操作系统安全审计

1、A.1.1RedHatLinux操作系统RedHatLinux操作系统安全审计测试类别：风险评估测试对象:_RedHatrn5r安全审计测试项：测试内容：确信对系统的主要行为都有审计日志，对于重要服务（ftp,telnet,http）及重要操作（su登录等操作）由日志记录。并且所有的日志文件都有适当的访问权限，除root之外,其它用户没有修改权限。测试方法:查看/etc/syslog.conf的配置文件，确定是否对系统日志和网络服务配置了适当的日志记录策略；查看syslog.conf中制定的，存放在/var/log下日志文件的更新日期，确定是否对相应的动作有实时日志功能（仅对linux系统而言

2、）；确保这些文件的应该属于root用户所有，文件的权限应该是644;查看hosts.allow和hosts.deny文件内容。测试记录：1 .已配置的日志:2 .日志功能是否有效实施，日志记录的日期和内容是否与配置相符合:3 .日志文件的访问权限:4 .查看hosts.allow和hosts.deny文件内容:备注:签名日期RedHatLinux操作系统系统安全测试类别：风险评估测试对象:RedHat测试类：系统安全测试项：测试内容:被测操作系统应安装最新的系统补丁程序，只开启必要的服务；系统应保证和常用命令相关配置文件的安全性。设置安全的访问旗标；并对系统资源作适当的使用限制。测试方法:查看

3、或询问是否安装最新补丁程序；Telnet/即登录系统，确定系统旗标信息的是否安全；是否为用户不成功的鉴别尝试次数定义阀值。测试记录：补丁安装情况（控制面板|在线更新）：显示操作系统内核版本口是否有安全的系统访问旗标?显示操作系统类型口ftp登录察看显示信息：是否使用了用户磁盘限额？口用户磁盘限额策略：用户连续登录失败的次数：默认umask值（#umask）:重要文件和目录的读写权和属主：/etc/security属主访问许可：/usr/etc属主访问许可：/bin属主访问许可：/usr/bin属主访问许可：/sbin属主_访问许可：/var/log属主访问许可：/etc/*.conf属主访问许

4、可：/etc/login.defs属主访问许可：备注:日期签名RedHatLinux操作系统一用户属性测试类别：风险评估测试对象:RedHat测试类：用户属性测试项：测试内容:操作系统应设置安全有效的口令策略（密码强度、密码长度、口令有效期等）。应限制能够su成root的用户，限制root的远程登录，根据需要设置可以进入单用户模式的用户，应启用用户超时自动注销的功能。测试方法:查看/etc/passwd中是否有空口令账户；查看/etc/login.defs是否设置了适当的口令策略；查看wheel用户组成员。测试记录：login.defs口令策略（）：PASS_MAX_DAYSPASS_MIN_

5、DAYSPASS_MIN_LENPASS_WARN_AGE能够su为root的用户（/etc/group中wheel组成员）：察看/etc/pam.d/su文件是否存在以下项：口authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheel是否允许root远程登录（登陆验证）？口是否启用了用户超时自动注销功能？口HISTFILESIZE=TMOUT=/etc/security/access.conf内容：系统引导程序的访问许可位：文件中是否有口令保护（/etc/lil

6、o.conf）?备注:签名日期RedHatLinux操作系统网络及服务安全测试类别：风险评估测试对象:_RedHat测试类:"""网络及服务安全测试项:测试内容:操作系统应只开放必要的网络服务。无多余的网络端口开放；操作系统应使用高强度加密机制替代明文传输数据的协议或服务；应开启Iptables防火墙，并且规则得到有效实施；应该有防病毒软件安装并且有效运行。限制能够访问本机的IP地址。测试方法:使用netstat命令来获得系统的端口列表，并记录关键的端口列表；察看telnet,ftp等明文传输协议是否运行，察看telnet和ftp的用户属性；察看iptables是

