信息安全风险评估检查流程操作系统安全评估检查表HPUNIX

1、HP-UX Security CheckList目录HP-UX SECURITY CHECKLIST 11 初级检查评估内容 51.1 系统信息 51.1.1 系统根本信息 51.1.2 系统网络设置 51.1.3 系统当前路由 51.1.4 检查目前系统开放的端口 61.1.5 检查当前系统网络连接情况 61.1.6 系统运行进程 71.2 物理平安检查 71.2.1 检查系统单用户运行模式中的访问控制 71.3 帐号和口令 71.3.1 检查系统中 Uid 一样用户情况 81.3.2 检查用户登录情况 81.3.3 检查账户登录尝试失效策略 81.3.4 检查账户登录失败时延策略 81.3

2、.5 检查所有的系统默认帐户的登录权限 91.3.6 空口令用户检查 91.3.7 口令策略设置参数检查 91.3.8 检查 root 是否允许从远程登录 101.3.9 验证已经存在的 Passwd 强度 101.3.10 用户启动文件检查 101.3.11 用户路径环境变量检查 111.4 网络与效劳 111.4.1 系统启动脚本检查 111.4.2 TCP/UDP 小效劳 111.4.3 login(rlogin) ，shell(rsh) ， exec(rexec) 121.4.4 comsat talk uucp lp kerbd 121.4.5 Sadmind Rquotad Rus

3、er Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs CachefsDtspcd Gssd 121.4.6 远程打印效劳 131.4.7 检查是否开放 NFS 效劳 131.4.8 检查是否 Enables NFS port monitoring 141.4.9 检查是否存在和使用 NIS ,NIS+ 141.4.10 检查 sendmail 效劳 141.4.11 Expn, vrfy （ 假设存在 sendmail 进程 ） 151.4.12 SMTP banner 151.4.13 检查是否限制 ftp 用户权限 161.4.14 TCP_Wr

4、apper 161.4.15 信任关系 171.5 文件系统 171.5.1 suid 文件 171.5.2 sgid 文件 171.5.3 /etc 目录下可写的文件 181.5.4 检测重要文件目录下文件权限属性以及 /dev 下非设备文件系统 181.5.5 检查 /tmp 目录存取属性 191.5.6 检查 UMASK 191.5.7 检查 .rhosts 文件 191.6 日志审核 221.6.1 Cron logged 221.6.2 /var/adm/cron/ 221.6.3 Log all inetd services 231.6.4 Syslog.conf 231.7 UU

5、CP 效劳 231.8X WINDOWS 检查 232 中级检查评估内容 252.1 平安增强性 252.1.1 TCP IP 参数检查 252.1.2 Inetd 启动参数检查 262.1.3 Syslogd 启动参数检查 272.1.4 系统日志文件内容检查 272.1.5 系统用户口令强度检查 272.1.6 系统补丁安装情况检查 272.1.7 系统审计检查 273 高级检查评估内容 283.1 后门与日志检查 283.2 系统异常效劳进程检查 283.3 内核情况检查 283.4 第三方平安产品安装情况 281 初级检查评估内容1.1 系统信息1.1.1 系统根本信息

6、说明：检查系统的版本和硬件类型等根本信息。 检查方法：un ame un ame PATH="/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/"export PATH1.1.2 系统网络设置 说明：检查系统的网卡是否存在混杂模式。 检查方法：ifconfig lan01.1.3 系统当前路由 说明：检查系统当前的路由设定配置， 包括默认路由和永久路由， 并检查其合法性。 检查方法：netstat -nr 结果分析方法：bash-2.05# net

7、stat -nrRouting Table: IPv4DestinationGatewayFlagsRefUseInterfaceU135hme0defaultUG178UH27246lo01.1.4 检查目前系统开放的端口 说明：检查当前系统运行中开放的效劳端口 检查方法：netstat a |grep LISTEN 结果分析方法：bash-2.05# netstat -na | grep LISTEN1.1.5 检查当前系统网络连接情况 说明：根据显示的网络连接，记录已建立连接 establish的数量，地址范围等。记录liste n

