搜索
层面控制点测评项重要性级别系统实施过程RedhatLinux1)在root权限下,使用命令查看/etc/passwd和/etc/shadow文件中用户状态:a)以root身份登录进入Linux;b)查看Linux密码文件内容,使用命令如下#cat/etc/passwdHPUnix1)在root权限下,使用命令查看/etc/passwd文件中个用户状态:a)以root身份登录进入系统;b)查看密码文件内容,使用命令如下#cat/etc/passwd2)口令破解工具进行判断RedhatLinux1)以root身份登录进入Linux2)查看文件内容:#more/etc/login.defs中PASS_MAX_DAYSPASS_MIN_DAYSPASS_MIN_LENPASS_WARN_AGEMD5_CRYPT_ENAB等HPUnix1)以root身份登录进入系统2)查看文件内容:cat/etc/default/security中MIN_PASSWORD_LENGTHPASSWORD_MIN_UPPER_CASE_CHARSPASSWORD_MIN_DIGIT_CHARSPASSWORD_MIN_SPECIAL_CHARSPASSWORD_MIN_LOWER_CASE_RedhatLinux1)以root身份登录进入Linux2)查看文件内容:#cat/etc/pam.d/system-auth主机(可采用操作系统信息采集与分析工具对操作系统进行分析)身份鉴别(S1、S2、S3)a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;S1S2S3c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;S2S3b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;S2S3重要重要重要HPUnix1)以root身份登录进入系统2)设置两次失败登录尝试之间的最小时间间隔:more/tcb/files/auth/system/default检查t_logdelay变量3)设定失败登录尝试次数:more/tcb/files/auth/system/dRedhatLinux1)以root身份登入Linux2)查看是否安装SSH的相应包rpm-aq|grepssh或查看是否运行了sshd服务service--status-all|grepsshd3)如果已经安装则查看相关端口是否打开netstat-an|grep224)若未使用SSH方式进行远程管理,则查看是否使用了Telnet方式进行远程管理service--status-all|greprunning查看是否存在Telnet服务HPUnix1)以root身份登入系统2)查看是否运行了sshd服务#ps-ef|grepsshd查看相应端口是否打开#netstat-an|grep223)未使用SSH方式进行远程管理,则查看是否使用了Telnet方式进行远程管理ps-ef|greptelnet#netstat-an|grep23RedhatLinux1)以root身份登录进入Linux2)查看文件按内容#cat/etc/passwdHPUnix1)以root身份登录进入系统2)查看文件按内容RedhatLinux1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别,并进行验证。HPUnix1)询问管理员是否采用两种或两种以上组合的鉴别技术来实现用户身份鉴别,并进行验证。主机(可采用操作系统信息采集与分析工具对操作系统进行分析)身份鉴别(S1、S2、S3)f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。S3c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;S2S3d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;S2S3重要重要重要e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;S2S3RedhatLinux1)以root身份登录进入Linux2)查看以下文件权限:#ls-l/etc/passwd#ls-l/etc/shadow#ls-l/etc/rc3.d#ls-l/etc/profile#ls-l/etc/inet.conf#ls-l/etc/xinet.conf等HPUnix1)以root身份登录进入系统2)查看以下文件权限:umaskls-al/etc/passwdls-al/etc/groupls-al/etc/default/securityls-al/etc/profilels-al/etc/hosts.allowls-al/etc/hosts.denyRedhatLinux1)访谈管理员是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色2)查看cat/etc/passwd中各用户所属组分配情况HPUnix1)访谈管理员是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色2)查看cat/etc/passwd中各用户所属组分配情况RedhatLinux1)结合系统管理员的组成情况,判定是否实现了该项要求2)查看cat/etc/passwd中各用户所属组分配情况HPUnix1)结合系统管理员的组成情况,判定是否实现了该项要求2)查看cat/etc/passwd中各用户所属组分配情况RedhatLinux1)以root身份登录进入Linux2)查看Linux密码文件内容:#cat/etc/shadowHPUnix1)以root身份登录进入系统2)查看密码文件内容:主机(可采用操作系统信息采集与分析工具对操作系统进行分析)重要重要访问控制(S1、S2、S3)b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;S3c)应实现操作系统和数据库系统