2023年12月1日发(作者:)
目录
1 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; ........ 5
1.1 Centos操作系统用户口令未有复杂度要求并定期更换 ................................................................................... 5
1.1.1 提升系统口令复杂度 ............................................................................................................................... 5
1.1.2 提升密码复杂度 ....................................................................................................................................... 5
1.2 Windows(跳板机)操作系统未根据安全策略配置口令的复杂度和更换周期 ............................................ 6
1.3 数据库系统用户口令未定期更换 ....................................................................................................................... 6
2 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; ........................................ 6
2.1 Centos操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间 .................................... 6
2.1.1 修改远程登录用户 ................................................................................................................................... 6
2.1.2 修改客户端登录用户 ............................................................................................................................... 6
2.2 Windows操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间 ............................... 7
2.3 数据库系统登录失败处理功能配置不满足要求,登录失败次数为100次,未设置非法登录锁定措施 .... 7
3 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; ........................ 7
4 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。 ........................................ 7
5 Windows(跳板机)应启用访问控制功能,依据安全策略控制用户对资源的访问; ............................................ 7
6 应实现操作系统和数据库系统特权用户的权限分离 ................................................................................................... 9
6.1 Centos操作系统未实现特权用户的权限分离,如可分为:系统管理员、安全管理员、安全审计员等 .... 9
6.1.1 添加不同角色的人员 ............................................................................................................................... 9
6.1.2 为sysadmin添加sudo权限 .................................................................................................................... 9
6.2 Window操作系统未实现特权用户的权限分离,如可分为:系统管理员、安全管理员、安全审计员等 . 9
6.3 数据库账户和系统管理员账户的权限一致 ..................................................................................................... 10
7 应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令 .................................................. 11
7.1 Centos操作系统未限制默认账户的访问权限,未重命名默认账户 ............................................................. 11
7.2 Windows操作系统未限制默认账户的访问权限,未重命名默认账户 ......................................................... 11
7.3 数据库系统未限制默认账户的访问权限,未重命名默认账户...................................................................... 11
8 应及时删除多余的、过期的帐户,避免共享帐户的存在 ......................................................................................... 12
8.1 Centos操作系统未限制默认账户的访问权限,未删除多余、过期的账户(adm、 lp、sync、 shutdown、
halt、mail、operator、games ) ................................................................................................................................. 12
8.1.1 注释掉不需要的用户 ............................................................................................................................. 12
8.1.2 注释掉不需要的组 ................................................................................................................................. 13
8.2 Windows操作系统未限制默认账户的访问权限 ............................................................................................. 14
8.3 数据库系统未限制默认账户的访问权限,未删除多余、过期和共享的账户 .............................................. 15
9 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户 ............................................................................. 15