8、 的端口，记录其它状态，例女口 timewait，fin wait，closewait等。6 / 2 检查方法：n etstat a1.1.6 系统运行进程 说明：根据显示的当前所有在运行的系统进程，记录每个进程的运行时间，属主，查看相应的实例位置，检查相应的实例的版本、大小、类型等。 检查方法：ps -elf 结果分析方法：# ps -ef1.2 物理平安检查1.2.1 检查系统单用户运行模式中的访问控制 说明： 检查和发现系统在进入单用户模式是否具备访问控制。 检查方法：more /tcb/,如果d_bo

9、ot_authenticate行的内容大于0,那么说明系统不需要口令就可以进入单用户模式。1.3 帐号和口令1.3.1 检查系统中 Uid 一样用户情况 说明：检查和发现系统中具有一样 uid 的用户情况，特别关注 udi=0 的用户情况。 检查方法：pwck -s1.3.2 检查用户登录情况 说 明：检查和发现系统用户的登录情况，特别关注 udi=0 的用户情况。 检查方法：last -Rlastb -R | more1.3.3 检查账户登录尝试失效策略 说明：检查系统允许的单次会话中的登录尝试次数。 检查方

10、法：more /tcb/,检查t_maxtrie变量内容，如果有设定，它将改变默认的 5次设 定。1.3.4 检查账户登录失败时延策略 说明：检查系统允许的单次会话中的登录失败时延参数。 检查方法：more /tcb/,检查t_logdelay变量内容，如果有设定，它将改变默认的4秒设1.3.5 检查所有的系统默认帐户的登录权限说明：检查方法：cat /etc/passwd |grepw sh 结果分析方法：例： noaccess:x:60002:60002:No Access User :/:/sbin/noshell1.3.6 空口令用户检查1.3

11、.6.1 说明： 检查方法：authck pwck -s1.3.7 口令策略设置参数检查 说明：检查系统口令的配置策略 检查方法：more /tcb/1.3.8 检查 root 是否允许从远程登录 说明：Root 从远程登录时，可能会被网络 sniffer 窃听到密码。 检查方法：cat /etc/securetty 结果分析方法：/etc/securett y应当包括 con sole 或者 /dev/null1.3.9 验证已经存在的 Passwd 强度 说明：检查/etc/shadow文件中

12、，是否存在空密码的帐号 检查方法：cat /etc/shadow |awk -F: 'print $1 ""$2'用户启动文件检查 说明： 检查用户目录下的启动文件 检查方法：检查用户目录下的.cshrc, .profile , .emacs .exrc, .Xdefaults , .Xinit , .Iogin, .Iogout, .Xsession,等文 件的内容，包括root用户。用户路径环境变量检查 说明：检查用户路径环境变量下的启动文件 检查方法：切换到用户echo $P

13、ATH检查输出。1.4 网络与效劳1.4.1 系统启动脚本检查 说明：检查系统启动脚本 检查方法：more /sbin/rc?.d1.4.2 TCP/UDP 小效劳 说明：datetime、chargen这些效劳通常是用来进展网络调试的，包括： echo、discard、 检查方法：grep “" /etc/i netd.co nf 结果分析方法 :echostreamtcpnowaitrootinternalechodgramudpwaitrootinternaldiscardstreamtcpnowaitroo

14、tinternaldiscarddgramudpwaitrootinternaldaytimestreamtcpnowaitrootinternaldaytimedgramudpwaitrootinternalchargenstreamtcpnowaitrootinternalchargendgramudpwaitrootinternal1.4.3 login(rlogin) ，shell(rsh) ，exec(rexec) 说明：用来方便的登陆或执行远程系统的命令。1 可能被用来获得主机信任关系的信息2 被入侵者用来留后门3 成为被 ip 欺骗的效劳对象 检查方法

