搜索
A.1.1RedHatLinux操作系统RedHatLinux操作系统-安全审计测试类别:风险评估测试对象:RedHat测试类:安全审计测试项:测试内容:确信对系统的主要行为都有审计日志,对于重要服务(ftp,telnet,http)及重要操作(su登录等操作)由日志记录。并且所有的日志文件都有适当的访问权限,除root之外,其它用户没有修改权限。测试方法:查看/etc/syslog.conf的配置文件,确定是否对系统日志和网络服务配置了适当的日志记录策略;查看syslog.conf中制定的,存放在/var/log下日志文件的更新日期,确定是否对相应的动作有实时日志功能(仅对linux系统而言);确保这些文件的应该属于root用户所有,文件的权限应该是644;查看hosts.allow和hosts.deny文件内容。测试记录:1.已配置的日志:2.日志功能是否有效实施,日志记录的日期和内容是否与配置相符合:3.日志文件的访问权限:4.查看hosts.allow和hosts.deny文件内容:备注:签名日期RedHatLinux操作系统-系统安全测试类别:风险评估测试对象:RedHat测试类:系统安全测试项:测试内容:被测操作系统应安装最新的系统补丁程序,只开启必要的服务;系统应保证和常用命令相关配置文件的安全性。设置安全的访问旗标;并对系统资源作适当的使用限制。测试方法:查看或询问是否安装最新补丁程序;Telnet/ftp登录系统,确定系统旗标信息的是否安全;是否为用户不成功的鉴别尝试次数定义阀值。测试记录:补丁安装情况(控制面板|在线更新):是否有安全的系统访问旗标?显示操作系统类型□显示操作系统内核版本□ftp登录察看显示信息:是否使用了用户磁盘限额?□用户磁盘限额策略:用户连续登录失败的次数:默认umask值(#umask):重要文件和目录的读写权和属主:/etc/security属主访问许可:/usr/etc属主访问许可:/bin属主访问许可:/usr/bin属主访问许可:/sbin属主访问许可:/var/log属主访问许可:/etc/*.conf属主访问许可:/etc/login.defs属主访问许可:备注:签名日期RedHatLinux操作系统-用户属性测试类别:风险评估测试对象:RedHat测试类:用户属性测试项:测试内容:操作系统应设置安全有效的口令策略(密码强度、密码长度、口令有效期等)。应限制能够su成root的用户,限制root的远程登录,根据需要设置可以进入单用户模式的用户,应启用用户超时自动注销的功能。测试方法:查看/etc/passwd中是否有空口令账户;查看/etc/login.defs是否设置了适当的口令策略;查看wheel用户组成员。测试记录:login.defs口令策略():PASS_MAX_DAYSPASS_MIN_DAYSPASS_MIN_LENPASS_WARN_AGE能够su为root的用户(/etc/group中wheel组成员):察看/etc/pam.d/su文件是否存在以下项:□authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheel是否允许root远程登录(登陆验证)?□是否启用了用户超时自动注销功能?□HISTFILESIZE=TMOUT=/etc/security/access.conf内容:系统引导程序的访问许可位:文件中是否有口令保护(/etc/lilo.conf)?□备注:签名日期RedHatLinux操作系统-网络及服务安全测试类别:风险评估测试对象:RedHat测试类:网络及服务安全测试项:测试内容:操作系统应只开放必要的网络服务。无多余的网络端口开放;操作系统应使用高强度加密机制替代明文传输数据的协议或服务;应开启Iptables防火墙,并且规则得到有效实施;应该有防病毒软件安装并且有效运行。限制能够访问本机的IP地址。测试方法:使用netstat命令来获得系统的端口列表,并记录关键的端口列表;察看telnet,ftp等明文传输协议是否运行,察看telnet和ftp的用户属性;察看iptables是否已开启,iptables日志是否有效记录了现有规则的实施结果。测试记录:开放网络端口有:TCP端口:UDP端口:启用的服务有(#setup)或查看/etc/xinetd.d目录下的各个文件中disable项的赋值:FTP和Telnet等网络服务的访问限制:(如果系统没有安装ftp和telnet略过此项)FTPTelnet:是否启用了SSH等安全远程登录工具?□取代方法:对连接到本机的访问限制:Iptables是否已开启?□主要规则有:日志内容是否有效?:查看防火墙设置的安全级别:是否安装了防病毒软件?□是否有效运行(察看日志和病毒库更新情况):备注:签名日期RedHatLinux操作系统-备份/恢复容错机制测试类别:风险评估测试对象:RedHat测试类:备份/恢复容错机制测试项:测试内容:操作系统要求在故障事件发生时能够保证业务的连续性;操作系统应根据自身情况,对系统数据、用户数据、审计日志、策略文档及注册表数据制定合理的备份/恢复策略,以满足系统在遇到意外事故数据遭受破坏时,系统恢复操作的需要。测试方法:查看服务器是否有UPS电源支持,是否有RAID保护;查看系统备份/恢复机制是否满足系统安全要求。测试记录:操作系统是否有磁盘冗余阵列?___________________服务器是否有UPS支持?□系统是否有双机热备?□操作系统备份/恢复机制?用户数据备份/恢复机制?日志数据备份/恢复机制?业务应用程序备份/恢复机制?是否使用cron和at定期执行系统管理任务和备份/恢复任务.记录当前的cron任务记录当前的at任务备注:签名日期A.1.2Solaris操作系统Solaris操作系统-安全审计(标准的Solaris审计)测试类别:风险评估测试对象:Solaris8测试类:安全审计(标准的Solaris审计)测试项:测试内容:操作系统的syslogd应当开启。