2023年11月29日发(作者:)
启明信息安全中心
编号:
基线检查指导书
基础网络安全-Linux操作系统
V1.0
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
检查:
1)检查操作系统管理员,询问操作系统的身
份标识和鉴别机制采用何种措施实现;
2)登录操作系统,查看是否提示输入用户口
令,然后以正确口令登录系统,再以错误口
令或空口令重新登录,观察是否成功。
手工检查:
a) 应对登录操作系统和数据库系统的用户进行身份
标识和鉴别;
1)操作系统使用口令鉴别机制对用
户进行身份标识和鉴别;
2)登录时提示输入用户名和口令;以
错误口令或空口令登录时提示登录
失败,验证了登录控制功能的有效#pwdck -n ALL
性;
3)操作系统不存在密码为空的用户。
方法一: 在root权限下,使用命令
返回结果应为空;
1 身份鉴别
方法二: 在root权限下,使用命令
#cat /etc/passwd
#cat /etc/shadow
查看文件中各用户名状态,记录密码一栏为
空的用户名。
手工检查:
b) 操作系统和数据库系统管理用户身份标识应具有
不易被冒用的特点,口令应有复杂度要求并定期更
换;
1)在root权限下,使用命令 大小写字母和特殊符号组成,并规定
#cat /etc/
查看密码策略配置文件,检查是否合理正确
配置密码策略;
1)启用了系统口令复杂度策略,系统
用户密码长度不小于8位,由数字、
了口令更换的周期;
2)以不符合复杂度要求和不符合长
度要求的口令创建用户时均提示失
败。
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
2)如果启用了口令复杂度函数,分别以不符
合复杂度要求和不符合最小长度要求的口
令创建用户,查看是否成功。
检查:
检查系统管理员,询问用户口令是否满足复
杂性要求。
手工检查:
1)在root权限下,使用命令
#cat /etc/pam.d/system-auth
查看该配置文件的内容,记录system-auth
配置文件中的登录失败处理、限制非法登录
次数和自动退出结束会话的配置项。
2)测试:
根据使用的登录失败处理方式,采用如下测
试方法进行测试:
a)以超过系统规定的非法登陆次数登录操
作系统,观察反应;
b)当登录系统连接超时时,观察系统反应。
检查:
c) 应启用登录失败处理功能,可采取结束会话、限
制非法登录次数和自动退出等措施;
1)操作系统已启用登陆失败处理、结
束会话、限制非法登录次数等措施;
2)当超过系统规定的非法登陆次数
或时间登录操作系统时,系统锁定或
自动断开连接。
d) 当对服务器进行远程管理时,应采取必要措施,
防止鉴别信息在网络传输过程中被窃听;
询问系统管理员,是否采用了技术手段保证
远程管理数据进行加密传输。
手工检查:
1)操作系统使用SSH协议进行远程
连接;
2)操作系统没有采用明文的传输协
议进行远程管理;
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
采用抓包工具,判断远程管理数据包是否是3)采用第三方管理工具保证远程管
明文。 理的信息保密。
手工检查:1)应测试主要服务器操作系统,
添加一个新用户,其用户标识为系统原用户
的标识(如用户名或UID),查看是否不会
成功;
e) 应为操作系统和数据库系统的不同用户分配不同
的用户名,确保用户名具有唯一性。
2)应测试主要服务器操作系统,删除一个用
户标识,然后再添加一个新用户,其用户标
识和所删除的用户标识一样(如用户名
/UID),查看是否不能成功;
检查:
询问管理员系统中每个账户,查看是否存在
多人共用一个账户的情况。
检查:
1)添加测试账户不会成功;
2)系统不存在多人共用一个账户的
情况;
3)确保用户名具有唯一性。
f) 应采用两种或两种以上组合的鉴别技术对管理用
户进行身份鉴别。
用户的认证方式选择两种或两种以
检查系统管理员,询问系统除用户名口令外
上组合的鉴别技术,只用一种技术无
有无其他身份鉴别方式,如生物鉴别、令牌、
法认证成功。
动态口令等,并手工检查。
检查:
检查系统管理员询问操作系统的重要文件
及目录是否根据实际环境设置了访问控制
策略。
手工检查:
执行命令#ls -l查询系统内重要文件是否
合理设置了访问控制策略。
2 访问控制
a) 应启用访问控制功能,依据安全策略控制用户对
资源的访问;
操作系统的重要文件及目录已根据
实际环境设置了访问控制策略。
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
b) 应根据管理用户的角色分配权限,实现管理用户
的权限分离,仅授予管理用户所需的最小权限;
系统管理员、安全管理员、安全审计
员由不同的人员和用户担当。至少应