9.1 Centos操作系统未开启日志审计功能,审计范围未覆盖到每个用户,未使用第三方安全审计产品实现审
计要求 ............................................................................................................................................................................. 15
9.2 Windows操作系统审计日志未覆盖到用户所有重要操作 ............................................................................. 15
9.3 数据库系统未开启审计进程;未使用第三方审计系统对系统进行操作审计,审计范围未覆盖到抽查的用
户 15
10 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
16
10.1 Centos审计内容未包括重要用户行为,系统资源的异常使用和重要系统命令的使用等系统内重要的安全
相关事件 ......................................................................................................................................................................... 16
10.2 Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件.. 18
10.3 数据库系统的审计内容未包括:重要用户行为、系统资源的异常使用和重要系统命令的使用等 ...... 18
11 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 .................................................. 19
Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等 .................................. 19 11.1
数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等 ...................... 19 11.2
12 应保护审计记录,避免受到未预期的删除、修改或覆盖等 ............................................................................. 19
12.1 Centos审计记录未受到保护,未能避免受到未预期的删除、修改或覆盖等.............................................. 19
12.2 数据库系统未对审计记录进行保护 ............................................................................................................. 19
13 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统
补丁及时得到更新 ................................................................................................................................................................. 19
13.1 Centos操作系统未及时更新系统补丁,未禁用多余服务端口:123 ........................................................... 19
13.1.1 更新openssl ............................................................................................................................................ 19
13.1.2 更新openssh ........................................................................................................................................... 19
13.2 Windows操作系统未遵循最小安装原则,存在多余软件:谷歌浏览器、notepad++,未及时更新系统补
丁,未禁用多余服务:Print Spooler,未禁用多余端口:135、137、139、445、123 .......................................... 20
14 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库 ...................................................... 20
14.1 Centos .................................................................................................................................................................. 20
14.2 Windows .............................................................................................................................................................. 20
15 应支持防恶意代码软件的统一管理 ..................................................................................................................... 21
15.1 Centos .................................................................................................................................................................. 21
15.2 Windows .............................................................................................................................................................. 21
16 应通过设定终端接入方式、网络地址范围等条件限制终端登录...................................................................... 22
16.1 Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录 ................................................. 22
16.2 数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录 .......................................... 23
