LINUX操作系统安全测评指导书三级

操作系统安全测评指引书LINUX序号测评指标测评项操作环节预期记录实际状况记录

①访谈系统管理员系统目前与否采用了最小安装原则；

②确认系统目前正在运营的服务，service-status-all|grep running查看并确认与否己经关闭危险的网络服c操作系统应遵循最小安装的原务，如采用了最小安装原则；则，仅安装需要的组件和应用程序，echo、shelR login、finger r命令等关闭系统运营的服务均为安全服务；采用并通过设立升级服务器等方式保持非必须的网络服务，如了XXX补丁升级机制系统补丁及时得到更新talk、ntalk pop-2scndmaik imapdpop3d等；

③访谈补丁升级机制，查看补丁安装状况rpm-qa|grep patcha应安装国家安所有门认证的正版防歹意代码软件，对于依附于病毒库进行歹意代码查杀的软件应及时更新防歹意代码软件版本和歹意代码库，对于非依赖于病毒库进行歹查看系统中安装了什么防病毒软件询问安装了XXX防病毒软件；常常更新防歹意代码防备意代码防御的软件，如积极防御类6管理员病毒库与否常常更新查看病毒库病毒软件的病毒库；病毒库为最新版G3软件，应保证软件所采用的特性库的最新版本更新日期与否超过一种星期本有效性与实时性，对于某些不能安装相应软件的系统可以采用其她安全防护措施来保证系统不被歹意代码袭击序号测评指标测评项操作环节预期记录实际状况记录b）主机防歹意代码产品应具有与询问系统管理员网络防病毒软件和主机网络防病毒软件采用XXX病毒库；主网络防歹意代码产品不同的歹意代防病毒软件分别采用什么病毒库，病母库机防病毒软件采用XXX病毒库码库与否不同c）应支持防歹意代码的统一管理对病毒库采用统一的更新方略；对防询问系统管理员与否采用统一的病毒库病毒软件采用统一的查杀方略更新方略和查杀方略

（1）应建立病毒监控中心，对网络检查网络防歹意代码产品，查看厂家、版内计算机感染病毒的状况进行监产品对网络内各计算机均进行监控本号和歹意代码库名称控

①查看linux内置防火墙规则设定了终端接入方式、网络地址范畴iptables-L-n通过XXX（主机防火墙、网络防火墙、

②查看在/etc/hosts.deny中与否有路由器等）限制了终端登录a）应通过设定终端接入方式、网络“sshd:aH:deny”，严禁所有祈求；如果部署了终端管理系统，也可以通地址范畴等条件限制终端登录/etc/hosts.allow中与否有如下类似设立过终端管理系统控制终端接入服务器操作系统7资源控制（A3）

①查看登录该服务器的终端与否设立了超时方略cat/etc/ssh/sshd_configb）应根据安全方略设立登录终端查看与否设立了ClientAlivelnterval设定了900秒超时锁定的操作超时锁定（超时响应间隔）和ClientAliveCountMax（超时响应次数）

②查看顾客配备文献/etc/profile检查其中timeout值的设立序号测评指标测评项操作环节预期记录实际状况记录

①访谈系统管理员，询问系统上与否装有安装了第二方主机监控软件（或自制C）应对重要服务器进行监视，涉及第三方主机监控软件或自制的监控脚本；监控脚本；监视服务器的CPU、硬盘、内存、网

②运营这些软件或脚本；对服务器的CPU、硬盘、内存、网络等络等资源的使用状况

③如果有有关文档记录也可参阅资源的使用状况进行有效监控d）应限制单个顾客对系统资源的参看有关配备文献中设立的最大进程数设立了最大进程数最大或最小使用限度cat/etc/security/Iimils.conf参数nproc可以设立最大进程数

①理解系统帐户的资源分派状况，查看各系统账户的资源分派状况为XXX;各个e）应定期对系统的性能和容量进个分区磁盘占用状况，询问管理员平常如分区磁盘占用状况为XXX;通过XXX方式行规划，可以对系统的服务水平减何监控系统服务水平；监控系统服务水平；少到预先规定的最小值进行检测和

②若有第三放监控程序，询问并查看它与（第三方监控程序的有关功能为报警否有有关功能XXX）O0所有的服务器应所有专用化，不访谈管理员，询问服务器与否有浏览邮件、服务器专用化，不进行邮件、浏览互使用服务器进行收取邮件、浏览互互联网等其她业务联网的操作联网操作概述1合用范畴

1.1本测评指引书合用于信息系统级别为三级的主机Linux操作系统测评阐明

1.2本测评指引书基于《信息系统安全级别保护基本规定》的基本上进行设计本测评指引书是主机安全对于Linux操作系统身份鉴别、访问控制、安全审计、剩余信息保护、备份与恢复安全配备规定，对Linux操作系统主机的安全配备审计作起到指引性作用保障条件

1.41）需要有关技术人员（系统管理员）的积极配合2）需要测评主机的管理员帐户和口令3）提前备份系统及配备文献序号测评指标测评项操作环节预期记录实际状况记录a）应为操作系统的不同顾客分派不查看顾客名与UID cat/etc/passwd^cat分别查看顾客名（第1歹D与UID（第同的顾客名，保证顾客名具有唯一/etc/shadow3歹IJ）与否有反复项性1身份鉴别（S3）所有顾客具有身份标记和鉴别，顾客b）应对登录操作系统的顾客进行身查看登录与否需要密码cat/etc/passwd cat密码栏项（第2项）带有X,表达登陆份标记和鉴别/etc/shadow都需要密码验证若留空则表达空密码序号测评指标测评项操作环节预期记录实际状况记录