安全该有系统管理员和安全管理员,
要有哪些角色、每个角色的权限是否相互制
约、每个系统用户是否被赋予相应的角色。
审计员在有第三方审计工具时可以
不要求。
检查:
检查:
结合系统管理员的组成情况,判断是否实现
了该项要求。
手工检查:
操作系统除具有管理员账户外,至少
还有专门的审计管理员账户,且他们
的权限互斥。
c) 应实现操作系统和数据库系统特权用户的权限分
离;
d) 应严格限制默认帐户的访问权限,重命名系统默
认帐户,修改这些帐户的默认口令;
在root权限下,使用命令
#cat /etc/passwd
查看默认账户是否已更
名,并且是否已禁用来宾账户。
默认账户已更名,来宾账户已禁用。
e) 应及时删除多余的、过期的帐户,避免共享帐户
的存在。
手工检查:
查看是否有多余的、过期的账户,避免共享
账户的存在。
手工检查:
1)查看操作系统功能手册或相关文档,确认
操作系统是否具备能对信息资源设置敏感
标记功能;
2)询问系统管理员是否对重要信息资源设
置敏感标记。
不存在多余、过期和共享账户。
f) 应对重要信息资源设置敏感标记;
对重要信息资源已设置敏感标记。
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
g) 应依据安全策略严格控制用户对有敏感标记重要
信息资源的操作。
检查:
如:如何划分敏感标记分类,如何设定访问
权限等。
手工检查:
1)查看系统是否开启安全审计功能,或部署
了第三方安全审计设备。
手工检查:
在root权限下,查看系统日志服务
通过敏感标记设定用户对重要信息
资源的访问。
a) 审计范围应覆盖到服务器和重要客户端上的每个
操作系统用户和数据库用户;
系统开启了安全审计功能或部署了
第三方安全审计设备。
b) 审计内容应包括重要用户行为、系统资源的异常
使用和重要系统命令的使用等系统内重要的安全相
关事件;
#ps -ef | grep syslog,
和审计服务
#ps -ef | grep auditd,
审计功能已开启,包括:用户的添加
和删除、审计功能的启动和关闭、审
计策略的调整、权限变更、系统资源
的异常使用、重要的系统操作(如用
户登录、退出)等设置。
3 安全审计
是否有效合理的配置了安全审计内容
手工检查:
1)使用more命令查看审计记录文件
c) 审计记录应包括事件的日期、时间、类型、主体
标识、客体标识和结果等;
#cat /etc/audit/
#cat /etc/audit/
中是否准确记录日期和时间、类型、主体标
识、客体标识、事件的结果等
审计记录包括事件的日期、时间、类
型、主体标识、客体标识和结果等内
容。
d) 应能够根据记录数据进行分析,并生成审计报表;
手工检查:
1)检查audit日志文件,需要根据
能定期生成审计报表并包含必要审
计要素。
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
的定义查看对应的日志文件,
确认是否记录了必要的审计要素;
2)若有第三方审计工具或系统,则查看其审
计日志是否包括必要的审计要素;
3)检查审计日志记录、分析、生成报表情况。
e) 应保护审计进程,避免受到未预期的中断;
检查:
对审计进程已采取相关保护措施。
检查对审计进程监控和保护的措施。
检查:
f) 应保护审计记录,避免受到未预期的删除、修改或
覆盖等。
检查对审计记录监控和保护的措施。例如:
通过专用日志服务器或存储设备对
审计记录进行备份,并避免对审计记
通过专用日志服务器或存储设备对审计记
录进行备份,并避免对审计记录的修改、删
录的修改、删除或覆盖。
除或覆盖。
检查:
1)检查产品的测试报告、用户手册或管理
手册,确认其是否具有相关功能;或由第三
方工具提供了相应功能。
手工检查:
在root权限下,使用命令
#cat /etc/issue
#cat /etc/
查看是否清除系统相关信息。
a) 应保证操作系统和数据库系统用户的鉴别信息所
在的存储空间,被释放或再分配给其他用户前得到完
4
剩余信息
保护
全清除,无论这些信息是存放在硬盘上还是在内存
中;
1)如果测试报告、用户手册或管理手
册中没有相关描述,且没有提供第三
方工具增强该功能,则该项要求为不
符合;
2)若未删除系统相关信息则不符合。
b) 应确保系统内的文件、目录和数据库记录等资源
检查: linux默认会清除swap中的存储内
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
所在的存储空间,被释放或重新分配给其他用户前得
到完全清除。
检查产品的测试报告、用户手册或管理手
册,确认其是否具有相关功能;或由第三方
工具提供了相应功能。
检查,手工检查:
1)询问系统管理员是否经常查看系统日志
并对其进行分析。