7、否已开启，iptables日志是否有效记录了现有规则的实施结果。测试记录：开放网络端口有：TCP端口：UD啕口：启用的服务有（#setup）或查看/etc/xinetd.d目录下的各个文件中disable项的赋值：FTP和Telnet等网络服务的访问限制：（如果系统没有安装ftp和telnet略过此项）FTPTelnet:是否启用了SSH等安全远程登录工具？口取代方法：对连接到本机的访问限制：Iptables是否已开启？主要规则有：日志内容是否有效？：查看防火墙设置的安全级别：是否安装了防病毒软件？口是否有效运行（察看日志和病毒库更新情况）：备注:日期签名RedHatLinux操作系统一备份/

8、恢复容错机制测试类别：风险评估测试对象:_RedHat测试类:备份/恢复容错机制测试项：测试内容:操作系统要求在故障事件发生时能够保证业务的连续性；操作系统应根据自身情况，对系统数据、用户数据、审计日志、策略文档及注册表数据制定合理的备份/恢复策略，以满足系统在遇到意外事故数据遭受破坏时，系统恢复操作的需要。测试方法:查看服务器是否有UPS电源支持，是否有RAID保护；查看系统备份/恢复机制是否满足系统安全要求。测试记录：操作系统是否有磁盘冗余阵列？服务器是否有UPS支持？口系统是否有双机热备？口操作系统备份/恢复机制？用户数据备份/恢复机制？日志数据备份/恢复机制？业务应用程序备份/恢复机制

9、？是否使用cron和at定期执行系统管理任务和备份/恢复任务.记录当前的cron任务记录当前的at任务备注:签名日期A.1.2Solaris操作系统Solaris操作系统一安全审计（标准的Solaris审计）测试类别:风险评估测试对象:Solaris8测试类：安全审计（标准的Solaris审计）测试项：测试内容：操作系统的syslogd应当开启。系统应该确保错误信息和失败登录信息等的日志记录，并且对日志数据有适当的的访问控制（一般不允许任何用户写日志数据，只有管理员或审计员才能阅读日志数据）应定期浏览日志数据；并对日志结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。测试方法:查看sys

10、logd是否启动；查看sydeslog的配置；查看日志相关文件的内容和最后修改日期；查看日志相关文件的访问许可；询问或查看日志相关文件的存放位置，溢满处理和备份清理策略。测试记录：是否开启syslogd:察看syslog.conf系统审计配置：Falacility.levelaction查看inetd的服务是否启动日志功能:ftp的日志功能：查看审计功能是否有效实施，访问许可位和属主:/dev/sysmsg：/var/adm/wtmp:/var/adm/sulog：/var/adm/messages：/var/adm/cron/log/var/log/syslog/var/log/authlo

11、g/etc/security/lastlog是否有单独的日志分区（日志文件是否存放在单独的文件系统）如果有，察看分区大小是否有定期的日志备份和清理策略：口备份策略日期Solaris操作系统安全审计（BSM?计）测试类别：风险评估测试对象：Solaris测试类:安全审计（BSM计）测试项：测试内容:操作系统的审计子系统SecUSolarisp2.3BSMES处于开启状态，并且根据需要定制必要的审计内容；应能对被定制的操作事件自动生成审计纪录；系统应针对审计结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。测试方法:检查系统的安全审计功能是否已经开；检查系统设置的审计事件和审计对象；查看审计

12、功能的运行是否实时有效；检查审计日志是否存储在单独的磁盘分区上，存储审计日志的磁盘分区是否足够大；是否有定期的日志备份和清理策略。测试记录：（有条件的话，运行测试脚本文件）是否开启系统审计功能：口（开启：bsmconv）audit_control的配置：审计文件存放位置：审计文件所需剩余空间：指定的系统用户审计事件类：指定的普通审计事件类：查看审计功能是否有效实施，审计记录是否包含事件的日期和时间，事件类型，主体身份,事件的结果：口是否有单独的日志分区（trail文件是否存放在单独的文件系统）：口如果有，察看分区大小审计文件的访问许可：是否有定期的日志备份和清理策略（询问）：口备份策略查看用户