15、：grep “" /etc/inetd.conf |egrep “Ogin|shell|exec"1.4.4 comsat talk uucp lp kerbd 说明：以上效劳大都不在公开效劳器上使用，且存在一定的风险。 检查方法：grep “" /etc/inetd.conf |egrep “ comsptalk| uucp| lp| kerbd|kcmS1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walldRstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gss

16、d 说明：在inetd.conf中启动的RPC效劳，已经有屡次极严重的平安漏洞记录 检查方法：grep “" /etc/i netd.co nf|grep rpc查找 Sadmind ttb sprayd walld cmsdkcms 等字样以上效劳存在多个严重平安隐患 假设不使用以上效劳 建议在 inetd 注释以上 效劳 备注：不同的版本的某些 rpc 小效劳不一样，而且也因安装方式不同而有异。对于少见 的 rpc 效劳，应该征求管理员的意见。1.4.6 远程打印效劳 说明：检查主机远程打印效劳的配置 检查方法

17、：more /etc/hosts.equivmore /var/adm/lp/.rhosts1.4.7 检查是否开放 NFS 效劳 说明：非有明确使用目的，建议停顿运行 NFS 的相关效劳 检查方法：ps f | grep n fskdshowm ount localhostmore /etc/exportsmore /etc/exportfs more /etc/fstab1.4.8 检查是否 Enables NFS port monitoring 说明： 检查方法： 结果分析方法：1.4.9 检查是否存在和使用 NIS

18、,NIS+ 说明：检查 /var/nis 检查方法：more /var/nis检查 sendmail 效劳 说明：检查本地 sendmail 效劳开放情况 检查方法ps f|grep sen dmail1.4.11Expn, vrfy （ 假设存在 sendmail 进程 ） 说明：限制用户通过这两个 sendmial 命令来获取系统的信息 检查方法：检查是否存在 sendmail.cf 文件 假设不存在系统当前 sendmail 配置为系统默认cat /etc/sendmail.cf |grep Pr

19、ivacyOPtions是否等于 authwarnigs.goaway PrivacyOptions 是否等于 noexpn,novrfy,authwarnignsLoglevel 等于 51.4.12SMTP banner 说明：在 SMTP banner 中隐藏版本号 检查方法：cat /etc/sendmail.cf |grep“ De Mail Server Ready 结果分析方法：#SMTP login message De Mail Server Ready检查是否限制 ftp 用户权限 说明： 拒绝系统默认的帐号使

20、用 ftp 效劳 检查方法：more /etc/more /etc/ 检查文件存取权限 以及因该禁用的登陆的用户名 说明：检查 inetd 效劳的访问情况。 检查方法：more /var/adm/inetd.sec信任关系 说明：主机之间的可信任问题，可能会导致平安问题；确保/etc/hosts.equiv文件的内容 为空。 检查方法：cat /etc/hosts.equiv假设安装TCP_warpper并对某些网络效劳绑定改效劳 请检查/etc/hosts.allow和/etc/hosts.de ny文件是否为空

21、或者不做策略 结果分析方法：文件内容应为空或此文件不存在1.5 文件系统1.5.1 suid 文件 说明：检查所有属组为root(uid=0)的suid属性文件 并且其执行权限为任意用户可执行 非法的普通用户可能会利用这些程序里潜在的漏洞 以 stack, format strings,heap 等方法来溢出和覆盖缓冲区执行非法代码提升到 root 权限目的 检查方法：find / -type f -perm -4001 -user 0检查风险：1.5.2 sgid 文件 说明： 移去所有不需要sgid属性的文件危害性同上 这里是提升组

22、权限到 other 检查方法：find / -type f -perm -2001 -group 01.5.3 /etc 目录下可写的文件 说明：将检查/etc目录下对任何用户和组都可以进展写入文件这将造成系统风险隐患 检查方法：find /etc -type f -perm 00021.5.4 检测重要文件目录下文件权限属性以及 /dev 下非 设备文件系统 说 明不平安的文件系统库文件权限将导致被任意用户替换危险1检查 /usr/lib /usr/lib /usr/local/lib（ 假设存在 ）目录下对所有用户可写文件2 检查 /

