操作系统安全审计.docx

操作系统安全审计.docx

《操作系统安全审计.docx》由会员分享，可在线阅读，更多相关《操作系统安全审计.docx（32页珍藏版）》请在冰豆网上搜索。

操作系统安全审计

RedHatLinux操作系统

RedHatLinux操作系统－安全审计

测试类别：

风险评估

测试对象：

RedHat

测试类：

安全审计

测试项：

测试容：

确信对系统的主要行为都有审计日志，对于重要服务（ftp，telnet，http）及重要操作（su登录等操作）由日志记录。

并且所有的日志文件都有适当的访问权限，除root之外，其它用户没有修改权限。

测试方法：

●查看/etc/syslog.conf的配置文件，确定是否对系统日志和网络服务配置了适当的日志记录策略；

●查看syslog.conf中制定的，存放在/var/log下日志文件的更新日期，确定是否对相应的动作有实时日志功能（仅对linux系统而言）；

●确保这些文件的应该属于root用户所有，文件的权限应该是644；

●查看hosts.allow和hosts.deny文件容。

测试记录：

1．已配置的日志：

2．日志功能是否有效实施，日志记录的日期和容是否与配置相符合：

3．日志文件的访问权限：

4．查看hosts.allow和hosts.deny文件容：

备注：

签名日期

RedHatLinux操作系统－系统安全

测试类别：

风险评估

测试对象：

RedHat

测试类：

系统安全

测试项：

测试容：

被测操作系统应安装最新的系统补丁程序，只开启必要的服务；系统应保证和常用命令相关配置文件的安全性。

设置安全的访问旗标；并对系统资源作适当的使用限制。

测试方法：

●查看或询问是否安装最新补丁程序；

●Telnet/ftp登录系统，确定系统旗标信息的是否安全；

●是否为用户不成功的鉴别尝试次数定义阀值。

测试记录：

补丁安装情况（控制面板|在线更新）：

是否有安全的系统访问旗标？

显示操作系统类型□显示操作系统核版本□

ftp登录察看显示信息：

是否使用了用户磁盘限额？

□

用户磁盘限额策略：

用户连续登录失败的次数：

默认umask值（#umask）：

重要文件和目录的读写权和属主：

/etc/security属主访问许可：

/usr/etc属主访问许可：

/bin属主访问许可：

/usr/bin属主访问许可：

/sbin属主访问许可：

/var/log属主访问许可：

/etc/*.conf属主访问许可：

/etc/login.defs属主访问许可：

备注：

签名日期

RedHatLinux操作系统－用户属性

测试类别：

风险评估

测试对象：

RedHat

测试类：

用户属性

测试项：

测试容：

操作系统应设置安全有效的口令策略（密码强度、密码长度、口令有效期等）。

应限制能够su成root的用户，限制root的远程登录，根据需要设置可以进入单用户模式的用户，应启用用户超时自动注销的功能。

测试方法：

●查看/etc/passwd中是否有空口令账户；

●查看/etc/login.defs是否设置了适当的口令策略；

●查看wheel用户组成员。

测试记录：

login.defs口令策略（）：

