身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
测评方法;

询问并验证管理员采用什么方法登录服务器(通过情况下都是用户名+口令),并记录口令的长度是否满足8位以及是否由大小写,字母,特殊符号组成,并定期更换;同时(1)查看/etc/passwd文件,有/无同名帐户存在,各帐户UID是否唯一;查看/etc/login.defs文件中的口令长度及更换周期;
PASS_MAX_DAYS XX;
PASS_MIN_DAYS XX;
PASS_WARN_AGE XX;
PASS_MIN_LEN XX;
查看/etc/pam.d/system-auth文件,口令复杂度要求配置;password requisite pam_cracklib.so minlen=X ucredit=-X lcredit=-X dcredit=-X ocredit=-X
注;(minlen=N:定义用户密码的最小长度;
dcredit=N:数字; ucredit=N:大写字母;
lcredit=N:小写字母; ocredit=N:特殊字符;
ocredit(特殊字符)的值是2的时候,就代表有最多有2个特殊字符的长度额外能加1,!/*表示账号被禁用)

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
测评方法;

1)查看/etc/pam.d/sshd文件中是否包含:auth required pam_tally2.so deny=X unlock_time=XXX even _deny_root root_unlock_time=XXX;
2)查看/etc/profile文件,是否配置超时自动断开连接功能:TMOUT= XXX(秒)
注;(1 登录失败参数一定要写在配置文件内 #%PAM-1.0的下面(即第二行)如果写在后面,
虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!
2 通过ssh远程连接服务器时是在pam.d/sshd文件里进行设置,如果本机登录服务器是在pam.d/login
或者 pam.d/system-auth里进行设置)

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
测评方法;

首先询问管理员是否远程管理服务器,若只是本地管理此项不适用;
1)通过service -status-all | grep sshd命令或netstat –an | grep 22,查看是否运行了sshd服务,使用SSH的方式进行远程管理,SSH采用的是加密连接,可以将鉴别信息进行加密处理;
2)通过命令ps -ef | grep telnet,查看是否开启Telnet服务,若采用的是Telnet方式传输则判定为不符合,Telnet使用的是明文传输;
3)通过命令ps -ef | grep ftp,查看是否启用FTP服务,未找到任何包含FTP关键字的进程信息,可判断服务未开启,若采用FTP服务同样判定为不符合,FTP使用明文传输;

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
测评方法;

询问管理员并查看登录操作系统时,是否采用双因子鉴别,且其中一种必须为密码技术(大多数情况下业主此项都是不符合的)
注;若服务器仅能通过堡垒机等第三方运维工具登录,在堡垒机采用了双因子,而服务器未采用双因子的情况下则此项同样符合

访问控制

a)应对登录的用户分配账户和权限;
测评方法;

1)使用管理员权限的身份登录Linux,查看/etc/shadow文件,是否删除或禁用了adm、lp、sync、shutdown、halt、mail、uucp、operator、games、gopher、ftp等默认的、无用的帐户;
2)查看/etc/ssh/sshd_config文件 ,root帐户是否能够进行远程登录:PermitRootLogin no
注;此项基本上是默认符合

b)应重命名或删除默认账户,修改默认账户的默认口令;
测评方法;

查看linux系统的默认账户root是否重命名和修改默认口令
注;通过情况下root是不能重命名的,若修改的口令为强口令,并包含大小写字母、数字的特殊符号,并定期更换的情况下是可以判断为符合,否则就为部分符合或是不符合

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
测评方法;

1)访问系统管理员操作系统平时有哪些人员涉及登录使用;
2)查看/etc/shadow文件 ,查看系统中的账户与实际人员能否对应,是否存在开放状态但未使用的账户

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
测评方法;

1)了解实际情况中存在哪些管理人员
2)查看etc/shadow文件中的开放账户,是否做到了与实际人员一一对应
3)除root外至少要建立审计账户
注;此项要求实现“三权分立”所以必须除系统管理员外设置审计管理员,否则就判为不符合

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
测评方法;

询问管理员系统是由谁来配置访问控制策略的,并查看一些重要文件配置的权限是否合理
如;etc/shadow、var/log/messages 、var/log/secure、/var/log/audit/audit.log等
注;通常情况下linux系统是由root来配置的

