linux操作系统安全评估作业指导书-V1.0
LINU_操作系统安全测评指导书(三级)
操作系统安全测评指导书LINUX1 概述1.1 适用范围本测评指导书适用于信息系统等级为三级的主机Linux 操作系统测评。
1.2 说明本测评指导书基于《信息系统安全等级保护根本要求》的根底上进展设计。
本测评指导书是主机安全对于Linux 操作系统身份鉴别、访问把握、安全审计、剩余信息保护、备份与恢复安全配置要求,对Linux 操作系统主机的安全配置审计作起到指导性作用。
1.4 保障条件1)需要相关技术人员〔系统治理员〕的乐观协作2)需要测评主机的治理员帐户和口令3)提前备份系统及配置文件第2 页/共10 页序号测评指标测评项操作步骤预期记录实际状况记录1 身份鉴别(S3) a)应为操作系统的不同用户安排不同的用户名,确保用户名具有唯一性。
b)应对登录操作系统的用户进展身份标识和鉴别。
查看用户名与UIDcat /etc/passwd、cat /etc/shadow查看登录是否需要密码cat /etc/passwd、cat /etc/shadow分别查看用户名〔第1 列〕与UID〔第3 列〕是否有重复项全部用户具有身份标识和鉴别,用户密码栏项〔第2 项〕带有X,表示登陆都需要密码验证。
假设留空则表示空密码。
序号测评指标测评项操作步骤预期记录实际状况记录c)操作系统治理用户身份标识应具有不易被冒用的特点,系统的静态口令应在8 位以上并由字母、数字和符号等混合组成并每三个月更换口令。
①查看登录配置文件cat /etc/login.defs②查看密码策略配置文件(CentOS、Fedora、RHEL 系统)cat /etc/pam.d/system-auth(Debian、Ubuntu 或Linux Mint 系统)cat /etc/pam.d/common-password①登录相关配置内容:PASS_MAX_DAYS=90#登陆密码有效期90 天PASS_MIN_DAYS=2#登陆密码最短修改时间,增加可以防止非法用户短期更改屡次PASS_MIN_LEN=7#登陆密码最小长度7 位PASS_WARN_AGE=10#登陆密码过期提前10 天提示修改②密码策略相关配置password requisite pam_cracklib.soretry=3 minlen=7 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1#“minlen=7”表示最小密码长度为7# “difok=3”启用3 种类型符号#“ucredit=-1”至少1 个大写字符# “lcredit=-1”至少1 个小写字符#“dcredit=-1”至少1 个数字字符#“ucredit=-1”至少1 个标点字符序号测评指标测评项d)应启用登录失败处理功能,可实行完毕会话、限制登录间隔、限制非法登录次数和自动退出等措施。
《linux操作系统及应用》工作任务书
项 目 项目一 安装linux操作系统任 务 任务一、安装linux操作系统学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握安装linux操作系统的方法任务描述 1.在一台装有windows操作系统的计算机上,使用Vmware虚拟机软件(提供安装程序)2.在Vmware虚拟机软件中完成linux操作系统的安装(提供虚拟安装盘,供大家安装使用)。
3.在安装完成的基础上,简单使用linux操作系统(系统关闭,系统启动,程序打开,命令执行)设备工具 主要设备 主要工具 计算机 Vmware虚拟机软件参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:安装linux操作系统的能力2、知识:linux操作系统相关知识项 目 项目二 使用linux常用命令任 务 任务一、使用浏览目录类命令学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握浏览目录类命令的使用任务描述 1.使用pwd命令2.使用cd命令3.使用ls命令设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:使用命令的能力2、知识:命令相关知识项 目 项目二 使用linux常用命令任 务 任务二、使用浏览文件类命令学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握浏览文件类命令的使用任务描述 1.使用cat命令2.使用more命令3.使用less命令4.使用head命令、5.使用tail命令设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:使用命令的能力2、知识:命令相关知识项 目 项目二 使用linux常用命令任 务 任务三、使用浏览目录操作类命令学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握浏览目录操作类命令的使用任务描述 1.使用mkdir命令2.