搜索
Linux服务器检查列表时间地点检测者陪检者检测方式现场查看、人工访谈、技术检测检测对象所属的应用系统:服务器中的应用程序:保障条件1)需要系统相关技术人员(系统管理员)的积极配合;2)提供操作间的一台终端;3)需要提供被检主机的管理员帐户和口令;4)需要在机房中系统的不同网段提供接入点。测试内容权重测试方法测试记录主机安全登陆安全采用人工登录查看方式:1)检测每个用户是否都设置系统启动口令;2)检测是否关闭远程访问控制或者对远程访问服务进行身份认证控制。系统资源使用情况使用top命令、df-h命令分别察看CPU、内存、各硬盘分区是否存在使用率过高的情况。遵循最小暴露信息原则屏蔽掉登录的bind信息使用cat/etc/rc.d/rc.local命令,查看是否将输出系统信息的命令行注释。现场检查是否有输出系统信息的命令行,如果有就注释掉;一般我们打通系统没有补丁管理系统版本应是最新版本检查Linux主机操作系统版本号,与厂商发布信息进行对照确认是最新版本;1、以root管理员身份登录系统,执行命令:lsb_release–a;最新版本不太现实,因为我们的程序是在当前版本环境下编译运行的应及时进行系统补丁更新检查Linux主机操作系统补丁安装情况,是否更新了最新的补丁:1、以root管理员身份登录系统,执行命令:rpm–qa|more应制定定时检查并进行补丁更新的相关制度询问是否有定时进行版本升级和补丁更新的相关制度系统没有设置定时进行版本升级;因为我们的程序是在当前版本环境下编译运行的。升级后程序有可能运行不了。补丁更新的相关制度需要现场指定访问控制应依据安全策略控制用户对主机资源的访问查看Linux主机的安全策略的配置,是否设置了用户对主机重要文件的访问权限进行了限制。1、以root管理员身份登录系统,执行命令:ls-al/etc/passwd*/etc/shadow*/etc/group*/etc/gshadow*现场确认下列文件的权限应该是如下:ls-al/etc/passwd*-rw-r--r--1rootroot29892010-11-11/etc/passwd-rw-r--r--1rootroot30242010-07-14/etc/passwd-ls-al/etc/shadow*-r--------1rootroot192503-3016:39/etc/shadow-r--------1rootroot19832010-09-29/etc/shadow-ls-al/etc/group*-rw-r--r--1rootroot10112010-11-11/etc/group-rw-r--r--1rootroot10222009-05-22/etc/group-ls-al/etc/gshadow*-r--------1rootroot8432010-11-11/etc/gshadow-r--------1rootroot8512009-05-22/etc/gshadow-TCP/IP设置安全检查linux系统的TCP/IP设置。1、检查系统对ping请求是否作出反应。以root管理员身份登录系统,执行以下操作:cat/proc/sys/net/ipv4/icmp_echo_ignore_all如果值为1,则表明当前系统对ping没有反应。2、检查当前系统是否对syn攻击防御进行了设置。以root管理员身份登录系统,执行以下操作:cat/proc/sys/net/ipv4/tcp_syncookies如果值为1,则表明当前系统对syn攻击具有一定的防御能力。以root执行:echo“1”/proc/sys/net/ipv4/icmp_echo_ignore_allecho“1”cat/proc/sys/net/ipv4/tcp_syncookies注意这两个命令reboot系统后,失效。现场可以写到/etc/rc.local里。保证重起系统自动运行这两个命令防止IP欺骗使用cat/etc/host.conf查看host.conf文件中是否存在以下3行:orderbind,hostsmultioffnospoofon请现场把下列三行加到/etc/hosts.conf里:orderbind,hostsmultioffnospoofon取消单用户模式检查Linux是否设置在没有密码的情况下,可以直接进入Linux的单用户模式。1、以root管理员身份登录系统,执行以下操作:cat/etc/inittab|grepsulogin.现在符合此条件。系统开放的端口应该是正常服务必须的端口检查Linux系统开放的端口是否都是必须的。1、以root管理员身份登录系统,执行下列操作:netstat-nalp设置LILO/GRUB密码检查Linux系统是否设置LILO/GRUB密码,防止非授权用户在控制台重新启动机器后控制正常的启动进程。