信息安全风险评估检查流程操作系统安全评估检查表Linux模板.doc

信息安全风险评估检查流程操作系统安全评估检查表Linux 6 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。 操作系统评估检查表 LINUX 安全审核 被审核部门 审核人员 审核日期 配合人员 序号 审核项目 审核步骤/方法 审核结果 补充说明 改进建议 1 操作系统安装过程 检查操作系统安装过程是否遵循安全策略。 2 操作系统口令安全策略 检查操作系统口令是否满足安全策略要求。 3 用户帐号设置 1、 执行: more /etc/passwd 查看是否存在以下可能无用的帐号: adm / lp / sync / shutdown / halt / news / uucp / operator / games / gopher 同时应该检查是否对所有用户授予了合理的shell。 2、 检查 /etc/passwd文件属性设置是否为 644 3、 检查 /etc/shadow文件属性设置是否为 600 4 用户组设置 1、 执行: more /etc/group 检查用户组的设置情况, 查看是否存在以下可能无用的用户组: adm / lp / news / uucp / operator / games / gopher 2、 查看/etc/gshadow的文件属性是否为700 5 用户口令设置 询问管理员是否存在如下类似的简单用户密码配置, 比如: root/root test/test root/root1234 2、 执行: more /etc/login.defs , 检查是否存在PASS_MIN_LEN 5 或PASS_MIN_LEN 8配置行 6 Root用户的登陆控制台限制 执行: more /etc/securetty 检查所有没有被注释掉的tty, 这些控制台root能够直接登陆。 7 重要目录和文件的权限设置 检查以下目录和文件的权限设置情况: /etc/ /etc/rc.d/init.d/ /tmp /etc/inetd.conf或者 /etc/xinet.d/ /etc/passwd /etc/shadow /etc/securietty /etc/services /etc/rc.local 8 文件系统的mount控制 执行: /etc/fstab查看文件系统的mount控制情况。 9 任何人都有写权限的文件和目录 在系统中定位任何人都有写权限的文件和目录用下面的命令: [root@linux]# find / -type f \( -perm -2 –o –perm –20 \) –exec ls –lg {} \; [root@linux]# find / -type d \( -perm -2 –o –perm –20 \ ) –exec ls –ldg {} \; 10 没有属主的文件 定位系统中没有属主的文件用下面的命令: [root@linux]# find / -nouser -o -nogroup 注意: 不用管”/dev”目录下的那些文件。 11 异常隐含文件 在系统的每个地方都要查看一下有没有异常隐含文件( 点号是起始字符的, 用”ls”命令看不到的文件) , 因为这些文件可能是隐藏的黑客工具或者其它一些信息( 口令破解程序、 其它系统的口令文件, 等等) 。在UNIX下, 一个常见的技术就是用一些特殊的名, 如: ”…”、 ”.. ”( 点点空格) 或”..^G”( 点点control-G) , 来隐含文件或目录。 用”find”程序能够查找到这些隐含文件。例如: # find / -name ”.. ” –print –xdev # find / -name ”…*” –print –xdev | cat –v 同时也要注意象”.xx”和”.mail”这样的文件名的。( 这些文件名看起来都很象正常的文件名) 12 inetd或xinetd中基本网络服务配置 检查/etc/inetd.conf文件中的基本的网络服务的开启或禁止情况 或者检查/etc/xinetd.d/目录下的相关服务配置文件。 13 TCP_WRAPPERS 访问列表设置 查看/etc/hosts.deny & /etc/hosts.allow文件中的访问控制配置。 14 R系列服务命令控制 如果系统允许R系列服务命令的使用, 则应该查看所有的.rhosts文件。 建议执行下面的命令定位系统中的”.rhosts”文件: # find / -name .rhosts -print 而且需要查看这些.rhosts文件中是否存在 + + 配置。 15 NFS服务配置 执行: more /etc/export 检查文件中对于NFS共享的权限控制 16 常规网络服务 询问管理员或执行以下操作检查系统运行那些常规网络服务, 并记录各类服务的服务系统软件类型和版本, 对于运行的服务, 提取相关配置文件信息: telnet 0 80 telnet 0 25 telnet 0 110 telnet 0 143 telnet 0 443 telnet 0 21 17 cron行为审核 查看所有的cron任务 在/var/spool/cron/crontabs文件中你能够找到它们。 同时需要查看是否配置了审核, 执行: more /etc/default/cron 确认存在如下内容 CRONLOG=YES 18 root用户的登陆审核 执行: more /etc/default/login 确认其中存在如下内容: SYSLOG=YES 19 login行为的记录 查看是否有 /var/adm/loginlog文件。 20 syslog.conf配置 主要查看/etc/syslog.conf配置文件中是否设置了loghost, 需要提取/etc/syslog.conf文件的所有配置信息。 21 经过inetd启动的TCP服务的日志记录 执行: more /etc/init.d/inetsvc 确认其中存在如下内容(一般在该文件最后) /usr/sbin/inetd –s –t & 22 LILO设置 执行: more /etc/lilo.conf 检查lilo的安全设置情况。 23 TCP SYN Cookie保护 执行: more /proc/sys/net/ipv4/tcp_syncookies 查看输出内容是否为: 1 24 Control-Alt-Delete关机热键 执行: more /etc/inittab 检查是否已经将ca::ctrlaltdel:/sbin/shutdown –t3 –r now配置信息行注释掉了。即: #ca::ctrlaltdel:/sbin/shutdown –t3 –r now