使用rmdir命令设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:使用命令的能力2、知识:命令相关知识项 目 项目二 使用linux常用命令任 务 任务四、使用cp命令学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握cp命令的使用任务描述 1.使用cp命令2.解析cp命令范例设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:使用命令的能力2、知识:命令相关知识项 目 项目二 使用linux常用命令任 务 任务五、使用文件操作类命令学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握文件操作类命令的使用任务描述 1.使用mv命令2.使用rm命令3.使用touch命令4.使用diff命令5.使用ln命令设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:使用命令的能力2、知识:命令相关知识项 目 项目二 使用linux常用命令任 务 任务六、使用系统信息类命令学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握系统信息类命令的使用任务描述 1.使用dmesg命令2.使用df命令3.使用du命令4.使用free命令5.使用date命令设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:使用命令的能力2、知识:命令相关知识项 目 项目二 使用linux常用命令任 务 任务七、使用进程管理类命令学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握进程管理类命令的使用任务描述 1.使用ps命令2.使用kill命令3.使用killall命令设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:使用命令的能力2、知识:命令相关知识项 目 项目三 管理linux的用户和组任 务 任务一、用户帐号学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够用户帐号的管理任务描述 1.新建用户2.设置用户账号口令3.用户帐号的维护设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:管理用户账号的能力2、知识:用户帐号相关知识项 目 项目三 管理linux用户和组任 务 任务二、管理组群学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够管理组群任务描述 1.新建组群2.维护组群账号3.为组群添加用户设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:管理组群的能力2、知识:组群相关知识项 目 项目三 管理linux用户和组任 务 任务三、使用常用的账户管理命令学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握账户管理命令的使用任务描述 1.使用vipw命令2.使用vigr命令3.使用pwck命令设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:使用命令的能力2、知识:命令相关知识项 目 项目四 管理文件系统任 务 任务一、linux文件系统目录结构解析学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握linux文件系统目录结构任务描述 1.ext文件系统2.ext2、ext3文件系统3.swap文件系统4.目录结构设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备识别相应目录的能力2、知识:linux文件系统目录结构相关知识项 目 项目四 管理文件系统任 务 任务二、绝对路径与相对路径的使用学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握据对路径与相对路径的使用任务描述 1.绝对路径2.相对路径设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备使用绝对路径和相对路径的能力2、知识:绝对路径和相对路径相关知识项 目 项目四 管理文件系统任 务 任务三、文件权限解析学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握linux文件访问权限任务描述 1.linux系统中文件命名规则2.linux系统文件扩展名3.文件访问权限设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备识别相应目录的能力2、知识:linux文件系统目录结构相关知识项 目 项目四 管理文件系统任 务 任务四、文件各种属性信息解析学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握linux文件各种属性任务描述 1.文件类型2.