等保 2.0 Linux主机测评

以下结果以CentOS 7 为例,按照等保2.0标准,2021报告模板,三级系统要求进行测评。

一、身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

输入 more /etc/shadow,得知系统所有用户,此语句字段格式有九段。

第一字段:用户名(也被称为登录名),在/etc/shadow中,用户名和/etc/passwd 是相同的,这样就把passwd 和shadow中用的用户记录联系在一起;这个字段是非空的;
第二字段:密码(已被加密,所以看到是一堆乱码,CentOS7以上都是采取的SHA256加密算法进行加密),如果是有些用户在这段是x,*,!!,表示这个用户不能登录到系统或者是没用密码不能登录;这个字段是非空的;
第三字段:上次修改口令的时间;这个时间是从UNIX的诞生日1970年01月01日算起到最近一次修改口令的时间间隔(天数),你可以通过passwd 来修改用户的密码,然后查看/etc/shadow中此字段的变化;
第四字段:两次修改口令间隔最少的天数;如果设置为0,则禁用此功能;也就是说用户必须经过多少天才能修改其口令;默认值是通过/etc/login.defs文件定义中获取,PASS_MIN_DAYS 中有定义;
第五字段:两次修改口令间隔最多的天数;这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_MAX_DAYS 中定义;
第六字段:提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_WARN_AGE 中定义;
第七字段:在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用;
第八字段:用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用;
第九字段:保留字段,目前为空,以备将来Linux发展之用;

图片

上图这个例子是CentOS默认的,只有一个root用户需要密码登录,其他都是系统默认用户,基本使用不了。

输入命令查看密码长度和定期更换设置:more  /etc/login.defs 

图片

得知最长密码使用时间为99999天;最短使用时间为0,代表为设置,就是想换就换;最短密码长度为5天;登录密码过期提前7天提示修改。

查看密码复杂度配置:more  /etc/pam.d/system-auth    默认未配置。

图片

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

输入more /etc/pam.d/system-auth  ,查看是否存在如下语句

图片

onerr=fail 表示定义了当出现错误时的缺省返回值;even_deny_root 表示也限制root用户;deny 表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;unlock_time 表示设定普通用户锁定后,多少时间后解锁,单位是秒;root_unlock_time 表示设定root用户锁定后,多少时间后解锁,单位是秒;

默认未开启。

输入以下命令检查超时自动退出功能:more /etc/profile

查看是否存在timeout 语句。

图片

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

若操作系统只在本地管理或通过KVM等硬件方式管理则该项符合。在远程管理时如通过堡垒机采用SSH、HTTPS协议进行远程管理则满足本测评项要求。检查系统自身的网络登录方式,是否使用了安全的SSH协议,禁用了明文传输的Telnet协议:

1)查看SSH服务是否开启;登录时也能看出,一般默认开启。

ps -e | grep sshd

图片

2)查看telnet是否开启,默认未开启:

systemctl status telnet.socket

图片

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

Linux操作系统目前仅有“用户名+口令”一种鉴别方式,一般是不符合的,目前常见的有通过数字证书Ukey来实现双因子认证。或借助于堡垒机来进行多重认证,降低安全风险。

二、访问控制

a) 应对登录的用户分配账户和权限;

检查重要文件和目录权限设置是否合理,Linux系统对文件的操作权限包括四种:读(r,4);写(w,2);执行(x,1);空(-,0),文件的权限分为属主(拥有者)、属组、其它用户和用户组的权限。配置文件权限值不能大于644,对于可执行文件不能大于755。

ls -l 重要文件名如/etc/passwd

图片

b) 应重命名或删除默认账户,修改默认账户的默认口令;

输入 more /etc/shadow 得知用户表,见身份鉴别的a项,查看是否有默认账户且还在使用,centos默认可用账户只有root,其他账户虽不会被使用,但是应禁用和删除。一般默认存在很多无用账户。

root作为Linux系统的重要默认用户,一般要求禁止远程登录,检查命令如下:

more /etc/ssh/sshd_config

图片

默认为允许,不符合。

c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;

根据上一项的检查结果,并与配合人员访谈各在用账户的使用情况。默认账户games、news、 ftp、 1p等应被被禁用,特权账号halt、shutdown应被删除。默认符合。

d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;

