搜索
操作系统测评1.身份鉴别a)身份标识和鉴别:以root身份登录#cat/etc/passwd以x代替口令#cat/etc/shadow保存个人口令文档b)不易被冒用,口令复杂且定期更换#more/etc/login.defsUID_MIN500注:最小UID为500,也就是说添加用户时,UID是从500开始的;UID_MAX60000注:最大UID为60000;PASS_MAX_DAYS99999注:用户的密码不过期最多的天数;PASS_MIN_DAYS0注:密码修改之间最小的天数;PASS_MIN_LEN5注:密码最小长度;PASS_WARN_AGE7注:密码过期前7天提醒c)登录失败处理功能#cat/etc/pam.d/system-auth找到passwordrequisitepam_cracklib.so这么一行替换成如下:passwordrequisitepam_cracklib.soretry=5difok=3minlen=10ucredit=-1lcredit=-3dcredit=-3dictpath=/usr/share/cracklib/pw_dict参数含义:尝试次数:5最少不同字符:3最小密码长度:10最少大写字母:1最少小写字母:3最少数字:3密码字典:/usr/share/cracklib/pw_dictd)防止鉴别信息被窃听首先查看是否安装SSH相应包#rpm-aq|grepssh或者查看是否运行了sshd服务#service-status-all|grepsshd如果已经安装则查看相关的端口是否打开#netstat-an|grep22若未使用SSH方式进行远程管理,则查看是否使用了Telnet的方式进行远程管理#service-statusa-all|greprunning查看是否存在Telnet服务e)确保用户名具有唯一性#cat/etc/passwdUID为0的用户只能有1个,查看是否有相同用户名的账号2.访问控制a)启用访问控制文件权限:使用“ls–l文件名”命令,查看重要文件和目录权限设置是否合理默认共享:Linux中默认不开启b)管理用户的权限分离,授予管理用户最小权限c)特权用户的权限分离d)严格限制默认账户的访问权限#cat/etc/shadow查看用户,用户名前有“#”表示被禁用e)及时删除过期多余的账户,避免共享账户的存在#cat/etc/shadowf)对重要信息资源设置敏感标记g)控制用户对有敏感标记重要信息资源的操作3.安全审计a)审计范围应该全覆盖查看服务进程:系统日志服务:#servicesyslogstatus#serviceauditstatus或#service-status-all|greprunning若运行了安全审计服务,则查看安全审计的守护进程是否正常#ps-ef|grepauditdb)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等重要的安全相关事件c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等#aucat|tail-100查看最近的100条审查记录#augrep-eTEXT-UAUTH_success查看所有成功PAM授权d)根据记录数据分析,生成审计报表e)保护审计进程,避免中断f)保护审计记录4.剩余信息保护5.入侵防范a)检测入侵行为,报警1)#more/var/log/secure|greprefused查看入侵的重要线索2)查看是否启用了主机防火墙、TCPSYN保护机制等3)可执行命令:find/-namedaemomname-print检查是否安装了主机入侵检测软件b)完整性检测,恢复措施c)最小安装原则,更新系统补丁1)系统服务#service-status-all|greprunning确认目前正在运行的系统服务危险网络服务:echo、shell、login、finger、r非必须网络服务:talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等2)监听端口命令行模式下netstat-an查看列表中的监听端口3)补丁升级查看补丁安装情况#rpm-qa|greppatch6.恶意代码防范a)安装防恶意代码软件b)主机与网络防恶意代码产品应具有不同的恶意代码库c)支持防恶意代码的统一管理7.资源控制a)设定终端接入方式、网络地址范围等限制终端登录#cat/etc/hosts.deny查看有“ALL:AL”,禁止所有请求#cat/etc/hosts.allow查看是否有限制ip及其访问方式b)操作超时锁定查看/etc/profile中TIMEOUT环境变量c)对重要服务器进行监视