文件所属组群3.其他文件信息设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备识别文件各种属性的能力2、知识:linux文件属性相关知识项 目 项目四 管理文件系统任 务 任务五、使用数字表示法修改权限学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握使用数字表示法修改权限任务描述 1.命令格式:chmod 选项 文件2.数字表示法转换:r->4 w->2 x->1 -->0例如:rwxrwxr-x -> (421) (421) (401) ->775设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备使用数字表示法修改权限的能力2、知识:权限的数字表示法相关知识项 目 项目四 管理文件系统任 务 任务六、使用文字表示法修改权限学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握使用文字表示法修改权限任务描述 文字表示法解析:1.系统用4个字母来表示不同的用户: u: user, 表示所有者g: group, 表示属组o:other, 表示其他用户a: all, 表示以上三种用户2.操作符号:+:添加某种权限-:减去某种权限=:赋予给定权限并取消原来的权限设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备识别相应目录的能力2、知识:linux文件系统目录结构相关知识项 目 项目四 管理文件系统任 务 任务七、修改文件所有者与属组学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握修改文件所有者与属组任务描述 命令格式:chown 选项 用户和属组 文件列表 示例:chown test /etc/file上例为修改所有者chown test:test /etc/file上例为同时修改所有者和属组设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备修改文件所有者和属组的能力2、知识:文件所有者和属组相关知识项 目 项目四 管理文件系统任 务 任务八、文件与目录权限学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握文件与目录权限任务描述 1.文件预设权限2.使用umask3.设置文件隐藏权限设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备修改文件与目录权限的能力2、知识:文件与目录权限相关知识项 目 项目五 管理磁盘任 务 任务一、使用常用磁盘管理工具学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握磁盘管理工具的使用任务描述 1.fdisk2.mkfs3.fsck4.dd设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备磁盘管理工具使用的能力2、知识:磁盘管理相关知识项 目 项目五 管理磁盘任 务 任务二、LVM逻辑卷学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够掌握LVM相关内容任务描述 1.PV2.VG3.LV4.PE5.LE6.VGDA设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备处理LVM的能力2、知识:LVM相关知识项 目 项目六 管理linux的网络配置任 务 任务一、网络配置文件解析学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够解析网络配置文件任务描述 1.解析network文件2.解析ifcfg-ethN文件3.解析hosts文件设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备解析网络配置文件的能力2、知识:网络配置相关知识项 目 项目六 管理linux的网络配置任 务 任务二、使用网络配置命令学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够使用网络配置命令任务描述 1.配置主机名2.禁用和启用网卡3.更改网卡MAC地址设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备使用网络配置命令的能力2、知识:网络配置命令相关知识项 目 项目六 管理linux的网络配置任 务 任务三、使用网络测试工具学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够使用网络测试工具任务描述 1.使用ping命令2.使用netstat命令3.使用traceroute命令4.