在实际生产中,Linux系统很难完全满足该项要求,因为超级管理员用户root一旦被禁用会影响系统和应用的正常使用。但仍应严格限制具有root级权限的账户,其他用户仅应通过使用sudo被赋予root级权限。通过以下命令核查root级权限都授予哪些账户。管理员权限仅分配给root用户。

命令:more /etc/sudo.conf

此项默认符合。

e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

对于Linux主机,是由系统管理员通过root账户为其它账户分配权限,所以该项主要检查权限分配是否合理,访问控制策略配置是否符合安全要求。    此项默认符合。

f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

Linux系统已经对一些默认账户和系统文件分配了不同的权限,也就是说主体已经达到了用户级,客体已经达到了文件级,该项主要检查新建用户和文件是否存在权限过大、权限滥用的情况。

Linux操作系统默认关闭SELinux服务,开启后会影响系统和业务应用的正常使用。也可通过对操作系统内核进行二次开发或使用加固软件来实现强制访问控制。

more /etc/selinux/config

图片

三、安全审计

a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

查看审计服务状态看到审计服务默认已开启:

service auditd status 或者 service rsyslog status

auditd进程主要记录安全信息及对系统安全事件进行追溯,rsyslog进程用于记录系统中的各种信息(例如硬件报警信息和软件日志。Linux 在安全审计配置文件 /etc/audit/audit.rules中配置安全时间审计规则)

图片

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

输入以下命令查看日志信息是否足够详细:

tail -20 /var/log/audit/audit.log  

默认符合。

图片

c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

检查审计记录保存的目录,验证是否能被普通用户轻易删除,访谈管理员对审计记录的保护措施和备份策略,是否使用syslog或snmp方式将操作系统日志发送到日志服务器,检查审计记录是否备份不少于六个月。

d) 应对审计进程进行保护,防止未经授权的中断。

测试使用非审计管理员中断审计进程,是否能成功,询问和检查是否安装第三方审计进程保护软件。

四、入侵防范

a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;

查看系统当前版本,是否及时安装安全补丁:

uname -a

图片

查看操作系统中已安装的程序包,检查是否有目前不需要的组件和应用程序:

yum list installed

b) 应关闭不需要的系统服务、默认共享和高危端口;

输入以下命令检查系统当前运行的服务:

systemctl list-unit-files | grep enable

图片

多余的服务如:

lpd、kshell、time-udp、sendmail、klogin、printer、nfslock、echo、discard、chargen、bootps、tftp、daytime、 nfs、daytime、ypbind、ident 等。

输入以下命令检查系统当前开启的端口:netstat -ntlp

如:135、445、137、139等。

Linux系统自身不存在默认共享,创建共享文件夹需安装samba,输入以下命令检查是否已经安装samba:

rpm -qi samba

图片

如果安装了samba可能存在默认共享,如果未安装就无默认共享。

c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;

Linux系统中/etc/hosts.allow控制可以访问本机的IP地址,/ete/hosts.deny控制禁止访问本机的IP。实际测评中基本都像下图未在此处进行配置,多在防火墙或堡垒机上进行限制。

more /etc/hosts.allow

more /etc/hosts.deny

图片

默认未设置。

d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;

此项主要针对应用系统和部分数据库和一些管理软件,主机不涉及人机接口输入或通信接口输入控制,该项不适用。

e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;

该项需结合漏扫,是否定期进行漏扫,具有漏扫报告、初测是否发现高风险漏洞,复测后高风险漏洞是否被修补。输入以下命令查看补丁更新情况,是否及时安装最新补丁:

rpm -qa grep patch

图片

f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

检查操作系统是否安装入侵检测软件,如Dragon Squire by Enterasys Networks/主机IPS/IDS 等。网络中部署的入侵防范设备也可以,可以执行 find /-name<daemon name> -print 核查是否安装了主机入侵检测软件。

五、恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

市面上针对Linux操作系统的杀毒软件较少,实际测评过程中基本未遇到安装杀毒软件的Linux主机,不过由于Linux系统自身安全性较高,该项不符合也不判定为高风险问题。默认给不符合,然后做补偿降低风险。

