等保级问题清单修复文档格式.docx
- 文档编号:17440025
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:13
- 大小:20.94KB
等保级问题清单修复文档格式.docx
《等保级问题清单修复文档格式.docx》由会员分享,可在线阅读,更多相关《等保级问题清单修复文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
5分钟帐户锁定阀值->
5次无效登录,设置设备登录失败超时时间(不大于10分钟)
2.3数据库系统登录失败处理功能配置不满足要求,登录失败次数为100次,未设置非法登录锁定措施
3当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
4应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
已删除数据库root账号,数据库中每个需要连接的主机对应一个账号
5Windows(跳板机)应启用访问控制功能,依据安全策略控制用户对资源的访问;
禁用PrintSpooler,禁用默认共享路径:
C$
6应实现操作系统和数据库系统特权用户的权限分离
6.1Centos操作系统未实现特权用户的权限分离,如可分为:
系统管理员、安全管理员、安全审计员等
在系统下分别添加不同较色的管理员:
系统管理员、安全管理员、安全审计员
6.1.1添加不同角色的人员
Useraddsysadmin
Useraddsafeadmin
Useraddsafecheck
6.1.2为sysadmin添加sudo权限
chmod740/etc/sudoers
vi/etc/sudoers
sysadminALL=(ALL)ALL
chmod440/etc/sudoers
6.2Window操作系统未实现特权用户的权限分离,如可分为:
添加:
系统管理员、安全管理员和安全审计员
权限分配:
6.3数据库账户和系统管理员账户的权限一致
数据库root账号已删除,数据库管理员账号为hqwnm和manager
7应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令
7.1Centos操作系统未限制默认账户的访问权限,未重命名默认账户
删除多余的账号,只保留root默认账号
7.2Windows操作系统未限制默认账户的访问权限,未重命名默认账户
重命名administrator和guest默认用户名
7.3数据库系统未限制默认账户的访问权限,未重命名默认账户
已删除root账号。
无其他默认账号
8应及时删除多余的、过期的帐户,避免共享帐户的存在
8.1Centos操作系统未限制默认账户的访问权限,未删除多余、过期的账户(adm、lp、sync、shutdown、halt、mail、operator、games)
8.1.1注释掉不需要的用户
修改:
/etc/passwd如下:
adm、lp、sync、shutdown、halt、mail、operator、games分别注释掉
root:
x:
0:
/root:
/bin/bash
bin:
1:
/bin:
/sbin/nologin
daemon:
2:
/sbin:
#adm:
3:
4:
adm:
/var/adm:
#lp:
7:
lp:
/var/spool/lpd:
#sync:
5:
sync:
/bin/sync
#shutdown:
6:
shutdown:
/sbin/shutdown
#halt:
halt:
/sbin/halt
#mail:
8:
12:
mail:
/var/spool/mail:
#operator:
11:
operator:
#games:
100:
games:
/usr/games:
ftp:
14:
50:
FTPUser:
/var/ftp:
nobody:
99:
Nobody:
/:
dbus:
81:
Systemmessagebus:
polkitd:
999:
998:
Userforpolkitd:
avahi:
70:
AvahimDNS/DNS-SDStack:
/var/run/avahi-daemon:
avahi-autoipd:
170:
AvahiIPv4LLStack:
/var/lib/avahi-autoipd:
libstoragemgmt:
997:
daemonaccountforlibstoragemgmt:
/var/run/lsm:
ntp:
38:
:
/etc/ntp:
abrt:
173:
/etc/abrt:
postfix:
89:
/var/spool/postfix:
sshd:
74:
Privilege-separatedSSH:
/var/empty/sshd:
chrony:
996:
/var/lib/chrony:
nscd:
28:
NSCDDaemon:
tcpdump:
72:
nginx:
995:
nginxuser:
/var/cache/nginx:
sysadmin:
1000:
/home/sysadmin:
safeadmin:
1001:
/home/safeadmin:
safecheck:
1002:
/home/safecheck:
8.1.2注释掉不需要的组
[root@iZ886zdnu5gZ~]#cat/etc/group
sys:
tty:
disk:
mem:
kmem:
9:
wheel:
10:
cdrom:
postfix
man:
15:
dialout:
18:
floppy:
19:
20:
tape:
30:
video:
39:
lock:
54:
audio:
63:
users:
utmp:
22:
utempter:
35:
ssh_keys:
systemd-journal:
190:
dip:
40:
stapusr:
156:
stapsys:
157:
stapdev:
158:
slocate:
21:
postdrop:
90:
8.2Windows操作系统未限制默认账户的访问权限
对重要文件夹进行访问限制,没有权限的系统默认账号是无法访问的,例如:
8.3数据库系统未限制默认账户的访问权限,未删除多余、过期和共享的账户
数据库已限制用户的访问,每个IP对应一个用户名
9审计范围应覆盖到服务器上的每个操作系统用户和数据库用户
9.1Centos操作系统未开启日志审计功能,审计范围未覆盖到每个用户,未使用第三方安全审计产品实现审计要求
开启日志日记进程(audit),审计覆盖到每个用户
9.2Windows操作系统审计日志未覆盖到用户所有重要操作
开启系统审计日志,如下图:
9.3数据库系统未开启审计进程;
未使用第三方审计系统对系统进行操作审计,审计范围未覆盖到抽查的用户
数据库安装了第三方的审计插件。
macfee公司基于percona开发的mysqlaudit插件
10审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
10.1Centos审计内容未包括重要用户行为,系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
