当前位置:文档之家› 操作系统安全审计

操作系统安全审计

A.1.1 RedHat Linux操作系统RedHat Linux操作系统-安全审计测试类别:风险评估测试对象: RedHat测试类:安全审计测试项:测试内容:确信对系统的主要行为都有审计日志,对于重要服务(ftp ,telnet ,http)及重要操作(su登录等操作)由日志记录。

并且所有的日志文件都有适当的访问权限,除root之外,其它用户没有修改权限。

测试方法:●查看/etc/syslog.conf的配置文件,确定是否对系统日志和网络服务配置了适当的日志记录策略;●查看syslog.conf中制定的,存放在/var/log下日志文件的更新日期,确定是否对相应的动作有实时日志功能(仅对linux系统而言);●确保这些文件的应该属于root用户所有,文件的权限应该是644;●查看hosts.allow和hosts.deny文件内容。

测试记录:1.已配置的日志:2.日志功能是否有效实施,日志记录的日期和内容是否与配置相符合:3.日志文件的访问权限:4.查看hosts.allow和hosts.deny文件内容:备注:签名日期RedHat Linux操作系统-系统安全测试类别:风险评估测试对象:RedHat测试类:系统安全测试项:测试内容:被测操作系统应安装最新的系统补丁程序,只开启必要的服务;系统应保证和常用命令相关配置文件的安全性。

设置安全的访问旗标;并对系统资源作适当的使用限制。

测试方法:●查看或询问是否安装最新补丁程序;●Telnet/ftp登录系统,确定系统旗标信息的是否安全;●是否为用户不成功的鉴别尝试次数定义阀值。

测试记录:补丁安装情况(控制面板|在线更新):是否有安全的系统访问旗标?显示操作系统类型□显示操作系统内核版本□ftp登录察看显示信息:是否使用了用户磁盘限额?□用户磁盘限额策略:用户连续登录失败的次数:默认umask值(#umask):重要文件和目录的读写权和属主:/etc/security 属主访问许可:/usr/etc 属主访问许可:/bin 属主访问许可:/usr/bin 属主访问许可:/sbin 属主访问许可:/var/log 属主访问许可:/etc/*.conf 属主访问许可:/etc/login.defs 属主访问许可:备注:签名日期RedHat Linux操作系统-用户属性测试类别:风险评估测试对象:RedHat测试类:用户属性测试项:测试内容:操作系统应设置安全有效的口令策略(密码强度、密码长度、口令有效期等)。

应限制能够su成root的用户,限制root的远程登录,根据需要设置可以进入单用户模式的用户,应启用用户超时自动注销的功能。

测试方法:●查看/etc/passwd中是否有空口令账户;●查看/etc/login.defs是否设置了适当的口令策略;●查看wheel用户组成员。

测试记录:login.defs口令策略():PASS_MAX_DAYSPASS_MIN_DAYSPASS_MIN_LENPASS_W ARN_AGE能够su为root的用户(/etc/group中wheel组成员):察看/etc/pam.d/su文件是否存在以下项:□auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheel是否允许root远程登录(登陆验证)?□是否启用了用户超时自动注销功能?□HISTTMOUT=/etc/security/access.conf内容:系统引导程序的访问许可位:文件中是否有口令保护(/etc/lilo.conf)?□备注:签名日期RedHat Linux操作系统-网络及服务安全测试类别:风险评估测试对象: RedHat测试类:网络及服务安全测试项:测试内容:●操作系统应只开放必要的网络服务。

无多余的网络端口开放;●操作系统应使用高强度加密机制替代明文传输数据的协议或服务;●应开启Iptables防火墙,并且规则得到有效实施;应该有防病毒软件安装并且有效运行。

●限制能够访问本机的IP地址。

测试方法:●使用netstat命令来获得系统的端口列表,并记录关键的端口列表;●察看telnet,ftp等明文传输协议是否运行,察看telnet 和ftp的用户属性;●察看iptables是否已开启,iptables日志是否有效记录了现有规则的实施结果。

测试记录:开放网络端口有:TCP端口:UDP端口:启用的服务有(#setup)或查看/etc/xinetd.d目录下的各个文件中disable项的赋值:等网络服务的访问限制:(如果系统没有安装略过此项)FTPTelnet:是否启用了SSH等安全远程登录工具?□取代方法:对连接到本机的访问限制:Iptables是否已开启?□主要规则有:日志内容是否有效?:查看防火墙设置的安全级别:是否安装了防病毒软件?□是否有效运行(察看日志和病毒库更新情况):备注:签名日期RedHat Linux操作系统-备份/恢复容错机制测试类别:风险评估测试类:备份/恢复容错机制测试项:测试内容:●操作系统要求在故障事件发生时能够保证业务的连续性;●操作系统应根据自身情况,对系统数据、用户数据、审计日志、策略文档及注册表数据制定合理的备份/恢复策略,以满足系统在遇到意外事故数据遭受破坏时,系统恢复操作的需要。