13、审计事件：备注：签名日期Solaris操作系统一系统安全（1）测试类别：风险评估测试对象：SolarisWUT系统安全（1）测试项:测试内容:被测操作系统应安装最新的系统补丁程序，只开启必要的服务，限制服务配置文件的访问权限；系统应保证r族命令和常用命令相关配置文件的安全性；设置安全的访问旗标。测试方法:查看操作系统版本和补丁安装情况；查看超级守护进程配置文件属性及内容，Service配置文件属性；检查是否存在r族配置文件，确定系统是否运行r族命令；Telnet/即登录系统，确定系统旗标信息的是否安全。测试记录：1.版本和补丁信息：操作系统版本：补丁集：（如果可以连接Internet,试图ft

14、p匿名访问况（系统所有的Patch文件都存储在/var/sadm/patch中，命名方式为patchID-version）2.超级守护进程配置文件/etc/inetd.conf（#ls-l）：属主：访问许可权：开启服务：3 .查看是否使用了r族配置文件，并且查看其配置情况$HOME/.rhosts口.netrchosts.equiv4 .是否有安全的系统访问旗标？telnet的旗标：显示操作系统类型口显示操作系统版本口显示ftp软件版本口ftp的旗标：显示操作系统类型口显示操作系统版本口显示ftp软件版本口备注:签名日期Solaris操作系统一系统安全（2）测试类别：风险评估测试对象：Sola

15、ris系统安全（2）测试项：测试内容:被测操作系统应保证相关命令文件和配置文件的访问许可合理；对用户、登录设备、失败登录阀值、无操作自动锁定等加以限制；并对系统资源的使用作适当的限制。测试方法:查看是否针对用户使用了用户磁盘限额（尤其是邮件服务器）；是否定义了登录相关参数；是否对重要的命令文件和配置文件设置安全的访问许可权；是否安装了防病毒软件，邮件过滤软件。测试记录：是否使用了用户磁盘限额？用户磁盘限额策略：察看login登录相关参数CONSOLE=/dev/console（登录到console的终端）注销：PASSREQ=YES（登录是否需要口令）：YES1TIMEOUT（登录超时限制）注

16、销：口UMASK:SYSLOG=（是否t己录至ULOG_CRIT：YES口RETRIES（允许连续尝试登录次数）：注销：口SYSLOG_FAILED_LOGINS（失败登录记录之前允许的尝试次数）：注销：口重要文件和目录的读写权和属主（#ls-la）:/usr/etc属主访问许可：/usr/bin属主访问许可：/bin属主访问许可：/sbin属主访问许可：/etc属主_访问许可：/etc/security/*属主访问许可：是否安装了防病毒软件：口类型及版本：备注:签名日期Solaris操作系统一用户属性测试类别：风险评估测试对象：Solaris测试类：用户属性测试项：测试内容:操作系统应设置了

17、有效的口令策略（密码强度、密码长度、口令有效期等）；确保系统伪账号（如sys,uucp,nobody等）没有登录shell,口令域设为NP;用户口令有效性设置合理。测试方法:察看系统中是否存在与所提供服务无关的无用账号；查看passwd中的口令相关设置；查看shadow文件，确定是否为每一用户设置了口令更改最短天数，口令更改最长天数,口令过期前的警告天数、休眠天数和失效期限。测试记录：1 .无用账号：2 .passwd口令策略：MAXWEEKS口MINWEEKS:口PASSLENGTH:口3 .Shadow文件中用户口令有效性设置：4 .是否限制使用su的组口5 .应用服务器是否有密钥和证书口

18、备注:日期签名Solaris操作系统一网络及服务安全测试类别：风险评估测试对象:Solaris8测试类:"""网络及服务安全测试项:测试内容：操作系统应只开放必要的网络服务。无多余的网络端口开放；操作系统应使用高强度加密机制替代明文传输数据的协议或服务；远程控制的终端访问应采用高强度的认证和加密机制，保证数据的完整性和机密性；限制能够访问本机的IP地址。测试方法:使用netstat命令来获得系统的端口列表，并记录关键的端口列表；察看telnet,ftp等明文传输协议是否运行，察看telnet和ftp的用户属性;查看对访问本机的IP限制。测试记录：察看netstat

