基礎(chǔ)信息收集

記錄基本的資產(chǎn)信息，方便后續(xù)統(tǒng)計(jì)。

# 查看系統(tǒng)版本
uname -a
cat /etc/redhat-release
cat /etc/issue
 # 查看本機(jī)IP
ifconifg

（一）身份鑒別

1.1 控制項(xiàng)：應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；
測(cè)評(píng)方法：
1）訪談系統(tǒng)管理員系統(tǒng)用戶是否已設(shè)置密碼，并查看登錄過(guò)程中系統(tǒng)帳戶是否使用了密碼進(jìn)行驗(yàn)證登錄；
2）以有權(quán)限的帳戶身份登錄操作系統(tǒng)后，使用命令more /etc/shadow文件，核查系統(tǒng)是否存在空口令帳戶和同名帳戶；
3）使用命令more /etc/login.defs文件，查看是否設(shè)置密碼長(zhǎng)度和定期更換要求；

使用命令more /etc/pam.d/system-auth，查看密碼長(zhǎng)度和復(fù)雜度要求。

password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
ucredit: upper-case 大寫字母
lcredit: lower-case 小寫字母
dcredit: digit-case 數(shù)字
ocredit: other-case 其他特殊字符
??最小長(zhǎng)度策略，system-auth生效優(yōu)先級(jí)高于login.def

1.2 控制項(xiàng)：應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；
測(cè)評(píng)方法：
1）系統(tǒng)配置并啟用了登錄失敗處理功能，查看文件內(nèi)容:
本地登錄配置：more /etc/pam.d/system-auth
添加auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600(見(jiàn)上圖)；
??保證pam_tally2.so在pam_unix.so上面即可（不一定非要在第一行）
遠(yuǎn)程ssh登錄則配置此文件：more /etc/pam.d/sshd

2）查看/etc/profile中的TIMEOUT環(huán)境變量，是否配置超時(shí)鎖定參數(shù)；
以秒為單位，此處為30分鐘

3）SSH登錄，查看/etc/ssh/sshd_config;
此處為每600秒檢測(cè)一次，檢測(cè)到3次不活動(dòng)就斷開(kāi)

1.3 控制項(xiàng)：當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；
測(cè)評(píng)方法：
1）訪談系統(tǒng)管理員，進(jìn)行遠(yuǎn)程管理的方式。
以root身份登錄進(jìn)入：
查看是否運(yùn)行了sshd服務(wù)（應(yīng)該啟用）： ps -ef | grep sshd ；
查看是否運(yùn)行了telnet服務(wù)（應(yīng)該禁用）：ps -ef | grep telnet；
2）如果本地管理，本條判定為符合。

1.4 控制項(xiàng)：應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。
測(cè)評(píng)方法：
訪談和核查系統(tǒng)管理員在登錄操作系統(tǒng)的過(guò)程中使用了哪些身份鑒別方法，是否采用了兩種或兩種以上組合的鑒別技術(shù)，如口令教字證書Ukey、令牌、指紋等，是否有一種鑒別方法在鑒別過(guò)程中使用了密碼技術(shù)。

（二）訪問(wèn)控制

??主要以訪談為主，此處略過(guò)
2.1 控制項(xiàng)：應(yīng)對(duì)登錄的用戶分配帳戶和權(quán)限；
2.2 控制項(xiàng)：應(yīng)重命名或刪除默認(rèn)帳戶，修改默認(rèn)帳戶的默認(rèn)口令；
2.3 控制項(xiàng)：應(yīng)及時(shí)刪除或停用多余的、過(guò)期的帳戶，避免共享帳戶的存在；
2.4 控制項(xiàng)：應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。
2.5 控制項(xiàng)：應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；
2.6 控制項(xiàng)：訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；
2.7 控制項(xiàng)：應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。

（三）安全審計(jì)

3.1 控制項(xiàng)：應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；
測(cè)評(píng)方法：
以root 身份登錄進(jìn)入:
查看 :

ps -ef | grep rsyslogd
ps -ef | grep auditd
more /etc/audit/audit.rules

3.2 控制項(xiàng)：審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；
測(cè)評(píng)方法：
以有相應(yīng)權(quán)限的身份登錄進(jìn)入:
查看：

more /var/log/audit/audit.log
more /var/log/messages

3.3 控制項(xiàng)：應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；
測(cè)評(píng)方法：
訪問(wèn)并查看日志是否足夠六個(gè)月,查看：