①登录有关配备内容PASS_MAX_DAYS=90#登陆密码有效期90天PASS_MIN_DAYS=2#登陆密码最短修改时间，增长可以避免非法顾客短期更改多次PASS_MIN_LEN=7#登陆密码最小长度7位PASS_WARN_AGE=10

①查看登录配备文献cat/ctc/login.dcfs#登陆密码过期提前10天提示修改

②C）操作系统管理顾客身份标记应

②查看密码方略配备文献密码方略有关配备具有不易被冒用的特点，系统的静CentOSFedora、RHEL系统password requisitepam_cracklib.so retry=3态口令应在8位以上并由字母、数cat/etc/pam.d/system-auth minlen=7difok=3字和符号等混合构成并每三个月更DebianUbuntu或Linux Mint系统cat ucredit=-1lcredit=-l dcredit=-1ocredit=-l换口令/etc/pam.d/common-password#“minlen=7”表达最小密码长度为7#difok=3”启用3种类型符号#ucrcdit=-l”至少1个大写字符#“lcredit=-l”至少1个小写字符#“dcredit=l”至少1个数字字符#“ucredit=-l”至少1个标点字符序号测评指标测评项操作环节预期记录实际状况记录查看密码方略配备文献1）应启用登录失败解决功能，可CentOS、Fedora RHEL系统cat查找account required采用结束会话、限制登录间隔、限/etc/pam.d/system-auth/lib/securi ty/pam_laHy.so deny=3制非法登录次数和自动退出等措DebianUbuntu或Linux Mint系统catno_magic_root reset施/etc/pam.d/common-password登录3次失败，则回绝访问锁定账户

①查看与否安装了SSH的相应包rpm-aqlgrepssh或者查看与否运营了sshd服务，service-status-all Igrepsshd；e）主机系统应对与之相连的服务已安装了SSH包.sshd服务正在运营.

②如果己经安装则查看有关的端口与否打器或终端设备进行身份标记与鉴采用SSH加密方式进行远程登录由开别，当对服务器进行远程管理时，于telnet为明文传播信道，如使用netslat-an|grep22；应采用加密措施，避免鉴别信息在telnet方式访问服务器,应改用SSH方

①查看服务进程，系统日记服务与否启动；service syslogstatusa）审计范畴应覆盖到服务器和重service auditstatus已启动系统自带的审计功能；安全审3安全审计（G3）要客户端上的每个操作系统顾客和或service-status-all|greprunning计进程运营正常数据库顾客

②若运营了安全审计服务，则查看安全审计的守护进程与否正常ps-ef|grep auditdo序号测评指标测评项操作环节预期记录实际状况记录该文献指定如何写入审查记录以及在哪b）审计内容应涉及重要顾客行为、里写入系统资源的异常使用和重要系统命审计内容涉及重要顾客行为、系统资cat/etc/audit/audit.conf令的使用、账号的分派、创立与变查看有关配备文献源的异常使用和重要系统命令的使用更、审计方略的调节、审计系统功grep^priv-ops^/etc/audit/filter.conf等重要安全有关事件能的关闭与启动等系统内重要的安grep^mount-ops^/etc/audit/filter.con f全有关事件grep@system-ops/etc/audit/fi Iter.conf查看审计记录，与否涉及必要的审计要c）审计记录应涉及事件的日期、时素若有第三方审计工具或系统，则查看间、类型、主体标记、客体标记和其审计日记与否涉及必要的审计要素审计记录（或第三方审计工具日记）成果等，并定期备份审计记录，波查看audit下的有关文献涉及必要的审计要素及敏感数据的记录保存时间不少于cat/etc/audit/audit.conf半年d）应可以根据记录数据进行分析，访谈并查看对审计记录的查看、分析和生可以对数据进行分析并生成报表并生成审计报表成审计报表状况e）应保护审计进程，避免受到未预访谈审计管理员对审计进程监控和保护使用第三方的工具对主机进行审计期的中断的措施查看日记访问权限；f）应保护审计记录，避免受到未预Is-la/var/log/audit.d审计记录采用了有XXX措施进行保期的删除、修改或覆盖等访谈审计记录的存储、备份和保护的措护施，如配备日记服务器等检查操作系统维护/操作手册a）应保证操作系统顾客的鉴别信息所在的存储空间，被释放或再分

①查看其与否明确顾客的鉴别信息存储剩余信息保护4派给其她使用人员前得到完全清空间；根据linux特性，该项符合（S3）除，无论这些信息是寄存在硬盘上

②被释放或再分派给其她顾客前的解决还是在内存中措施和过程序号测评指标测评项操作环节预期记录实际状况记录b）应保证系统内的文献、目录和检查操作系统维护/操作手册，系统内的文数据库记录等资源所在的存储空献、目录等资源所在的存储空间，被释放根据linux特性，该项符合间，被释放或重新分派给其她使用或重新分派给其她顾客前的解决措施和过人员前得到完全清除程

①访谈并查看入侵检测的措施more/var/log/secure|grep refused

②检查与否启a）应可以检测到对重要服务器进系统具有XXX入侵检测措施；启用的用了主机防火墙、TCP SYN保护机制等设立；行入侵的行为，可以记录入侵的源主机防火墙；service iptablesstatus sysctl-a|grep synIP、袭击的类型、袭击的目的、袭安装了主机入侵检测软件（或者具有

③询问与否有第三方入侵检测系统，如IDS,击的时间，并在发生严重入侵事件第三方入侵检测系统），具有报警功与否具有报警功能时提供报警能5入侵防备（G3）b）应可以对重要程序的完整性进行检测，并在检测到完整性受到破访谈与否使用某些文献完整性检查工具对对重要文献有备份，对重要程序有监坏后具有恢复的措施或在检测到完重要文献的完整性进行检查，与否对重要控整性即将受到破坏时进行事前阻配备文献进行备份查看备份演示断。