信息安全风险评估检查流程操作系统安全评估检查表H样本.doc

《信息安全风险评估检查流程操作系统安全评估检查表H样本.doc》由会员分享，可在线阅读，更多相关《信息安全风险评估检查流程操作系统安全评估检查表H样本.doc（29页珍藏版）》请在咨信网上搜索。

HP-UX Security CheckList 目 录 HP-UX SECURITY CHECKLIST 1 1 初级检查评估内容 5 1.1 系统信息 5 1.1.1 系统基本信息 5 1.1.2 系统网络设立 5 1.1.3 系统当前路由 5 1.1.4 检查当前系统开放端口 6 1.1.5 检查当前系统网络连接状况 8 1.1.6 系统运营进程 8 1.2 物理安全检查 9 1.2.1 检查系统单顾客运营模式中访问控制 9 1.3 帐号和口令 9 1.3.1 检查系统中Uid相似顾客状况 9 1.3.2 检查顾客登录状况 9 1.3.3 检查账户登录尝试失效方略 10 1.3.4 检查账户登录失败时延方略 10 1.3.5 检查所有系统默认帐户登录权限 10 1.3.6 空口令顾客检查 11 1.3.7 口令方略设立参数检查 11 1.3.8 检查root与否容许从远程登录 11 1.3.9 验证已经存在Passwd强度 11 1.3.10 顾客启动文献检查 12 1.3.11 顾客途径环境变量检查 12 1.4 网络与服务 12 1.4.1 系统启动脚本检查 12 1.4.2 TCP/UDP小服务 13 1.4.3 login(rlogin)，shell(rsh)，exec(rexec) 13 1.4.4 comsat talk uucp lp kerbd 14 1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd 14 1.4.6 远程打印服务 14 1.4.7 检查与否开放NFS服务 15 1.4.8 检查与否Enables NFS port monitoring 15 1.4.9 检查与否存在和使用 NIS ,NIS+ 15 1.4.10 检查sendmail服务 16 1.4.11 Expn，vrfy (若存在sendmail进程) 16 1.4.12 SMTP banner 16 1.4.13 检查与否限制ftp顾客权限 17 1.4.14 TCP_Wrapper 17 1.4.15 信任关系 17 1.5 文献系统 18 1.5.1 suid文献 18 1.5.2 sgid文献 18 1.5.3 /etc 目录下可写文献 18 1.5.4 检测重要文献目录下文献权限属性以及/dev下非设备文献系统 19 1.5.5 检查/tmp目录存取属性 19 1.5.6 检查UMASK 20 1.5.7 检查.rhosts文献 20 1.6 日记审核 20 1.6.1 Cron logged 20 1.6.2 /var/adm/cron/ 21 1.6.3 Log all inetd services 21 1.6.4 Syslog.conf 21 1.7 UUCP服务 21 1.8 Xwindows检查 22 2 中级检查评估内容 23 2.1 安全增强性 23 2.1.1 TCP IP参数检查 23 2.1.2 Inetd启动参数检查 24 2.1.3 Syslogd启动参数检查 25 2.1.4 系统日记文献内容检查 25 2.1.5 系统顾客口令强度检查 25 2.1.6 系统补丁安装状况检查 25 2.1.7 系统审计检查 25 3 高档检查评估内容 26 3.1 后门与日记检查 26 3.2 系统异常服务进程检查 26 3.3 内核状况检查 26 3.4 第三方安全产品安装状况 26 1 初级检查评估内容 1.1 系统信息 1.1.1 系统基本信息 1.1.1.1 阐明： 检查系统版本和硬件类型等基本信息。 1.1.1.2 检查办法： uname –a uname –v PATH="/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/" export PATH 1.1.2 系统网络设立 1.1.2.1 阐明： 检查系统网卡与否存在混杂模式。 1.1.2.2 检查办法： ifconfig lan0 1.1.3 系统当前路由 1.1.3.1 阐明： 检查系统当前路由设定配备，涉及默认路由和永久路由，并检查其合法性。 1.1.3.2 检查办法： netstat -nr 1.1.3.3 成果分析办法： bash-2.05# netstat -nr Routing Table：IPv4 Destination Gateway Flags Ref Use Interface -------------------- -------------------- ----- ----- ------ --------- 192.168.10.0 192.168.10.113 U 1 35 hme0 default 192.168.10.254 UG 1 78 127.0.0.1 127.0.0.1 UH 2 7246 lo0 1.1.4 检查当前系统开放端口 1.1.4.1 阐明： 检查当前系统运营中开放服务端口 1.1.4.2 检查办法： netstat –na |grep LISTEN 1.1.4.3 成果分析办法： bash-2.05# netstat -na | grep LISTEN 1.1.5 检查当前系统网络连接状况 1.1.5.1 阐明： 依照显示网络连接，记录已建立连接establish数量，地址范畴等。