17 应根据安全策略设置登录终端的操作超时锁定 ................................................................................................. 23
17.1 Centos操作系统未根据安全策略设置登录终端的操作超时锁定 ................................................................. 23
17.1.1 修改ssh终端用户 .................................................................................................................................. 23
17.1.2 修改系统用户 ......................................................................................................................................... 23
17.2 windows操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护时间 .................................. 24
17.2.1 为断开的会话设置时间限制:10分钟 ................................................................................................... 24
17.2.2 屏幕保护 ................................................................................................................................................. 25
17.3 数据库系统未根据安全策略设置终端的操作超时锁定 ............................................................................. 25
18 应限制单个用户对系统资源的最大或最小使用限度 ......................................................................................... 25
19 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴
别信息不易被冒用 ................................................................................................................................................................. 26
20 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; .............................. 26
21 应由授权主体配置访问控制策略,并严格限制默认账户的访问权限; .......................................................... 27
22 应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系; .................. 27
23 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计 .............................................. 27
23.1 应用系统未启用审计功能 ............................................................................................................................. 27
23.1 中间件已提供覆盖到抽查用户的安全审计功能,未对增加用户、删除用户、修改用户权限、系统资源
异常等操作进行记录 ..................................................................................................................................................... 27
24 应采用校验码技术保证通信过程中数据的完整性。 ......................................................................................... 27
25 中间件未提供登录超时退出功能,空闲20分钟,自动退出系统.................................................................... 27
26 应用系统未对系统的最大并发会话连接数进行限制 ......................................................................................... 28
27 中间件未对系统的最大并发会话连接数进行限制 ............................................................................................. 28
28 应用系统同一台机器未对系统单个账号的多重并发会话进行限制,不同机器未对系统单个账号的多重并发
会话进行限制 ......................................................................................................................................................................... 28
29 系统通过SSH1、VPN和HTTP方式进行数据传输,部分管理数据、鉴别数据、重要业务数据在传输过程中
未能检测到完整性遭到破坏,未能够对数据在遭到传输完整性破 ................................................................................. 28
30 建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性 .................. 29
31 建议系统提供每天至少一次的数据完全备份,并对备份介质进行场外存放 .................................................. 29
32 建议提供数据库系统硬件冗余,保证系统的高可用性 ..................................................................................... 29
1 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应
有复杂度要求并定期更换;
1.1 Centos操作系统用户口令未有复杂度要求并定期更换
1.1.1 提升系统口令复杂度
修改登录口令etc/
PASS_MAX_DAYS 180
PASS_MIN_DAYS 1
PASS_WARN_AGE 28
PASS_MIN_LEN 8
如下图:
1.1.2 提升密码复杂度
/etc/pam.d/system-auth文件中配置密码复杂度:
在pam_后面配置参数
password requisite pam_ minlen=8 ucredit=-1 lcredit=-3 dcredit=-3 ocredit=-1
说明:密码最少minlen =8位,ucredit=-1密码中至少有1个大写字母,icredit=-3密码中至少有3个小写字母,dredit=3
密码中至少有3个数字,oredit=-1密码中至少有1个其它字符
