LINUX_操作系统安全测评指导书(三级)v1.0

序号 测评指标 测评项 b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他使用人员前得到完全清除。 操作步骤 预期记录 实际情况记录 检查操作系统维护/操作手册,系统内的文件、目录等资源所在的存储空间,根据linux特性,该项符合。 被释放或重新分配给其他用户前的处理方法和过程。 ①访谈并查看入侵检测的措施 more /var/log/secure | grep refused ②检查是否启用了主机防火墙、TCP SYN保护机制等设置; service iptables status sysctl -a | grep syn ③询问是否有第三方入侵检测系统,如IDS,是否具备报警功能。 访谈是否使用一些文件完整性检查工具对重要文件的完整性进行检查,是否对重要配置文件进行备份。查看备份演示。 5 入侵防范(G3) a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。 系统具有xxx入侵检测措施; 启用的主机防火墙; 安装了主机入侵检测软件(或者具有第三方入侵检测系统),具有报警功能。 b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施或在检测到完整性即将受到破坏时进行事前阻断。 对重要文件有备份,对重要程序有监控。 第 7 页/共 10页

序号 测评指标 测评项 操作步骤 预期记录 实际情况记录 c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 ①访谈系统管理员系统目前是否采取了最小安装原则; ②确认系统目前正在运行的服务, service --status-all | grep running 查看并确认是否已经关闭危险的网络服务,如: 采取了最小安装原则; echo、shell、login、finger、r命令 等 系统运行的服务均为安全服务; 关闭非必须的网络服务,如: 采取了xxx补丁升级机制。 talk、ntalk、pop-2、sendmail、imapd、pop3d 等; ③访谈补丁升级机制,查看补丁安装情况。 rpm -qa | grep patch 6 恶意代码防范(G3) a) 应安装国家安全部门认证的正版防恶意代码软件,对于依附于病毒库进行恶意代码查杀的软件应及时更新防恶意代码软件版本和恶意代码库,对于非依赖于病毒库进行恶意代码防御的软件,如主动防御类软件,应保证软件所采用的特征库有效性与实时性,对于某些不能安装相应软件的系统可以采取其他安全防护措施来保证系统不被恶意代码攻击。 查看系统中安装了什么防病毒软件。询问管理员病毒库是否经常更新。查看病毒库的最新版本更新日期是否超过一个星期。 安装了xxx防病毒软件; 经常更新防病毒软件的病毒库; 病毒库为最新版本。 第 8 页/共 10页

序号 测评指标 测评项 b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。 c) 应支持防恶意代码的统一管理。 d) 应建立病毒监控中心,对网络内计算机感染病毒的情况进行监控。 操作步骤 询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库,病毒库是否不同。 询问系统管理员是否采用统一的病毒库更新策略和查杀策略。 预期记录 网络防病毒软件采用xxx病毒库; 主机防病毒软件采用xxx病毒库。 对病毒库采用统一的更新策略; 对防病毒软件采用统一的查杀策略。 实际情况记录 检查网络防恶意代码产品,查看厂家、产品对网络内各计算机均进行监版本号和恶意代码库名称 控。 ① 查看linux内置防火墙规则 iptables -L -n ②查看在/etc/hosts.deny中是否有“sshd:all:deny”,禁止所有请求; /etc/hosts.allow中是否有如下类似设置: sshd: 192.168.1.10/255.255.255.0 a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录。 设定了终端接入方式、网络地址范围 通过xxx(主机防火墙、网络防火墙、路由器等)限制了终端登录。 如果部署了终端管理系统,也可以通过终端管理系统控制终端接入服务器操作系统。 7 资源控制(A3) b) 应根据安全策略设置登录终端的操作超时锁定。 ①查看登录该服务器的终端是否设置了超时策略: cat /etc/ssh/sshd_config 查看是否设置了 ClientAliveInterval设定了900秒超时锁定。 (超时响应间隔)和ClientAliveCountMax(超时响应次数) ② 查看用户配置文件/etc/profile检查其中timeout值的设置 第 9 页/共 10页

序号 测评指标 测评项 操作步骤 ①访谈系统管理员,询问系统上是否装有第三方主机监控软件或自制的监控脚本; ②运行这些软件或脚本; ③如果有相关文档记录也可参阅。 参看相关配置文件中设置的最大进程数 cat /etc/security/limits.conf 参数 nproc 可以设置最大进程数。 预期记录 安装了第三方主机监控软件(或自制监控脚本; 对服务器的CPU、硬盘、内存、网络等资源的使用情况进行有效监控。 实际情况记录 c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。 d) 应限制单个用户对系统资源的最大或最小使用限度。 设置了最大进程数。 ①了解系统帐户的资源分配情况,查看e) 应定期对系统的性能和容量各个分区磁盘占用情况,询问管理员日进行规划,能够对系统的服务水常如何监控系统服务水平; 平降低到预先规定的最小值进②若有第三放监控程序,询问并查看它行检测和报警。 是否有相关功能。 f) 所有的服务器应全部专用化,访谈管理员,询问服务器是否有浏览邮不使用服务器进行收取邮件、浏件、互联网等其他业务。 览互联网操作。 系统账户的资源分配情况为xxx; 各个分区磁盘占用情况为xxx; 通过xxx方式监控系统服务水平; (第三方监控程序的相关功能为xxx)。 服务器专用化,不进行邮件、浏览互联网的操作。

第 10 页/共 10页

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4