记录listen端口，记录其他状态，例如timewait，finwait，closewait等。 1.1.5.2 检查办法： netstat –na 1.1.6 系统运营进程 1.1.6.1 阐明： 依照显示当前所有在运营系统进程，记录每个进程运营时间，属主，查看相应实例位置，检查相应实例版本、大小、类型等。 1.1.6.2 检查办法： ps –elf 1.1.6.3 成果分析办法： # ps –ef 1.2 物理安全检查 1.2.1 检查系统单顾客运营模式中访问控制 1.2.1.1 阐明： 检查和发现系统在进入单顾客模式与否具备访问控制。 1.2.1.2 检查办法： more /tcb/files/auth/system/default，如果d_boot_authenticate 行内容不不大于0，那么阐明系统不需要口令就可以进入单顾客模式。 1.3 帐号和口令 1.3.1 检查系统中Uid相似顾客状况 1.3.1.1 阐明： 检查和发现系统中具备相似uid顾客状况，特别关注udi=0顾客状况。 1.3.1.2 检查办法： pwck -s 1.3.2 检查顾客登录状况 1.3.2.1 阐明： 检查和发现系统顾客登录状况，特别关注udi=0顾客状况。 1.3.2.2 检查办法： last -R lastb –R | more 1.3.3 检查账户登录尝试失效方略 1.3.3.1 阐明： 检查系统容许单次会话中登录尝试次数。 1.3.3.2 检查办法： more /tcb/files/auth/system/default，检查t_maxtrie 变量内容，如果有设定，它将变化默认5次设定。 1.3.4 检查账户登录失败时延方略 1.3.4.1 阐明： 检查系统容许单次会话中登录失败时延参数。 1.3.4.2 检查办法： more /tcb/files/auth/system/default，检查t_logdelay 变量内容，如果有设定，它将变化默认4秒设定。 1.3.5 检查所有系统默认帐户登录权限 1.3.5.1 阐明： 1.3.5.2 检查办法： cat /etc/passwd |grep –v sh 1.3.5.3 成果分析办法： 例：noaccess:x:60002:60002:No Access User :/:/sbin/noshell 1.3.6 空口令顾客检查 1.3.6.1 阐明： 1.3.6.2 检查办法： authck –p pwck -s 1.3.7 口令方略设立参数检查 1.3.7.1 阐明： 检查系统口令配备方略 1.3.7.2 检查办法： more /tcb/files/auth/system/default 1.3.8 检查root与否容许从远程登录 1.3.8.1 阐明： Root从远程登录时，也许会被网络sniffer窃听到密码。 1.3.8.2 检查办法： cat /etc/securetty 1.3.8.3 成果分析办法： /etc/securetty应当涉及console或者/dev/null 1.3.9 验证已经存在Passwd强度 1.3.9.1 阐明： 检查/etc/shadow文献中，与否存在空密码帐号 1.3.9.2 检查办法： cat /etc/shadow |awk -F：'{print $1 " "$2}' 1.3.10 顾客启动文献检查 1.3.10.1 阐明： 检查顾客目录下启动文献 1.3.10.2 检查办法： 检查顾客目录下.cshrc，.profile，.emacs，.exrc，.Xdefaults，.Xinit，.login，.logout，.Xsession,等文献内容，涉及root顾客。 1.3.11 顾客途径环境变量检查 1.3.11.1 阐明： 检查顾客途径环境变量下启动文献 1.3.11.2 检查办法： 切换到顾客 echo $PATH，检查输出。 1.4 网络与服务 1.4.1 系统启动脚本检查 1.4.1.1 阐明： 检查系统启动脚本 1.4.1.2 检查办法： more /sbin/rc?.d 1.4.2 TCP/UDP小服务 1.4.2.1 阐明： 这些服务普通是用来进行网络调试，涉及：echo、discard、datetime、chargen 1.4.2.2 检查办法： grep –v “#” /etc/inetd.conf 1.4.2.3 成果分析办法: echo stream tcp nowait root internal echo dgram udp wait root internal discard stream tcp nowait root internal discard dgram udp wait root internal daytime stream tcp nowait root internal daytime dgram udp wait root internal chargen stream tcp nowait root internal chargen dgram udp wait root internal 1.4.3 login(rlogin)，shell(rsh)，exec(rexec) 1.4.3.1 阐明： 用来以便登陆或执行远程系统命令。 