基礎信息收集

記錄基本的資產信息，方便后續統計。

# 查看系統版本
uname -a
cat /etc/redhat-release
cat /etc/issue
 # 查看本機IP
ifconifg

（一）身份鑒別

1.1 控制項：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；
測評方法：
1）訪談系統管理員系統用戶是否已設置密碼，并查看登錄過程中系統帳戶是否使用了密碼進行驗證登錄；
2）以有權限的帳戶身份登錄操作系統后，使用命令more /etc/shadow文件，核查系統是否存在空口令帳戶和同名帳戶；
3）使用命令more /etc/login.defs文件，查看是否設置密碼長度和定期更換要求；

使用命令more /etc/pam.d/system-auth，查看密碼長度和復雜度要求。

password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
ucredit: upper-case 大寫字母
lcredit: lower-case 小寫字母
dcredit: digit-case 數字
ocredit: other-case 其他特殊字符
??最小長度策略，system-auth生效優先級高于login.def

1.2 控制項：應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；
測評方法：
1）系統配置并啟用了登錄失敗處理功能，查看文件內容:
本地登錄配置：more /etc/pam.d/system-auth
添加auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600(見上圖)；
??保證pam_tally2.so在pam_unix.so上面即可（不一定非要在第一行）
遠程ssh登錄則配置此文件：more /etc/pam.d/sshd

2）查看/etc/profile中的TIMEOUT環境變量，是否配置超時鎖定參數；
以秒為單位，此處為30分鐘

3）SSH登錄，查看/etc/ssh/sshd_config;
此處為每600秒檢測一次，檢測到3次不活動就斷開

1.3 控制項：當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；
測評方法：
1）訪談系統管理員，進行遠程管理的方式。
以root身份登錄進入：
查看是否運行了sshd服務（應該啟用）： ps -ef | grep sshd ；
查看是否運行了telnet服務（應該禁用）：ps -ef | grep telnet；
2）如果本地管理，本條判定為符合。

1.4 控制項：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。
測評方法：
訪談和核查系統管理員在登錄操作系統的過程中使用了哪些身份鑒別方法，是否采用了兩種或兩種以上組合的鑒別技術，如口令教字證書Ukey、令牌、指紋等，是否有一種鑒別方法在鑒別過程中使用了密碼技術。

（二）訪問控制

??主要以訪談為主，此處略過
2.1 控制項：應對登錄的用戶分配帳戶和權限；
2.2 控制項：應重命名或刪除默認帳戶，修改默認帳戶的默認口令；
2.3 控制項：應及時刪除或停用多余的、過期的帳戶，避免共享帳戶的存在；
2.4 控制項：應授予管理用戶所需的最小權限，實現管理用戶的權限分離。
2.5 控制項：應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；
2.6 控制項：訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；
2.7 控制項：應對重要主體和客體設置安全標記，并控制主體對有安全標記信息資源的訪問。

（三）安全審計

3.1 控制項：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；
測評方法：
以root 身份登錄進入:
查看 :

ps -ef | grep rsyslogd
ps -ef | grep auditd
more /etc/audit/audit.rules

3.2 控制項：審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；
測評方法：
以有相應權限的身份登錄進入:
查看：

more /var/log/audit/audit.log
more /var/log/messages

3.3 控制項：應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；
測評方法：
訪問并查看日志是否足夠六個月,查看：

#查看參數rotate，單位為周
cat /etc/logrotate.conf
ls /var/log/
ls /var/log/audit/

3.4 控制項：應對審計進程進行保護，防止未經授權的中斷；
略

（四）入侵防范

4.1 控制項：應遵循最小安裝的原則，僅安裝需要的組件和應用程序；
測評方法：
訪談加查看：
yum list installed

4.2 控制項：應關閉不需要的系統服務、默認共享和高危端口；
測評方法：
查看：

# 查看服務
chkconfig --list
# 查看端口
netstat -ano | more

4.3 控制項：應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；
測評方法：
訪談網絡防火墻、堡壘機或其他安全設備有無限制或查看：

# 白名單
cat /etc/hosts.allow
# 黑名單
cat /etc/hosts.deny

4.4 控制項：應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求；
不適用

4.5 控制項：應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞；
測評方法：訪談查看漏掃報告，查看補丁：
rpm -qa | grep patch

4.6 控制項：應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵事件時提供報警；
測評方法：訪談并核查是否有入侵檢測軟件。

（五）惡意代碼防范

5.1 控制項：應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷；
測評方法：訪談并核查是否有防病毒軟件。

（六）可信驗證

略

（七）數據完整性

7.1 控制項：應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等；
測評方法：

#查看是否運行sshd服務
ps -ef | grep sshd
#查看是否運行telnet服務
ps -ef | grep telnet

7.2 控制項：應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等；
測評方法：訪談并核查是否安裝第三方主機防護軟件。

（八）數據保密性

8.1 控制項：應采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等；
測評方法：訪談管理員遠程管理的方式，查看sshd和telnet服務。

8.2 控制項：應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。
測評方法：

# 查看 password pam_unix.so 
more /etc/pam.d/system-auth

（九）數據備份恢復

??主要以訪談為主，此處略過
9.1 控制項：應提供重要數據的本地數據備份與恢復功能；
9.2 控制項：應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地；
9.3 控制項：應提供重要數據處理系統的熱冗余，保證系統的高可用性；

（十）剩余信息保護

10.1 控制項：應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；
測評方法：嘗試登錄服務器后退出，確認再次登記時是否需要重新輸入用戶名和密碼（憑證）。

10.2 控制項：應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除；
測評方法：操作系統是否采用了主機加固保證敏感數據存儲空間被釋放或重新分配前得到完全的清除。

命令合集

uname -a 
cat /etc/redhat-release
cat /etc/issue
ifconfig
cat /etc/passwd
cat /etc/shadow
cat /etc/login.defs
cat /etc/pam.d/system-auth
cat /etc/pam.d/sshd
cat /etc/profile
cat /etc/ssh/sshd_config
ps -ef | grep sshd
ps -ef | grep telnet
ps -ef | grep rsyslogd
ps -ef | grep auditd
cat /etc/logrotate.conf
more /etc/audit/audit.rules
more /var/log/audit/audit.log
more /var/log/messages
ls /var/log/
ls /var/log/audit/
yum list installed
chkconfig --list
netstat -ano | more
cat /etc/hosts.allow
cat /etc/hosts.deny
rpm -qa | grep patch

***************************轉載請注明出處，尊重原創！***************************