使用arp命令设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备使用网络测试工具的能力2、知识:网络测试相关知识项 目 项目七 使用vi编辑器与shell任 务 任务一、使用VI编辑器学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够熟练使用vi编辑器任务描述 1.启动与退出vi2.vi的工作模式3.使用vi命令设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备使用vi编辑器的能力2、知识:vi编辑器相关知识项 目 项目七 使用vi编辑器与shell任 务 任务二、使用shell学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够熟练使用shell任务描述 1.shell编写2.shell环境变量3.shell运行设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备使用shell的能力2、知识:shell相关知识项 目 项目八shell script任 务 任务一、简单的shell script学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够编写shell script任务描述 1.编写shell script2.保存shell script3.运行shell script设备工具 主要设备 主要工具 计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备编写shell script的能力2、知识:shell script相关知识项 目 项目九 使用gcc和make调试程序任 务 任务一、使用传统程序语言进行编译学时 2班 级 14计网 班 任务小组组员姓名教师姓名 任靖 综合评价 教学目标学生能够使用传统程序语言进行编译任务描述 1.安装gcc2.编写程序3.编译程序设备工具主要设备 主要工具计算机 无参考资料 教材、教学资料任务 要求 1、小组成员完成该项任务,小组之间要进行结果评价2、教师评价考核 要求 1、技能:具备调试程序的能力2、知识:gcc相关知识。
linux系统安全加固手册
START_RBOOTD=0检查DFS分布式文件系统效劳,执行:查瞧该文件中是否存在DCE_KRPC=0、DFS_CORE=0、DFS_CLIENT=0、DFS_SERVER=0、DFS_EPISODE=0、EPIINIT=0、DFSEXPORT=0、BOSSERVER=0、DFSBIND=0、FXD=0、MEMCACHE=0、DFSGWD=0、DISKCACHEFORDFS=0检查逆地址解析效劳,执行:查瞧该文件中是否存在RARPD=0、RDPD=0检查响应PTY〔伪终端〕请求守护进程,执行:查瞧该文件中是否存在PTYDAEMON_START=0检查响应VT〔通过LAN登录其他系统〕请求守护进程,执行:查瞧该文件中是否存在VTDAEMON_START=0检查域名守护进程效劳,执行:查瞧该文件中是否存在NAMED=0检查SNMP代理进程效劳,执行:查瞧该文件中是否存在PEER_SNMPD_START=0检查授权治理守护进程效劳,执行:查瞧该文件中是否存在START_I4LMD=0检查SNAplus2效劳,执行:查瞧该文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0检查X字体效劳,执行:查瞧该文件中是否存在RUN_X_FONT_SERVER=0检查语音效劳,执行:查瞧该文件中是否存在AUDIO_SERVER=0检查SLSD〔Single-Logical-Screen-Daemon〕效劳,执行:查瞧该文件中是否存在SLSD_DAEMON=0检查SAMBA效劳,执行:查瞧该文件中是否存在RUN_SAMBA=0检查CIFS客户端效劳,执行:查瞧该文件中是否存在RUN_CIFSCLIENT=0检查NFS启动效劳,执行:查瞧该文件中是否存在NFS_SERVER=0、NFS_CLIENT=0检查NetscapeFastTrackServer效劳,执行:查瞧该文件中是否存在NS_FTRACK=0检查APACHE效劳,执行:查瞧该文件中是否存在APACHE_START=0 检查基于RPC的效劳,执行:查瞧是否存在该文件操作步骤1、执行备份:使用cp命令备份需要修改的文件2、设置参数:执行以下命令,禁用SNAplus2效劳执行以下命令,禁用多播路由效劳执行以下命令,禁用DFS分布式文件系统效劳执行以下命令,禁用逆地址解析效劳执行以下命令,禁用响应PTY〔伪终端〕请求守护进程执行以下命令,禁用响应VT〔通过LAN登录其他系统〕请求守护进程执行以下命令,禁用域名守护进程执行以下命令,禁用SNMP代理进程执行以下命令,禁用授权治理守护进程#ndd-get/dev/ipip_respond_to_address_mask_broadcast #ndd-get/dev/ipip_respond_to_timestamp_broadcast返回值应为0操作步骤1、执行备份记录需要修改的可调参数值2、执行以下命令,设置参数使参数在当前系统状态下临时生效:#ndd-set/dev/ipip_respond_to_address_mask_broadcast0 #ndd-set/dev/ipip_respond_to_timestamp_broadcast0建立启动项,使参数重启后永久生效:#cat<<EOF>>nddconf#Don'trespondtoICMPaddressmaskrequests TRANSPORT_NAME[6]=ipNDD_NAME[6]=ip_respond_to_address_mask_broadcast NDD_VALUE[6]=0#Don'trespondtobroadcastICMPtstampreqs TRANSPORT_NAME[7]=ipNDD_NAME[7]=ip_respond_to_timestamp_broadcast NDD_VALUE[7]=0EOF#chownroot:sysnddconf#chmodgo-w,ug-snddconf。
linux-实验指导手册-常用命令
实验一Linux常用命令(一)1、Shell环境和Shell命令格式如果实验用计算机上Linux以图形方式启动,登录系统后打开终端窗口。
方法:桌面:右键菜单-Terminal(终端);或:主菜单-系统工具-Terminal(终端)。
命令格式:command [-option(s)] [option argument(s)] [command argument(s)]步骤1:使用who命令步骤2:使用date命令步骤3:使用上下健提取历史命令who,执行。
2、文件系统操作命令(1)改变目录命令:cd 目标目录路径步骤1:使用绝对路径依次进入Linux根目录下的所有子目录。
例如:cd /usr/bin步骤2:使用绝对路径依次进入用户目录。
步骤3:使用相对路径进入子目录1)使用绝对路径进入/lib目录2)使用相对路径进入/lib/i868目录3)使用相对路径退回到/lib目录(2)列出并观察目录中的文件步骤1:进入任意目录,使用无参数ls命令列出并观察其中所有文件;步骤2:进入任意目录,使用通配符列出其中部分文件;例如:cd /binls c*步骤3:使用-l选项,列出目录中文件的各种属性,并观察识别这些属性。
步骤4:直接列出子目录中的文件。
例如:ls i868步骤5:仅列出子目录本身(-d)步骤6:使用-F选项,显示文件类型标志。
步骤7:使用-a或-A选项,观察结果有什么变化。
步骤8:综合使用以上选项。
(3)目录的创建与删除步骤1:在用户目录中,使用相对路径创建一个任意名称的目录,如“tmp”。
mkdir tmp步骤2:删除该目录rmdir tmp步骤3:在根目录中,使用绝对路径在用户命令中创建一个子目录。
mkdir ~/tmp步骤4:删除该目录rmdir ~/tmp步骤5:使用-p参数一次创建多级目录。
如:mkdir ~/tmp/dir1步骤6:使用-p参数删除多级目录。
如:cd ~rmdir tmp/dir1(4)文件和目录拷贝命令:cp步骤1:从/usr/include目录中,任选一个文件拷贝到用户目录的tmp子目录中mkdir ~/tmpcp /usr/include/signal.h ~/tmp步骤2:从/usr/include目录中,任选一个文件拷贝到用户目录的tmp子目录中,并改变其文件名。
等级保护2.0 三级-Linux 测评指导书V1.0
知识星球:网络安全等级保护交流
文件中的 SELINUX 参数的设定
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1)以 root 身份登录进入 Linux, 查看服务进程 2)若运行了安全审计服务,则查看安全审计的守护进程是否正常 # ps -ef|grep auditd 3)若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具 4)以 root 身份登录进入 Linux 查看安全事件配置: #gerep“@priv-ops" /etc/audit/filter.conf .... more/etc/audit/audit.rules ..... 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)以有相应权限的身份登录进入 Linux,使用命令"ausearch-ts today ”,其 中,-ts 指定时间后的 log,或命令"tail -20 /var/log/audit/audit.log“查 看审计日志 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送 到日志服务器上等,并使用 sylog 方式或 smp 方式将日志发送到日志服务器。 2)如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的
知识星球:网络安全等级保护交流
范围内 测评项: d) 应对审计进程进行保护,防止未经授权的中断。 测评方法: 1)访谈对审计进程监控和保护的措施 2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合 理。 3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