六、可信验证

可基于可信根对计算设备的系统引导程序、 系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

该项目前尚未遇到符合的情况,但是最新的windows主机已经开始使用tpm可信根了,未来应该会越来越多,对该项的要求是可,不符合只算低风险项。

七、数据备份恢复

访谈管理员Linux系统的审计日志如何备份的,是否有热备或集群。

统一在审计数据里面体现吧。

八、剩余信息保护

a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;

CentOS系统该项默认符合。

b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

CentOS系统该项默认符合。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/415016.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

三元里等你!融合三个经典模型!Transformer-LSTM-SVM多变量时间序列预测(Matlab)

三元里等你&#xff01;融合三个经典模型&#xff01;Transformer-LSTM-SVM多变量时间序列预测&#xff08;Matlab&#xff09; 目录 三元里等你&#xff01;融合三个经典模型&#xff01;Transformer-LSTM-SVM多变量时间序列预测&#xff08;Matlab&#xff09;效果一览基本介…

4个方法快速恢复电脑删除文件

随着电脑的普及&#xff0c;我们越来越多地将重要数据存储在电脑中。然而&#xff0c;数据丢失的风险也随之增加。当您意外删除文件、格式化硬盘或遇到系统崩溃等情况时&#xff0c;如何恢复丢失的数据成为了一个待解决的问题。 一、回收站恢复 首先&#xff0c;最简单的恢复方…

深入探索批处理中的变量与命令:从基础到高级

更多内容前往&#xff1a;孔乙己大叔 在Windows环境中&#xff0c;批处理&#xff08;Batch&#xff09;文件是一种非常有用的脚本工具&#xff0c;允许用户自动化重复性任务。通过编写批处理脚本&#xff0c;用户可以执行一系列命令&#xff0c;而无需手动输入每个命令。变量是…

vue 动态替换父组件

替换父组件&#xff1f;&#xff1f; 什么鬼&#xff1f;&#xff1f;&#xff1f; 这个场景的确很少见&#xff01;&#xff01;不过我们要说的的确是要替换父组件&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01; 就是子组件内容不变但是父组件变…

node.js使用express框架实现api接口开发(从零开始,超简单可直接复制)

目录 一、效果图 二、实现 1、引入express框架依赖 2、 新建启动文件&#xff08;/server/index.js&#xff09; 3、新建接口函数文件&#xff08;/server/router.js&#xff09; 一、效果图 二、实现 1、引入express框架依赖 在项目文件夹根目录下&#xff0c;打开控制台…

算法题:单词接龙

单词接龙 字典 wordList 中从单词 beginWord 到 endWord 的 转换序列 是一个按下述规格形成的序列 beginWord -> s1 -> s2 -> … -> sk&#xff1a; 每一对相邻的单词只差一个字母。 对于 1 < i < k 时&#xff0c;每个 si 都在 wordList 中。注意&#xf…

RuoYi-Cloud 部署与配置 [CentOS7]

静态IP设置 # 修改网卡配置文件 vim /etc/sysconfig/network-scripts/ifcfg-ens33# 修改文件内容 TYPEEthernet PROXY_METHODnone BROWSER_ONLYno BOOTPROTOstatic IPADDR192.168.18.130 NETMASK255.255.255.0 GATEWAY192.168.18.2 DEFROUTEyes IPV4_FAILURE_FATALno IPV6INIT…

SpringBoot中基于MongoDB的findAndModify原子操作实现分布式锁原理详解

❃博主首页 &#xff1a; 「码到三十五」 &#xff0c;同名公众号 :「码到三十五」&#xff0c;wx号 : 「liwu0213」 ☠博主专栏 &#xff1a; <mysql高手> <elasticsearch高手> <源码解读> <java核心> <面试攻关> ♝博主的话 &#xff1a…

计算机网络技术专业SDN(软件定义网络)实训室解决方案

一、前言 随着信息技术的飞速发展&#xff0c;网络架构正经历着前所未有的变革&#xff0c;其中软件定义网络&#xff08;SDN, Software-Defined Networking&#xff09;作为未来网络的核心技术之一&#xff0c;正逐步成为计算机网络技术专业教学与科研的重要方向。唯众&#…