2)询问是否安装了主机入侵检测软件,查看
已安装的主机入侵检查系统的配置情况,是
否具备报警功能。
3)询问并查看是否有第三方入侵检测系统,
如:IDS。
检查,核查:
容。
a) 应能够检测到对重要服务器进行入侵的行为,能
够记录入侵的源IP、攻击的类型、攻击的目的、攻击
的时间,并在发生严重入侵事件时提供报警;
具备入侵检测机制,能够检测到对重
要服务器进行入侵的行为,并在发生
严重入侵事件时提供报警。
5 入侵防范
b) 应能够对重要程序的完整性进行检测,并在检测
到完整性受到破坏后具有恢复的措施;
检查产品的测试报告、用户手册或管理手
册,确认其是否具有相关功能;或由第三方
工具(例如:完整性检查工具或安全防护工
具)提供了相应功能。
检查:
如果测试报告、用户手册或管理手册
中没有相关描述,且没有提供第三方
工具(例如:完整性检查工具或安全
防护工具)增强该功能,则该项要求
为不符合。
1)系统安装的组件和应用程序遵循
了最小安装的原则;
2)不必要的服务没有启动;
3)不必要的端口没有打开;
c) 操作系统应遵循最小安装的原则,仅安装需要的
组件和应用程序,并通过设置升级服务器等方式保持
系统补丁及时得到更新。
1)检查系统管理员系统目前是否采取了最
小安装原则。
手工检查:
1)确认系统目前正在运行的服务:#service
4)系统补丁先测试,再升级;补丁号
--status-all | grep running,查看并确认
为较新版本。
是否已经关闭危险的网络服务如echo、
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
shell、login、finger、r命令等。关闭非
必需的网络服务如talk
、ntalk、pop-2、Sendmail、Imapd、Pop3d
等。
2)检查补丁升级机制,查看补丁安装情况:
# rpm –qa | grep patch
3)记录系统中多余和危险服务,记录系统补
丁升级方式和已安装最新的补丁名称。
检查,核查:
a) 应安装防恶意代码软件,并及时更新防恶意代码
软件版本和恶意代码库;
查看系统中安装的防病毒软件。询问管理员
病毒库更新策略。查看病毒库的最新版本更
新日期是否及时。
检查:
检查系统管理员网络防病毒软件和主机防
病毒软件分别采用什么病毒库。
检查:
安装了防病毒软件,病毒库经常更
新,是最新版本。
6
恶意代码
防范
b) 主机防恶意代码产品应具有与网络防恶意代码产
品不同的恶意代码库;
主机防恶意代码产品与网络防恶意
代码产品的恶意代码库不同。
c) 应支持防恶意代码的统一管理。
检查防恶意代码的管理方式,例如升级方
式。
手工检查:
防恶意代码统一管理,统一升级。
7 资源控制
a) 应通过设定终端接入方式、网络地址范围等条件
限制终端登录;
1)记录/etc/、
/etc/中对终端登录限制的相
关配置参数。
已设定终端登录安全策略及措施,非
授权终端无法登录管理。
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
2)若有其他的方式实现此项要求的,如通过
访问控制策略、堡垒机策略等实现。
手工检查:
b) 应根据安全策略设置登录终端的操作超时锁定;
查看并记录/etc/profile中的TMOUT环境
变量,是否为TMOUT环境变量设置合理的操
作超时时间。
已在/etc/profile中为TMOUT设置了
合理的操作超时时间。
检查,手工检查:
c) 应对重要服务器进行监视,包括监视服务器的
CPU、硬盘、内存、网络等资源的使用情况;
检查系统管理员是否经常通过“系统资源
监控器”或第三方监控平台对重要服务器
的的CPU、硬盘、内存、网络等资源的使用
情况进行监视。
检查:
已采用“系统资源监控器”或第三方
监控平台对重要服务器的的CPU、硬
盘、内存、网络等资源的使用情况进
行监视。
d) 应限制单个用户对系统资源的最大或最小使用限
度;
1)已针对系统资源控制的管理措施,
检查管理员针对系统资源控制的管理措施,
对单个用户系统资源(CPU、内存、
是否对单个用户系统资源(CPU、内存、硬
硬盘等)的最大或最小使用限度;
盘等)的最大或最小使用限度。
2)在/etc/security/limits中已设定对单
手工检查:
个用户系统资源的最大最小使用限
在/etc/security/查看相关配
度的配置参数。
置参数。
检查,手工检查:
有主机监控平台,能通过声、光、电、
短信或邮件等形式进行告警。
e) 应能够对系统的服务水平降低到预先规定的最小
启明信息安全中心
序号 类别 检查项 检查方法 预期结果 符合情况
值进行检测和报警。
询问管理员日常如何监控系统服务水平,
若有主机监控平台,询问能否提供主动的
声、光、电、短信或邮件等形式的一种或多
种检测报警方式。
发布评论