28SGISLOPSA3810AIX等级保护测评作业指导书四级Word文档下载推荐.docx
- 文档编号:19346406
- 上传时间:2023-01-05
- 格式:DOCX
- 页数:21
- 大小:25.89KB
28SGISLOPSA3810AIX等级保护测评作业指导书四级Word文档下载推荐.docx
《28SGISLOPSA3810AIX等级保护测评作业指导书四级Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《28SGISLOPSA3810AIX等级保护测评作业指导书四级Word文档下载推荐.docx(21页珍藏版)》请在冰豆网上搜索。
用户身份标识和鉴别
测评分项1:
检查并记录R族文件的配置,记录主机信任关系
操作步骤
#find/-name.rhosts对每个.rhosts文件进行检
#find/-name.netrc对.netrc文件进行检
#more/etc/hosts.equiv
适用版本
任何版本
实施风险
无
符合性判定
如果不存在信任关系或存在细粒度控制的信任关系,判定结果为符合;
如果存在与任意主机任意用户的信任关系,判定结果为不符合。
测评分项2:
查看系统是否存在空口令用户
#more/etc/security/passwd检查空口令,
/etc/security/passwd中所有密码位不为空,判定结果为符合;
/etc/security/passwd中所存在密码位为空,判定结果为不符合。
2.账号口令强度
ADT-OS-AIX-02
操作系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换
账号口令强度
检查系统密码策略
执行以下命令:
#more/etc/security/user记录Default规则,以及各用户配置的规则,重点关注:
minlen口令最短长度
minalpha口令中最少包含字母字符个数
minother口令中最少包含非字母数字字符个数
loginretries连续登录失败后锁定用户
密码要求8位以上字母、数字、非字母组合,判定结果为符合;
密码要求8位以下或未要求字母、数字、非字母组合,判定结果为不符合;
检查系统中是否存在空口令或者是弱口令
1.利用扫描工具进行查看
2.询问管理员系统中是否存在弱口令
3.手工尝试密码是否与用户名相同
扫描可能会造成账号被锁定
系统中不存在弱口令账户,判定结果为符合;
系统中存在弱口令账户,判定结果为不符合;
3.登录失败处理策略
ADT-OS-AIX-03
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
登录失败处理策略
检查系统登录失败处理策略
执行以下命令
#more/etc/security/user记录Default规则,以及各用户配置的规则
检查loginretries值
#more/etc/security/login.cfg
检查loginreenable值(端口锁定解锁时间)
logindelay(失败登录后延迟时间)
系统配置了合理的锁定阀值及失败登录间隔时间,判定结果为符合;
系统未配置登录失败处理策略,判定结果为不符合;
如果启用了SSH远程登录,则检查SSH远程用户登录失败处理策略
cat/etc/sshd_config
查看MaxAuthTries等参数。
LoginGraceTime1m锁定时间(建议为30分钟)
PermitRootLoginno
MaxAuthTries3锁定阀值(建议5次)
系统配置了合理的登录失败处理策略,锁定阀值及锁定时间,判定结果为符合;
4.远程管理方式
ADT-OS-AIX-04
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
检查系统远程管理方式
询问系统管理员,并查看开启的服务中是否包含了不安全的远程管理方式,如telnet,ftp,ssh,VNC等。
执行:
#ps–ef查看开启的远程管理服务进程
#netstat-a查看开启的远程管理服务端口
系统采用了安全的远程管理方式,如ssh;
且关闭了如telnet、ftp等不安全的远程管理方式,判定结果为符合;
系统的开启了telnet、ftp等不安全的远程管理方式,判定结果为不符合。
5.账户分配及用户名唯一性
ADT-OS-AIX-05
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性
账户分配及用户名唯一性
检查系统账户
#cat/etc/passwd
#cat/etc/security/passwd
#cat/etc/group
查看UID是否唯一
查看系统是否分别建立了系统专用管理,以及的属组情况。
系统管理使用不同的,且系统中不存在重名,UID唯一,判定结果为符合;
系统管理使用相同的,系统存在重名情况,UID不唯一,判定结果为不符合。
6.双因子身份鉴别
ADT-OS-HPUX-05
应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别
双因子身份鉴别
检查系统双因子身份鉴别
询问系统管理员,系统是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
如:
/口令鉴别,生物鉴别、认证服务器鉴别。
系统采用双因子身份鉴别,判定结果为符合;
系统未采用双因子身份鉴别,判定结果为不符合。
二、访问控制
1.检查文件访问控制策略
ADT-OS-AIX-06
