1.5
检查主机系统上是否存在可疑账户、 克隆账户、多余的账户、过期的账 户，共享账户；
1.6
检查所分配的账号权限配置是否符合 安全基准要求；
1.7
检查linux主机的管理方式； 当远程方式登录主机设备，是否取必 要措施，防止鉴别信息在网络传输过 程中被窃听； 检查主机系统是否修改了远程桌面默 认端口； 检查主机系统上开启的默认共享或文 件共享；
a.建议重要或外网的主机系统安装主机级别的入侵检测软件（NIDS）； b.建议每周对主机入侵检测软件告警日志进行分析； a.建议重要或外网的主机系统部署操作系统和应用系统日志远程备份措 施，防止日志受到清除； b.建议远程备份的日志记录保存6个月以上； a.主机系统应部署补丁统一管理分发措施，如yum源或第三方工具； b.软件补丁更新措施，软件升级或修改配置等； a.操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序；
1、查看系统审计文件more /etc/audit/auditd.conf或auditd -l log_file = /var/log/audit/audit.log #日志存放路径 log_format = RAW #日志记录格式 priority_boost = 3 #设置auditd的优先启动级，0的话是正常顺序启动 flush = INCREMENTAL #表示多少条记录一组写到磁盘 freq = 20 #审计守护进程在写到日志文件中之前从，内核中接收的记录数 num_logs = 4 #指定log的数目 dispatcher = /sbin/audispd #当启动这个守护进程时，由审计守护进程自动 启动程序 disp_qos = lossy #控制调度程序与审计守护进程之间的通信类型 max_log_file = 5 #最大日志个数 max_log_file_action = ROTATE #当达到max_log_file的日志文件大小时采取的 1、以root身份登陆进入linux 2、查看linux密码文件内容 #cat/etc/shadow 记录没有被禁用的系统默认用户名 采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和 /etc/shadow文件中各用户名状态，查看是否存在以下可能无用的帐户： adm、lp、sync、shutdown、halt、news、uucp、operator、games、ftp、 postfix usermod -L <user> 锁定用户； a.在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中 各用户名状态，查看是否存在以下可能无用的帐户： adm、lp、sync、shutdown、halt、news、uucp、operator、games、ftp、 postfix等 b.根据检查到的账户列表，访谈主机管理员是否有多余、过期和共享的账户； usermod -L <user> 锁定用户； userdel <user> 删除用户；
安全 指标 风险 风险 分数 等级 安全策略
高
a.启用系统安全审计或使用第三方安全审计产品实施审计活动； b.系统日志设置包括主机系统错误日志、登录日志等； c.应要求系统管理人员对每次登录和退出系统的时间、账户等信息进行 记录，以便和系统审核日志比对；
中
a.严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户 的默认口令(root除外)
低
a.应为操作系统和数据库系统的不同用户分配不同的账户； b.应每周对主机系统上的账户列表进行异常审查和对每次账户变更进行 备案；
a.主机系统上应无可疑账户、克隆账户、多余账户、过期账户和共享账 户；
a.对账号进行合理的权限管理，根据用户的需求进行权限分配；
a.采用本地控制台的管理方式或是使用工具远程管理方式； b.所使用的远程管理工具在网络传输信息上应有加密措施，该工具不存 在公开的可被破解加密技术漏洞； c.通过互联网远程登录管理主机系统时，应采用两种或以上组合的鉴别 技术进行身份鉴别，必须通过普通用户登录root用户； d.建议修改用于远程访问的SSH默认端口号22； a.在确认不必要情况下关闭系统默认共享； b.文件共享账户访问权限应合理设置，应遵守最小权限原则； a.主机系统时间不应存在滞后现象； b.应配置屏幕保护程序： 1）等待：3分钟 2）在恢复时使用密码保护：启用 a.主机系统日志存储容量应根据日志生成量相应设置；建议在100M以 上； b.应每周对主机系统的日志文件进行备份和审计分析；
分 编 类 号
检查选项
1.1
检查主机系统是否配置了符合安全基 准要求的帐户策略（包括密码策略和 帐户锁定策略）；
1.2
检查主机系统是否配置了符合安全基 准要求的系统审核策略；
1.3
检查主机系统账户是否进行重新命 名；
1.4
检查是否为不同角色的用户分配不同 的账户； 是否对主机系统上的账户列表进行变 更备案和定期审查；