操作系统安全测试方案
操作系统安全测试方案背景随着操作系统的广泛应用,确保操作系统的安全性变得至关重要。
操作系统安全测试是一种评估操作系统安全性的重要方法。
本文档旨在提供一份操作系统安全测试方案,帮助用户评估和提升操作系统的安全性。
目标1. 评估操作系统的安全性,发现存在的安全漏洞和问题。
2. 提供合理的建议和措施,提升操作系统的安全性。
3. 验证和确认已实施的安全措施是否有效。
测试方法本测试方案采用以下方法来评估操作系统的安全性:1. 漏洞扫描:使用专业的漏洞扫描工具对操作系统进行扫描,发现可能存在的漏洞和安全问题。
2. 渗透测试:通过模拟真实攻击的方式来测试操作系统的安全性,发现潜在的安全漏洞。
3. 弱点分析:对操作系统的配置和设置进行全面分析,找出可能存在的弱点和配置错误。
4. 安全审计:检查操作系统的日志和审计记录,查找异常和潜在的安全问题。
5. 安全漏洞复现:对已发现的安全漏洞进行复现,验证其可利用性和严重性。
测试过程1. 确定测试范围:明确要测试的操作系统版本和组成部分。
2. 准备测试环境:搭建安全的测试环境,确保不对真实系统造成影响。
3. 进行漏洞扫描:使用漏洞扫描工具扫描操作系统,记录发现的漏洞和安全问题。
4. 进行渗透测试:模拟真实攻击,测试操作系统的安全性,记录发现的安全漏洞和弱点。
5. 分析和整理测试结果:将测试结果进行整理和分析,确定存在的安全问题和建议的改进措施。
6. 提供测试报告:编写操作系统安全测试报告,包括测试过程、发现的安全问题和改进措施的建议。
测试注意事项1. 在进行测试前,确保拥有合法的授权和权限,遵守相关法律法规。
2. 在测试过程中,遵循严格的测试计划和流程,确保测试的有效性和可靠性。
3. 针对漏洞和安全问题,及时进行修复和改进,并进行再次测试确认修复的有效性。
4. 在测试环境中进行操作,避免对真实环境造成任何影响和损害。
结论操作系统安全测试是确保操作系统安全性的重要手段,通过采用适当的测试方法和测试过程,发现和修复存在的安全漏洞和问题,提升操作系统的安全性和稳定性。
Linux系统安全设置步骤
Linux系统安全设置步骤一直以来,许多人认为,Linux系统本身就是很安全的,不需要做太多的安全防护,另外基于Linux系统的防护、杀毒软件目前还较少被大众认知,因而在很多时候,我们安装完linux系统,经常不知道系统本身的安全设置从何做起,有的管理员干脆不做任何设置,或者随便下载安装一个杀毒软件完事,这样的做法基本起不了什么作用。
其实如windows server 2003系统本身也是一样,其系统自身的安全设置如果到位,对于服务器的整体安全是非常关键的。
笔者因为业务的关系,和铁通数据中心有较多的接触,通过对一些不法分子对服务器攻击方式的了解,更是深深体会到这点。
很多时候,安装完操作系统,一些看似随手进行的设置,很可能改变了操作系统的安全命运。
Linux安全配置步骤1. BIOS Security任何系统,给BIOS设置密码都是必须的,以防止其它用户通过在BIOS中改变启动顺序, 用特殊的启动盘启动你的系统.2. 磁盘分区1、如果是新安装系统,对磁盘分区应考虑安全性:1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;●方法一:修改/etc/fstab文件,添加nosuid属性字。
例如:/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0●方法二:如果对/etc/fstab文件操作不熟,建议通过linuxconf程序来修改。
*运行linuxconf程序;*选择"File systems"下的"Access local drive";*选择需要修改属性的磁盘分区;*选择"No setuid programs allowed"选项;*根据需要选择其它可选项;*正常退出。
信息安全风险评估作业指导书
信息安全风险评估作业指导书
一、概述
本作业指导书旨在规范信息安全风险评估工作,确保评估过程的科学性、客观性和准确性。
本指导书依据国家和行业标准,结合实际情况制定,用于指导评估人员开展信息安全风险评估工作。
二、评估目的
通过对信息系统的安全风险进行全面、客观的评估,发现潜在的安全隐患和漏洞,为组织的信息安全管理工作提供依据和建议,提高组织的信息安全防护能力。
三、评估范围
1. 信息系统的资产识别,包括硬件、软件、数据等;
2. 信息系统的安全控制措施,包括物理安全、网络安全、应用安全等;
3. 信息系统面临的威胁和风险,包括内部威胁、外部威胁等;
4. 信息系统安全事件的影响范围和可能造成的损失。
四、评估方法
1. 资产识别:采用问卷调查、实地考察等方法,对信息系统的资产进行全面梳理和识别;
2. 安全控制措施检查:通过检查安全管理制度、技术防范措施等,评估安全控制措施的有效性;
3. 威胁分析:分析信息系统面临的威胁和风险,包括威胁来源、威胁方式和影响程度等;
4. 风险评估:根据资产的重要性和威胁的可能性,评估信息系统的安全风险;
5. 风险处理:根据风险评估结果,提出相应的风险处理措施和建议。
五、评估流程
1. 前期准备:明确评估目的、范围和要求,组建评估团队,制定评估计划;
2. 资产识别:收集资产信息,进行资产梳理和分类;
