B1-4 linux核查表(模板).doc

编号: B1-4Linux核查表*信息系统委托单位：*报告日期：年 月（本页空白）声 明1、本报告是第三方独立测评机构在对委托单位信息系统进行资料分析、现场核查与测试的基础上得出的客观评估结果。2、本报告的评估结果仅对测试时间段内信息系统现有的状况有效，测试后系统出现任何变更时，本报告结果不再适用。3、本报告是针对信息系统及其构件使用的正确性和有效性进行测试和评估，本报告结论不能作为对系统内相关产品的结论。4、考虑到测评工作的时间、范围限制，以及测试技术的局限性，信息系统可能仍存在未发现的安全风险。5、本报告版权属中国信息安全测评中心。任何个人、机构未经中国信息安全测评中心的书面授权许可，不得以任何方式复制或引用本文件的任何片断。6、本报告一式三份，一份交委托单位，两份留存本中心。（盖章） 二*年*月（本页空白）报告基本信息委托单位信息单位名称单位地址联系人电话E-Mail传真评估单位信息单位名称联系地址邮编联系人电话(010)82341588传真电话(010)82341598测试组组 长组 员测试日期报告审批信息批 准 人年 月 日（本页空白）目 录LINUX核查表单1*信息系统1LINUX核查表单2Linux核查表测试项基本要求测试子项测试内容测试方法预期结果结果记录判定身份鉴别应对登录操作系统的用户进行身份标识和鉴别检查系统登录是否需要密码登陆系统是否需要密码awk -F: ($2 = !) print $1 /etc/shadow，查看返回是否有账户为空密码存在不能为空登录需要密码符合操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换口令复杂度用户口令复杂度要求，查看/etc/pam.d/system-auth文件参数在pam_cracklib.so后面是否存在参数password requisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1设置值存在retry=3,其他参数未设置不符合口令定期更换用户口令期限以及长度限制，查看/etc/login.defs的参数配置查看/etc/login.defs的是否存在以下参数：PASS_MAX_DAYS 30PASS_MIN_DAYS 7PASS_MIN_LEN 8PASS_WARN_AGE 15设置值存在PASS_MAX_DAYS99999PASS_MIN_DAYS0PASS_MIN_LEN5PASS_WARN_AGE7不符合应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施登录失败措施检查登陆失败一定次数后自动锁定，查看/etc/pam.d/system-auth配置参数查看/etc/pam.d/system-auth文件中是否有如下两行：auth required /lib/security/pam_tally.so onerr=fail no_magic_root account required /lib/security/pam_tally.so deny=3 no_magic_root reset存在配置参数未配置不符合限制root只能在系统控制台登陆检测root用户只能在控制台登陆检查/etc/securetty是否仅包含console、vc/*和tty*（这里*代表数字），检查/etc/securetty的所有者和权限是否分别为root和400设置值存在root 允许远程直接登录不符合当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听远程管理服务数据传输安全telnet禁用尝试使用telnet连接，登陆查看是否有telnet服务启动，或iptable防火墙拒绝telnet端口telnet服务已关闭已关闭符合ssh版本是否为ssh2查看ssh版本，是否为最新，ssh1存在安全漏洞，不可靠ssh版本为2.0及以上SSH-1.99-OpenSSH_3.9p1不符合应为操作系统不同用户分配不同的用户名，确保用户名具有唯一性应用和操作系统用户权限查看以开放应用账户权限是否和操作系统权限套用如数据库账户和ftp账户都不可以使用系统账户root，检测需要管理配合查看各个应用账户不存在应用账号与系统管理账号共用不存在应用账号与系统管理账号共用符合非法账户是否存在可利用非法账户使用grep +: /etc/passwd /etc/shadow /etc/group命令查看是否存在黑客可利用的“+”的条目不存在“+”条目不存在“+”条目不符合应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限重要文件权限检查检查带setuid和setgid位文件检查带setuid和setgid位文件，使用如下指令：#find / -perm -02000,查看除这些/usr/libexec/utempter/utempter/usr/lib/vte/gnome-pty-helper/usr/sbin/lockdev/usr/sbin/sendmail.sendmail/usr/bin/screen/usr/bin/crontab/usr/bin/lockfile/usr/bin/ssh-agent/usr/bin/locate/usr/bin/write/usr/bin/wall/proc/3713/task/3713/fd/4/proc/3713/fd/4/sbin/netreport文件外是否还存在自定义的二进制脚本，需管理员配合无可疑文件权限list of guid fle /opt/ora10g/product/102/bin/emtgtctl2/opt/ora10g/product/102/bin/oracle/opt/ora10g/product/102/bin/nmo/opt/ora10g/product/102/bin/nmb/opt/ora10g/product/102/bin/oradism/usr/bin/ssh-agent/usr/bin/screen/usr/bin/konsole/usr/bin/write/usr/bin/wall/usr/bin/crontab/usr/bin/locate/usr/bin/lockfile/usr/lib/vte/gnome-pty-helper/usr/libexec/utempter/utempter/usr/sbin/sendmail.sendmail/usr/sbin/lockdev/sbin/netreport符合/usr/bin/at/usr/bin/Xorg/usr/bin/newgrp/usr/bin/passwd/usr/bin/rlogin/usr/bin/chfn/usr/bin/chsh/usr/bin/rcp/usr/bin/sudo/usr/kerberos/bin/ksu/lib/dbus-1/dbus-daemon-launch-helper/proc/3757/task/3757/fd/4/proc/3757/fd/4/sbin/mount.nfs/sbin/unix_chkpwd/sbin/umount.nfs4/sbin/umount.nfs/sbin/pam_timestamp_check/sbin/mount.nfs4/bin/umount/bin/ping6/bin/su/bin/ping/bin/mount，是否存在自定义，需管理员配合无可疑文件权限list of suid fle /bin/mount/bin/ping/bin/ping6/bin/su/bin/umount/lib/dbus-1/dbus-daemon-launch-helper/opt/ora10g/product/102/bin/emtgtctl2/opt/ora10g/product/102/bin/extjob/opt/ora10g/product/102/bin/oracle/opt/ora10g/product/102/bin/nmo/opt/ora10g/product/102/bin/nmb/opt/ora10g/product/102/bin/oradism/opt/ORCLfmap/prot1_32/bin/fmputlhp/usr/bin/sudoedit/usr/bin/chage/usr/bin/gpasswd/usr/bin/rsh/usr/bin/chfn/usr/bin/Xorg/usr/bin/rcp/usr/bin/crontab/usr/bin/staprun/usr/bin/kgrantpty/usr/bin/kpac_dhcp_helper/usr/bin/at/usr/bin/sudo/usr/bin/chsh/usr/bin/newgrp/usr/bin/passwd/usr/bin/rlogin/usr/lib/nspluginwrapper/plugin-config/usr/libexec/openssh/ssh-keysign/usr/sbin/suexec/usr/sbin/ccreds_validate/usr/sbin/userhelper/usr/sbin/usernetctl/usr/kerberos/bin/ksu/sbin/umount.nfs4/sbin/mount.nfs/sbin/pam_timestamp_check/sbin/mount.nfs4/sbin/unix_chkpwd/sbin/umount.nfs符合关键账号文件保护关键账号密码文件权限最小限制检查passwd、shadow和group文件的权限检查passwd shadow、 group文件的归属是否属于root；passwd和group的权限是否为644；group的权限是否为400文件权限正常属主均为root，权限passwd和group的权限为644；shadow的权限为400符合应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令默认账号检查默认账户检查以root身份登录，查看/etc/passwd文件默认账户除过root以及创建账户外都无登陆权限默认账户已锁定符合umask 参数检查查看umask参数，至少umask=027umask=027umask=022不符合应及时删除多余的、过期的账户、避免共享账户的存在不存在无用账户以及过期账号执行：more /etc/passwd，记录所有用户账号、查看可能无用的账号adm / lp / sync / shutdown / halt / news / uucp / operator / games / gopher是否被注释掉询问管理员，确定过期账号已经删除，且无用的账户已被删除不存在无用账户以及过期账号符合安全审计审计范围应覆盖到服务器和重要客户端上的每个操作系统用户应限制root用户直接登录到系统限制root用户无法直接登陆如果是ssh，查看/etc/ssh/sshd_config的PermitRootLogin no|yes 未被注释掉，且为yesroot账户无法直接登陆root可以远程登录不符合adm账户登陆若存在adm账户，则查看是否存在loginlog记录文件查看是否有 /var/adm/loginlog文件；无此账户或有账户存在loginlog记录无此账号符合syslog.conf安全设置是否设置安全项执行：more /etc/syslog.conf，查看是否设置了下列项：kern.warning;*.err;authpriv.nonetloghost*.info;mail.none;authpriv.none;cron.nonetloghost*.emergtloghostlocal7.*tloghost设置值存在*.info;mail.none;authpriv.none;cron.none /var/log/messagesauthpriv.