修改,使审计内容包括:
用户重要行为、系统资源调用、文件访问和用户登录等
-w/var/log/audit/-kLOG_audit
-w/etc/audit/-pwa-kCFG_audit
-w/etc/sysconfig/auditd-pwa-k
-w/etc/-pwa-k
-w/etc/audisp/-pwa-kCFG_audisp
-w/etc/cups/-pwa-kCFG_cups
-w/etc/cups-pwa-kCFG_initd_cups
-w/etc/selinux/mls/-pwa-kCFG_MAC_policy
-w/usr/share/selinux/mls/-pwa-kCFG_MAC_policy
-w/etc/selinux/-pwa-kCFG_MAC_policy
-w/usr/sbin/stunnel-px
-w/etc/security/-pwa-kCFG_RBAC_self_test
-w/etc/crontab-pwa-kCFG_crontab
-w/var/spool/cron/root-kCFG_crontab_root
-w/etc/group-pwa-kCFG_group
-w/etc/passwd-pwa-kCFG_passwd
-w/etc/gshadow-kCFG_gshadow
-w/etc/shadow-kCFG_shadow
-w/etc/security/opasswd-kCFG_opasswd
-w/etc/securetty-pwa-kCFG_securetty
-w/var/log/faillog-pwa-kLOG_faillog
-w/var/log/lastlog-pwa-kLOG_lastlog
-w/var/log/tallylog-pwa-kLOG_tallylog
-w/etc/hosts-pwa-kCFG_hosts
-w/etc/sysconfig/network-scripts/-pwa-kCFG_network
-w/etc/inittab-pwa-kCFG_inittab
-w/etc/-pwa-kCFG_initscripts
-w/etc/localtime-pwa-kCFG_localtime
-w/etc/-pwa-kCFG_pam
-w/etc/security/-pwa-kCFG_pam
-w/etc/aliases-pwa-kCFG_aliases
-w/etc/postfix/-pwa-kCFG_postfix
-w/etc/ssh/sshd_config-kCFG_sshd_config
-w/etc/-k
-aexit,always-Farch=b32-Ssethostname
-w/etc/issue-pwa-kCFG_issue
-w/etc/-pwa-k如:
用户登录信息:
用户重要行为信息:
10.2Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
修改如下图:
10.3数据库系统的审计内容未包括:
重要用户行为、系统资源的异常使用和重要系统命令的使用等
11审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
11.1Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等
开启日志监控:
Audit
11.2数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等
12应保护审计记录,避免受到未预期的删除、修改或覆盖等
12.1Centos审计记录未受到保护,未能避免受到未预期的删除、修改或覆盖等
在系统下修改日志保存文件/etc/文件如下:
#keep10weeksworthofbacklogs
rotate10
保存日志文件10周
12.2数据库系统未对审计记录进行保护
数据库审计日志存储在/var/lib/mysql/
定期1个月人工将该文件备份
13操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新
13.1Centos操作系统未及时更新系统补丁,未禁用多余服务端口:
123
已关闭123端口对应的服务ntpd。
启用firewalld。
各主机只开放对应端口。
包括80,7008,9200,9300及3306
13.1.1更新openssl
[root@iZ886zdnu5gZ~]#opensslversion
更新后的版本为:
13.1.2更新openssh
[root@iZ886zdnu5gZ~]#ssh-V
[root@iZ886zdnu5gZ]#ssh-V
13.2Windows操作系统未遵循最小安装原则,存在多余软件:
谷歌浏览器、notepad++,未及时更新系统补丁,未禁用多余服务:
PrintSpooler,未禁用多余端口:
135、137、139、445、123
删除多余的软件:
如谷歌浏览器、notepad++、禁止多余服务:
PrintSpooler
14应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库
14.1Centos
由阿里云盾提供保护
14.2Windows
由阿里云提供:
15应支持防恶意代码软件的统一管理
15.1Centos
由阿里云盾提供
15.2Windows
16应通过设定终端接入方式、网络地址范围等条件限制终端登录
16.1Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录
在系统的/etc/和/etc/添加网络拒绝和允许地址
在/etc/中禁止TCP类型所有联系
16.2数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录
每个账号对应一个IP地址。
限制用户%类型的无限制连接
17应根据安全策略设置登录终端的操作超时锁定
17.1Centos操作系统未根据安全策略设置登录终端的操作超时锁定
17.1.1修改ssh终端用户
/etc/ssh/sshd_conf内容:
ClientAliveInterval600闲20分钟退出
18应用系统未对系统的最大并发会话连接数进行限制
已设置,在中配置maxConcurrentCount属性
19中间件未对系统的最大并发会话连接数进行限制
已设置,在中配置maxSessionCount属性
20应用系统同一台机器未对系统单个账号的多重并发会话进行限制,不同机器未对系统单个账号的多重并发会话进行限制
在nginx中启用连接会话限制。
每个IP只能有20个连接,
21系统通过SSH1、VPN和HTTP方式进行数据传输,部分管理数据、鉴别数据、重要业务数据在传输过程中未能检测到完整性遭到破坏,未能够对数据在遭到传输完整性破
数据库启用SSL
22建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性
23建议系统提供每天至少一次的数据完全备份,并对备份介质进行场外存放
24建议提供数据库系统硬件冗余,保证系统的高可用性
s数据库集群或热备
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 问题 清单 修复