1． 也许被用来获得主机信任关系信息 2． 被入侵者用来留后门 3． 成为被ip欺骗服务对象 1.4.3.2 检查办法： grep –v “#” /etc/inetd.conf |egrep “login|shell|exec” 1.4.4 comsat talk uucp lp kerbd 1.4.4.1 阐明： 以上服务大都不在公开服务器上使用，且存在一定风险。 1.4.4.2 检查办法： grep –v “#” /etc/inetd.conf |egrep “comsat| talk| uucp| lp| kerbd|kcms” 1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd 1.4.5.1 阐明： 在inetd.conf中启动RPC服务，已有多次极严重安全漏洞记录 1.4.5.2 检查办法： grep –v “#” /etc/inetd.conf|grep rpc 查找 Sadmind ttb sprayd walld cmsd kcms等字样 以上服务存在各种严重安全隐患 若不使用以上服务 建议在inetd注释以上服务 1.4.5.3 备注： 不同版本某些rpc小服务不同样，并且也因安装方式不同而有异。对于少见rpc服务，应当征求管理员意见。 1.4.6 远程打印服务 1.4.6.1 阐明： 检查主机远程打印服务配备 1.4.6.2 检查办法： more /etc/hosts.equiv more /var/adm/lp/.rhosts 1.4.7 检查与否开放NFS服务 1.4.7.1 阐明： 非有明确使用目，建议停止运营NFS有关服务 1.4.7.2 检查办法： ps –ef | grep nfskd showmount –e localhost more /etc/exports more /etc/exportfs more /etc/fstab 1.4.8 检查与否Enables NFS port monitoring 1.4.8.1 阐明： 1.4.8.2 检查办法： more /etc/rc.config.d/nfsconf 1.4.8.3 成果分析办法： 1.4.9 检查与否存在和使用 NIS ,NIS+ 1.4.9.1 阐明： 检查/var/nis 1.4.9.2 检查办法： more /var/nis 1.4.10 检查sendmail服务 1.4.10.1 阐明： 检查本地sendmail服务开放状况 1.4.10.2 检查办法 ps –ef|grep sendmail 1.4.11 Expn，vrfy (若存在sendmail进程) 1.4.11.1 阐明： 限制顾客通过这两个sendmial命令来获取系统信息 1.4.11.2 检查办法： 检查与否存在sendmail.cf文献 若不存在系统当前sendmail配备为系统默认 cat /etc/sendmail.cf |grep PrivacyOPtions与否等于authwarnigs.goaway PrivacyOptions与否等于noexpn,novrfy,authwarnigns Loglevel等于5 1.4.12 SMTP banner 1.4.12.1 阐明： 在SMTP banner中隐藏版本号 1.4.12.2 检查办法： cat /etc/sendmail.cf |grep “De Mail Server Ready” 1.4.12.3 成果分析办法： #SMTP login message De Mail Server Ready 1.4.13 检查与否限制ftp顾客权限 1.4.13.1 阐明： 回绝系统默认帐号使用ftp服务 1.4.13.2 检查办法： more /etc/ftpusers more /etc/ftpd/ftpusers 检查ftpusers文献存取权限 以及因该禁用登陆顾客名 1.4.14 TCP_Wrapper 1.4.14.1 阐明： 检查inetd服务访问状况。 1.4.14.2 检查办法： more /var/adm/inetd.sec 1.4.15 信任关系 1.4.15.1 阐明： 主机之间可信任问题，也许会导致安全问题；保证 /etc/hosts.equiv文献内容为空。 