应启用访问控制功能,依据安全策略控制用户对资源的访问
检查访问控制策略
检查重要配置文件或重要文件目录的访问控制
查看系统命令文件和配置文件的访问许可有无被更改例如:
#ls-al/usr/etc/etc/security/*/etc/security/passwd/etc/group/etc/passwd/etc/inetd.conf/var/spool/cron/crontabs/*/etc/securetty/sbin/rc*.d//etc/login.defs/etc/*.conf
系统的配置文件目录中,所有文件和子目录对组用户和其他用户不提供写权限,判定结果为符合;
组用户和其他用户对配置文件目录/etc中所有(部分)文件和子目录具有写权限,判定结果为不符合。
检查文件初始权限
#umask
查看输出文件属主、同组用户、其他用户对于文件的操作权限
umask值设置合理,为077或027,判定结果为符合;
umask值为000、002、022等判定结果为不符合。
测评分项3:
检查root是否允许远程登录
查看ssh服务配置文件是否设置登录失败处理策略,执行以下
命令:
#cat/etc/ssh_config
查看PermitRootLogin参数
#more/etc/security/user
查看root用户的rlogin参数
PermitRootLogin值为no,且root用户设置了rlogin=no,root不可以远程登录,判定结果为符合;
PermitRootLogin所属行被注释或值为yes,root用户未设置rlogin或rlogin=yes,root可以远程登录,判定结果为不符合。
2.数据库系统特权用户权限分离
ADT-OS-AIX-07
应实现操作系统和数据库系统特权用户的权限分离
特权用户权限分离
检查系统权限设置
询问管理员系统定义了哪些角色,是否分配给操作系统和数据库系统特权用户不同的角色
系统为操作系统和数据库系统特权用户的设置了不同的角色,实现了
权限分离,判定结果为符合;
系统没有为操作系统和数据库系统特权用户分配角色,判定结果为不符合。
3.特权用户权限分离
ADT-OS-HPUX-07
应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
检查系统特权权限设置
询问管理员系统定义了哪些管理用户角色,是否仅授予管理用户所需的最小权限
#SMIT查看用户角色的授权
系统实现管理用户的权限分离,判定结果为符合;
系统没有实现管理用户的权限分离,判定结果为不符合。
4.默认账户访问权限
应限制默认的访问权限,重命名系统默认,修改这些的默认口令
默认账户访问权限
#cat/etc/passwd或者/etc/security/passwd
查看不需要的账号games,news,gopher,ftp、lp是否被删除
查看不需要的特权账号halt,shutdown,reboot、who是否被删除
系统删除无用默认账户,判定结果为符合;
系统没有删除无用默认账户,判定结果为不符合。
5.多余及过期账户
ADT-OS-AIX-08
应及时删除多余的、过期的,避免共享的存在
多余及过期账户
检查系统多余及过期账户
访谈系统管理员,是否存在无用的多余。
同时执行以下命令:
cat/etc/passwd或cat/etc/security/passwd
系统中不存在多余自建,判定结果为符合;
没有删除多余自建账户,判定结果为不符合。
6.基于标记的访问控制
ADT-OS-HPUX-08
应对重要信息资源设置敏感
标记
资源敏感标记设置检查
检查系统对重要信息资源是否设置了敏感标记
询问管理员系统是否对重要信息资源(重要文件、文件夹、重要服务器)设
置了敏感标记。
并查看标记的设置规则。
符合:
系统对重要信息资源设置敏感标记。
不符合:
没有对系统重要信息资源设置敏感标
检查对有敏感标记资源的访问控制情况
并查看访问控制规则的设置规则。
制定了有效的安全策略,依据安全策略严格控制用户对有敏感标记信
息资源的操作
没有制定有效的安全策略或没有依据安全策略严格控制用户对有敏
感标记信息资源的操作
三、安全审计
1.开启日志审核功能
ADT-OS-AIX-09
审计围应覆盖到服务器上的每个操作系统用户
开启日志审核功能
检查系统日志是否开启
执行
#ps-ef|grepsyslogd
查看系统是否运行syslogd进程
询问并查看是否有第三方审计工具或系统
系统启用了syslogd进程或有第三方审计系统,判定结果为符合;
系统未启用syslogd进程也没有第三方审计系统,判定结果为不符合。
#audsys
(或者输入sam启动系统管理菜单GUI,点击“审计和安全”,点击“用户”查看被审计的用户,点击“事件”查看审计的事件,“systemcalls”查看被审计的系统调用。
)
#more/etc/rc.config.d./auditing中的auditing字段值(=1已开启)
#audusr
查看选择的被审计用户
系统运行在trustedmode下且开启审计功能,审计围覆盖到服务器上的每个操作系统用户判定结果为符合;
系统未启用审计功能,审计围未覆盖到服务器上的每个操作系统用户,判定结果为不符合。
检查系统审计功能是否开启
#/usr/sbin/audit
query
显示审计系统的当前状态
#more/etc/security/audit/config
系统开启审计功能,审计围覆盖到服务器上的每个操作系统用户判定结果为符合;
2.日志审计容
ADT-OS-AIX-10
审计容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要的安全相关事件
日志审计容
检查系统日志审计策略配置
#cat/etc/syslog.conf
查看系统日志配置
syslog.conf配置文件设置合理,对大多数系统行为、用户行为进行了
纪录,并存储在指定的文档中,syslong.conf中至少应包括:
local0.crit/dev/console
local0.info/usr/es/adm/cluster.log
user.notice/usr/es/adm/cluster.log;
判定结果为符合;
syslog.conf配置文件设置不合理,对大多数系统行为、用户行为未
进行纪录,判定结果为不符合。
检查系统审计策略配置
#more/etc/security/audit/objects
查看对象审计
#more/etc/security/audit/config
查看对象审计
#more/etc/security/audit/events
查看被审计的事件
系统配置了合理的审计策略,判定结果为符合;
系统未配置合理的审计策略,判定结果为不符合。
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
#more/usr/es/adm/cluster.log
#last
查看系统历史日志信息
#auditpr-v–hhelrtRpPTc
获取所有审计的信息
审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等
审计记录不包括事件的日期、时间、类型、主体标识、客体标识和结果等判定结果为符合;
3.审计进程保护
ADT-OS-AIX-12
应保护审计记录,避免受到未预期的删除、修改或覆盖等
查看日志审计文件权限设置
ls–la/etc/syslog.conf/usr/es/adm/cluster.log/var/adm
查看系统历史日志文件的权限或访问控制是否合理
日志访问权限合理,除属主外,组用户和其它用户都不具有写、执行
权限;
日志访问权限不合理,除属主外,部分组用户和其它用户具有写、
执行权限
查看审计文件权限设置
#more/etc/security/audit/config
查看日志模式,例如
binmode=on
streammode=off
#ls查看申日文件的权限或访问控制是否合理
例如ls–l/audit/bin1bin2=/audit/bin2
审计文件访问权限合理,除属主外,组用户和其它用户都不具有写、执行
审计文件访问权限不合理,除属主外,部分组用户和其它用户具有写、
四、剩余信息保护(HPUX系统不适用)
五、入侵防
1.入侵防
ADT-OS-AIX-13
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新
入侵防
检查操作系统是否开启了与业务无关的服务
ps–ef
执行#more/etc/inetd.conf|grep-v"
#"
记录系统开启的服务
#more/etc/rc.nfs
#more/etc/rc.tcpip
系统没有开启与业务无关的服务,判定结果为符合;
系统开启了与业务无关的服务,判定结果为符合;
查检查操作系统是否开启了与业务无关的网络端口
netstat–an
netstat–a
系统禁用了与业务无关的端口,判定结果为符合;
系统没有禁用与业务无关的端口,判定结果为不符合
检查操作系统版本与补丁升级情况
执行以下命令,查看AIX核版本:
版本信息:
#oslevel:
#oslevel–q:
补丁安装情况#instfix–i|grepML
系统安装了最新的补丁,判定结果为符合;
系统没有安装最新的补丁,判定结果为不符合
五、恶意代码防(AIX系统不适用)
六、资源控制
1.终端登录限制
ADT-OS-AIX-14
应通过设定终端接入方式、网络地址围等条件限制终端登录;
终端登录限制
检查系统是否有网络访问控制策略
访谈系统管理员,是否制定了严格的访问控制策略,包括是否限制登录
用户,对远程登录的IP是否有限制,采用哪种远程登录方式等。
查看hosts.allow、hosts.deny是否对某些服务,某些IP进行了限制。
#cathosts.allow
#cathosts.deny
#cat/etc/ftpusers
#cat/etc/ftpaccess
系统开启了远程登录IP限制功能,并配置了合理的限制策略,判定结果为符合;
系统没有开启远程登录IP限制功能,未配置合理的限制策略,判定结果为不符合
2.终端操作超时锁定
ADT-OS-AIX-15
应根据安全策略设置登录终端的操作超时锁定;
终端操作超时锁定
检查系统是否开启了超时自动注销功能
cat/etc/profile|grepTMOUT
查看输出结果
系统开启了超时注销功能,并设置了合理的TMOUT注销时间(如5
分钟、10分钟、15分钟等),判定结果为符合;
系统没有开启超时注销功能,判定结果为不符合
3.单个用户系统资源使用限制
ADT-OS-AIX-16
应限制单个用户对系统资源的最大或最小使用限度;
单个用户系统资源使用限制
检查系统是否限制单个用户系统资源的使用
#quotaUserName
查看UserName用户对系统资源使用的限制值
限制了单个用户对系统资源的最大或最小使用,判定结果为符合;
未限制单个用户对系统资源的最大或最小使用,判定结果为不符合;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 28 SGISLOPSA3810AIX 等级 保护 测评 作业 指导书