3. 安全控制措施检查:对安全控制措施进行检查和测试;
4. 威胁分析:分析信息系统面临的威胁和风险;
5. 风险评估:根据资产重要性和威胁可能性,进行风险评估;
6. 风险处理:提出风险处理措施和建议;
7. 编写评估报告:汇总评估结果,编写评估报告。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.5
检查主机系统上是否存在可疑账户、 克隆账户、多余的账户、过期的账 户,共享账户;
1.6
检查所分配的账号权限配置是否符合 安全基准要求;
1.7
检查linux主机的管理方式; 当远程方式登录主机设备,是否取必 要措施,防止鉴别信息在网络传输过 程中被窃听; 检查主机系统是否修改了远程桌面默 认端口; 检查主机系统上开启的默认共享或文 件共享;
a.建议重要或外网的主机系统安装主机级别的入侵检测软件(NIDS); b.建议每周对主机入侵检测软件告警日志进行分析; a.建议重要或外网的主机系统部署操作系统和应用系统日志远程备份措 施,防止日志受到清除; b.建议远程备份的日志记录保存6个月以上; a.主机系统应部署补丁统一管理分发措施,如yum源或第三方工具; b.软件补丁更新措施,软件升级或修改配置等; a.操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序;
1、查看系统审计文件more /etc/audit/auditd.conf或auditd -l log_file = /var/log/audit/audit.log #日志存放路径 log_format = RAW #日志记录格式 priority_boost = 3 #设置auditd的优先启动级,0的话是正常顺序启动 flush = INCREMENTAL #表示多少条记录一组写到磁盘 freq = 20 #审计守护进程在写到日志文件中之前从,内核中接收的记录数 num_logs = 4 #指定log的数目 dispatcher = /sbin/audispd #当启动这个守护进程时,由审计守护进程自动 启动程序 disp_qos = lossy #控制调度程序与审计守护进程之间的通信类型 max_log_file = 5 #最大日志个数 max_log_file_action = ROTATE #当达到max_log_file的日志文件大小时采取的 1、以root身份登陆进入linux 2、查看linux密码文件内容 #cat/etc/shadow 记录没有被禁用的系统默认用户名 采用查看方式,在root权限下,使用命令more、cat或vi查看/etc/passwd和 /etc/shadow文件中各用户名状态,查看是否存在以下可能无用的帐户: adm、lp、sync、shutdown、halt、news、uucp、operator、games、ftp、 postfix usermod -L <user> 锁定用户; a.在root权限下,使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中 各用户名状态,查看是否存在以下可能无用的帐户: adm、lp、sync、shutdown、halt、news、uucp、operator、games、ftp、 postfix等 b.根据检查到的账户列表,访谈主机管理员是否有多余、过期和共享的账户; usermod -L <user> 锁定用户; userdel <user> 删除用户;
安全 指标 风险 风险 分数 等级 安全策略
高
a.启用系统安全审计或使用第三方安全审计产品实施审计活动; b.系统日志设置包括主机系统错误日志、登录日志等; c.应要求系统管理人员对每次登录和退出系统的时间、账户等信息进行 记录,以便和系统审核日志比对;
中
a.严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户 的默认口令(root除外)
低
a.应为操作系统和数据库系统的不同用户分配不同的账户; b.应每周对主机系统上的账户列表进行异常审查和对每次账户变更进行 备案;
a.主机系统上应无可疑账户、克隆账户、多余账户、过期账户和共享账 户;
a.对账号进行合理的权限管理,根据用户的需求进行权限分配;
a.采用本地控制台的管理方式或是使用工具远程管理方式; b.所使用的远程管理工具在网络传输信息上应有加密措施,该工具不存 在公开的可被破解加密技术漏洞; c.通过互联网远程登录管理主机系统时,应采用两种或以上组合的鉴别 技术进行身份鉴别,必须通过普通用户登录root用户; d.建议修改用于远程访问的SSH默认端口号22; a.在确认不必要情况下关闭系统默认共享; b.文件共享账户访问权限应合理设置,应遵守最小权限原则; a.主机系统时间不应存在滞后现象; b.应配置屏幕保护程序: 1)等待:3分钟 2)在恢复时使用密码保护:启用 a.主机系统日志存储容量应根据日志生成量相应设置;建议在100M以 上; b.应每周对主机系统的日志文件进行备份和审计分析;
分 编 类 号
检查选项
1.1
检查主机系统是否配置了符合安全基 准要求的帐户策略(包括密码策略和 帐户锁定策略);