19、开放网络端口1、20,21/tcp:FTP-data,FTP口2、22/tcp:SSH口3、23/tcp:telnet口4、25/tcp:SMTP口5、43/tcp:Whois口6、53/tcp:Domain口7、69/udp:tftp口8、80/tcp:http口9、80/udp:http口10、109,110/tcp:pop2,pop3口口察看inetd.conf启用的网络服务有FTP的拒绝访问用户列表：是否限制root的远程登录：查看/ETC/DEFAULT/LOGIN是否设置CONSOLE为CONSOLE或NULL,查看/ETC/FTPUSERS是否加入ROOT及其他ROOT组成员，查

20、看SSH配置文件中是否加入如：PERMITROOTLOGIN=NO是否启用加密协议/服务来取代明文传输的telnet和ftp等：口是否限制能够访问本机的IP地址：本机IP地址为：是否限制IP转发（多网卡）：备注：日期Solaris操作系统一备份/恢复容错机制测试类别：风险评估测试对象:Solaris8测试类：备份/恢复容错机制测试项：测试内容:操作系统要求在故障事件发生时能够保证业务的连续性；操作系统应根据自身情况，对系统数据、用户数据、审计日志、策略文档及注册表数据制定合理的备份/恢复策略，以满足系统在遇到意外事故数据遭受破坏时，系统恢复操作的需要。测试方法:查看服务器是否有UPS电源支持，

21、是否有RAID保护；查看系统备份/恢复机制是否满足系统安全要求。测试记录：统是否有定期任务用来备份记录当前的cron任务记录当前的at任务cron.allow口cron.deny口操作系统是否有磁盘冗余阵列？是否有物理备份？冷备份？口服务器是否有UPS支持？口系统是否有双机热备？口操作系统备份/恢复机制？口核心的系统文件：如系统配置，核心映像的备份/恢复机制？日志、审计数据的备份/恢复机制？系统是否有定期任务用来备份：针对集群、NetBackup软件、SunCluster软件设置一些特别的测试项;备注:签名日期A.1.3AIX操作系统AIX操作系统一安全审计（标准的AIX审计）测试类别:风险评

22、估测试对象:AIX操作系统测试类：安全审计（标准的AIX审计）测试项：测试内容：操作系统应运行在标准模式下；系统应该确保错误信息和失败登录信息等的日志记录，并且对日志数据的读写权限加以限制，应定期浏览日志数据；对日志结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。测试方法:查看syslogd是否启动；查看sydeslog的配置；查看日志相关文件的内容和最后修改日期；查看日志相关文件的访问许可；询问或查看日志相关文件的存放位置，溢满处理和备份清理策略。测试记录：是否开启syslogd:系统审计配置：Falacility.levelaction查看审计功能是否有效实施：/var/adm/w

23、tmp：/var/adm/sulog：/var/adm/cron/log:/etc/security/lastlog：/etc/security/failedlogin：是否有单独的日志分区（trail文件是否存放在单独的文件系统）：口如果有，察看分区大小（#df）审计文件的访问许可：（#ls-l/audit）是否有定期的日志备份和清理策略（询问）：口备份策略备注:日期签名AIX操作系统一安全审计（可信模式下的AIX审计系统）测试类别:风险评估测试对象:AIX操作系统测试类：安全审计（可信模式下的AIX审计系统）测试项：测试内容：操作系统应运行在可信模式下，开启安全审计功能，并且根据需要定制必

24、要的审计内容；开启了审计功能的操作系统应能对被定制的操作事件自动生成审计纪录；系统应针对审计结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。测试方法:检查系统的安全审计功能是否已经开；检查系统设置的审计事件和审计对象；查看审计功能的运行是否实时有效；检查审计日志是否存储在单独的磁盘分区上，存储审计日志的磁盘分区是否足够大，是否有定期的日志备份和清理策略。测试记录：是否开启系统审计功能：口系统审计配置：开启模式：binstreamBin模式的trail文件：Bin文件路径及大小：预定义的审计类：generalobjectsSRCkenelfilessvipcmailcrontcpiplv

