信息安全等级保护中linux服务器测评方法研究

信息安全等级保护中 Linux 服务器测评方法研究 随着 Linux 操作系统的发展与完善，不少中小企业用户开始使用搭载 Linux 操作系统的服务器。但是很多 Linux 系统服务嚣安全策略并不完善。为满足国家信息安全等级保护的要求，保护企业信息系统的安全稳 定运行，以信息安全等级保护测评的要求为依据，本文提出对 Linux 系统服务器安全测评的具体操作方法， 分别从身份鉴别、访问控制、安全审计、入侵防范与恶意代码防范、资源控制等不同方面依据 cat 等指令 检查系统文件的相关配置，依此配置结果与信息安全等级保护的具体要求做比较以满足测评要求，并提出 加强 Linux 服务器的安全策略。 一 引言 Linux 是一个多用户，多任务的操作系统，由于它稳定、可靠，且系统内核代码的开 源性，使得 Linux 被广泛用于网络服务器操作系统，Linux 系统可搭建多种服务器：Web 网 站服务器、FTP 服务器和 DNS 服务器等，其系统的安全问题也受到人们的日益关注。但是， 在近年来的信息安全等级保护测评中发现，很多 Linux 服务器的安全策略并不完善，部分 企业网络管理员以 Linux 系统服务器安全性高为理由忽视了对服务器的管理，造成了影响 系统正常运行的安全隐患。 本文以使用安装 CentOS 为基础系统的 Linux 服务器作讨论，从身份鉴别、访问控制、 安全审计、入侵防范与恶意代码防范、资源控制等不同方面，提出为 Linux 服务器以满足 信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)中三级信息系统 (S3A3G3)的要求为目标，使 Linux 服务器应能够在统一安全策略下防护系统免受来自外部 有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击以及其他相当危害程度的威胁 所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢 复绝大部分功能。文章阐述了在信息安全等级保护主机安全测评中的具体测评方法，并提 出了对 Linux 服务器安全策略的配置建议。 服务器的测评主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、 资源控制等方面的内容。 二 身份鉴别 为计算机系统的安全起见，只有经过授权的合法用户才能访问服务器。身份鉴别即服 务器需要用户以一种安全的方式提交自己的身份证实，然后由服务器确定用户的身份是否 属实的过程。身份鉴别的机制大大的提高了服务器的安全性，主要防止了身份欺诈。所以， 核实服务器系统的身份鉴别功能在测评中显得尤为重要。身份鉴别包括对用户的身份标识 和鉴别，系统的密码策略、登录控制功能，身份的标识、密码口令的复杂度，登录失败的 处理、远程管理的传输模式、用户名的唯一性等。 (1)查看/etc/shadow 中的相关参数，其中九个栏位分别代表：账号名称、加密密码、 密码更动日期、密码最小可变动日期、密码最大需变动日期、密码过期前警告日数、密码 失效天数、帐号失效日、保留位。我们关注第5位密码最大需变动日期即密码可存在的最长 天数，默认配置为99999，但建议3个月更换一次即90天。/etc/login.defs 中也有对登录 密码最小长度限制的配置(PASS_MIN_LEN)。 (2)查看/ete/pam.d/system-auth 中 pam_cracklib.so 的内容，可以用来检验密码的 强度。包括密码是否在字典中，密码输入数次失败就断掉连接等功能。 (3)管理员为方便管理服务器常常开启了远程管理的功能，由于 telnet 与 rsh 模式使 用明文传输，文件在互联网上传输极不安全，所以最好使用更安全的 SSH 方式来管理服务 器。新版本的 CentOS 默认开启了 SSH 功能，通过使用 netstattunlp 指令可查看网络连线 的服务，检查 sshd 程序是否在监听，或查看 sshd_config 文档中的相关配置。以 root 身 份对服务器进行远程管理是危险的，应禁止 root 账户的远程管理。当然，最安全的方法是 关闭远程管理的功能。 三 访问控制 访问控制是安全防范和保护的主要策略，它不仅应用于网络层面，同样也适用于主机 层面，它的主要任务是保证系统资源不被非授权的用户使用和访问，使用访问控制的目的 在于通过限制用户对特定资源的访问保护系统资源。通过对访问控制的要求，使不同的服 务器访问者拥有不同的服务，防止了用户越权使用的可能。访问控制主要涉及到文件权限， 默认共享的问题。需要分别对系统的访问控制功能、管理用户的角色分配、操作系统和数 据库系统管理员的权限分离、默认用户的访问权限、账户的清理等做出要求。 (1)查看/ete/passwd 中的相关参数，其中七个栏位分别代表账号名称、密码、 UID、GID、用户全名、家目录、shell 类型，UID 只有0与非0两种，非0则是一般账号。