PASS_MAX_DAYS

PASS_MIN_DAYS

PASS_MIN_LEN

PASS_WARN_AGE

能够su为root的用户（/etc/group中wheel组成员）：

察看/etc/pam.d/su文件是否存在以下项：

□

authsufficient/lib/security/pam_rootok.sodebug

authrequired/lib/security/pam_wheel.sogroup=wheel

是否允许root远程登录（登陆验证）？

□

是否启用了用户超时自动注销功能？

□

HISTFILESIZE=

TMOUT=

/etc/security/access.conf容：

系统引导程序的访问许可位：

文件中是否有口令保护（/etc/lilo.conf）？

□

备注：

签名日期

RedHatLinux操作系统－网络及服务安全

测试类别：

风险评估

测试对象：

RedHat

测试类：

网络及服务安全

测试项：

测试容：

●操作系统应只开放必要的网络服务。

无多余的网络端口开放；

●操作系统应使用高强度加密机制替代明文传输数据的协议或服务；

●应开启Iptables防火墙，并且规则得到有效实施；应该有防病毒软件安装并且有效运行。

●限制能够访问本机的IP地址。

测试方法：

●使用netstat命令来获得系统的端口列表，并记录关键的端口列表；

●察看telnet，ftp等明文传输协议是否运行，察看telnet和ftp的用户属性；

●察看iptables是否已开启，iptables日志是否有效记录了现有规则的实施结果。

测试记录：

开放网络端口有：

TCP端口：

UDP端口：

启用的服务有（#setup）或查看/etc/xinetd.d目录下的各个文件中disable项的赋值：

FTP和Telnet等网络服务的访问限制：

（如果系统没有安装ftp和telnet略过此项）

FTP

Telnet：

是否启用了SSH等安全远程登录工具？

□

取代方法：

对连接到本机的访问限制：

Iptables是否已开启？

□

主要规则有：

日志容是否有效？

：

查看防火墙设置的安全级别：

是否安装了防病毒软件？

□

是否有效运行（察看日志和病毒库更新情况）：

备注：

签名日期

RedHatLinux操作系统－备份/恢复容错机制

测试类别：

风险评估

测试对象：

RedHat

测试类：

备份/恢复容错机制

测试项：

测试容：

●操作系统要求在故障事件发生时能够保证业务的连续性；

●操作系统应根据自身情况，对系统数据、用户数据、审计日志、策略文档及注册表数据制定合理的备份/恢复策略，以满足系统在遇到意外事故数据遭受破坏时，系统恢复操作的需要。

测试方法：

●查看服务器是否有UPS电源支持，是否有RAID保护；

●查看系统备份/恢复机制是否满足系统安全要求。

测试记录：

操作系统是否有磁盘冗余阵列？

___________________

服务器是否有UPS支持？

□

系统是否有双机热备？

□

操作系统备份/恢复机制？

用户数据备份/恢复机制？

日志数据备份/恢复机制？

业务应用程序备份/恢复机制？

是否使用cron和at定期执行系统管理任务和备份/恢复任务.