25、m其它自定义审计类：配置的用户审计：查看审计功能是否有效实施：是否有单独的日志分区（trail文件是否存放在单独的文件系统）：口如果有，察看分区大小审计文件的访问许可：是否有定期的日志备份和清理策略（询问）：口备份策略备注:签名日期AIX操作系统一系统安全（1）测试类别：风险评估测试对象：AIX操作系统测试类：系统安全（1）测试项：测试内容：被测操作系统应安装最新的系统补丁程序，只开启必要的服务，限制服务配置文件的访问权限；系统应保证r族命令和常用命令相关配置文件的安全性。设置安全的访问旗标。测试方法:查看操作系统版本和补丁安装情况；查看系统的安装模式是否为可信计算基库（TCB;查看超级守护进

26、程配置文件属性及内容，Service配置文件属性；检查是否存在r族配置文件，确定系统是否运行r族命令；Telnet/即登录系统，确定系统旗标信息否安全。测试记录：版本信息：补丁安装情况：操作系统的TCB运行模式1 .tcbck命令是否可用2 .检查可信文件：3 .检查文件系统树：ACL是否启用：超级守护进程配置文件/etc/inetd.conf:属主：访问许可权：是否存在R族配置文件？hosts.equiv口设置条目：.rhosts口设置条目：是否有安全的系统访问旗标？（telnet,ftp）telnet显示操作系统类型口显示操作系统版本口ftp显示ftp软件版本口察看允许su的用户记录su=

27、true的用户：记录rlogin=true的用户：备注：日期签名AIX操作系统一系统安全（2）测试类别：风险评估测试对象:AIX操作系统测试类：系统安全（2）测试项：测试内容:被测操作系统应保证相关命令文件和配置文件的访问许可合理；对用户登录的旗标、允许登录时间、登录设备、失败登录阀值、无操作自动锁定等加以限制；并对系统资源的使用作适当的限制。测试方法:查看是否针对用户使用了用户磁盘限额；是否定义了登录相关参数。测试记录：是否使用了用户磁盘限额？用户磁盘限额策略：察看login.cfg登录相关参数Herald:logindelay:logindisable:Logininterval:Logi

28、nreenable：Logintimes:sak_enabled:Synonym：Maxlogins:Logintimeout:是否启用超时自动注销功能：参数TMOUT=安全配置文件的读写权和属主：/etc/security/*属主访问许可：查看某个进程相关的启动程序：#ps-elaf查看sendmail的版本：备注:签名日期AIX操作系统一用户属性测试类别：风险评估测试对象:"""AIX操作系统测试类：用户属性测试项：测试内容:操作系统应确保所有用户设置口令；设置了有效的口令策略（密码强度、密码长度、口令有效期等）；确保系统伪账号（如sys,uucp,nobod

29、y等）没有登录shell,口令域设为NR用户角色和权限的分配应该遵循最小权限原则。测试方法:查看系统支持的认证方式；是否有空口令用户，并且采用可信模式；察看系统中是否存在与所提供服务无关的无用账号；查看用户安全属性的默认设置和root用户的设置；查看用户角色和权限的分配是否合理。测试记录：1. 认证方式2. 空口令用户3. 残余账号4. .默认的用户安全属性Default:admin=falsetpath=nosakminage=0login=trueumask=022maxage=0su=trueexpires=0maxexpired=-1daemon=trueSYSTEM="co

30、mpat"minalpha=0rlogin=truelogintimes=minother=0sugroups=ALLpwdwarntime=0minlen=0admgroups=account_locked=falsemindiff=0ttys=ALLloginretries=0maxrepeats=8auth1=SYSTEMhistexpire=0dictionlist=auth2=NONEhistsize=0pwdchecks=Root:admin=SYSTEM=loginretries=account_locked=login=5. 角色分配：备注：签名日期AIX操作系统-网