如下图:
1.2 Windows(跳板机)操作系统未根据安全策略配置口令的复杂度和更换周期
修改口令复杂度和更换周期如下:
1.3 数据库系统用户口令未定期更换
ALTER USER 用户名 PASSWORD EXPIRE INTERVAL 180 DAY;
2 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出
等措施;
2.1 Centos操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时
时间
2.1.1 修改远程登录用户
修改为登录三次锁定用户,锁定时间为:一般用户5分钟,超级用户锁定10分钟配置如下:
修改/etc/pam.d/sshd():
一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的
auth required pam_ deny=3 unlock_time=300 even_deny_root root_unlock_time=600
如下图:
2.1.2 修改客户端登录用户
修改/etc/pam.d/login():
一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的
auth required pam_ deny=3 unlock_time=300 even_deny_root root_unlock_time=600
如下图:
2.2 Windows操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超
时时间
账户锁定策略:复位帐户锁定计数器->3分钟 帐户锁定时间->5分钟 帐户锁定阀值->5次无效登录,设置设备登录失
败超时时间(不大于10分钟)
2.3 数据库系统登录失败处理功能配置不满足要求,登录失败次数为100次,未
设置非法登录锁定措施
3 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过
程中被窃听;
4 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有
唯一性。
已删除数据库root账号,数据库中每个需要连接的主机对应一个账号
5 Windows(跳板机)应启用访问控制功能,依据安全策略控制用户对资源的
访问;
禁用Print Spooler,禁用默认共享路径:C$
如下图:
6 应实现操作系统和数据库系统特权用户的权限分离
6.1 Centos操作系统未实现特权用户的权限分离,如可分为:系统管理员、安全
管理员、安全审计员等
在系统下分别添加不同较色的管理员:系统管理员、安全管理员、安全审计员
6.1.1 添加不同角色的人员
Useradd sysadmin
Useradd safeadmin
Useradd safecheck
6.1.2 为sysadmin添加sudo权限
chmod 740 /etc/sudoers
vi /etc/sudoers
sysadmin ALL=(ALL) ALL
chmod 440 /etc/sudoers
6.2 Window操作系统未实现特权用户的权限分离,如可分为:系统管理员、安
全管理员、安全审计员等
添加:系统管理员、安全管理员和安全审计员
权限分配:
6.3 数据库账户和系统管理员账户的权限一致
数据库root账号已删除,数据库管理员账号为hqwnm和manager
7 应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口
令
7.1 Centos操作系统未限制默认账户的访问权限,未重命名默认账户
删除多余的账号,只保留root默认账号
7.2 Windows操作系统未限制默认账户的访问权限,未重命名默认账户
重命名administrator和guest默认用户名
如下图:
7.3 数据库系统未限制默认账户的访问权限,未重命名默认账户
已删除root账号。无其他默认账号
8 应及时删除多余的、过期的帐户,避免共享帐户的存在
8.1 Centos操作系统未限制默认账户的访问权限,未删除多余、过期的账户
(adm、 lp、sync、 shutdown、 halt、mail、operator、games )
8.1.1 注释掉不需要的用户
修改:/etc/passwd如下:
adm、 lp、sync、 shutdown、 halt、mail、operator、games 分别注释掉
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
libstoragemgmt:x:998:997:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
chrony:x:997:996::/var/lib/chrony:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
nginx:x:996:995:nginx user:/var/cache/nginx:/sbin/nologin
sysadmin:x:1000:1000::/home/sysadmin:/bin/bash
safeadmin:x:1001:1001::/home/safeadmin:/bin/bash
safecheck:x:1002:1002::/home/safecheck:/bin/bash
如下图:
8.1.2 注释掉不需要的组
[root@iZ886zdnu5gZ ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
stapusr:x:156:
stapsys:x:157:
stapdev:x:158:
slocate:x:21:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
chrony:x:996:
nscd:x:28:
8.3 数据库系统未限制默认账户的访问权限,未删除多余、过期和共享的账户
数据库已限制用户的访问,每个IP对应一个用户名
9 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户
9.1 Centos操作系统未开启日志审计功能,审计范围未覆盖到每个用户,未使用
第三方安全审计产品实现审计要求
开启日志日记进程(audit),审计覆盖到每个用户
9.2 Windows操作系统审计日志未覆盖到用户所有重要操作
开启系统审计日志,如下图:
9.3 数据库系统未开启审计进程;未使用第三方审计系统对系统进行操作审计,
审计范围未覆盖到抽查的用户
数据库安装了第三方的审计插件。
macfee公司基于percona开发的mysql audit 插件
10 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用
等系统内重要的安全相关事件
10.1 Centos审计内容未包括重要用户行为,系统资源的异常使用和重要系统命令
的使用等系统内重要的安全相关事件
修改,使审计内容包括:用户重要行为、系统资源调用、文件访问和用户登录等
-w /var/log/audit/ -k LOG_audit
-w /etc/audit/ -p wa -k CFG_audit
-w /etc/sysconfig/auditd -p wa -k CFG_
-w /etc/ -p wa -k CFG_
-w /etc/audisp/ -p wa -k CFG_audisp
-w /etc/cups/ -p wa -k CFG_cups
-w /etc/init.d/cups -p wa -k CFG_initd_cups
-w /etc/ -p wa -k CFG_
用户重要行为信息:
10.2 Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统
内重要的安全相关事件
修改如下图:
10.3 数据库系统的审计内容未包括:重要用户行为、系统资源的异常使用和重要
系统命令的使用等
{"msg-type":"header","date":"15","audit-version":"1.1.3-705","audit-protocol-version":"1.0","hostname":"iZ