1.2
检查主机系统是否配置了符合安全基 准要求的系统审核策略;
1.3
检查主机系统账户是否进行重新命 名;
1.4
检查是否为不同角色的用户分配不同 的账户; 是否对主机系统上的账户列表进行变 更备案和定期审查;
a.限制单个用户的系统资源使用限度;
a.限制单用户模式下修改系统密码;
入侵检测
a.查看系统进程及连接情况; a.建立端口开放备案列表,对一些需要开放的敏感端口进行备案; a.主机系统应符合最小化安装; a.查看隐藏文件是否被修改或替换; a.列出系统任务计划,查看系统中定时执行脚本的位置;
a.建立syslog-ng日志服务器,并保证日志完整性和日志记录连续性;
2.1
2.2
2.3 安 全 措 2.4 施 2.5
2.6
2.7
2.8
3.1
检查主机系统是否有对CPU、内存、磁 盘、网络等资源的使用率进行实时监 测;
3.2 3.3
检查主机系统是否安装了完整补丁; 检查主机系统是否有恶意代码运行; 检查主机系统是否有通过对终端接入 方式、网络地址范围等条件限制终端 登录;
4.1 4.2 4.3 4.4 4.5
检查主机系统当前运行的进程是否存 在可疑进程; 检查主机系统是否存在可疑端口通 讯; 是否对已对合法的开放端口进行备 检查主机系统是否运行了不必要的系 统服务; 检查主机系统是否存在可疑的隐藏文 件; 检查主机系统的计划任务、镜像劫持 配置等是否存在可疑的启动程序; 检查主机系统的系统日志、安全日志 和应用日志等是否有异常事件;
3.4
3.5
检查主机系统是否有根据安全策略设 置登录终端的操作超时锁定;
安 全 状 态
3.6
限制at/cron给授权的用户;在PAM配置 文件中删除.rhosts支持;删除 /etc/hosts.equiv文件
3.7
应限制单个用户对系统资源的最大或 最小使用限度
3.8
设置LILO/GRUB口令;可以有助于防止 基于控制台的物理攻击
1.8 安 全 策 略 1.9
检查主机系统时间是否正确; 检查主机系统是否配置屏幕保护;
检查主机系统日志存储容量大小是否 1.10 充足; 检查日志文件是否定期备份和审计;
1.12
检查主机系统的“用户权利分配”配 置是否符合安全基准要求;
1.13
检查主机系统是否开启存在安全风险 的服务;
1.14
检查主机系统重要目录和程序权限配 置是否符合安全基准要求;
操作方法
结果 状态
安全策略
查看cat /etc/login.defs文件中相关配置参数 #more /etc/login.defs PASS_MAX_DAYS 90 #登录密码有效期90天 PASS_MIN_DAYS 0 #登录密码最短修改时间,增加可以防止非法用户短期更改多次 PASS_MIN_LEN 12 #登录密码最小长度12位 PASS_WARN_AGE 7 #登录密码过期提前7天提示修改 符合 FAIL_DELAY 10 #登录错误时等待时间10秒 FAILLOG_ENAB yes #登录错误记录到日志 SYSLOG_SU_ENAB yes #当限定超级用户管理日志时使用 SYSLOG_SG_ENAB yes #当限定超级用户组管理日志时使用 MD5_CRYPT_ENAB yes #当使用md5为密码的加密方法时使用
a.对安装的应用支持软件,应持续跟踪应用软件厂家安全更新情况,及 时更新补丁或软件版本; b.关注应用软件安全通告,修复存在漏洞的软件; 默认系统umask至少为022,以防止daemon被其他低权限用户修改。
安全状态
a.使用cacti、nagios或zabbix等软件对主机资源进行监控;
a.配合漏洞扫描结果,检测补丁修复情况或列表; a.监视主机系统运行情况,确定进程运行情况;
a.建立应用日志分析系统,并保证日志完整性和日志记录连续性; a.对最新修改或创建的文件进行监控,确保文件的完整性、保密性及可用性; a.安装防毒软件,定期升级杀毒软件特征库并全盘查杀; b.不直接运行不明来历的可执行程序或脚本; a.查看系统中apache、nginx、tomcat、jboss、php等中间件应用配置文 件,可按 照相应应用安全配置进行设置; a.查看后缀名是否bak等命名方式;
入 侵 检 测
4.6
检查主机系统上业务应用的日志是否 有异常的事件; 4.8 检查主机系统最新创建的文件是否有 可疑; 检查主机系统是否存在病毒、木马和 4.9 后门等恶意程序; 4.10 检查主机系统驱动程序的恶意线程注 入; 4.7 4.11 检查主机系统Web应用配置文件; 4.12 检查主机系统是否存在网站备份文 件;
a.防范小规模的SYN碎片、Ddos攻击
a.数据应定期执行完备或增量备份;
a.对主机系统或各类软件的安全配置进行文档化;
安全措施
a.主机系统应安装主流防病毒软件并开启实时监控功能; b.建议主机系统统一部署网络版防病毒软件,设置统一的更新和查杀策 略; c.主机系统所安装的防病毒软件版本应是较版本; d.防病毒软件病毒库更新时间应在最近一周内; e.防病毒软件应设置每周执行全盘查杀病毒的策略; f.防病毒软件查杀记录中应不存在无法清除的病毒; g.是不是商用版; a.主机系统应开启自带软件防火墙组件或安装第三方软件防火墙; b.应根据业务服务需要,利用防火墙严格控制开放的网络服务端口;