23、dev 下非设备类型的文件3 检查系统所有conf文件权限是否为任意用户可写以及文件属主 检查方法find /usr/lib -ype f erm 0002find /lib -ype f erm 0002find /usr/local/lib -type -f -perm 0002find /dev -type ffind / -type f -perm -0002 -name *.conf*18 / 281.5.5 检查 /tmp 目录存取属性 说明：在每次重启时，设置 /tmp 目录的粘滞位限制攻击者的局部活动。 检查方法：Is -a / |gr

24、ep tmp 结果分析方法：bash-2.05# Is -Ia / |grep tmpdrwxrwxrwt 5 root sys447 513 14:08 tmp1.5.6 检查 UMASK 说明：设置严格的 UMASK 值，增强文件的存取权限 检查方法：more /tc/profiIe1.5.7 检查 .rhosts 文件 说明：.rhosts文件有一定的平安缺陷，当使用不正确时，可能会导致平安漏洞；推荐制止所有的.rhosts文件 检查方法：find / -type f -name ".rhosts"

25、结果分析方法：没有此文件或文件内容为空，假设要使用.rhosts信任机制那么请确保文件属性为600 备注：Cluster软件可能需要.rhosts文件，请仔细检查使用.rhosts文件Add by weili ng 2005/11/02审核 setuid 和 setgid限制Setuid功能准则如果setuid-to-root程序谦加到現有的系统，应极武小心的添加程用会虫改系统的配置，并31能会降低安仝性*可以通过下列建议来強制实现持杈程序的限制性锲用：* 艮有在絶对也要的情况下才使川setuid和setgid . 純保setuid程序戒于人他入而冷是不可写的。*在任何可能的惜况

26、下，tEBJ sctgidX代住疋tui山以便减小闪代科缺陷或 安全违例而带来的破坏范圉。-定期在文件系统中搜索新的成储改过的setuid和setgid程序口可以使用nchck -s tuJ令.系统初始化准则大多数HP捉供的©uidest程序都以建立卜列条件来作为设置女全操作环 境的开姫h 仅凰制锲用程庠正确运疔所必需的那哇坏境变竜.由于典型的特洛们木书攻击次帯优他讣賈PATH和TFS变8L因此应将这 些变量设賈为预眾的fl将PAM没賢丸/usr/bim将IFS设冒为窃恪. 制表符或新行。剧除他所有环境变量。请参environ (5),* X团除标准输入、栋准输止以及标准错谋以外的其

27、他加有文T描述符.请 参阅 close (2)fl关闭所冇报麒 将所有间隔计时器设置为零戶请参阅邸府伽er(2h这些保护措施公增加已知程序在己知坏境中运仃的安全系数*网络平安审计# hostnameyd_db1# ll /dev/ether*crw-rw-rw-1 binbin5 0x010001Nov 162000 /dev/ether1crw-rw-rw-1 binbin5 0x020001Nov 162000 /dev/ether2crw-rw-rw-1 binbin52 0x030001Nov 162000 /dev/ether3# ll /ieee*/ieee* not found#

28、 ll /dev/ieee*/dev/ieee* not found# ll /dev/lan*crw-rw-rw-1 rootsys72 0x000077 Jan 192003 /dev/lancrw-rw-rw-1 binbin32 0x000000 Nov 162000 /dev/lan0crw-rw-rw-1 binbin5 0x010000 Nov 162000 /dev/lan1crw-rw-rw-1 binbin5 0x020000 Nov 162000 /dev/lan2crw1 rootroot45 0x030000 Nov 16 2000 /dev/lan3链路级访问链略级