系统应该确保错误信息和失败登录信息等的日志记录,并且对日志数据有适当的的访问控制(一般不允许任何用户写日志数据,只有管理员或审计员才能阅读日志数据);应定期浏览日志数据;并对日志结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。测试方法:查看syslogd是否启动;查看sydeslog的配置;查看日志相关文件的内容和最后修改日期;查看日志相关文件的访问许可;询问或查看日志相关文件的存放位置,溢满处理和备份清理策略。测试记录:是否开启syslogd:□察看syslog.conf系统审计配置:Falacility.levelaction查看inetd的服务是否启动日志功能:ftp的日志功能:查看审计功能是否有效实施,访问许可位和属主:/dev/sysmsg:/var/adm/cron/log:/var/adm/wtmp:/var/log/syslog:/var/adm/sulog:/var/log/authlog:/var/adm/messages:/etc/security/lastlog:是否有单独的日志分区(日志文件是否存放在单独的文件系统):□如果有,察看分区大小是否有定期的日志备份和清理策略:□备份策略备注:签名日期Solaris操作系统-安全审计(BSM审计)测试类别:风险评估测试对象:Solaris测试类:安全审计(BSM审计)测试项:测试内容:操作系统的审计子系统SecUSolarisp2.3BSM应处于开启状态,并且根据需要定制必要的审计内容;应能对被定制的操作事件自动生成审计纪录;系统应针对审计结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。测试方法:检查系统的安全审计功能是否已经开;检查系统设置的审计事件和审计对象;查看审计功能的运行是否实时有效;检查审计日志是否存储在单独的磁盘分区上,存储审计日志的磁盘分区是否足够大;是否有定期的日志备份和清理策略。测试记录:(有条件的话,运行测试脚本文件)是否开启系统审计功能:□(开启:bsmconv)audit_control的配置:审计文件存放位置:审计文件所需剩余空间:指定的系统用户审计事件类:指定的普通审计事件类:查看审计功能是否有效实施,审计记录是否包含事件的日期和时间,事件类型,主体身份,事件的结果:□是否有单独的日志分区(trail文件是否存放在单独的文件系统):□如果有,察看分区大小审计文件的访问许可:是否有定期的日志备份和清理策略(询问):□备份策略查看用户审计事件:备注:签名日期Solaris操作系统-系统安全(1)测试类别:风险评估测试对象:Solaris测试类:系统安全(1)测试项:测试内容:被测操作系统应安装最新的系统补丁程序,只开启必要的服务,限制服务配置文件的访问权限;系统应保证r族命令和常用命令相关配置文件的安全性;设置安全的访问旗标。测试方法:查看操作系统版本和补丁安装情况;查看超级守护进程配置文件属性及内容,Service配置文件属性;检查是否存在r族配置文件,确定系统是否运行r族命令;Telnet/ftp登录系统,确定系统旗标信息的是否安全。测试记录:1.版本和补丁信息:操作系统版本:补丁集:(如果可以连接Internet,试图ftp匿名访问sunsolve.sun.com/pub/patches,或者从从sunsolve.sun.cn中获取专门的补丁检查工具如PatchPro)来查看安全补丁安装情况(系统所有的Patch文件都存储在/var/sadm/patch中,命名方式为patchID-version)2.超级守护进程配置文件/etc/inetd.conf(#ls-l):属主:访问许可权:开启服务:3.查看是否使用了r族配置文件,并且查看其配置情况$HOME/.rhosts□.netrc□hosts.equiv□4.是否有安全的系统访问旗标?telnet的旗标:显示操作系统类型□显示操作系统版本□显示ftp软件版本□ftp的旗标:显示操作系统类型□显示操作系统版本□显示ftp软件版本□备注:签名日期Solaris操作系统-系统安全(2)测试类别:风险评估测试对象:Solaris测试类:系统安全(2)测试项:测试内容:被测操作系统应保证相关命令文件和配置文件的访问许可合理;对用户、登录设备、失败登录阀值、无操作自动锁定等加以限制;并对系统资源的使用作适当的限制。测试方法:查看是否针对用户使用了用户磁盘限额(尤其是邮件服务器);是否定义了登录相关参数;是否对重要的命令文件和配置文件设置安全的访问许可权;是否安装了防病毒软件,邮件过滤软件。测试记录:是否使用了用户磁盘限额?用户磁盘限额策略:察看login登录相关参数CONSOLE=/dev/console(登录到console的终端)注销:□PASSREQ=YES(登录是否需要口令):YES□TIMEOUT(登录超时限制)注销:□UMASK:SYSLOG=(是否记录到LOG_CRIT):YES□RETRIES(允许连续尝试登录次数):注销:□SYSLOG_FAILED_LOGINS(失败登录记录之前允许的尝试次数):注销:□重要文件和目录的读写权和属主(#ls–la):/usr/etc属主访问许可:/usr/bin属主访问许可:/bin属主访问许可:/sbin属主访问许可:/etc属主访问许可:/etc/security/*属主访问许可:是否安装了防病毒软件:□类型及版本:备注:签名日期Solaris操作系统-用户属性测试类别:风险评估测试对象:Solaris测试类:用户属性测试项:测试内容:操作系统应设置了有效的口令策略(密码强度、密码长度、口令有效期等);确保系统伪账号(如sys,uucp,nobody等)