三級(jí)的

安全計(jì)算環(huán)境-操作系統(tǒng)中標(biāo)麒麟

這里只記錄路徑啊，參數(shù)怎么定，見仁見智吶

1身份鑒別

001應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。

密碼復(fù)雜度： cat /etc/pam.d/system-auth

retry =N:登錄失敗次數(shù)

minlen=N：新密碼的最小長(zhǎng)度

dcredit=N：當(dāng)N>0時(shí)表示新密碼中數(shù)字出現(xiàn)的最多次數(shù)；當(dāng)N<0時(shí)表示新密碼中數(shù)字出現(xiàn)最少次數(shù)；

ucredit=N: 當(dāng)N>0時(shí)表示新密碼中大寫字母出現(xiàn)的最多次數(shù)；當(dāng)N<0時(shí)表示新密碼中大寫字母出現(xiàn)最少次數(shù)；

lcredit=N: 當(dāng)N>0時(shí)表示新密碼中小寫字母出現(xiàn)的最多次數(shù)；當(dāng)N<0時(shí)表示新密碼中小寫字母出現(xiàn)最少次數(shù)；

ocredit=N：當(dāng)N>0時(shí)表示新密碼中特殊字符出現(xiàn)的最多次數(shù)；當(dāng)N<0時(shí)表示新密碼中特殊字符出現(xiàn)最少次數(shù)；

maxrepeat=N：拒絕包含多于N個(gè)相同連續(xù)字符的密碼。 默認(rèn)值為0表示禁用此檢查；

maxsequence=N：拒絕包含長(zhǎng)于N的單調(diào)字符序列的密碼。默認(rèn)值為0表示禁用此檢查。

system-auth

身份標(biāo)識(shí)唯一：

cat /etc/passwd

如：root:x:0:0:root:/bin/bash? ?抽象為1:2:3:4:5:6

1、用戶名；

2、密碼，為了保密需要用x或*代替，要查密碼可以看cat /etc/shadow，雖然看不到明文；

3、用戶標(biāo)識(shí)號(hào)，是一個(gè)整數(shù)，系統(tǒng)內(nèi)部用它來標(biāo)識(shí)用戶。一般情況下它與用戶名是一一對(duì)應(yīng)的。如果幾個(gè)用戶名對(duì)應(yīng)的用戶標(biāo)識(shí)號(hào)是一樣的，系統(tǒng)內(nèi)部將把它們視為同一個(gè)用戶，但是它們可以有不同的口令、不同的主目錄以及不同的登錄Shell等。0是超級(jí)用戶root的標(biāo)識(shí)號(hào)，1～99由系統(tǒng)保留，作為管理賬號(hào)，普通用戶的標(biāo)識(shí)號(hào)從100開始。在Linux系統(tǒng)中，這個(gè)界限是500；

4、組標(biāo)識(shí)號(hào)，用戶所屬的組；

5、注釋性描述，注釋，沒啥用；

6、主目錄，工作目錄（文件夾）。

passwd

定期更換：cat /etc/login.defs

PASS_MAX_DAYS ? 99999?? ? ?注：一個(gè)密碼最長(zhǎng)可以使用的天數(shù)；

PASS_MIN_DAYS ? 0? ? 注：更換密碼的最小天數(shù)；

PASS_MIN_LEN ? ?5? ?注：密碼的最小長(zhǎng)度；

PASS_WARN_AGE ? 7?? ?注：密碼失效前提前多少天數(shù)開始警告；

ENCRYPT_METHOD SHA512? ?注：MD5密碼加密

login.