88h64j92qZ","mysql-version":"5.6.31","mysql-program":"/usr/sbin/mysqld","mysql-socket":"/var/lib/mysql/","
mysql-port":"3306","server_pid":"3375"}
{"msg-type":"activity","date":"15","thread-id":"2422","query-id":"41171574","user":"root","priv_user":"root
{"msg-type":"activity","date":"15","thread-id":"2423","query-id":"41171576","user":"zmq","priv_user":"zmq
","ip":"10.254.51.135","host":"10.254.51.135","client_port":"22404","rows":"1","cmd":"select","query":"select 1"}
11 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
11.1 Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结
果等
开启日志监控:
Audit
11.2 数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识
和结果等
12 应保护审计记录,避免受到未预期的删除、修改或覆盖等
12.1 Centos审计记录未受到保护,未能避免受到未预期的删除、修改或覆盖等
在系统下修改日志保存文件/etc/ 文件如下:
#keep 10 weeks worth of backlogs
rotate 10
保存日志文件10周
12.2 数据库系统未对审计记录进行保护
数据库审计日志存储在/var/lib/mysql/
定期1个月人工将该文件备份
13 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设
置升级服务器等方式保持系统补丁及时得到更新
13.1 Centos操作系统未及时更新系统补丁,未禁用多余服务端口:123
已关闭123端口对应的服务ntpd。启用firewalld。各主机只开放对应端口。包括80,7008,9200,9300及3306
13.1.1 更新openssl
[root@iZ886zdnu5gZ ~]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
更新后的版本为:
[****************************.2l]#opensslversion
OpenSSL 1.0.2l 25 May 2017
13.1.2 更新openssh
[root@iZ886zdnu5gZ ~]# ssh -V
OpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013
更新后的版本为:
[******************************]#ssh-V
OpenSSH_7.5p1, OpenSSL 1.0.2l 25 May 2017
13.2 Windows操作系统未遵循最小安装原则,存在多余软件:谷歌浏览器、
notepad++,未及时更新系统补丁,未禁用多余服务:Print Spooler,未禁
用多余端口:135、137、139、445、123
删除多余的软件:如谷歌浏览器、notepad++、禁止多余服务:PrintSpooler
14 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库
14.1 Centos
由阿里云盾提供保护
14.2 Windows
由阿里云提供:
15 应支持防恶意代码软件的统一管理
15.1 Centos
由阿里云盾提供
15.2 Windows
由阿里云提供:
16 应通过设定终端接入方式、网络地址范围等条件限制终端登录
16.1 Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录
在系统的/etc/和/etc/添加网络拒绝和允许地址
在/etc/中禁止TCP类型所有联系
在/etc/中只允许10.254.51开头的IP端进行连接和操作(包括SSH)
16.2 数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录
每个账号对应一个IP地址。限制用户%类型的无限制连接
17 应根据安全策略设置登录终端的操作超时锁定
17.1 Centos操作系统未根据安全策略设置登录终端的操作超时锁定
17.1.1 修改ssh终端用户
添加:/etc/ssh/sshd_conf 内容:
ClientAliveInterval 600 //超过10分钟后退出
ClientAliveCountMax 0
如下:
[root@iZ886zdnu5gZ ~]# cat /etc/ssh/sshd_config |grep ClientA
ClientAliveInterval 600
ClientAliveCountMax 0
17.1.2 修改系统用户
在/etc/profile中添加如下内容:
TMOUT=600
如下:
[root@iZ886zdnu5gZ ~]# cat /etc/profile |grep TMOUT
TMOUT=600
17.2 windows操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护
时间
17.2.1 为断开的会话设置时间限制:10分钟
17.2.2 屏幕保护
17.3 数据库系统未根据安全策略设置终端的操作超时锁定
已设置超时时间10分钟
set global wait_timeout=600;
set global interactive_timeout=600;
18 应限制单个用户对系统资源的最大或最小使用限度
已限制单个用户的最大连接数和查询
19 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存
在重复用户身份标识,身份鉴别信息不易被冒用
20 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出
等措施;
已在单点登录上配置失败3次处理锁定3分钟
21 应由授权主体配置访问控制策略,并严格限制默认账户的访问权限;
有已删除多余的应用测试账号admin
22 应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相
互制约的关系;
23 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计
23.1 应用系统未启用审计功能
已启用应用系统的审计日志功能
23.1 中间件已提供覆盖到抽查用户的安全审计功能,未对增加用户、删除用
户、修改用户权限、系统资源异常等操作进行记录
24 应采用校验码技术保证通信过程中数据的完整性。
启用https。由于申请的公网IP 的443端口未开通,测试时使用80端口作为https端口
25 中间件未提供登录超时退出功能,空闲20分钟,自动退出系统
已设置,在中配置sessionTimeout.空闲20分钟退出
26 应用系统未对系统的最大并发会话连接数进行限制
已设置,在中配置maxConcurrentCount属性
27 中间件未对系统的最大并发会话连接数进行限制
已设置,在中配置maxSessionCount属性
28 应用系统同一台机器未对系统单个账号的多重并发会话进行限制,不同机器
未对系统单个账号的多重并发会话进行限制
在nginx中启用连接会话限制。每个IP只能有20个连接,
29 系统通过SSH1、VPN和HTTP方式进行数据传输,部分管理数据、鉴别数
据、重要业务数据在传输过程中未能检测到完整性遭到破坏,未能够对数据
在遭到传输完整性破
数据库启用SSL
30 建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数
据的存储保密性
数据库启用SSL
31 建议系统提供每天至少一次的数据完全备份,并对备份介质进行场外存放
32 建议提供数据库系统硬件冗余,保证系统的高可用性
s数据库集群或热备
发布评论