一 般账号又分为系统账号(1499)即可登入者帐号(大于500)，具有 root 权限的帐号 UID、GID 均为0，UID 为0的账户应只有一个。若账户密码一栏为“：”则表示密码为空， 通过此项可检查出系统是否存在默认账户、多余的共享的账户。 (2)用户、用户组对系统重要文件的访问权限可通过 lsl 指令查看。对系统重要文件， 使用 getfaclfilename 指令，系统会列出此文件对于文件拥有者、文件所属组成员、其他 用户的不同权限。使用 net share 指令可查看系统开启了哪些共享。网络管理员可通过对 用户群组的管理确定不同用户的访问策略。 四 安全审计 安全审计通过关注系统和网络日志文件、目录和文件中不期望的改变、程序执行中的 不期望行为、物理形式的入侵信息等，用以检查和防止虚假数据和欺骗行为，是保障计算 机系统本地安全和网络安全的重要技术。通过对审计信息的分析可以为计算机系统的脆弱 性评估、责任认定、损失评估、系统恢复提供关键性信息。因此安全审计的覆盖范围必须 要到每个操作系统用户和数据库用户。包括审计范围、审计的事件、审计记录格式、审计 报表的生成几个方面。 (1)系统登录日志保存在 syslogd、klogd 文件中，我们也可以通过查询 /var/log/messages(记录系统发生错误的信息)、/var/log/secure(所有需要输入帐号密码 的软件，login、gdm、su、sudo、ssh 等)、/var/log/wtmp，/var/log/faillog(成功和失 败登陆者信息)来查看系统是否完整记录重要系统日志。审计记录一般只有 root 权限的用 户才可以读取，所以一般满足不被破坏的要求。 (2)审计记录还应定期生成报表，使用 aureport 或者 CentOS 使用自带的 logwatch 分 析工具即可，logwateh 还可以定期发送审计记录 email 给 root 管理员。 五 入侵防范、恶意代码防范 要维护系统安全，只具备安全系统还不够，服务器必须进行主动监视，以检查是否发 生了入侵和攻击。因此一套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事 件。为防止木马、蠕虫等病毒软件的破坏，安装杀毒软件并及时更新病毒库可以抵御恶意 代码的攻击。遵循最小安装原则，仅开启需要的服务，安装需要的组件和程序，可以极大 的降低系统遭受攻击的可能性。及时更新系统补丁，可以避免遭受由系统漏洞带来的风险。 (1)CentOS 采用 yum 组件进行自动更新，可使用 yum list 指令查看目前 yum 所管理的 所有的套件名称与版本，也可查看/var/cache/yum 里存放的下载过的文件，以此判断系统 补丁是否得到及时更新，或通过#rpm-qa/grep patch 查看补丁的安装情况。主流的 Linux 发行版本通常每月数次发布系统相关的补丁。 (2)Linux 系统可使用组件 netfilter/iptable 配置本机的防火墙。 netfilter/iptable 信息包过滤系统是一种功能强大的工具，管理员可添加、编辑和删除 为包过滤作决定的一些规则。改进后的防火墙对大流量的网络环境有很好的负载能力，具 有占用 CPU 使用率低，内存消耗小，网络吞吐量大的特点。 (3)系统所有的服务状态可使用 service-status-all 来查看，或者用 netstat-tunlp 指令来查看目前 系统开启的网络服务，并可以检测到主机名称、服 务名称和端口号等，避免系统存在不需要的服务或网络连接。一些组件如 git、finger、talk、ytalk、ucd-snmp- utils、ftp、echo、shell、login、r、ntalk、pop-2、sendmail、imapd、pop3d 等，则 是系统不必须要的，需要移除。常见的必须存在的系统服务如表1： 点击图片查看大图 六 资源控制 系统资源是指 CPU、储存空间、传输带宽等软硬件资源。通过设定终端接入方式、网 络地址范围等条件限制终端登录，可以极大的节省系统资源，保证了系统的可用性，同时 也提高了系统的安全性。如果系统管理员在离开系统之前忘记注销管理员账户，那么可能 存在被恶意用户利用或被其他非授权用户误用的可能性，从而对系统带来不可控的安全隐 患。 (1)查看/etc/hosts.allow 与/etc/hosts.deny 文件可知系统允许与拒绝登录用户的 IP 地址或网段。同样在这两个文件中可以写入详细到终端接人方式的具体规则。 (2)使用 ulimit-a 指令查看对每个用户使用系统资源的限制，如最大内存使用限制。 可使用的最大 CPU 时间等。此项配置可以避免多用户同时连线，过度使用系统资源，防止 本地 DOS 攻击。 (3)查看/etc/profile 文件中加入 TMOUT 的值，确定用户登录超时系统自动注销的时 长，确保系统对登陆超时有正确的处理方式。 (4)用 top 指令查看服务器的 CPU、内存、网络等资源的使用情况，避免系统资源过度 使用造成系统服务不可用。任何占用50以上 CPU 资源的进程都可能有故障。通过 syslog