Openwrt 安装 AX210 无线网卡

安装 TTYD 我安装的是官方原版的 Openwrt&#xff0c;首先需要安装 YYTD 来从网页控制 Openwrt。 安装驱动 参考这个链接&#xff0c;跟着做。 iwlwifi-firmware-ax210 我买设备技术提供代码如下&#xff0c;但是没有安装 成功&#xff0c;中间报错。 opkg update opkg i…

Vue(十一)默认插槽、具名插槽、作用域插槽

文章目录 一、需求二、插槽1. 默认插槽2. 具名插槽3. 作用域插槽 一、需求 有三个Category组件&#xff0c;展示不同的内容。 需求&#xff1a;美食模块需要展示图片&#xff0c;游戏模块还是文字&#xff0c;电影模块展示预告片。 <!--App组件--> <template>&l…

一.海量数据实时分析-Doris入门和安装

前言 停了一个月又开始写文章啦&#xff0c;因为公司数据量达到了几十亿&#xff0c;老板需要做实时数据分析&#xff0c;报表看板。这么大的数据量比较好的选择是使用Doris来做&#xff0c;他可以脱离hadoop生态独立使用所以大受企业喜爱&#xff0c;也因为如此就有了这个系列…

springboot学习11 (菜品缓存redis)

缓存逻辑分析 目的&#xff1a;减轻数据库压力每个分类下的菜品保存一份缓存数据数据库中菜品数据有变更时清理缓存数据 keyvaluedish_1string(...)dish_2string(...)dish_3string(...) GetMapping("/list")ApiOperation("根据分类id查询菜品")public Res…

敏捷需求管理,推动敏捷项目成功——Leangoo领歌敏捷工具

在敏捷项目管理中&#xff0c;需求管理是决定项目成功的关键环节。准确捕捉和高效管理需求&#xff0c;不仅能避免项目偏航&#xff0c;还能确保最终交付的产品与客户预期高度契合。Leangoo领歌敏捷工具&#xff0c;正是为此而生&#xff0c;助力团队轻松实现需求管理的每一步。…

分贝通助力元气森林企业支出一体化降本提效

凭借着“0糖0脂0卡”这句广告语,元气森林几乎是一锤砸中了年轻消费者的内心,让“好喝不胖”深入人心,成为了国内饮品消费的新风向标。如果我们从近两年的快消饮品中选出几款深受消费者喜爱的“国货品牌”的话,相信「元气森林」一定上榜。 元气森林成立于2016年,旗下拥有元气森林…

C语言典型例题59

《C程序设计教程&#xff08;第四版&#xff09;——谭浩强》 题目&#xff1a; 例题4.11 译密码。为使电文保密&#xff0c;往往按一定规律将其转换为密码&#xff0c;收报人再按约定的规律将其译回原文。 例如&#xff0c;可以按以下规律将电文变为密码&#xff1a; 将字母A…

Harbor部署docker私人仓库

1、新建虚拟机rhel9 2、配置网络 #修改内核参数使网卡名称为ethxxx grubby --update-kernel ALL --args net.ifnames0reboot #配置网络 vim /etc/NetworkManager/system-connections/eth0.connection 内容为&#xff1a;[connection] ideth0 typeethernet interface-nameeth0…

储能电站变流器设计与仿真研究(文章复现matlab)

为了有效解决交流子网与直流子网间的功率传输&#xff0c; 降低电流谐波&#xff0c; 基于三相电压源型变流器及变流器的控制方法&#xff0c; 在 MATLAB R2018a 环境下搭建了储能变流器的整体仿真模型。 电路主要由三相电网、 三相 PWM 变流器、Buck/Boost 变换器和蓄电池构成…

使用Dify搭建企业知识库聊天机器人

本文简介 在当今数字化时代&#xff0c;企业知识库的建设和维护对于提升工作效率和服务质量至关重要。AI聊天机器人作为知识库的交互界面&#xff0c;可以提供24/7的即时服务。 本文将介绍如何使用 Dify 这一工具快速搭建企业知识库聊天机器人&#xff0c;它可以当你企业的职…

sqli-libs第四关详解

首先判断是数字型注入还是字符型注入 正常显示&#xff0c;说明是字符型注入&#xff0c;那么尝试单引号闭合 还是正常显示&#xff0c;尝试双引号闭合 有报错信息&#xff0c;含有括号&#xff0c;这时就应该想到&#xff0c;sql代码是("$id")这样写的了。直接采取闭…