等保级问题清单-修复文档 最新版.doc

等保二级测评问题修复文档目录1操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；51.1Centos操作系统用户口令未有复杂度要求并定期更换51.1.1提升系统口令复杂度51.1.2提升密码复杂度51.2Windows（跳板机）操作系统未根据安全策略配置口令的复杂度和更换周期61.3数据库系统用户口令未定期更换62应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；62.1Centos操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间62.1.1修改远程登录用户62.1.2修改客户端登录用户62.2Windows操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间72.3数据库系统登录失败处理功能配置不满足要求，登录失败次数为100次，未设置非法登录锁定措施73当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；74应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。75Windows（跳板机）应启用访问控制功能，依据安全策略控制用户对资源的访问；76应实现操作系统和数据库系统特权用户的权限分离96.1Centos操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等96.1.1添加不同角色的人员96.1.2为sysadmin添加sudo权限96.2Window操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等96.3数据库账户和系统管理员账户的权限一致107应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令117.1Centos操作系统未限制默认账户的访问权限，未重命名默认账户117.2Windows操作系统未限制默认账户的访问权限，未重命名默认账户117.3数据库系统未限制默认账户的访问权限，未重命名默认账户118应及时删除多余的、过期的帐户，避免共享帐户的存在128.1Centos操作系统未限制默认账户的访问权限，未删除多余、过期的账户（adm、 lp、sync、 shutdown、 halt、mail、operator、games ）128.1.1注释掉不需要的用户128.1.2注释掉不需要的组138.2Windows操作系统未限制默认账户的访问权限148.3数据库系统未限制默认账户的访问权限，未删除多余、过期和共享的账户159审计范围应覆盖到服务器上的每个操作系统用户和数据库用户159.1Centos操作系统未开启日志审计功能，审计范围未覆盖到每个用户，未使用第三方安全审计产品实现审计要求159.2Windows操作系统审计日志未覆盖到用户所有重要操作159.3数据库系统未开启审计进程；未使用第三方审计系统对系统进行操作审计，审计范围未覆盖到抽查的用户1610审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件1610.1Centos审计内容未包括重要用户行为，系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件1610.2Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件1810.3数据库系统的审计内容未包括：重要用户行为、系统资源的异常使用和重要系统命令的使用等1811审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等1911.1Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等1911.2数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等1912应保护审计记录，避免受到未预期的删除、修改或覆盖等1912.1Centos审计记录未受到保护，未能避免受到未预期的删除、修改或覆盖等1912.2数据库系统未对审计记录进行保护1913操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新1913.1Centos操作系统未及时更新系统补丁，未禁用多余服务端口：1231913.1.1更新openssl1913.1.2更新openssh1913.2Windows操作系统未遵循最小安装原则，存在多余软件：谷歌浏览器、notepad+，未及时更新系统补丁，未禁用多余服务：Print Spooler，未禁用多余端口：135、137、139、445、1232014应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库2014.1Centos2014.2Windows2015应支持防恶意代码软件的统一管理2115.1Centos2115.2Windows2116应通过设定终端接入方式、网络地址范围等条件限制终端登录2216.1Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录2216.2数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录2317应根据安全策略设置登录终端的操作超时锁定2317.1Centos操作系统未根据安全策略设置登录终端的操作超时锁定2317.1.1修改ssh终端用户2317.1.2修改系统用户2317.2windows操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护时间2417.2.1为断开的会话设置时间限制:10分钟2417.2.2屏幕保护2517.3数据库系统未根据安全策略设置终端的操作超时锁定2518应限制单个用户对系统资源的最大或最小使用限度2519应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用2520应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；2521应由授权主体配置访问控制策略，并严格限制默认账户的访问权限；2622应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；2623应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计2623.1应用系统未启用审计功能2623.1中间件已提供覆盖到抽查用户的安全审计功能，未对增加用户、删除用户、修改用户权限、系统资源异常等操作进行记录2724应采用校验码技术保证通信过程中数据的完整性。