空口令賬戶：cat /etc/shadow??用于存儲(chǔ) Linux 系統(tǒng)中用戶的密碼信息

如root: $6$9w5Td6lg$bgpsy3olsq9WwWvS5Sst2W3ZiJpuCGDY.4w4MRk3ob/i85fl38RH15wzVoom ff9isV1 PzdcXmixzhnMVhMxbvO:15775:0:99999:7:::bin:*:15513:0:99999:7:::daemon:*:15513:0:99999:7:::

用戶名：加密密碼：最后一次修改時(shí)間：最小修改時(shí)間間隔：密碼有效期：密碼需要變更前的警告天數(shù)：密碼過期后的寬限時(shí)間：賬號(hào)失效時(shí)間：保留字段

shadow

002應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話，限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施。

失敗處理功能：

1、cat /etc/pam.d/system-auth | grep deny? 系統(tǒng)有沒有配置deny

2、cat /etc/pam.d/sshd | grep deny? SSHD有沒有配置deny

登錄超時(shí)自動(dòng)退出：cat /etc/profile | grep timeout? 在profile文件里面查找有沒有配置timeout參數(shù)

003當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

systemctl status sshd? 查看sshd遠(yuǎn)程服務(wù)的運(yùn)行狀態(tài)

systemctl status sshd

或者 ps -ef | grep sshd

ps -ef | grep sshd

systemctl status telnet?查看Telnet遠(yuǎn)程服務(wù)的運(yùn)行狀態(tài)

systemctl status telnet

telnet是明文傳送，ssh是加密傳送；

telnet的默認(rèn)端口號(hào)為23；ssh的默認(rèn)端口號(hào)為22；

ssh使用公鑰對(duì)訪問的服務(wù)器的用戶驗(yàn)證身份，進(jìn)一步提高的安全性；telnet沒有使用公鑰。

004應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。

口令：賬號(hào)密碼啦

數(shù)字證書：秘鑰啦，CA證書啦

生物技術(shù)：瞳孔啦，指紋啦，聲紋啦，面部特征啦

2訪問控制

005應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限。

一般看系統(tǒng)重要配置目錄的用戶權(quán)限合不合理

查看重要系統(tǒng)目錄的權(quán)限??

cd /etc

ll

配置文件的權(quán)限值不大于644?？蓤?zhí)行文件的權(quán)限值不大于755 。

r為讀，w為寫，x為執(zhí)行。

rwxr-xrw-的意思為屬主權(quán)限讀-寫-執(zhí)行，屬組權(quán)限為讀-執(zhí)行，其他用戶權(quán)限為讀寫。

二進(jìn)制算法

006應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。

查看操作系統(tǒng)用戶：

cat /etc/passwd查看有沒有默認(rèn)賬戶，并訪談管理員有沒有修改密碼。

有root賬戶

007應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

管理員才知道哪些是多余的、過期的賬戶，要詢問日常使用這個(gè)管理賬號(hào)的有多少個(gè)人，個(gè)人覺得多于一個(gè)就是共享賬號(hào)了哈。

008應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。

三權(quán)分立（立法、行政和司法，大霧），主要是要廢除超級(jí)管理員，然后形成系統(tǒng)管理員、安全員、審計(jì)員在滿足工作的前提下權(quán)限互相制約的局面。先詢問管理員，操作系統(tǒng)是不是具備了這三種賬號(hào)

系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的安裝和配置等

安全管理員負(fù)責(zé)安全層面的工作，如訪問控制、入侵防御、漏洞掃描、修復(fù)補(bǔ)丁等

審計(jì)管理員負(fù)責(zé)日志、審計(jì)和備份等

009應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則。

先問授權(quán)主體（人或者系統(tǒng)）是誰，除了他，其他人能不能更改訪問控制配置。

查看重要目錄的配置是否符合訪問控制策略。

010訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)。

1、判斷主體是用戶級(jí)、進(jìn)程級(jí)還是其他什么；

2、判斷客體是文件級(jí)、數(shù)據(jù)庫(kù)表級(jí)還是其他什么；

3、訪問控制策略合不合理，生不生效。

011應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問。

訪談管理員，主體和客體有沒有參數(shù)能代表他們的安全、敏感等級(jí)。

cat /etc/selinux/config | grep SELinux? ?全是注釋，未配置該功能

selinux

3安全審計(jì)