以root管理员身份登录系统,执行以下操作:1.LILO模式下:cat/etc/lilo.conf|greppassword;2.GRUB模式下:cat/etc/grub.conf|greppassword我们的系统一般不设置,对于维护不利根据需要启用相应的服务并制定严格的访问策略检查Linux系统是否启用了ipchains服务,如果启用是否制定了严格的访问政策。1、以root管理员身份登录系统,执行以下操作:ipchains-L–ncat/etc/sysconfig/ipchains;2.根据主机实际应用情况是否定制了严格的访问策略。我的系统不使用ipchains或iptables,请现在关闭这些服务chkconfigiptablesoffchkconfigipchainsoff、用setup命令,到系统服务里把这些服务关掉操作系统的访问控制,访问时间与登录超时限制通过查看账户中“TMOUT”参数,MOUT按秒计算,查看profile文件(cat/etc/profile)中TMOUT的参数值。请现场vi/etc/profile加入:TMOUT=1800系统是否开启了日志功能察看系统是否开启了日志功能。/etc/syslog.conf文件中最好包含以下语句:auth,info.*/var/log/messageskern.*/var/log/kern.logdaemon.*/var/log/daemon.logsyslog.*/var/log/sysloglpr,news,uucp,local0,local1,local2,local3,local4,local5,local6.*/var/log/unused.log请现场把这些语句加到/etc/syslog.conf里,如果有前面加了#好,那么把#去掉每个用户有各自独立帐户1、询问所有用户是否有各自独立的帐户。明文口令管理1、询问是否有明文的口令管理制度系统验收口令管理1、系统验收后是否更改中间件提供的默认口令。账户管理不应存在多余的系统帐户询问当前主机所有帐户的使用情况,使用cat/etc/passwd查看用户列表中是否存在不需要的系统帐户;是否自动注销登录的帐户使用cat/etc/profile命令,查看profile文件中TMOUT的参数。请现场vi/etc/profile加入:TMOUT=1800密码管理系统密码配置策略应该正确设置密码最小长度要求使用cat/etc/login.defs查看系统密码最小长度PASS_MIN_LEN的值请现场修改/etc/login.defsPASS_MIN_LEN6-把值修改成要求的值系统服务应该关闭不需要使用的系统服务查看正在运行的系统服务,是否运行了不需要的服务。1、打开“管理工具”中的“服务”;2、查看开机自动运行和正在运行的服务;3、与用户确认哪些服务可以关闭。如:DHCPClient、DNSClient等现在确认关闭那些服务,可以运行setup去关闭系统服务,把前的*去掉系统不应提供与业务无关的服务查看linux系统是否运行了不需要的服务。打开inetd服务进行检查:1、以root管理员身份登录系统,执行以下操作:2、cat/etc/inetd.conf3、通过和客户沟通,确定哪些服务是可以关闭。如:ftp、同上telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等安全审计系统日志记录的目录和文件权限是否配置合理使用ls–al/etc/syslog.conf和ls–al/var/log检查linux系统/etc/syslog.conf及/var/log的目录下的文件文件权限设定。请现场确保下列文件的权限:-rw-r--r--1rootroot9382008-12-28/etc/syslog.conf应该制定日志定期审计制度1、是否有定期对日志进行审计的规章制度;2、是否严格按照制度执行并保存相关记录系统是否将登陆信息等这些重要的安全相关的信息内容进行保存。检查linux系统/var/log/secure文件里是否保存了重要的安全相关信息:1、以root管理员身份登录系统,执行以下操作:cat/etc/syslog.conf|grepsecure2、检查是否有如下行:authpriv.*/var/log/secure请现场vi修改/var/log/secure,检查如果没有authpriv.*/var/log/secure这一行,则加入安全配置用户登录时应显示警告性息检查Linux,打开登录界面查看是否有警告信息。想显示警告信息可以这样做:Vi/etc/motd在这个文件中可以写入警告信息这样再每次登陆后就会显示这里面的警告信息