身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
测评过程;
1、现场核查是否对登录的用户进行身份鉴别
登录操作系统时,是否进行了身份验证,例如需要输入正确的账户、口令才能登录操作系统则为符合,如果存在用户使用口令登录则为不符合;
2、现场核查用户身份标识是否具有唯一性
查看/etc/passwd文件,是否存在相同uid的账户,不存在uid相同的账户则为符合;
3、访谈当前root账户所使用的口令组成情况是否满足“长度不低于8位,是否包含大写字母、小写字母、数字、特殊符号中的任意三种组合(4选3即可)”;满足上述要求则为符合;
4、查看/etc/security/user文件,口令复杂度要求及更换周期:(default为缺省配置,如果用户策略下也有以下的配置项,以用户下的配置为准)
maxage XX;口令可使用周期,以“周”为单位,小于90则符合,大于90或为0则不符合
maxexpried XX;口令到达使用周期后X天内必须更改口令
minalpha XX;口令必须包含X个字母,取值大于1则符合
minother XX;口令必须包含X个非字母字符,取值大于1则符合
minlen XX; 口令不得少于X个字符,取值大于8则符合
mindiff XX; 新口令与旧口令至少要X字符不相同
max repeats XX;口令中字符重复出现的个数
histexpire XX;用户在xx期限内不能重用密码,以”周“为单位
histsize XX;定义新密码不能和之前几次的相同
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
测评过程;
1、现场核查是否设置合理的登录失败处理策略
查看/etc/security/login.cfg文件:(锁定端口)
logindisable X;连续登录失败次数
logininterval X;规定时间内
loginreenable X;锁定时间
登录失败小于等于10次,锁定时间大于等于5min
查看/etc/security/user:(锁定账户)
loginretries X; 规定允许登录的可重试次数,不限制时间,累计到一定次数就锁定,不会自动解锁,需通过命令解锁
以上两种方式只要合理设置了其中一个则为符合;
2、现场核查是否设置合理的登录连接超时自动退出处理措施
查看/etc/profile,设置了超时自动退出功能;
TMOUT=X
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
测评过程;
1、现场核查是否进行远程管理:
查看是否开启Telnet服务:
lssrc -t telnet (查看服务状态)
ps -ef | grep telnet(查看进程)
lsof -i:23 (查看端口)
查看是否开启SSH服务:
lssrc -t ssh (查看服务状态)
ps -ef | grep ssh (查看进程)
lsof -i:22 (查看端口)
2、现场核查鉴别信息传输过程中是否加密:
仅开启并使用SSH进行远程管理,则为符合;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
测评过程;
1、是否采用两种及以上鉴别技术:
现场核查是否采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术;
2、其中一种鉴别技术是否使用密码技术来实现:
除了口令验证外,是否采用了密码技术(如USBkey、证书等)进行身份鉴别;
访问控制
a)应对登录的用户分配账户和权限;
测评过程;
1、通过命令查看/etc/passwd文件,查看操作系统中的账户使用情况;
查看/etc/security/user文件,查看系统账户的权限,admin TRUE/FALSE,如果值为TRUE,则表示用户具有管理权限;核实操作系统中存在的账户及权限,是否能够与实际使用人员一一对应
2、核查是否存在匿名账户,若存在,核查是否禁用或限制匿名账户的访问
b)应重命名或删除默认账户,修改默认账户的默认口令;
测评过程;
1、是否存在默认账户或易猜测账户:
查看/etc/passwd文件,查看操作系统中的用户名,包括系统自带用户(如root、bin等)、后期安装服务自带的用户(mysql、oracle等)是否进行了重命名,不存在默认账户、易猜测账户则为符合;
2、默认账户或易猜测账户口令是否更改为复杂口令:
访谈管理员是否修改了默认账户的口令,或通过命令chage -l 用户名,查看账户口令更改日期,修改了默认账户的默认口令
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
测评过程;
1、是否存在多余账户:
核查系统中的用户是否都配有专人管理,不存在多余的账户无人认领;操作系统中的账户均有专人管理,不存在无人使用的账户则为符合;
2、是否存在过期的账户:
核查系统中是否存在因口令到期后未及时更换导致过期的账户;不存在过期的账户则为符合;
3、是否存在多人共用同一账户的情况:
核查系统中是否存在多人共同使用一个账号登录系统,不存在共享账户则为符合;
如通过堡垒机管理服务器,操作系统中创建的用户供运维人员共同使用;
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
测评过程;
1、是否进行角色划分:
核查操作系统中是否创建了系统管理员账户、审计管理员账户、安全管理员账户;
2、管理用户的权限是否进行分离,各自的权限是否为任务所需的最小权限:
查看/etc/security/user文件,admin TRUE/FALSE;如果值为TRUE,则表示用户具有管理权限;
核查是否为审计管理员、安全管理员赋予了相应的管理权限,为各管理用户分配了各自所需的权限
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
测评过程;
1、核查是否由授权主体(如管理用户)负责配置访问控制策略:
核查具有管理权限的账户是否可以修改文件权限,管理用户可以修改文件权限控制普通用户访问文件资源则为符合;
2、用户是否有可越权访问的情况
登录普通用户进行测试,尝试打开或编辑权限为600的文件,如果普通用户不能进行读写操作,则为符合
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
测评过程;
查看系统重要文件权限,如配置文件/etc/secuiry/user、/etc/security/passwd等
ls -l /etc/secuiry/user;
ls -l /etc/security/passwd
查看对应文件权限是否设置合理,权限情况小于等于644均为符合范围,大于644则不满足要求;
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
测评过程;
查看是否采用第三方工具对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问,或在操作系统中查看是否开启了强制访问模式。
安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
测评过程;
1、是否具有审计功能:
查看确认设备是否具备审计功能;
2、审计策略是否开启:
执行命令ps -e | grep syslog,查看是否开启了日志服务;
执行命令audit query,查看是否开启审计功能;
如果同时开启了syslog、audit,则为符合;
3、审计对象是否全面:
查看/etc/syslog.conf文件中是否包含
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages;(info级别的信息)
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages;
4、是否对重要的用户行为和重要安全事件进行审计,审计范围有哪些:
查看日志内容:/etc/log/message、/etc/security/audit/events日志文件中对应的审计日志内容
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
测评过程;
查看/var/log/messages、 /var/adm/messages文件,为系统日志文件
查看/etc/security/audit/events、/etc/security/audit/objects文件,主要记录安全事件
审计记录包含哪些,是否包含时间的日期和时间、用户、事件类型、时间是否成功等其他与审计相关的信息
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
测评过程;
1、审计记录会受到未预期的删除、修改或覆盖:
查看日志文件权限,执行命令
ls -l /etc/log/message
ls -l /var/adm/messages
ls -l /etc/security/audit/events
ls -l /etc/security/audit/objects
文件权限应不大于644
2、审计记录是否定期备份:
访谈管理员是否具有做日志备份,如果系统中有日志审计系统,则在日志审计系统资产中查看是否有此台设备,并查看是否收纳了此台设备的日志,对于没有日志审计系统的,则查看当前设备是否设置了crontab定时计划实现脚本备份
3、审计记录留存时间是否大于6个月:
使用head -10 /var/log/message命令,查看各日志文件头10行日志记录的时间,留存时间大于6个月;
d)应对审计进程进行保护,防止未经授权的中断。
测评过程;
测试审计进程能否受到未经授权的中断:
利用普通用户执行下列命令:
audit shutdown
stopsrc -s syslogd
查看未经授权的用户是否可以关闭审计进程
版权归原作者 鹅鹅鹅饿鹅鹅鹅 所有, 如有侵权,请联系我们删除。