012應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。

Linux操作系統(tǒng)的auditd進(jìn)程主要用于記錄安全信息及對(duì)系統(tǒng)安全事件進(jìn)行追溯，

?rsyslog進(jìn)程用于記錄系統(tǒng)中的各種信息(例如硬件報(bào)警信息和軟件日志)

systemctl status auditd 查看autitd運(yùn)行狀態(tài)，哩個(gè)就冇運(yùn)行了

autitd

systemctl status rsyslog 查看?rsyslog?運(yùn)行狀態(tài),如果沒有rsyslog，可以試下?syslog?

rsyslog

或者有第三方的審計(jì)軟件。

013審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。

tail -20 /var/log/audit/audit.log

tail -20 /var/log/message

查看最新的20條日志，審計(jì)記錄應(yīng)至少包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功

014應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

要詢問管理員有沒有定期備份的規(guī)定，并查看備份記錄，如果沒有就不符合

015應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。

非安全審計(jì)人員身份中斷審計(jì)進(jìn)程，驗(yàn)證審計(jì)進(jìn)程的訪問權(quán)限設(shè)置是否合理 (應(yīng)為無法中斷審計(jì)過程)。

4入侵防范

016應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。

詢問管理員哪些是無關(guān)緊要的軟件，沒有自然就符合。

yum list installed? 查找已安裝的軟件

017應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

netstat -tlnp?

-t - 顯示 TCP 端口。

-u - 顯示 UDP 端口。

-n - 顯示數(shù)字地址而不是主機(jī)名。

-l - 僅顯示偵聽端口。

-p - 顯示進(jìn)程的 PID 和名稱。

端口

服務(wù)

不需要的系統(tǒng)服務(wù)：

重點(diǎn)看一下alerter、remote registry service、messenger、task scheduler、server、print sploor是否開了

alerter：通知所選用戶和計(jì)算機(jī)有關(guān)系統(tǒng)管理級(jí)警報(bào)。不必要的服務(wù)。

remote registry service：使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置。危險(xiǎn)的服務(wù)。

messenger：俗稱信使服務(wù)，電腦用戶在局域網(wǎng)內(nèi)可以利用它進(jìn)行資料交換。會(huì)有垃圾郵件和垃圾廣告，MSBlast和Slammer病毒

task scheduler：可以用來在未來某個(gè)時(shí)間運(yùn)行程序。可以做后門。

server：共享文件夾。

print sploor：將文件加載到內(nèi)存中以便稍后打印。有漏洞。

不存在默認(rèn)共享。

高危端口：

端口

高危端口：TCP135、139、445、593、1025、2745、3127、6129等 UDP135、137、138、445等

018應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。

cat /etc/hosts.allow，hosts.allow 文件用于控制可以訪問本機(jī)的IP地址

hosts.allow

允許訪問的IP地址

cat /etc/hosts.deny?， hosts.deny文件用于控制禁止訪問本機(jī)的IP地 址

不允許訪問的IP地址

或者依靠硬件設(shè)備例如防火墻、交換機(jī)等

019應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求。

GB/T 28448-2019對(duì)此項(xiàng)測(cè)評(píng)指標(biāo)的對(duì)象為業(yè)務(wù)應(yīng)用系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔，當(dāng)前測(cè)評(píng)對(duì)象不適用。

020應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。

有沒有漏掃，沒有打補(bǔ)丁記錄，補(bǔ)丁最新版本多少。

021應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

內(nèi)部：有沒有安裝主機(jī)入侵檢測(cè)軟件，能不能報(bào)警（短信、郵件等）

外部：有沒有部署IPS（入侵檢測(cè)系統(tǒng)）、IDS(入侵防御系統(tǒng))

5惡意代碼防范

022應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷。

可信驗(yàn)證一般都沒有，看操作系統(tǒng)有沒有安裝殺毒軟件，看病毒庫(kù)最新版本和當(dāng)前版本，詢問管理員病毒庫(kù)的更新策略等

023可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。

1、通信設(shè)備（交換機(jī)、路由器等）具有可信根芯片或硬件；

2、啟動(dòng)過程基于可信根對(duì)系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和關(guān)鍵應(yīng)用程序等進(jìn)行可信驗(yàn)證度量；

3、在檢測(cè)到設(shè)備的可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心；

4、安全管理中心可以接收設(shè)備的驗(yàn)證結(jié)果記錄。