2725中间件未提供登录超时退出功能，空闲20分钟，自动退出系统2726应用系统未对系统的最大并发会话连接数进行限制2727中间件未对系统的最大并发会话连接数进行限制2728应用系统同一台机器未对系统单个账号的多重并发会话进行限制，不同机器未对系统单个账号的多重并发会话进行限制2729系统通过SSH1、VPN和HTTP方式进行数据传输，部分管理数据、鉴别数据、重要业务数据在传输过程中未能检测到完整性遭到破坏，未能够对数据在遭到传输完整性破2830建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性2831建议系统提供每天至少一次的数据完全备份，并对备份介质进行场外存放2832建议提供数据库系统硬件冗余，保证系统的高可用性281 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；1.1 Centos操作系统用户口令未有复杂度要求并定期更换1.1.1 提升系统口令复杂度修改登录口令etc/login.defsPASS_MAX_DAYS 180 PASS_MIN_DAYS 1 PASS_WARN_AGE 28 PASS_MIN_LEN 8如下图：1.1.2 提升密码复杂度/etc/pam.d/system-auth文件中配置密码复杂度：在pam_cracklib.so后面配置参数password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-3 dcredit=-3 ocredit=-1说明：密码最少minlen =8位，ucredit=-1密码中至少有1个大写字母，icredit=-3密码中至少有3个小写字母，dredit=3密码中至少有3个数字，oredit=-1密码中至少有1个其它字符如下图：1.2 Windows（跳板机）操作系统未根据安全策略配置口令的复杂度和更换周期修改口令复杂度和更换周期如下：1.3 数据库系统用户口令未定期更换ALTER USER 用户名 PASSWORD EXPIRE INTERVAL 180 DAY;2 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；2.1 Centos操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间2.1.1 修改远程登录用户修改为登录三次锁定用户，锁定时间为：一般用户5分钟,超级用户锁定10分钟配置如下：修改/etc/pam.d/sshd(一定要放在第一行，否则即使输入次数超过三次，再输入密码也是可以进去的)：auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600如下图：2.1.2 修改客户端登录用户修改/etc/pam.d/login(一定要放在第一行，否则即使输入次数超过三次，再输入密码也是可以进去的)：auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600如下图：2.2 Windows操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间账户锁定策略:复位帐户锁定计数器-3分钟 帐户锁定时间-5分钟 帐户锁定阀值-5次无效登录，设置设备登录失败超时时间（不大于10分钟）2.3 数据库系统登录失败处理功能配置不满足要求，登录失败次数为100次，未设置非法登录锁定措施3 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；这个对应那条4 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。已删除数据库root账号，数据库中每个需要连接的主机对应一个账号5 Windows（跳板机）应启用访问控制功能，依据安全策略控制用户对资源的访问；禁用Print Spooler，禁用默认共享路径：C$如下图：6 应实现操作系统和数据库系统特权用户的权限分离6.1 Centos操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等在系统下分别添加不同较色的管理员：系统管理员、安全管理员、安全审计员6.1.1 添加不同角色的人员Useradd sysadminUseradd safeadminUseradd safecheck6.1.2 为sysadmin添加sudo权限chmod 740 /etc/sudoersvi /etc/sudoerssysadminALL=(ALL)ALLchmod 440 /etc/sudoers6.2 Window操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等添加：系统管理员、安全管理员和安全审计员权限分配：6.3 数据库账户和系统管理员账户的权限一致数据库root账号已删除，数据库管理员账号为hqwnm和manager7 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令7.1 Centos操作系统未限制默认账户的访问权限，未重命名默认账户删除多余的账号，只保留root默认账号不确定是否正确，可以问下等保的人7.2 Windows操作系统未限制默认账户的访问权限，未重命名默认账户重命名administrator和guest默认用户名如下图：7.3 数据库系统未限制默认账户的访问权限，未重命名默认账户已删除root账号。无其他默认账号8 应及时删除多余的、过期的帐户，避免共享帐户的存在8.1 Centos操作系统未限制默认账户的访问权限，未删除多余、过期的账户（adm、 lp、sync、 shutdown、 halt、mail、operator、games ）8.1.1 注释掉不需要的用户修改：/etc/passwd如下：adm、 lp、sync、 shutdown、 halt、mail、operator、games 分别注释掉root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologin#adm:x:3:4:adm:/var/adm:/sbin/nologin#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin#sync:x:5:0:sync:/sbin:/bin/sync#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown#halt:x:7:0:halt:/sbin:/sbin/halt#mail:x:8:12:mail:/var/spool/mail:/sbin/nologin#operator:x:11:0:operator:/root:/sbin/nologin#games:x:12:100:games:/usr/games:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologindbus:x:81:81:System message bus:/:/sbin/nologinpolkitd:x:999:998:User for polkitd:/:/sbin/nologinavahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologinavahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologinlibstoragemgmt:x:998:997:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologinntp:x:38:38:/etc/ntp:/sbin/nologinabrt:x:173:173:/etc/abrt:/sbin/nologinpostfix:x:89:89:/var/spool/postfix:/sbin/nologinsshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologinchrony:x:997:996:/var/lib/chrony:/sbin/nologinnscd:x:28:28:NSCD