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
测评方法;

使用“ls -l 文件名”命令,查看重要文件和目录权限设置是否合理,如:passwd、shadow等

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
测评方法;

1)访谈管理员,明确系统中是否包含有敏感信息;若不含有则为不适用
2)是否采用第三方主机加固产品进行了安全标记的设置
注;第三方主机加固软件有椒图、网盾、中超伟业等

安全审计

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
测评方法;

1)使用管理员权限的身份登录Linux,查看auditd、rsyslog(syslog或rsyslogd)服务是否启用,通过service rsyslog/auditd status查看;通过cat /etc/rsyslog.conf查看配置,确保审计功能覆盖到每个用户的行为和重要安全事件;
2)查看/etc/audit/audit.rules文件 ,查看是设置了具体的审计规则。
3)若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具,并进行相应的核查。

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
测评方法;

1)使用管理员权限的身份登录Linux,通过命令:cat /var/log/audit/audit.log | head -n 2查看审计日志;

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
测评方法;

询问管理员是否对审计记录保护,并定期备份,备份在哪里,并且日志记录保存时间是否大于6个月

d)应对审计进程进行保护,防止未经授权的中断。
测评方法;

切换开放状态的账户(非root账户)进行测试,看能否中断审计、日志服务:
“service auditd/rsyslog stop”,并查看与审计相关文件的权限var/log/messages 、var/log/secure、/var/log/audit/audit.log

入侵防范

a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
测评方法;

通过命令:yum list installed查看操作系统中已安装的程序包,询问是否有目前不需要的组件和应用程序

b)应关闭不需要的系统服务、默认共享和高危端口;
测评方法;

1)使用管理员权限的身份登录Linux,通过命令:service -status-all | grep running查看是否已经关闭危险的网络服务;
2)通过命令:netstat -an或lsof -i:21、lsof -i:22、lsof -i:23等命令查看21(FTP)、23(Telnet)端口的运行情况。netstat -tunlp/netstat -ntlp

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
测评方法;

1)使用管理员权限的身份登录Linux,查看/etc/hosts.deny与/etc/hosts.allow中,是否有对IP或网段进行限制
2)可以通过询问的方式,看在网络层面有没有限制特定网段才能远程操作系统

d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
测评方法;

由于是由应用系统对外提供输入接口,并通过源代码设置或其他硬件措施实现数据有效性校验功能,故服务器层面不适用此测评项

e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
测评方法;

1)检查是否定期进行漏洞扫描(以漏扫报告为准),并且是否对重要大漏洞进行打补丁(补丁安装前在测试环境中进行测试)
注;rpm -qa | grep patch可以查看安装的一些补丁

f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
测评方法;

1)询问是否安装了主机入侵检测软件,能够识别哪些入侵行为并作出说明措施,让运维人员查询相关进程进行核查
注;软件:深信服EDR、卡巴斯基的Linux版
安全设备:基于主机的IDS设备,或者网络拓扑上是否部署IDS、IPS
云:是否购买安全产品,如:云盾、安骑士

恶意代码防范

a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
测评方法;

询问是否安装了防病毒软件,倘若安装了,则让管理人员调出恶意代码软件的进程进行核实

可信验证

a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
测评方法;

操作系统未涉及可信技术的使用,不适用

数据完整性

a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
测评方法;

根据身份鉴别C项来写,涉及到别的例如审计数据的传输再另看

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
测评方法;

操作系统能够保证自身数据存储的完整性

数据保密性

a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等
测评方法;

根据身份鉴别C项来写

b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
测评方法;

操作系统自身满足

数据备份恢复

a)应提供重要数据的本地数据备份与恢复功能;
测评方法;

操作系统层面不适用

b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
测评方法;

操作系统不适用

c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
测评方法;

询问管理员是否为服务器做冗余部署

剩余信息保护

a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
测评方法;

linux操作系统自身能够保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
测评方法;

linux操作系统自身能够保证存有敏感数据的存储空间被释放或重新分配前得到完全清除
文档更新时间: 2020-07-21 11:09   作者:李延召