* /var/log/securemail.* -/var/log/maillogcron.* /var/log/cron*.emerg *local7.* /var/log/boot.log符合历史记录审计历史记录/.sh_history,/.bash_history和其它用户目录的历史记录文件等等管理员配合查看，不存在异常命令历史命令包含mysql数据库root账号密码不符合日志计划日志计划，存储方式、期限、大小等日志计划：查看/etc/logrotate.conf配置文件中是否定义了message、syslog、su日志记录的大小以及存储方式/var/log/message monthly minsize 10M rotate 12每周备份一次、最大文件为10m、保留12周日志。设置值存在monthly minsize 1M create 0664 root utmp rotate 1符合审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件secure日志系统安全日志more /var/log/secure查看是否存在日志内容存在secure日志存在secure日志符合wtmp日志用户行为日志who /var/log/wtmp查看是否存在日志内容存在wtmp日志存在wtmp日志符合审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等审计日志内容审计内容审计内容包括时间的日期、时间、类型、主体、客体和结果，查看more /var/log/messages、如：message日志Oct 31 10:22:59 localhost kernel: hdc: drive_cmd: error=0x04 AbortedCommand 记录日志都包含时间、类型、主体、客体和结果信息登录日志记录正常root pts/5 0 Mon Feb 20 15:59 still logged in符合应保护审计记录，避免受到未预期的删除、修改或覆盖等审计日志文件保护审计日志文件保护查看是否单独存放审计日志文件审计日志文件单独存放审计日志文件仅存在主机不符合入侵防范操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新网络服务检查TCP Wrappers和防火墙配置查看是否拒绝所有网络连接到服务器，使用命令grep ALL: ALL /etc/hosts.deny，返回为空则未设置；如存在则查看 /etc/hosts.allow文件中允许的服务端口是否为管理员已知的；查看防火墙规则，iptables -t filter -L -nv查看accept端口是否为管理员已知的有配置系统防火墙策略未配置TCP Wrappers和iptables策略不符合telnet服务查看telnet服务是否禁止，如非必要则关闭如非必要则关闭已禁止符合ftp服务查看ftp服务是否启用，chkconfig -list vsftpd，如飞必要则关闭如非必要则关闭已禁止符合rlogin/rsh/rcp 服务查看rlogin、rsh、rcp服务是否关闭，使用命令：chkconfig -list 服务名 进行查看，如非必要则关闭如非必要则关闭无此服务符合IMAP服务如果本服务器非邮件服务器建议关闭，chkconfig -list imamps如非必要则进行关闭无此服务符合POP服务如果本服务器非邮件服务器建议关闭，chkconfig -list pop3s如非必要则进行关闭无此服务符合启动服务sendmail服务检查邮件系统安全。如需要邮件服务则需要配置其安全性，如果需要发送邮件：检查/etc/sysconfig/sendmail的所有者是否为root，权限是否是644如非必要则关闭启用不符合GUI登陆grep id:3:initdefault /etc/inittab如有返回条目，则说明已经禁止存在返回条目，GUI登陆被禁止禁止GUI登陆符合X字体服务判断是否需要x窗口服务，如果不需要x窗口服务，则禁用x字体服务，chkconfig -list xfsx窗口服务未启动，则x字体服务禁用启用不符合SMB服务如服务器需要通过windows共享协议，则需要启用，如不需要则进行关闭，chkconfig -list smb不需要window共享则禁用已关闭smb服务符合NFS服务如服务器为NFS文件服务器，则启用NFS服务，服务器端：chkconfig -list nfs；客户端：chkconfig -list nfslock，chkconfig -list autofs根据服务器角色进行判断已禁止符合NIS服务如服务器为NIS文件服务器，则启用NIS服务，服务器端：chkconfig -list ypserv，chkconfig -list yppasswdd；客户端：chkconfig -list ypbind根据服务器角色进行判断无此服务符合打印后台服务如服务器是打印服务器，则需要启用lpd或cups守护进程，chkconfig -list cups根据服务器角色进行判断启用不符合web服务进程仅为web专用服务器才启动服务，否则则进行关闭：chkconfig -list apache，chkconfig -list httpd，chkconfig -list tux根据服务器角色进行判断已关闭httpd符合snmp进程查看是否依赖于snmp工具进行远程监控，否则关闭，chkconfig -list snmpd根据使用判断已关闭snmp服务符合DNS服务如为DNS服务器则需要启动dnz服务，否则关闭，chkconfig -list named根据服务器角色进行判断已关闭named服务符合SQL服务如为SQL服务器则需要启动sql服务，否则关闭，chkconfig -list postgresql，chkconf