#查看參數(shù)rotate，單位為周
cat /etc/logrotate.conf
ls /var/log/
ls /var/log/audit/

3.4 控制項(xiàng)：應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷；
略

（四）入侵防范

4.1 控制項(xiàng)：應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；
測(cè)評(píng)方法：
訪談加查看：
yum list installed

4.2 控制項(xiàng)：應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；
測(cè)評(píng)方法：
查看：

# 查看服務(wù)
chkconfig --list
# 查看端口
netstat -ano | more

4.3 控制項(xiàng)：應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；
測(cè)評(píng)方法：
訪談網(wǎng)絡(luò)防火墻、堡壘機(jī)或其他安全設(shè)備有無(wú)限制或查看：

# 白名單
cat /etc/hosts.allow
# 黑名單
cat /etc/hosts.deny

4.4 控制項(xiàng)：應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求；
不適用

4.5 控制項(xiàng)：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞；
測(cè)評(píng)方法：訪談查看漏掃報(bào)告，查看補(bǔ)丁：
rpm -qa | grep patch

4.6 控制項(xiàng)：應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；
測(cè)評(píng)方法：訪談并核查是否有入侵檢測(cè)軟件。

（五）惡意代碼防范

5.1 控制項(xiàng)：應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷；
測(cè)評(píng)方法：訪談并核查是否有防病毒軟件。

（六）可信驗(yàn)證

略

（七）數(shù)據(jù)完整性

7.1 控制項(xiàng)：應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；
測(cè)評(píng)方法：

#查看是否運(yùn)行sshd服務(wù)
ps -ef | grep sshd
#查看是否運(yùn)行telnet服務(wù)
ps -ef | grep telnet

7.2 控制項(xiàng)：應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；
測(cè)評(píng)方法：訪談并核查是否安裝第三方主機(jī)防護(hù)軟件。

（八）數(shù)據(jù)保密性

8.1 控制項(xiàng)：應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等；
測(cè)評(píng)方法：訪談管理員遠(yuǎn)程管理的方式，查看sshd和telnet服務(wù)。

8.2 控制項(xiàng)：應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。
測(cè)評(píng)方法：

# 查看 password pam_unix.so 
more /etc/pam.d/system-auth

（九）數(shù)據(jù)備份恢復(fù)

??主要以訪談為主，此處略過(guò)
9.1 控制項(xiàng)：應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能；
9.2 控制項(xiàng)：應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地；
9.3 控制項(xiàng)：應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性；

（十）剩余信息保護(hù)

10.1 控制項(xiàng)：應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除；
測(cè)評(píng)方法：嘗試登錄服務(wù)器后退出，確認(rèn)再次登記時(shí)是否需要重新輸入用戶名和密碼（憑證）。

10.2 控制項(xiàng)：應(yīng)保證存有敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前得到完全清除；
測(cè)評(píng)方法：操作系統(tǒng)是否采用了主機(jī)加固保證敏感數(shù)據(jù)存儲(chǔ)空間被釋放或重新分配前得到完全的清除。

命令合集

uname -a 
cat /etc/redhat-release
cat /etc/issue
ifconfig
cat /etc/passwd
cat /etc/shadow
cat /etc/login.defs
cat /etc/pam.d/system-auth
cat /etc/pam.d/sshd
cat /etc/profile
cat /etc/ssh/sshd_config
ps -ef | grep sshd
ps -ef | grep telnet
ps -ef | grep rsyslogd
ps -ef | grep auditd
cat /etc/logrotate.conf
more /etc/audit/audit.rules
more /var/log/audit/audit.log
more /var/log/messages
ls /var/log/
ls /var/log/audit/
yum list installed
chkconfig --list
netstat -ano | more
cat /etc/hosts.allow
cat /etc/hosts.deny
rpm -qa | grep patch

***************************轉(zhuǎn)載請(qǐng)注明出處，尊重原創(chuàng)！***************************