Linux主机评估检查表--

1、操作系统评估检查表linux安全审核被审核部门审核人员审核日期配合人员序号审核项目审核步骤防法审核结果补充说明改进建议1操作系统安装 过程检查操作系统安装过程是否遵循安全策略。2操作系统口令 安全策略检杏操作系统口令是否满足安全策略要求。3川户帐号设置1、执行：more /etc/passwd查看是否存在以下可能无用的帐号：adm / lp / sync / shutdown / halt / news / uucp / operator / games / gopher同吋应该检查是否对所有用户授予了合理的shello2、检査/ctc/passwd文件属性设置是否为6443、检查/etc/s

2、hadow文件属性设置是否为6004用八组设置1、执行：more /etc/group检查用八组的设置情况，查看是否存在以下可能无用 的用户组：adm / lp / news / uucp / operator / games / gopher2查看/etc/gshadow的文件属性是否为700linux安全宙核被审核部门审核人员审核日期配合人员序号审核项目审核步骤方法审核结果补充说明改进建议5用户口令设置询问管理员是否存在如下类似的简单用八密码配置， 比如： root/roottest/test root/root 12342、执行：more /etc/login.defs ,检查是否存在p

3、ass m1n丄en 5 或 pass min len 8 配置行6root用户的登 陆控制台限制执行:more /etc/securetty检査所有没有被注释掉的tty,这些控制台root可以 直接登陆。7重要目录和文 件的权限设置检查以下目录和文件的权限设置情况:/etc/etc/rc.d/init.d/tmp/etc/inetd.conf 或者 /etc/xinet.d/etc/passwd/etc/shadow/etc/securietty/etc/services/etc/rc.locallinux安全宙核被审核部门审核人员审核日期配合人员序号审核项目审核步骤方法审核结果补充说明改进

4、建议8文件系统的 mount控制执行：/etc/fstab查看文件系统的mount控制情况。乍何人都有写权限的文件和在系统中定位任何人都有写权限的文件和h录用下 面的命令：9目录rootlinux find / -type f ( -perm -2 -o -perm -20 ) -exec is -lg vrootlinux find / -type d ( -perm 2 -o -perm -20 ) -exec is -idg ;10没有属主的文 件定位系统中没有属主的文件用下面的命令：rootlinuxfind / -nouser o -nogroup 注意：不用管“/dev”目录下的那

5、些文件。11异常隐含文件在系统的每个地方都要查看一下有没有异常隐含文 件（点号是起始字符的，用“is”命令看不到的文件）， 因为这些文件可能是隐藏的黑客工具或者其它一些 信息（口令破解程序、其它系统的口令文件，等等）。 在unix下，一个常用的技术就是用一些特殊的名， 如：“”、“”（点点空格）或“g” （点点control-g）,来隐含文件或目录。用"find"程序可以查找到这些隐含文件。例如：linux安全宙核被审核部门审核人员审核日期配合人员序丄审核项目审核步骤方法审核结果补充说明改进建议#find / -name" -print -xdev#find/-n

6、ame-print-xdev 1 cat-v同时也要注意象“.xx”和“.mail”这样的文件 名的。（这些文件名看起来都很象正常的文件名）12inetd 或 xinetd 中基本网络服 务配置检s/etc/inetd.conf文件中的基本的网络服务的开启 或禁止情况或者检查/etc/xinetd.d/目录下的相关服务配置文件。13tcp_wrappers访问列 表设置查看/etc/hosts.deny & /etc/hosts.allow 文件中的访问控 制配置。14r系列服务命 令控制如果系统允许r系列服务命令的使用，则应该查看所 有的.rhosts文件。建议执行下面的命令定位系统

7、中的“.hosts”文件：# find / name .rhosts -print并且需要査看这些.rhosts文件中是否存在+配置。15nfs服务配置执行:more /etc/export检杏文件中对于nfs共享的权限控制linux安全宙核被审核部门审核人员审核日期配合人员序号审核项目审核步骤方法审核结果补充说明改进建议16常规网络服务询问管理员或执行以下操作检查系统运行那些常规 网络服务，并记录各类服务的服务系统软件类型和版 木，对于运行的服务，提取相关配置文件信息： telnet 0 80telnet 0 25telnet 0 110telnet 0 143telnet 0 443tel

8、net 0 2117cron行为审核查看所有的cron任务在/var/spool/cron/crontabs文件中你可以找到它们。 同时需要查看是否配置了审核，执彳亍：more /etc!default/cron确认存在如下内容cronlog=yes18root用户的登 陆审核执行：more /etc/default/login 确认其中存在如下内容：syslog=yeslinux安全宙核被审核部门审核人员审核日期配合人员序号审核项目审核步骤方法审核结果补充说明改进建议19login行为的 记录査看是否有/var/adm/loginlog文件。20syslog.conf 配 置主要查看/etc/syslog.conf配置文件中是否设置了 loghost,需要提取/etc/syslog.conf文件的所有配置信 息。21通过inetd启 动的tcp服务 的日志记录执彳j: more /etc/init.d/inetsvc确认其中存在如下内容（一般在该文件最后）/usr/sbin/inetd -s -t &22lilo设置执彳j: more /etc/lilo.conf 检査lilo的安全设置情况。23tcpsyncookie保护执行: more /proc/sys/net/ipv4/tcp_syticookies 査看输出内容是否为：124control-