基礎(chǔ)信息收集

記錄基本的資產(chǎn)信息，方便后續(xù)統(tǒng)計。

# 查看系統(tǒng)版本
uname -a
cat /etc/redhat-release
cat /etc/issue
 # 查看本機IP
ifconifg

（一）身份鑒別

1.1 控制項：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；
測評方法：
1）訪談系統(tǒng)管理員系統(tǒng)用戶是否已設(shè)置密碼，并查看登錄過程中系統(tǒng)帳戶是否使用了密碼進行驗證登錄；
2）以有權(quán)限的帳戶身份登錄操作系統(tǒng)后，使用命令more /etc/shadow文件，核查系統(tǒng)是否存在空口令帳戶和同名帳戶；
3）使用命令more /etc/login.defs文件，查看是否設(shè)置密碼長度和定期更換要求；

使用命令more /etc/pam.d/system-auth，查看密碼長度和復雜度要求。

password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
ucredit: upper-case 大寫字母
lcredit: lower-case 小寫字母
dcredit: digit-case 數(shù)字
ocredit: other-case 其他特殊字符
??最小長度策略，system-auth生效優(yōu)先級高于login.def

1.2 控制項：應具有登錄失敗處理功能，應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施；
測評方法：
1）系統(tǒng)配置并啟用了登錄失敗處理功能，查看文件內(nèi)容:
本地登錄配置：more /etc/pam.d/system-auth
添加auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600(見上圖)；
??保證pam_tally2.so在pam_unix.so上面即可（不一定非要在第一行）
遠程ssh登錄則配置此文件：more /etc/pam.d/sshd

2）查看/etc/profile中的TIMEOUT環(huán)境變量，是否配置超時鎖定參數(shù)；
以秒為單位，此處為30分鐘

3）SSH登錄，查看/etc/ssh/sshd_config;
此處為每600秒檢測一次，檢測到3次不活動就斷開

1.3 控制項：當進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；
測評方法：
1）訪談系統(tǒng)管理員，進行遠程管理的方式。
以root身份登錄進入：
查看是否運行了sshd服務（應該啟用）： ps -ef | grep sshd ；
查看是否運行了telnet服務（應該禁用）：ps -ef | grep telnet；
2）如果本地管理，本條判定為符合。

1.4 控制項：應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。
測評方法：
訪談和核查系統(tǒng)管理員在登錄操作系統(tǒng)的過程中使用了哪些身份鑒別方法，是否采用了兩種或兩種以上組合的鑒別技術(shù)，如口令教字證書Ukey、令牌、指紋等，是否有一種鑒別方法在鑒別過程中使用了密碼技術(shù)。

（二）訪問控制

??主要以訪談為主，此處略過
2.1 控制項：應對登錄的用戶分配帳戶和權(quán)限；
2.2 控制項：應重命名或刪除默認帳戶，修改默認帳戶的默認口令；
2.3 控制項：應及時刪除或停用多余的、過期的帳戶，避免共享帳戶的存在；
2.4 控制項：應授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離。
2.5 控制項：應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；
2.6 控制項：訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級；
2.7 控制項：應對重要主體和客體設(shè)置安全標記，并控制主體對有安全標記信息資源的訪問。

（三）安全審計

3.1 控制項：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；
測評方法：
以root 身份登錄進入:
查看 :

ps -ef | grep rsyslogd
ps -ef | grep auditd
more /etc/audit/audit.rules

3.2 控制項：審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；
測評方法：
以有相應權(quán)限的身份登錄進入:
查看：

more /var/log/audit/audit.log
more /var/log/messages

3.3 控制項：應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；
測評方法：
訪問并查看日志是否足夠六個月,查看：

#查看參數(shù)rotate，單位為周
cat /etc/logrotate.conf
ls /var/log/
ls /var/log/audit/

3.4 控制項：應對審計進程進行保護，防止未經(jīng)授權(quán)的中斷；
略

（四）入侵防范

4.1 控制項：應遵循最小安裝的原則，僅安裝需要的組件和應用程序；
測評方法：
訪談加查看：
yum list installed

4.2 控制項：應關(guān)閉不需要的系統(tǒng)服務、默認共享和高危端口；
測評方法：
查看：

# 查看服務
chkconfig --list
# 查看端口
netstat -ano | more

4.3 控制項：應通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制；
測評方法：
訪談網(wǎng)絡(luò)防火墻、堡壘機或其他安全設(shè)備有無限制或查看：

# 白名單
cat /etc/hosts.allow
# 黑名單
cat /etc/hosts.deny

4.4 控制項：應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求；
不適用

4.5 控制項：應能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞；
測評方法：訪談查看漏掃報告，查看補?。?br>rpm -qa | grep patch

4.6 控制項：應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警；
測評方法：訪談并核查是否有入侵檢測軟件。

（五）惡意代碼防范

5.1 控制項：應采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷；
測評方法：訪談并核查是否有防病毒軟件。

（六）可信驗證

略

（七）數(shù)據(jù)完整性

7.1 控制項：應采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等；
測評方法：

#查看是否運行sshd服務
ps -ef | grep sshd
#查看是否運行telnet服務
ps -ef | grep telnet

7.2 控制項：應采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等；
測評方法：訪談并核查是否安裝第三方主機防護軟件。

（八）數(shù)據(jù)保密性

8.1 控制項：應采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等；
測評方法：訪談管理員遠程管理的方式，查看sshd和telnet服務。

8.2 控制項：應采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。
測評方法：

# 查看 password pam_unix.so 
more /etc/pam.d/system-auth

（九）數(shù)據(jù)備份恢復

??主要以訪談為主，此處略過
9.1 控制項：應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能；
9.2 控制項：應提供異地實時備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地；
9.3 控制項：應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性；

（十）剩余信息保護

10.1 控制項：應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；
測評方法：嘗試登錄服務器后退出，確認再次登記時是否需要重新輸入用戶名和密碼（憑證）。

10.2 控制項：應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除；
測評方法：操作系統(tǒng)是否采用了主機加固保證敏感數(shù)據(jù)存儲空間被釋放或重新分配前得到完全的清除。

命令合集

uname -a 
cat /etc/redhat-release
cat /etc/issue
ifconfig
cat /etc/passwd
cat /etc/shadow
cat /etc/login.defs
cat /etc/pam.d/system-auth
cat /etc/pam.d/sshd
cat /etc/profile
cat /etc/ssh/sshd_config
ps -ef | grep sshd
ps -ef | grep telnet
ps -ef | grep rsyslogd
ps -ef | grep auditd
cat /etc/logrotate.conf
more /etc/audit/audit.rules
more /var/log/audit/audit.log
more /var/log/messages
ls /var/log/
ls /var/log/audit/
yum list installed
chkconfig --list
netstat -ano | more
cat /etc/hosts.allow
cat /etc/hosts.deny
rpm -qa | grep patch

***************************轉(zhuǎn)載請注明出處，尊重原創(chuàng)！***************************