记录当前的cron任务

记录当前的at任务

备注：

签名日期

Solaris操作系统

Solaris操作系统－安全审计（标准的Solaris审计）

测试类别：

风险评估

测试对象：

Solaris8

测试类：

安全审计（标准的Solaris审计）

测试项：

测试容：

●操作系统的syslogd应当开启。

系统应该确保错误信息和失败登录信息等的日志记录，并且对日志数据有适当的的访问控制（一般不允许任何用户写日志数据，只有管理员或审计员才能阅读日志数据）；

●应定期浏览日志数据；

●并对日志结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。

测试方法：

●查看syslogd是否启动；

●查看sydeslog的配置；

●查看日志相关文件的容和最后修改日期；

●查看日志相关文件的访问许可；

●询问或查看日志相关文件的存放位置，溢满处理和备份清理策略。

测试记录：

是否开启syslogd：

□

察看syslog.conf系统审计配置：

Falacility.levelaction

查看inetd的服务是否启动日志功能：

ftp的日志功能：

查看审计功能是否有效实施，访问许可位和属主：

/dev/sysmsg：

/var/adm/cron/log：

/var/adm/wtmp：

/var/log/syslog：

/var/adm/sulog：

/var/log/authlog：

/var/adm/messages：

/etc/security/lastlog：

是否有单独的日志分区（日志文件是否存放在单独的文件系统）：

□

如果有，察看分区大小

是否有定期的日志备份和清理策略：

□

备份策略

备注：

签名日期

Solaris操作系统－安全审计（BSM审计）

测试类别：

风险评估

测试对象：

Solaris

测试类：

安全审计（BSM审计）

测试项：

测试容：

●操作系统的审计子系统SecU Solaris p2.3 BSM应处于开启状态，并且根据需要定制必要的审计容；

●应能对被定制的操作事件自动生成审计纪录；

●系统应针对审计结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。

测试方法：

●检查系统的安全审计功能是否已经开；

●检查系统设置的审计事件和审计对象；

●查看审计功能的运行是否实时有效；

●检查审计日志是否存储在单独的磁盘分区上，存储审计日志的磁盘分区是否足够大；

●是否有定期的日志备份和清理策略。

测试记录：

（有条件的话，运行测试脚本文件）

是否开启系统审计功能：

□（开启：

bsmconv）

audit_control的配置：

审计文件存放位置：

审计文件所需剩余空间：

指定的系统用户审计事件类：

指定的普通审计事件类：

查看审计功能是否有效实施，审计记录是否包含事件的日期和时间，事件类型，主体身份，事件的结果：

□

是否有单独的日志分区（trail文件是否存放在单独的文件系统）：

□

如果有，察看分区大小

审计文件的访问许可：

是否有定期的日志备份和清理策略（询问）：

□

备份策略

查看用户审计事件：

备注：

签名日期

Solaris操作系统－系统安全

（1）

测试类别：

风险评估

测试对象：

Solaris

测试类：

系统安全

（1）

测试项：

测试容：

被测操作系统应安装最新的系统补丁程序，只开启必要的服务，限制服务配置文件的访问权限；系统应保证r族命令和常用命令相关配置文件的安全性；设置安全的访问旗标。

测试方法：

●查看操作系统版本和补丁安装情况；

●查看超级守护进程配置文件属性及容，Service配置文件属性；

●检查是否存在r族配置文件，确定系统是否运行r族命令；

●Telnet/ftp登录系统，确定系统旗标信息的是否安全。

测试记录：

1．版本和补丁信息：

操作系统版本：

补丁集：

（如果可以连接Internet，试图ftp匿名访问sunsolve.sun./pub/patches，或者从从中获取专门的补丁检查工具如PatchPro）来查看安全补丁安装情况（系统所有的Patch文件都存储在/var/sadm/patch中，命名方式为patchID-version）

