生产控制大区安全基线管理办法-排查清单-检修一部反馈-核查方法验证20210222.docxVIP

PAGE 31 《生产控制大区安全基线管理办法》对照排查问题汇总表 1.操作系统安全基线配置 （1）LINUX、UNIX操作系统 表1 LINUX、UNIX操作系统管理安全基线要求 要求点 安全基线要求 说明 排查情况 整改措施 远程管理 应采用加密的安全方式进行远程管理。 应采用SSH进行远程管理，应通过网络设备或安全设备限定远程管理服务端口并限定访问地址。 符合 ps -ef|grep sshd存在 chkconfig –list|grep sshd存在 无 帐户权限 应根据数据库、中间件等非操作系统帐户的业务需求进行权限设置。 将数据库、中间件、FTP等应用的帐户权限设置为业务所需最低级别，不应设置为操作系统管理员权限。 符合 FTP：JX-02-2020-043方案作票号 历史服务器：MYSQL：维持现状，保持不变。方案JX-02-2017-095 入侵检测工作站SQL Server 2005：维持现状，保持不变 无 帐户管理 应用系统转入试运行期后，基础设施组即回收操作系统管理员账号，检查运维账号权限，保留运维账号，并禁用其它无关账号。 应用系统转入试运行期后，基础设施运维即回收操作系统管理员账号，检查运维账号权限，保留运维账号，并禁用其它无关账号。账户必须为采用实名。 符合root用户查看/etc/passwd及/etc/shadow是否有无关的账号 无 口令复杂度 应满足公司口令复杂度要求。 应通过操作系统配置策略配置帐户口令复杂度，口令长度密码不少于10位，须同时包含大写字母、小写字母、数字、特殊字符中的任意三种。 符合 输入口令测试，核对口令表 无 超时退出 应设置帐户登录超时退出时间。 帐户登录超时自动退出时间应为20分钟。 符合 grep TMOUT /etc/profile 无 锁定阈值 应启用非法登录次数限制，设置锁定阈值。 配置帐户登录失败处理功能，限制非法登录次数不大于5次、锁定阈值锁定时间应20分钟以上，避免账户被恶意用户暴力破解。 符合 实施方案：JX-02-2019-061 工作票号/etc/pam.d/system-auth 当前限制非法登录次数为3次，满足要求。 生存周期 应设置口令生存期避免密码泄露，并提前告知用户修改密码。 设置账户口令的生存期不长于90天，避免密码泄露，密码到期前10天提示用户更改密码，避免用户因遗忘更换密码而导致账户失效。 符合 实施方案：JX-02-2019-061 工作票号/etc/passwd 无 帐户/口令 文件保护 应设置帐户/口令文件及目录访问权限。 应设置帐户/口令敏感文件的保护，如/etc/passwd、/etc/group、/etc/shadow等文件和目录的权限仅管理员可读。 符合 切换到root用户 ll /etc/passwd /etc/group /etc/shadow，权限属性分别按644、600、644使用chmod命令设置 无 账户权限修改限制 涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改。 /etc/passwd文件的权限=644 (所有用户必须要有读权限,只有root用户有写的权限) /etc/shadow文件的权限=600 (只有root用户拥有该文件的读写权限) /etc/group文件的权限=644 (所有用户必须要有读权限，只有root用户有写的权限) 符合 同上 无 空账户限制 应避免账户泄露导致的安全隐患 禁止存在空密码的帐户 符合 #awk -F: ( $2 == ) { print $1 } /etc/shadow 无 rm操作 检查root用户是否为rm设置别名。 root用户在执行rm操作时需要进行确认。 符合 #alias 查看是否有alias rm=’rm -i’ 无 环境变量安全 应保证root用户在安全的路径下执行命令 确认PATH环境变量中是否存在.或者..的路径，防止可以在任何路径下执行命令。 需科东技术人员配合对计算机监控系统服务器和继电保护信息子站服务器进行排查 #echo $PATH 确认PATH环境变量中是否存在.或者..的路径。使用命令vi /etc/profile查看该配置文件 该项目需科东技术人员配合排查，结合2021年第一季度安防检查开展，在3月31日前完成。 root远程登录 应限制root远程登录。 禁止root帐户远程登录。 符合 #grep -i root /etc/ssh/sshd_config 检查结果是否有PermitRootLogin no 无 最高权限管理 应只有一个最高管理权限的用户。 检查是否存在多个UID为0的用户 符合 #awk -F: ($3==