Daemon:/:/sbin/nologintcpdump:x:72:72:/:/sbin/nologinnginx:x:996:995:nginx user:/var/cache/nginx:/sbin/nologinsysadmin:x:1000:1000:/home/sysadmin:/bin/bashsafeadmin:x:1001:1001:/home/safeadmin:/bin/bashsafecheck:x:1002:1002:/home/safecheck:/bin/bash如下图：8.1.2 注释掉不需要的组rootiZ886zdnu5gZ # cat /etc/grouproot:x:0:bin:x:1:daemon:x:2:sys:x:3:#adm:x:4:tty:x:5:disk:x:6:#lp:x:7:mem:x:8:kmem:x:9:wheel:x:10:cdrom:x:11:#mail:x:12:postfixman:x:15:dialout:x:18:floppy:x:19:#games:x:20:tape:x:30:video:x:39:ftp:x:50:lock:x:54:audio:x:63:nobody:x:99:users:x:100:utmp:x:22:utempter:x:35:ssh_keys:x:999:systemd-journal:x:190:dbus:x:81:polkitd:x:998:avahi:x:70:avahi-autoipd:x:170:libstoragemgmt:x:997:ntp:x:38:dip:x:40:abrt:x:173:stapusr:x:156:stapsys:x:157:stapdev:x:158:slocate:x:21:postdrop:x:90:postfix:x:89:sshd:x:74:chrony:x:996:nscd:x:28:tcpdump:x:72:nginx:x:995:sysadmin:x:1000:safeadmin:x:1001:safecheck:x:1002:8.2 Windows操作系统未限制默认账户的访问权限对重要文件夹进行访问限制，没有权限的系统默认账号是无法访问的，例如：8.3 数据库系统未限制默认账户的访问权限，未删除多余、过期和共享的账户数据库已限制用户的访问，每个IP对应一个用户名9 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户9.1 Centos操作系统未开启日志审计功能，审计范围未覆盖到每个用户，未使用第三方安全审计产品实现审计要求开启日志日记进程（audit）,审计覆盖到每个用户9.2 Windows操作系统审计日志未覆盖到用户所有重要操作开启系统审计日志，如下图：9.3 数据库系统未开启审计进程；未使用第三方审计系统对系统进行操作审计，审计范围未覆盖到抽查的用户数据库安装了第三方的审计插件。macfee公司基于percona开发的mysqlaudit插件10 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件10.1 Centos审计内容未包括重要用户行为，系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件修改audit.rules，使审计内容包括：用户重要行为、系统资源调用、文件访问和用户登录等-w /var/log/audit/ -k LOG_audit-w /etc/audit/ -p wa -k CFG_audit-w /etc/sysconfig/auditd -p wa -k CFG_auditd.conf-w /etc/libaudit.conf -p wa -k CFG_libaudit.conf-w /etc/audisp/ -p wa -k CFG_audisp-w /etc/cups/ -p wa -k CFG_cups-w /etc/init.d/cups -p wa -k CFG_initd_cups-w /etc/netlabel.rules -p wa -k CFG_netlabel.rules-w /etc/selinux/mls/ -p wa -k CFG_MAC_policy-w /usr/share/selinux/mls/ -p wa -k CFG_MAC_policy-w /etc/selinux/semanage.conf -p wa -k CFG_MAC_policy-w /usr/sbin/stunnel -p x-w /etc/security/rbac-self-test.conf -p wa -k CFG_RBAC_self_test-w /etc/aide.conf -p wa -k CFG_aide.conf-w /etc/cron.allow -p wa -k CFG_cron.allow-w /etc/cron.deny -p wa -k CFG_cron.deny-w /etc/cron.d/ -p wa -k CFG_cron.d-w /etc/cron.daily/ -p wa -k CFG_cron.daily-w /etc/cron.hourly/ -p wa -k CFG_cron.hourly-w /etc/cron.monthly/ -p wa -k CFG_cron.monthly-w /etc/cron.weekly/ -p wa -k CFG_cron.weekly-w /etc/crontab -p wa -k CFG_crontab-w /var/spool/cron/root -k CFG_crontab_root-w /etc/group -p wa -k CFG_group-w /etc/passwd -p wa -k CFG_passwd-w /etc/gshadow -k CFG_gshadow-w /etc/shadow -k CFG_shadow-w /etc/security/opasswd -k CFG_opasswd-w /etc/login.defs -p wa -k CFG_login.defs-w /etc/securetty -p wa -k CFG_securetty-w /var/log/faillog -p wa -k LOG_faillog-w /var/log/lastlog -p wa -k LOG_lastlog-w /var/log/tallylog -p wa -k LOG_tallylog-w /etc/hosts -p wa -k CFG_hosts-w /etc/sysconfig/network-scripts/ -p wa -k CFG_network-w /etc/inittab -p wa -k CFG_inittab-w /etc/rc.d/init.d/ -p wa -k CFG_initscripts-w /etc/ld.so.conf -p wa -k CFG_ld.so.conf-w /etc/localtime -p wa -k CFG_localtime-w /etc/sysctl.conf -p wa -k CFG_sysctl.conf-w /etc/modprobe.conf -p wa -k CFG_modprobe.conf-w /etc/pam.d/ -p wa -k CFG_pam-w /etc/security/limits.conf -p wa -k CFG_pam-w /etc/security/pam_env.conf -p wa -k CFG_pam-w /etc/security/namespace.conf -p wa -k CFG_pam-w /etc/security/namespace.init -p wa -k CFG_pam-w /etc/aliases -p wa -k CFG_aliases-w /etc/postfix/ -p wa -k CFG_postfix-w /etc/ssh/sshd_config -k CFG_sshd_config-w /etc/vsftpd.ftpusers -k CFG_vsftpd.ftpusers-a exit,always -F arch=b32 -S sethostname-w /etc/issue -p wa -k CFG_issue-w /etc/ -p wa -k CFG_如：用户登录信息：用户重要行为信息：10.2 Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件修改如下图：10.3 数据库系统的审计内容未包括：重要用户行为、系统资源的异常使用和重要系统命令的使用等msg-type:header,date:1501083085061,audit-version:1.1.3-705,audit-protocol-version:1.0,hostname:iZ88h64j92qZ,mysql-version:5.6.31,mysql-program:/usr/sbin/mysqld,mysql-socket:/var/lib/mysql/mysql.sock,mysql-port:3306,server_pid:3375msg-type:activity,date:1501083085061,thread-id:2422,query-id:41171574,user:root,priv_user:root,ip:,host:localhost,connect_attrs:_os:Linux,_client_name:libmysql,_pid:2583,_client_version:5.6.31,_platform:x86_64,program_name:mysql,cmd:set_option,query:SET GLOBAL audit_json_file=ONmsg-type:activity,date:1501083095409,thread-id:2422,query-id:41171575,user:root,priv_user:root,ip:,host:localhost,connect_attrs:_os:Linux,_client_name:libmysql,_pid:2583,_client_version:5.6.31,_platform:x86_64,program_name:mysql,rows:30,cmd:show_variables,objects:db:information_schema,name:/tmp/#sql_d2f_0,obj_type:TABLE,query:SHOW GLOBAL VARIABLES LIKE %audi%msg-type:activity,date:1501083102463,thread-id:2423,query-id:41171576,user:zmq,priv_user:zmq,ip:35,host:35,client_port:22404,rows:1,cmd:select,query:select 111 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等11.1 Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等开启日志监控：Audit11.2 数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等12 应保护审计记录，避免受到未预期的删除、修改或覆盖等12.1 Centos审计记录未受到保护，未能避免受到未预期的删除、修改或覆盖等在系统下修改日志保存文件/etc/logrotate.conf 文件如下：#keep 10 weeks worth of backlogsrotate 10保存日志文件10周12.2 数据库系统未对审计记录进行保护数据库审计日志存储在/var/lib/mysql/ mysql-audit.json定期1个月人工将该文件备份13 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新13.1 Centos操作系统未及时更新系统补丁，未禁用多余服务端口：123已关闭123端口对应的服务ntpd。启用firewalld。各主机只开放对应端口。包括80,7008,9200,9300及330613.1.1 更新opensslrootiZ886zdnu5gZ # openssl versionOpenSSL 1.0.1e-fips 11 Feb 2013更新后的版本为：rootiZ886zdnu5gZ openssl-1.0.2l# openssl versionOpenSSL 1.0.2l 25 May 201713.1.2 更新opensshrootiZ886zdnu5gZ # ssh -VOpenSSH_6.6.1p1, OpenSSL 1.0.1e-fips 11 Feb 2013更新后的版本为：rootiZ886zdnu5gZ openssh-7.5p1# ssh -VOpenSSH_7.5p1, OpenSSL 1.0.2l 25 May 201713.2 Windows操作系统未遵循最小安装原则，存在多余软件：谷歌浏览器、notepad+，未及时更新系统补丁，未禁用多余服务：Print Spooler，未禁用多余端口：135、137、139、445、123删除多余的软件：如谷歌浏览器、notepad+、禁止多余服务：PrintSpooler14 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库14.1 Centos由阿里云盾提供保护14.2 Windows由阿里云提供：15 应支持防恶意代码软件的统一管理15.1 Centos由阿里云盾提供15.2 Windows由阿里云提供：16 应通过设定终端接入方式、网络地址范围等条件限制终端登录16.1 Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录在系统的/etc/hosts.deny和/etc/hosts.allow添加网络拒绝和允许地址在/etc/hosts.deny中禁止TCP类型所有联系在/etc/hosts.allow中只允许10.254.51开头的IP端进行连接和操作（包括SSH）16.2 数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录每个账号对应一个IP地址。限制用户%类型的无限制连接17 应根据安全策略设置登录终端的操作超时锁定17.1 Centos操作系统未根据安全策略设置登录终端的操作超时锁定17.1.1 修改ssh终端用户添加：/etc/ssh/sshd_conf 内容：Clie