31、络及服务安全测试类别：风险评估测试对象:AIX操作系统测试类:网络及服务安全测试项：测试内容:操作系统应只开放必要的网络服务。无多余的网络端口开放；操作系统应使用高强度加密机制替代明文传输数据的协议或服务；远程控制的终端访问应采用高强度的认证和加密机制，保证数据的完整性和机密性；限制能够访问本机的IP地址。测试方法:使用netstat命令来获得系统的端口列表，并记录关键的端口列表；察看telnet,ftp等明文传输协议是否运行，察看telnet和ftp的用户属性。测试记录：开放网络端口有：1、20,21/tcp:FTP-data,FTP2、22/tcp:SSH口3、23/tcp:telnet4

32、、25/tcp:SMTP口5、43/tcp:Whois6、53/tcp:Domain7、69/udp:tftp8、79/tcp:finger9、80/tcp:http10、80/udp:http11、109,n110/tcp:pop2,pop312、111,135/tcp:portmap,loc-serv13、111,135/udp:portmap,loc-serv14、143/tcp：imap15、161,162/tcp:snmp,snmp-trap16、161,162/udp:snmp,snmp-trap其他端口：TCP端口：UD啕口：启用的网络服务有：FTP口Bootps口NFSClie

33、nt口NIS口NFSSever口TFTP口NFS口Rlogin口其它：FTP的拒绝访问用户列表：对连接到本机的访问限制：远程监控采用的软件：认证和加密方式：备注：日期签名AIX操作系统-备份/恢复容错机制测试类别：风险评估测试对象:AIX操作系统测试类：备份/恢复容错机制测试项：测试内容:操作系统要求在故障事件发生时能够保证业务的连续性；操作系统应根据自身情况，对系统数据、用户数据、审计日志、策略文档及注册表数据制定合理的备份/恢复策略，以满足系统在遇到意外事故数据遭受破坏时，系统恢复操作的需要。测试方法:查看服务器是否有UPS电源支持，是否有RAID保护；查看系统备份/恢复机制是否满足系统安

34、全要求。测试记录：操作系统是否有磁盘冗余阵列？（#smit查看device）服务器是否有UPS支持？口系统是否有双机热备？口操作系统备份/恢复机制？核心的系统文件，如系统配置，核心映像的备份/恢复机制?日志、审计数据的备份/恢复机制?系统是否有定期任务：cron.denycron.allow记录当前的cron任务记录当前的at任务备注:签名日期A.1.4HP-UNIXB作系统HP-UNI邓作系统安全审计测试类别：风险评估测试对象:HP-UNIX操作系统DW安全审计测试项:测试内容:操作系统应开启安全审计功能，并且根据需要定制必要的审计内容；开启了审计功能的操作系统应能对被定制的操作事件自动生成

35、审计纪录；系统应针对审计结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。测试方法:检查系统的安全审计功能是否已经开启；执行相应的审计事件，检查审计日志，看系统是否正确的进行了审计；检查审计日志是否存储在单独的磁盘分区上，存储审计日志的磁盘分区是否足够大，是否有定期的日志备份和清理策略。测试记录：是否开启系统审计功能：口当前审计存储文件文件大小使用率路径：下一个审计存储文件路径：系统中已开启的审计项：Auditedevents:Auditedsyscall：Auditedusers:用户相关审计：是否有单独的日志分区：口如果有，察看分区大小是否有定期的审计数据备份和清理策略（询问）：口备

36、份策略备注:签名日期HP-UNIXM乍系统安全审计（系统日志）测试类别：风险评估测试对象:HP-UNIX操作系统安全审计（系统日志）测试项：测试内容:操作系统应运行在标准模式下，系统的审计功能应相对简单一些；系统应该确保错误信息和失败登录信息等的日志记录，并且对日志数据的读写权限加以限制，应定期浏览日志数据；对日志结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。测试方法:查看syslogd是否启动；查看sydeslog的配置；查看日志相关文件的内容和最后修改日期；查看日志相关文件的访问许可；询问或查看日志相关文件的存放位置，溢满处理和备份清理策略。测试记录：是否开启syslogd:系统审计配置：Falacility.levelaction查看审计功能是否有效实施:是否有单独的日志分区（trail文件是否存放在单独的文件系统）：口如果有，察看分区大小是否有定期的日志备份和清理策略（询问）：口备份策略备注:日期