特权用户的权限分离;S2S3d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;S1S2S3a)应启用访问控制功能,依据安全策略控制用户对资源的访问;S1S2S3重要重要RedhatLinux1)以root身份登录进入Linux2)查看Linux密码文件内容:#cat/etc/passwdHPUnix1)以root身份登录进入系统2)查看密码文件内容:RedhatLinux1)询问管理员是否对重要信息资源设置敏感标记HPUnix1)询问管理员是否对重要信息资源设置敏感标记RedhatLinux1)询问或查看目前的敏感信息标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等HPUnix1)询问或查看目前的敏感信息标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等RedhatLinux1)以root身份登录进入Linux2)查看服务进程:#servicesyslogstatus#serviceauditstatus或#service--status-all|greprunning3)若运行了安全审计服务,则查看安全审计的守护进程是否正常#ps-ef|grepauditdHPUnix1)以root身份登录进入系统2)查看是否运行了以下进程:#ps-ef|grepsyslogd#ps-ef|grepauditdRedhatLinux1)以root身份登录进入Linux2)查看配置:#grep@priv-ops/etc/audit/filter.conf#grep@mount-ops/etc/audit/filter.conf#grep@system-ops/etc/audit/filter.confHPUnix1)以root身份登录进入系统2)查看以下文件:cat/etc/rc.config.d/auditin主机(可采用操作系统信息采集与分析工具对操作系统进行分析)S2S3G2G3重要重要b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;重要f)应对重要信息资源设置敏感标记;S3访问控制(S1、S2、S3)g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;S3e)应及时删除多余的、过期的帐户,避免共享帐户的存在;安全审计(G2、G3)a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;G2G3(G2审计服务器,G3审计包括服务器和重要客户端)RedhatLinux查看audit记录是否具有此项要求HPUnix1)分析以下日志文件信息:/etc/syslog.conf/var/adm/wtmp/var/adm/utmp或者/etc/utmp/var/adm/sulog/var/adm/btmp/etc/security/failedlogin/tmp/ftplog.out2)查看/etc/audit配置文件中audit日志目录,进入RedhatLinux1)访谈并查看对审计记录的查看、分析和生成审计报表的情况;若有第三方审计报表工具,则记录其相关功能7)询问是否有管理员定期查看审计日志、审计报表主机(可采用操作系统信息采集与分析工具对操作系统进行分析)d)应能够根据记录数据进行分析,并生成审计报表;G3G2G3c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;重要安全审计(G2、G3)HPUnix1)访谈并查看对审计记录的查看、分析和生成审计报表的情况;若有第三方审计报表工具,则记录其相关功能10)询问是否有管理员定期查看审计日志、审计报表RedhatLinux1)访谈对审计进程监控和保护的措施HPUnix1)访谈对审计进程监控和保护的措施RedhatLinux1)以root身份登录进入Linux2)查看日志访问权限ls-la/var/log/audit.d3)访谈审计记录的存储、备份和保护的措施,如配置日志服务器等HPUnix1)以root身份登录进入HPUnix2)查看日志访问权限/var/adm/wtmp/var/adm/utmp或者/etc/utmp/var/adm/sulog/var/adm/btmp等3)访谈审计记录的存储、备份和保护的措施,如配置日志服务器等RedhatLinux检查Linux操作系统维护/操作手册1)查看其是否明确用户的鉴别信息存储空间2)被释放或再被分配给其他用户前的处理方法和过程HPUnix检查HPUnix操作系统维护/操作手册1)查看其是否明确用户的鉴别信息存储空间2)被释放或再被分配给其他用户前的处理方法和过程3)查看cat/etc/default/security中DISPLAY_LAST_LOGIN参数RedhatLinux检查Linux操作系统维护/操作手册,系统内的文件、目录等资源所在的存储空间,被释放或重新分配给其他用户前的处理方法和过程主机(可采用操作系统信息采集与分析工具对操作系统进行分析)重要重要d)应能够根据记录数据进行分析,并生成审计报表;G3e)应保护审计进程,避免受到未预期的中断;G3安全审计(G2、G3)f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。G2G3a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;S3剩余信息保护(S3)b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。S3HPUnix检查HPUnix操作系统维护/操作手册,系统内的文件、目录等资源所在的存储空间,被释放或重新分配给其他用户前的处理方法和过程RedhatLinux1)访谈并查看入侵检测的措施,如经常通过如下命令查看入侵的重要线索,涉及命令#more/var/log/sucure|greprefused2)查看是否启用了主机防火墙、TCPSYN保护机制等设置,使用命令#iptables-L-n3