2．超级守护进程配置文件

/etc/inetd.conf（#ls-l）：

属主：

访问许可权：

开启服务：

3．查看是否使用了r族配置文件，并且查看其配置情况

$HOME/.rhosts□

.netrc□

hosts.equiv□

4．是否有安全的系统访问旗标？

telnet的旗标：

显示操作系统类型□显示操作系统版本□显示ftp软件版本□

ftp的旗标：

显示操作系统类型□显示操作系统版本□显示ftp软件版本□

备注：

签名日期

Solaris操作系统－系统安全

（2）

测试类别：

风险评估

测试对象：

Solaris

测试类：

系统安全

（2）

测试项：

测试容：

被测操作系统应保证相关命令文件和配置文件的访问许可合理；对用户、登录设备、失败登录阀值、无操作自动锁定等加以限制；并对系统资源的使用作适当的限制。

测试方法：

●查看是否针对用户使用了用户磁盘限额（尤其是服务器）；

●是否定义了登录相关参数；

●是否对重要的命令文件和配置文件设置安全的访问许可权；

●是否安装了防病毒软件，过滤软件。

测试记录：

是否使用了用户磁盘限额？

用户磁盘限额策略：

察看login登录相关参数

CONSOLE=/dev/console（登录到console的终端）注销：

□

PASSREQ=YES（登录是否需要口令）：

YES□

TIMEOUT（登录超时限制）注销：

□

UMASK：

SYSLOG=（是否记录到LOG_CRIT）：

YES□

RETRIES（允许连续尝试登录次数）：

注销：

□

SYSLOG_FAILED_LOGINS（失败登录记录之前允许的尝试次数）：

注销：

□

重要文件和目录的读写权和属主（#ls–la）：

/usr/etc属主访问许可：

/usr/bin属主访问许可：

/bin属主访问许可：

/sbin属主访问许可：

/etc属主访问许可：

/etc/security/*属主访问许可：

是否安装了防病毒软件：

□类型及版本：

备注：

签名日期

Solaris操作系统－用户属性

测试类别：

风险评估

测试对象：

Solaris

测试类：

用户属性

测试项：

测试容：

●操作系统应设置了有效的口令策略（密码强度、密码长度、口令有效期等）；

●确保系统伪账号（如sys，uucp，nobody等）没有登录shell，口令域设为NP；

●用户口令有效性设置合理。

测试方法：

●察看系统中是否存在与所提供服务无关的无用账号；

●查看passwd中的口令相关设置；

●查看shadow文件，确定是否为每一用户设置了口令更改最短天数，口令更改最长天数，口令过期前的警告天数、休眠天数和失效期限。

测试记录：

1．无用账号：

2.passwd口令策略：

MAXWEEKS：

□

MINWEEKS：

□

PASSLENGTH：

□

3.Shadow文件中用户口令有效性设置：

4.是否限制使用su的组□

5.应用服务器是否有密钥和证书□

备注：

签名日期

Solaris操作系统－网络及服务安全

测试类别：

风险评估

测试对象：

Solaris8

测试类：

网络及服务安全

测试项：

测试容：

●操作系统应只开放必要的网络服务。

无多余的网络端口开放；

●操作系统应使用高强度加密机制替代明文传输数据的协议或服务；

●远程控制的终端访问应采用高强度的认证和加密机制，保证数据的完整性和性；

●限制能够访问本机的IP地址。

测试方法：

●使用netstat命令来获得系统的端口列表，并记录关键的端口列表；

●察看telnet，ftp等明文传输协议是否运行，察看telnet和ftp的用户属性；

●查看对访问本机的IP限制。

测试记录：

察看netstat开放网络端口

1、20，21/tcp：

FTP-data，FTP□□2、22/tcp：

SSH□

3、23/tcp：

telnet□4、25/tcp：

SMTP□

5、43/tcp：

Whois□6、53/tcp：

Domain□

7、69/udp：

tftp□8、80/tcp：

http□

9、80/udp：

http□10、109，110/tcp：

pop2，pop3□□

察看inetd.conf启用的网络服务有

FTP的拒绝访问用户列表：

是否限制root的远程登录：

查看/etc/default/login是否设置CONSOLE为console或null，

查看/etc/ftpusers是否加入root及其他root组成员，

查看SSH 配置文件中是否加入如：

permitRootLogin = no

是否启用加密协议/服务来取代明文传输的telnet和ftp等：

□

是否限制能够访问本机的IP地址：

本机IP地址为：

是否限制IP转发（多网卡）：

备注：

签名日期

Solaris操作系统－备份/恢复容错机制

测试类别：

风险评估

测试对象：

Solaris8

测试类：

备份/恢复容错机制

测试项：

测试容：

●操作系统要求在故障事件发生时能够保证业务的连续性；

●操作系统应根据自身情况，对系统数据、用户数据、审计日志、策略文档及注册表数据制定合理的备份/恢复策略，以满足系统在遇到意外事故数据遭受破坏时，系统恢复操作的需要。