1.4.15.2 检查办法： cat /etc/hosts.equiv 若安装TCP_warpper并对某些网络服务绑定改服务 请检查/etc/hosts.allow和 /etc/hosts.deny文献与否为空 或者不做方略 1.4.15.3 成果分析办法： 文献内容应为空或此文献不存在 1.5 文献系统 1.5.1 suid文献 1.5.1.1 阐明： 检查所有属组为root(uid=0)suid属性文献 并且其执行权限为任意顾客可执行 非法普通顾客也许会运用这些程序里潜在漏洞 以stack，format strings,heap等办法来溢出和覆盖缓冲区执行非法代码提高到root权限目 1.5.1.2 检查办法： find / -type f –perm -4001 –user 0 检查风险： 1.5.2 sgid文献 1.5.2.1 阐明： 移去所有不需要sgid属性文献 危害性同上 这里是提高组权限到other 1.5.2.2 检查办法： find / -type f –perm - –group 0 1.5.3 /etc 目录下可写文献 1.5.3.1 阐明： 将检查/etc目录下对任何顾客和组都可以进行写入文献 这将导致系统风险隐患 1.5.3.2 检查办法： find /etc -type f -perm 0002 1.5.4 检测重要文献目录下文献权限属性以及/dev下非设备文献系统 1.5.4.1 阐明 不安全文献系统库文献权限将导致被任意顾客替代危险 1．检查/usr/lib /usr/lib /usr/local/lib(若存在)目录下对所有顾客可写文献 2 检查/dev下非设备类型文献 3．检查系统所有conf文献权限与否为任意顾客可写 以及文献属主 1.5.4.2 检查办法 find /usr/lib –type f –perm 0002 find /lib –type f –perm 0002 find /usr/local/lib –type –f –perm 0002 find /dev –type f find / -type f –perm -0002 –name *.conf* 1.5.5 检查/tmp目录存取属性 1.5.5.1 阐明： 在每次重启时，设立/tmp目录粘滞位．限制袭击者某些活动。 1.5.5.2 检查办法： ls –la / |grep tmp 1.5.5.3 成果分析办法： bash-2.05# ls -la / |grep tmp drwxrwxrwt 5 root sys 447 5 13 14:08 tmp 1.5.6 检查UMASK 1.5.6.1 阐明： 设立严格UMASK值，增强文献存取权限 1.5.6.2 检查办法： more /tc/profile 1.5.7 检查.rhosts文献 1.5.7.1 阐明： .rhosts文献有一定安全缺陷，当使用不对的时，也许会导致安全漏洞；推荐禁止所有.rhosts文献 1.5.7.2 检查办法： find / -type f -name ".rhosts" 1.5.7.3 成果分析办法： 没有此文献或文献内容为空，若要使用.rhosts信任机制 则请保证文献属性为600 1.5.7.4 备注： Cluster软件也许需要.rhosts文献，请仔细检查使用.rhosts文献 Add by weiling /11/02 审核setuid 和 setgid 网络安全审计 # hostname yd_db1 # # ll /dev/ether* crw-rw-rw- 1 bin bin 5 0x010001 Nov 16 /dev/ether1 crw-rw-rw- 1 bin bin 5 0x01 Nov 16 /dev/ether2 crw-rw-rw- 1 bin bin 52 0x030001 Nov 16 /dev/ether3 # # ll /ieee* /ieee* not found # # ll /dev/ieee* /dev/ieee* not found # # ll /dev/lan* crw-rw-rw- 1 root sys 72 0x000077 Jan 19 /dev/lan crw-rw-rw- 1 bin bin 32 0x000000 Nov 16 /dev/lan0 crw-rw-rw- 1 bin bin 5 0x010000 Nov 16 /dev/lan1 crw-rw-rw- 1 bin bin 5 0x00 Nov 16 /dev/lan2 crw------- 1 root root 45 0x030000 Nov 16 /dev/lan3 1.6 日记审核 1.6.1 Cron logged 1.6.1.1 阐明： 检查所有cron活动与否被记录 1.6.1.2 检查办法： HP-UX默认启动。 1.6.2 /var/adm/cron/ 1.6.2.1 阐明： 保证/var/adm/cron对的属性为700 root顾客和sys顾客可读写 1.6.2.2 检查办法： ls -la /var |grep cron 1.6.3 Log all inetd services 1.6.3.1 阐明： 1.6.3.2 检查办法： ps –elf|grep inetd 检查启动参数 1.6.4 Syslog.conf 1.6.4.1 阐明： 查看本地日记输出目录功能 1.6.4.2 检查办法： cat /etc/syslog.conf |grep debug 1.7 UUCP服务 1.7.1.1 阐明： 检查UUCP服务使用状况 1.7.1.2 检查办法： cat /etc/inetd.conf | grep UUCP 1.8 Xwindows检查 1.8.1.1 阐明： 检查Xwindows配备状况 1.8.1.2 检查办法： find / -name .Xauthority –print xhosts ( 什么意思啊？ 