Linux作业指导书.docVIP

Linux 审计作业指导书  Linux检查列表 Linux 审计作业指导书 1 1. 检查系统帐号密码策略 4 2. 弱口令检查 4 3. 检查系统帐号锁定策略 5 4. 远程管理方式 9 5. 重要配置文件或重要文件目录的访问控制 9 6. 检查系统是否存在多余帐号 11 7. 日志功能开启 13 8. 安全审计策略 13 9. 日志文件的权限及访问控制 16 10. 操作系统版本与补丁升级情况 17 11. 检查并记录系统开启的服务 19 12. 检查并记录系统开启的网络端口 20 13. 超时自动注销 21 14. 网络访问控制策略 22 15. 系统时钟 23 16. 硬件冗余 24 17. 检查并记录操作系统的分区情况和文件系统利用率 24 18. 登录旗标 25 19. 日志文件的存储备份情况 26 20. FTP配置文件 26 21. R族文件 30 22. root帐号远程登录 31 23. 系统异常日志记录 33 24. 文件创建初始权限检查 35 25. 用户权限分配 35 26. uid=0帐号检查 36 27. 系统加载模块信息检查 37 28. 使用组合键关机 39 29. 查看系统中设定的定时任务 40 30. su命令使用限制 42 31. NFS文件系统配置情况检查 42 检查系统帐号密码策略 审计项编号 ADT-OS-LNX-13 审计项名称 检查系统帐号密码策略 审计项描述 审计步骤 执行： 适用版本： Red Hat Linux AS4 审计项结果 关联脆弱性 脆弱性名称 帐号策略配置不当 脆弱性编号 OS-LNX-13 脆弱性说明 系统口令策略配置文件未进行必要的安全配置，不能通过系统口令策略配置文件的口令强壮性要求确保系统中的账号口令长度达到安全要求。 严重程度 中 加固方法 密码长度最小值“PASS_MIN _LEN”应设置为8位，“密码最长存留期” “PASS_MAX_DAYS”应设置为30天 用vi修改/etc/login.defs里面的PASS_MIN_LEN的值。比如限制用户最小密码长度是8：　　PASS_MIN_LEN 8这样用户设置密码的时候如果输入的密码长度小于8将不能设置。 实施风险 备注 ADT-OS-LNX-14 审计项名称 检查系统是否存在弱口令 审计项描述 审计步骤 适用版本： Red Hat Linux AS4 审计项结果 查看系统中和用户帐号相关的几个文件，执行：awk -F: length($2)==0 {print $1} /etc/shadow （4）检查口令文件的完整性，执行： pwck 关联脆弱性 脆弱性名称 系统中存在空密码或弱密码账户 脆弱性编号 OS-LNX-14 脆弱性说明 猜测密码是系统最常遇到的攻击方法之一，口令最短长度越短，用暴力破解成功的可能性越大 严重程度 很高 加固方法 完善帐号管理制度，设置位数大于8位，数字、字母混合，区分大小写的口令。 检查和用户帐号和口令相关的文件，确保不存在空口令和弱口令情况，并确保/etc/passwd /etc/shadow /etc/group这3个文件属性安全。例如对空口令和弱口令的帐户，可删除该帐户或修改帐户密码，确保密码有一定的复杂度要求。 实施风险 备注 ADT-OS-LNX-28 主机安全：身份鉴别 c应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 审计项名称 检查系统帐号锁定策略 审计项描述 审计步骤 执行： 适用版本： Red Hat Linux AS4 审计项结果 [root@localhost ~]# cat /etc/ssh/sshd_config # $OpenBSD: sshd_config,v 1.69 2004/05/23 23:59:53 dtucker Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented.