等保测评--计算环境之服务器设备安全（一）.pdfVIP

等保测评--计算环境之服务器设备安全（⼀）

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进⾏保护的⼀种⼯作，在中国、美国等很多国家都存在的⼀种信息安全领域

的⼯作。在中国，信息安全等级保护⼴义上为涉及到该⼯作的标准、产品、系统、信息等均依据等级保护思想的安全⼯作；狭义上⼀般指信

息系统安全等级保护。

服务器设备Linux

⾝份鉴别

L3-CES1-01

应对登录的⽤户进⾏⾝份标识和鉴别，⾝份标识具有唯⼀性，⾝份鉴别信息具有复杂度并要求定期更换。

1）访谈系统管理员系统⽤户是否已设置密码，并查看登录过程中系统账户是否使⽤了密码进⾏验证登录。

2）以有权限的账户⾝份登录操作系统后，使⽤命令more查看/etc/shadow⽂件，核查系统是否存在空⼝令账户。

3）使⽤命令more查看/etc/login.defs⽂件，查看是否设置密码长度和定期更换要求。

使⽤命令more查看/etc/pam.d/system-auth⽂件，查看密码长度和复杂度要求。

4）核查是否存在旁路或⾝份鉴别措施可绕过的安全风险

1、登录需要密码

2、不存在空⼝令账户

3、等处类似反馈信息

4、不存在绕过的安全风险

L3-CES1-02

应具有登录失败处理功能，应配置并启⽤结束会话、限制⾮法登录次数和当登录连接超时⾃动退出等相关措施。

1）系统配置并启⽤了登录失败处理功能

2）以root⾝份进⼊Linux，查看⽂件内容

3）查看/etc/profie中的TIMEOUT环境变量，是否配置超时锁定参数

1、查看登录失败处理了功能相关参数

2、记录在⽂件/etc/profile中设置了超时锁定参数，在profile下设置TIMEOUT=300s

L3-CES1-03

当进⾏远程管理时，应采取必要措施，防⽌鉴别信息在⽹络传输过程中被窃听。

1）以root⾝份进⼊Linux

查看是否运⾏了sshd

查看相关端⼝是否打开

若未使⽤ssh⽅式进⾏远程连接，则查看是否使⽤了Telnet服务

2）可使⽤wireshark等抓包⼯具，查看协议是否加密

3）本地化管理，N/A

1、使⽤ssh⽅式进⾏远程管理，防⽌鉴别信息在蹿升过程中被窃听。Telnet默认不符合

2、通过抓包⼯具，截获信息为密⽂，⽆法读取，协议为加密

3、本地化管理，N/A

L3-CES1-04

应采⽤⼝令、密码技术、⽣物技术等两种或两种以上组合的鉴别技术对⽤户进⾏⾝份鉴别，且其中⼀种鉴别技术⾄少应使⽤密码技术来实现。

访谈和核查系统管理员在登录操作系统的过程中使⽤了哪些⾝份鉴别⽅法，是否采⽤了两种或两种以上组合的鉴别技术，是否由⼀种鉴别⽅法在鉴别过程中使⽤

了密码技术。

除⼝令外，采⽤另⼀种鉴别机制，此机制采⽤了密码技术，如调⽤密码机或采取SM1-SM4等算法。

访问控制

L3-CES1-05

应对登录⽤户分配账户和权限。

以有相应权限的⾝份登录进⼊Linux，使⽤“ls-l⽂件名”命令，查看重要⽂件和⽬录权限设置是否合理

重点查看⽂件和⽬录权限是否设置合理。

配置⽂件权限值不能⼤于644

对于可执⾏⽂件不能⼤于755

L3-CES1-06

应重命名或删除默认账户，修改默认账户的默认密码

1）以有相应权限的⾝份进⼊Linux，查看/etc/shadow⽂件，是否存在默认、⽆⽤的⽤户。

2）查看root账户是否能够进⾏远程登录

1、不存在默认⽆⽤的账户

2、使⽤more命令查看sshd配置⽂件中，不许可root远程登录

L3-CES1-07

应及时删除或停⽤多余的、过期的账户，避免共享账户的存在。

1）核查是否不存在多余或过期的账户，默认账户是否被禁⽤，特权账号是否被删除

2）应访谈⽹络管理员、安全管理员、系统管理员不同⽤户是否采⽤不同账户登陆系统

1、禁⽤或删除都不需要的系统默认账户

2、各类管理员均使⽤⾃⼰分配的特定权限账户登录，不存在多余、过期账户

L3-CES1-08

应授予管理⽤户所需的最⼩权限，实现管理⽤户的权限分离。

1）查看/etc/passwd/⽂件中的⾮默认⽤户，询问各账户的权限，是否实现管理⽤户的权限分离。

2）查看/etc/sudo.conf⽂件，核查root级⽤户权限都授予了哪些账户

1、各⽤户均具备最⼩权限，不与其他⽤户权限交叉。设备下可⽀持新建多⽤户⾓⾊功能。

2、管理员权限仅分配root⽤户。

L3-CES1-09

应有授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则

1）访谈系统管理员，是否指定授权⼈对操作系统访问控制权限进⾏配置

2）核查账户权限配置，是否依据安