测试方法：

●查看服务器是否有UPS电源支持，是否有RAID保护；

●查看系统备份/恢复机制是否满足系统安全要求。

测试记录：

统是否有定期任务用来备份

记录当前的cron任务

记录当前的at任务

cron.allow  □

cron.deny □

操作系统是否有磁盘冗余阵列？

___________________

是否有物理备份？

冷备份？

□

服务器是否有UPS支持？

□

系统是否有双机热备？

□

操作系统备份/恢复机制？

□

核心的系统文件：

如系统配置，核心映像的备份/恢复机制？

日志、审计数据的备份/恢复机制？

系统是否有定期任务用来备份：

针对集群、NetBackup软件、SunCluster软件设置一些特别的测试项；

备注：

签名日期

AIX操作系统

AIX操作系统－安全审计（标准的AIX审计）

测试类别：

风险评估

测试对象：

AIX操作系统

测试类：

安全审计（标准的AIX审计）

测试项：

测试容：

●操作系统应运行在标准模式下；

●系统应该确保错误信息和失败登录信息等的日志记录，并且对日志数据的读写权限加以限制，应定期浏览日志数据；

●对日志结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。

测试方法：

●查看syslogd是否启动；

●查看sydeslog的配置；

●查看日志相关文件的容和最后修改日期；

●查看日志相关文件的访问许可；

●询问或查看日志相关文件的存放位置，溢满处理和备份清理策略。

测试记录：

是否开启syslogd：

□

系统审计配置：

Falacility.levelaction

查看审计功能是否有效实施：

/var/adm/wtmp：

/var/adm/sulog：

/var/adm/cron/log：

/etc/security/lastlog：

/etc/security/failedlogin：

是否有单独的日志分区（trail文件是否存放在单独的文件系统）：

□

如果有，察看分区大小（#df）

审计文件的访问许可：

（#ls–l/audit）

是否有定期的日志备份和清理策略（询问）：

□

备份策略

备注：

签名日期

AIX操作系统－安全审计（可信模式下的AIX审计系统）

测试类别：

风险评估

测试对象：

AIX操作系统

测试类：

安全审计（可信模式下的AIX审计系统）

测试项：

测试容：

●操作系统应运行在可信模式下，开启安全审计功能，并且根据需要定制必要的审计容；

●开启了审计功能的操作系统应能对被定制的操作事件自动生成审计纪录；

●系统应针对审计结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。

测试方法：

●检查系统的安全审计功能是否已经开；

●检查系统设置的审计事件和审计对象；

●查看审计功能的运行是否实时有效；

●检查审计日志是否存储在单独的磁盘分区上，存储审计日志的磁盘分区是否足够大，是否有定期的日志备份和清理策略。

测试记录：

是否开启系统审计功能：

□

系统审计配置：

开启模式：

bin□stream□

Bin模式的trail文件：

Bin文件路径及大小：

预定义的审计类：

general□objects□SRC□kenel□files□svipc□

mail□cron□tcpip□lvm□

其它自定义审计类：

配置的用户审计：

查看审计功能是否有效实施：

是否有单独的日志分区（trail文件是否存放在单独的文件系统）：

□

如果有，察看分区大小

审计文件的访问许可：

是否有定期的日志备份和清理策略（询问）：

□

备份策略

备注：

签名日期

AIX操作系统－系统安全

（1）

测试类别：

风险评估

测试对象：

AIX操作系统

测试类：

系统安全

（1）

测试项：

测试容：

●被测操作系统应安装最新的系统补丁程序，只开启必要的服务，限制服务配置文件的访问权限；

●系统应保证r族命令和常用命令相关配置文件的安全性。

设置安全的访问旗标。

测试方法：

●查看操作系统版本和补丁安装情况；

●查看系统的安装模式是否为可信计算基库（TCB）；

●查看超级守护进程配置文件属性及容，Service配置文件属性；

●检查是否存在r族配置文件，确定系统是否运行r族命令；

●Telnet/ftp登录系统，确定系统旗标信息否安全。

测试记录：

版本信息：

补丁安装情况：

操作系统的TCB运行模式

1.tcbck命令是否可用

2.检查可信文件：

3.检查文件系统树：

ACL是否启用：

超级守护进程配置文件/etc/inetd.conf：

属主：

访问许可权：

是否存在R族配置文件？

hosts.equiv□设置条目：

.rhosts□设置条目：

是否有安全的系统访问旗标？

（telnet，ftp）

telnet显示操作系统类型□显示操作系统版本□

ftp显示ftp软件版本□

察看允许su的用户

记录su=true的用户：

记录rlogin=true的用户：

备注：

签名日期

AIX操作系统－系统安全

（2）

测试类别：

风险评估

测试对象：

AIX操作系统

测试类：

系统安全

（2）

测试项：

测试容：

●被测操作系统应保证相关命令文件和配置文件的访问许可合理；

●对用户登录的旗标、允许登录时间、登录设备、失败登录阀值、无操作自动锁定等加以限制；

●并对系统资源的使用作适当的限制。

测试方法：

●查看是否针对用户使用了用户磁盘限额；

●是否定义了登录相关参数。

测试记录：

是否使用了用户磁盘限额？

用户磁盘限额策略：

察看login.cfg登录相关参数

Herald：

logindelay：

logindisable：

Logininterval：

Loginreenable：

Logintimes：

sak_enabled：

Synonym：

Maxlogins：

Logintimeout：

是否启用超时自动注销功能：

参数TMOUT=

安全配置文件的读写权和属主：

/etc/security/*属主访问许可：

查看某个进程相关的启动程序：

#ps–elaf

查看sendmail的版本：