明用“find”程序可以查找到这些隐含文件。例如:#find/-name..*-print#find/-name...*-print|cat-v同时也要注意象“.xx”和“.mail”这样的文件名的。(这些文件名看起来都很象正常的文件名)判定条件若类似文件存在,则低于安全要求;补充操作说明在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用“ls”命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等)。在UNIX下,一个常用的技术就是用一些特殊的名,如:“…”、“..”(点点空根据安全需要,配置某些关键目录其所需的最小权限;重点要求password配置文件、shadow文件、group文件权限。执行以下命令检查目录和文件的权限设置情况:ls-l/etc/#chmod-R750/etc/rc.d/init.d/*这样只有root可以读、写和执行这个目录下的脚本。/etc/passwd所有用户都可读,root用户可写–rw-r—r—配置命令:chmod644/etc/passwd/etc/shadow只有root可读–r--------配置命令:chmod600/etc/shadow;/etc/group必须所有用户都可读,root用户可写–rw-r—r—配置命令:chmod644/etc/group;配置建议:系统应配置使用SSH等加密协议进行远程登录维护,并安全配置SSHD的设置。不使用TELNET进行远程登录维护。参考配置操作查看SSH服务状态:#ps-elf|grepssh手动编辑/etc/ssh/sshd_config,在Host*后输入Protocol2,SSHD相关安全设置选项解释如下:Protocol2#使用ssh2版本X11Forwardingyes#允许窗口图形传输使用ssh加密IgnoreRhostsyes#完全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不设置使用基于rhosts的安全验证RhostsRSAAuthenticationno#不设置使用RSA算法的基于rhosts的安全验证HostbasedAuthenticationno#不允许基于主机白名单方式认证PermitRootLoginno#不允许root登录PermitEmptyPasswordsno#不允许空密码Banner/etc/motd#设置ssh登录时显示的banner补充操作说明配置建议:1、执行:ls–l/etc/passwd/etc/shadow/etc/group,查看文件权限状态2、执行:grep^+:/etc/passwd/etc/shadow/etc/group,查看文件中是否包含”+”。返回值应为空判定条件返回值包括“+”条目,则低于安全要求;补充操作说明更改文件权限,执行chmodo-w/etc/passwd/etc/shadow/etc/group删除文件中的”+”条目有”+”条目的文件允许通过NISMap中系统配置的某些点插入数据,passwdshadowgroup文件中如执行:ech