说难道是 find / -name xhosts ) 2 中级检查评估内容 2.1 安全增强性 2.1.1 TCP IP参数检查 2.1.1.1 检查套接口序列与否防止SYN袭击 2.1.1.1.1 阐明： 各种网络应用软件普通必要开放一种或者几种端口供外界使用，因此其必然可以会被恶意袭击者向这几种口发起回绝服务袭击，其中一种很流行袭击就是SYN FLOOD，在袭击发生时，客户端来源IP地址是通过伪造(spoofed)，现行IP路由机制仅检查目IP地址并进行转发，该IP包到达目主机后返回途径无法通过路由达到，于是目主机无法通过TCP三次握手建立连接。在此期间由于TCP套接口缓存队列被迅速填满，而回绝新连接祈求。为了防止这些袭击，某些UNIX变种采用分离入站套接口连接祈求队列，一队列针对半打开套接口(SYN 接受,SYN|ACK 发送)，另一队列针对全打开套借口等待一种accept()调用，增长这两队列可以较好缓和这些SYN FLOOD袭击并使对服务器影响减到最小限度。 2.1.1.1.2 检查办法 /usr/sbin/ndd -get /dev/tcp tcp_syn_rcvd_max /usr/sbin/ndd -get /dev/tcp tcp_conn_request_max 2.1.1.2 检查Redirects参数 2.1.1.2.1 阐明： 恶意顾客可以使用IP重定向来修改远程主机中路由表，在设计良好网络中，末端重定向设立是不需要，发送和接受重定向信息包都要关闭。 2.1.1.2.2 检查办法： 通过如下命令检查其值与否为0： /usr/sbin/ndd -get /dev/ip ip_send_redirects 2.1.1.3 检查源路由设立 2.1.1.3.1 阐明： 通过源路由，袭击者可以尝试到达内部IP地址 --涉及RFC1918中地址，因此不接受源路由信息包可以防止你内部网络被探测。 2.1.1.3.2 检查办法： 通过如下命令检查其值与否为0： ndd -get /dev/ip ip_forward_src_routed 2.1.1.4 检查广播ECHO响应 2.1.1.4.1 阐明： Smurf袭击就是一种伪造地址通过发送ICMP 8 0 (ECHO REQUEST) 信息到一种广播地址，某些IP堆栈默认状况下会响应这些信息，因此必要关闭这个特性。如果这个主机作为防火墙使用(router)，关闭这个特性就不能解决解决广播。 2.1.1.4.2 检查办法： 通过如下命令检查其值与否为0： ndd -get /dev/ip ip_respond_to_echo_broadcast 2.1.1.5 检查TIME_WAIT setting 设立 2.1.1.5.1 阐明： 在某些比较繁忙网络服务器上，许多套接口也许就处在TIME_WAIT状态，这是由于某些不正规编码客户端应用程序没有很对的解决套接口所引起，这就也许引起如DDOS袭击。 2.1.1.5.2 检查办法： 通过如下命令检查其值与否不不大于6000： ndd -get /dev/tcp tcp_time_wait_interval 2.1.2 Inetd启动参数检查 检查inetd与否严格使用了-t参数来记录所有对inetd守护进程所绑定网络服务连接记录 2.1.3 Syslogd启动参数检查 检查Syslogd启动参数 2.1.4 系统日记文献内容检查 检查/var/log和/var/admin目录下日记文献。 2.1.5 系统顾客口令强度检查 将口令文献/etc/passwd和/etc/shadow导出，通过运营john the ripper检查其强度。 2.1.6 系统补丁安装状况检查 执行swlist ，检查补丁状况。 2.1.7 系统审计检查 执行tail etc/rc.config.d/auditing，检查其内容 3 高档检查评估内容 3.1 后门与日记检查 检查系统日记文献与否完备，与否存在异常状况，如日期，大小，完整性。 3.2 系统异常服务进程检查 检查系统与否存在异常服务进程，需要安装lsof等工具进行检查和拟定系统运营进程和服务之间关系。 3.3 内核状况检查 检查HP-UX内核与模块加载状况 执行kmtune –l 执行kmadmin –k 执行/usr/sbin/kmadmin –s 3.4 第三方安全产品安装状况 与否禁用telnetd service使用openssh等加密连接合同来进行remote login登陆 若安装md5软件包 请检测/bin/loginmd5效检值与否一至 与文献权限问题 若有必要可以truss跟踪ls，ps ,netstat 等系统调用 查看与否存在不正常系统调用和函数劫持.