29、访问是-顼非常强大的功能.它允许編稈人员宜接讪问卞机卜.的链路 驱动程序。/!:» 方面，此功能使紂普通用八可以伪诰任何网络包，包括帼 络控制包4昭保护链跻级访I叽用确保文件/dev/ether*, /dev/ieee*以及/dev/lan* 山超级用户脚仃，；J!对I该用门杲可写的。请蠶闘第笳7页I:的和关丁设备 文件的安全性考思J/I HP-UX 11.0 W 及更高系统 I:, /dev/lan i 1 育脂向 /dev/dlpi W符 u ® 核：/dev/lan f?的权限会导致/dv/dlpi也疵生更改插但是，不作为U1DO运行的仟何DCRRK応用稈序叫征部婆求

30、对/dev/dlpi 員有写入权限.因此，/dev/dlpi'l'的权限石44违反了这些应用程序的要求* 由于需要吗入权限，囚此，対于不作为U1D0运行的DCE/RPC应川程序啲帛 /dev/dlpi的权限应为弘乩有关/dev/dlpi的评细信息.诫参阅CTnstalling and Administering LAK 9000 Software 乎別*1.6日志审核1.6.1 Cron logged 说明：检查所有的cron活动是否被记录检查方法：HP-UX默认开启。1.6.2 /var/adm/cron/ 说明：确保/var/adm/cron的正

31、确属性为700 root用户和sys用户可读写 检查方法： ls -la /var |grep cron1.6.3 Log all inetd services 说明： 检查方法：ps lf|grep in etd检查启动参数1.6.4 Syslog.conf 说明： 查看本地日志输出目录功能 检查方法：cat /etc/syslog.conf |grep debug1.7 UUCF效劳 说明：检查 UUCP 效劳的使用情况 检查方法：cat /etc/inetd.conf | grep UUCP

32、1.8 Xwindows 检查 说明：检查 Xwindows 的配置情况 检查方法：find / -name .Xauthority -printxhosts （ 什么意思啊？ 说的难道是 find / -name xhosts ）2 中级检查评估内容2.1 平安增强性2.1.1 TCP IP 参数检查检查套接口序列是否防止 SYN攻击.1 说明：各种网络应用软件一般必须开放一个或者几个端口供外界使用， 所以其必定 可以会被恶意攻击者向这几个口发起拒绝效劳攻击， 其中一个很流行的攻击就是 SYN FLOOD，在攻击发生时，客户端的来源IP地址是经过伪造

33、的（spoofed）,现 行的 IP 路由机制仅检查目的 IP 地址并进展转发，该 IP 包到达目的主机后返回 路径无法通过路由到达的，于是目的主机无法通过 TCP 三次握手建立连接。在 此期间因为 TCP 套接口缓存队列被迅速填满，而拒绝新的连接请求。为了防止 这些攻击， 局部 UNIX 变种采用别离入站的套接口连接请求队列， 一队列针对半 翻开套接口（SYN接收,SYN|ACK发送）,另一队列针对全翻开套借口等待一个 accept（调用，增加这两队列可以很好的缓和这些 SYN FLOOD攻击并使对效劳 器的影响减到最小程度。.2 检查方法/usr/sbin/ndd -get

34、/dev/tcp tcp_syn_rcvd_max /usr/sbin/ndd -get /dev/tcp tcp_conn_request_max 检查 Redirects 参数.1 说明：恶意用户可以使用 IP 重定向来修改远程主机中的路由表， 在设计良好的网络中， 末端的重定向设置是不需要的，发送和承受重定向信息包都要关闭。.2 检查方法： 通过如下命令检查其值是否为 0：/usr/sbin/ndd -get /dev/ip ip_send_redirects 检查源路由的设置.1 说明：通过源路由，攻击者可以尝试到达内部IP地址-包括RFC1918中的地址，所以 不承受源路由信息包可以防止你的内部网络被探测。.2 检查方法： 通过如下命令检查其值是否为 0： ndd -ge