a.限制单个用户的系统资源使用限度；
a.限制单用户模式下修改系统密码；
入侵检测
a.查看系统进程及连接情况； a.建立端口开放备案列表，对一些需要开放的敏感端口进行备案； a.主机系统应符合最小化安装； a.查看隐藏文件是否被修改或替换； a.列出系统任务计划，查看系统中定时执行脚本的位置；
a.建立syslog-ng日志服务器，并保证日志完整性和日志记录连续性；
2.1
2.2
2.3 安 全 措 2.4 施 2.5
2.6
2.7
2.8
3.1
检查主机系统是否有对CPU、内存、磁 盘、网络等资源的使用率进行实时监 测；
3.2 3.3
检查主机系统是否安装了完整补丁； 检查主机系统是否有恶意代码运行； 检查主机系统是否有通过对终端接入 方式、网络地址范围等条件限制终端 登录；
4.1 4.2 4.3 4.4 4.5
检查主机系统当前运行的进程是否存 在可疑进程； 检查主机系统是否存在可疑端口通 讯； 是否对已对合法的开放端口进行备 检查主机系统是否运行了不必要的系 统服务； 检查主机系统是否存在可疑的隐藏文 件； 检查主机系统的计划任务、镜像劫持 配置等是否存在可疑的启动程序； 检查主机系统的系统日志、安全日志 和应用日志等是否有异常事件；
3.4
3.5
检查主机系统是否有根据安全策略设 置登录终端的操作超时锁定；
安 全 状 态
3.6
限制at/cron给授权的用户;在PAM配置 文件中删除.rhosts支持;删除 /etc/hosts.equiv文件
3.7
应限制单个用户对系统资源的最大或 最小使用限度
3.8
设置LILO/GRUB口令；可以有助于防止 基于控制台的物理攻击
1.8 安 全 策 略 1.9
检查主机系统时间是否正确； 检查主机系统是否配置屏幕保护；
检查主机系统日志存储容量大小是否 1.10 充足； 检查日志文件是否定期备份和审计；
1.12
检查主机系统的“用户权利分配”配 置是否符合安全基准要求；
1.13
检查主机系统是否开启存在安全风险 的服务；
1.14
检查主机系统重要目录和程序权限配 置是否符合安全基准要求；
操作方法
结果 状态
安全策略
查看cat /etc/login.defs文件中相关配置参数 #more /etc/login.defs PASS_MAX_DAYS 90 #登录密码有效期90天 PASS_MIN_DAYS 0 #登录密码最短修改时间，增加可以防止非法用户短期更改多次 PASS_MIN_LEN 12 #登录密码最小长度12位 PASS_WARN_AGE 7 #登录密码过期提前7天提示修改 符合 FAIL_DELAY 10 #登录错误时等待时间10秒 FAILLOG_ENAB yes #登录错误记录到日志 SYSLOG_SU_ENAB yes #当限定超级用户管理日志时使用 SYSLOG_SG_ENAB yes #当限定超级用户组管理日志时使用 MD5_CRYPT_ENAB yes #当使用md5为密码的加密方法时使用
a.对安装的应用支持软件，应持续跟踪应用软件厂家安全更新情况，及 时更新补丁或软件版本； b.关注应用软件安全通告，修复存在漏洞的软件； 默认系统umask至少为022，以防止daemon被其他低权限用户修改。
安全状态
a.使用cacti、nagios或zabbix等软件对主机资源进行监控；
a.配合漏洞扫描结果，检测补丁修复情况或列表； a.监视主机系统运行情况，确定进程运行情况；
a.建立应用日志分析系统，并保证日志完整性和日志记录连续性； a.对最新修改或创建的文件进行监控，确保文件的完整性、保密性及可用性； a.安装防毒软件，定期升级杀毒软件特征库并全盘查杀； b.不直接运行不明来历的可执行程序或脚本； a.查看系统中apache、nginx、tomcat、jboss、php等中间件应用配置文 件，可按 照相应应用安全配置进行设置； a.查看后缀名是否bak等命名方式；
入 侵 检 测
4.6
检查主机系统上业务应用的日志是否 有异常的事件； 4.8 检查主机系统最新创建的文件是否有 可疑； 检查主机系统是否存在病毒、木马和 4.9 后门等恶意程序； 4.10 检查主机系统驱动程序的恶意线程注 入； 4.7 4.11 检查主机系统Web应用配置文件； 4.12 检查主机系统是否存在网站备份文 件；
a.防范小规模的SYN碎片、Ddos攻击
a.数据应定期执行完备或增量备份；
a.对主机系统或各类软件的安全配置进行文档化；
安全措施
a.主机系统应安装主流防病毒软件并开启实时监控功能； b.建议主机系统统一部署网络版防病毒软件，设置统一的更新和查杀策 略； c.主机系统所安装的防病毒软件版本应是较版本； d.防病毒软件病毒库更新时间应在最近一周内； e.防病毒软件应设置每周执行全盘查杀病毒的策略； f.防病毒软件查杀记录中应不存在无法清除的病毒； g.是不是商用版； a.主机系统应开启自带软件防火墙组件或安装第三方软件防火墙； b.应根据业务服务需要，利用防火墙严格控制开放的网络服务端口；