测试方法:●查看服务器是否有UPS电源支持,是否有RAID保护;●查看系统备份/恢复机制是否满足系统安全要求。

测试记录:操作系统是否有磁盘冗余阵列?___________________服务器是否有UPS支持?□系统是否有双机热备?□操作系统备份/恢复机制?用户数据备份/恢复机制?日志数据备份/恢复机制?业务应用程序备份/恢复机制?是否使用cron和at定期执行系统管理任务和备份/恢复任务.记录当前的cron任务记录当前的at任务备注:签名日期A.1.2 Solaris操作系统Solaris操作系统-安全审计(标准的Solaris审计)测试类别:风险评估测试类:安全审计(标准的Solaris审计)测试项:测试内容:●操作系统的syslogd应当开启。

系统应该确保错误信息和失败登录信息等的日志记录,并且对日志数据有适当的的访问控制(一般不允许任何用户写日志数据,只有管理员或审计员才能阅读日志数据);●应定期浏览日志数据;●并对日志结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。

测试方法:●查看syslogd是否启动;●查看sydeslog的配置;●查看日志相关文件的内容和最后修改日期;●查看日志相关文件的访问许可;●询问或查看日志相关文件的存放位置,溢满处理和备份清理策略。

测试记录:是否开启syslogd:□察看syslog.conf系统审计配置:Falacility.level action查看inetd的服务是否启动日志功能:ftp的日志功能:查看审计功能是否有效实施,访问许可位和属主:/dev/sysmsg: /var/adm/cron/log:/var/adm/wtmp: /var/log/syslog:/var/adm/sulog: /var/log/authlog:/var/adm/messages: /etc/security/lastlog:是否有单独的日志分区(日志文件是否存放在单独的文件系统):□如果有,察看分区大小是否有定期的日志备份和清理策略:□备份策略备注:签名日期Solaris操作系统-安全审计(BSM审计)测试类别:风险评估测试对象: Solaris测试类:安全审计(BSM审计)测试项:●操作系统的审计子系统SecU Solaris p2.3 BSM应处于开启状态,并且根据需要定制必要的审计内容;●应能对被定制的操作事件自动生成审计纪录;●系统应针对审计结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。

测试方法:●检查系统的安全审计功能是否已经开;●检查系统设置的审计事件和审计对象;●查看审计功能的运行是否实时有效;●检查审计日志是否存储在单独的磁盘分区上,存储审计日志的磁盘分区是否足够大;●是否有定期的日志备份和清理策略。

测试记录:(有条件的话,运行测试脚本文件)是否开启系统审计功能:□(开启:bsmconv)audit_control的配置:审计文件存放位置:审计文件所需剩余空间:指定的系统用户审计事件类:指定的普通审计事件类:查看审计功能是否有效实施,审计记录是否包含事件的日期和时间,事件类型,主体身份,事件的结果:□是否有单独的日志分区(trail文件是否存放在单独的文件系统):□如果有,察看分区大小审计文件的访问许可:是否有定期的日志备份和清理策略(询问):□备份策略查看用户审计事件:备注:签名日期Solaris操作系统-系统安全(1)测试类别:风险评估测试对象:Solaris测试类:系统安全(1)测试项:被测操作系统应安装最新的系统补丁程序,只开启必要的服务,限制服务配置文件的访问权限;系统应保证r族命令和常用命令相关配置文件的安全性;设置安全的访问旗标。

测试方法:●查看操作系统版本和补丁安装情况;●查看超级守护进程配置文件属性及内容,Service配置文件属性;●检查是否存在r族配置文件,确定系统是否运行r族命令;●Telnet/ftp登录系统,确定系统旗标信息的是否安全。

测试记录:1.版本和补丁信息:操作系统版本:补丁集:(如果可以连接Internet,试图ftp匿名访问/pub/patches,或者从从中获取专门的补丁检查工具如PatchPro)来查看安全补丁安装情况(系统所有的Patch文件都存储在/var/sadm/patch中,命名方式为patchID-version)2.超级守护进程配置文件/etc/inetd.conf(#ls -l):属主:访问许可权:开启服务:3.查看是否使用了r族配置文件,并且查看其配置情况$HOME/.rhosts□.netrc □hosts.equiv□4.是否有安全的系统访问旗标?telnet的旗标:显示操作系统类型□显示操作系统版本□显示ftp软件版本□ftp的旗标:显示操作系统类型□显示操作系统版本□显示ftp软件版本□备注:签名日期Solaris操作系统-系统安全(2)测试类别:风险评估测试对象:Solaris测试类:系统安全(2)测试项:测试内容:被测操作系统应保证相关命令文件和配置文件的访问许可合理;对用户、登录设备、失败登录阀值、无操作自动锁定等加以限制;并对系统资源的使用作适当的限制。

测试方法:●查看是否针对用户使用了用户磁盘限额(尤其是邮件服务器);●是否定义了登录相关参数;●是否对重要的命令文件和配置文件设置安全的访问许可权;●是否安装了防病毒软件,邮件过滤软件。

相关主题