24SGISLOPSA3510HPUX等级保护测评作业指导书三级Word文档格式.docx

24SGISLOPSA3510HPUX等级保护测评作业指导书三级Word文档格式.docx

《24SGISLOPSA3510HPUX等级保护测评作业指导书三级Word文档格式.docx》由会员分享，可在线阅读，更多相关《24SGISLOPSA3510HPUX等级保护测评作业指导书三级Word文档格式.docx（21页珍藏版）》请在冰豆网上搜索。

用户身份标识和鉴别

测评分项1：

检查并记录R族文件的配置，记录主机信任关系

操作步骤

#find/-name.rhosts对每个.rhosts文件进行检

#find/-name.netrc对.netrc文件进行检

#more/etc/hosts.equiv

适用版本

任何版本

实施风险

无

符合性判定

如果不存在信任关系或存在细粒度控制的信任关系，判定结果为符合；

如果存在与任意主机任意用户的信任关系，判定结果为不符合。

测评分项2：

查看系统是否存在空口令用户

#more/etc/passwd或/etc/shadow检查空口令帐号，

/etc/passwd中所有密码位不为空，判定结果为符合；

/etc/passwd中所存在密码位为空，判定结果为不符合。

2.账号口令强度

ADT-OS-HPUX-02

操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换

账号口令强度

检查系统帐号密码策略

执行以下命令：

cat/etc/default/security

查看以下值：

MIN_PASSWORD_LENGTH

MIN_PASSWORD_LENGTH配置大于等于8,判定结果为符合；

MIN_PASSWORD_LENGTH配置小于8,判定结果为不符合；

检查系统中是否存在空口令或者是弱口令

1.利用扫描工具进行查看

2.询问管理员系统中是否存在弱口令

3.手工尝试密码是否与用户名相同

扫描可能会造成账号被锁定

系统中不存在弱口令账户，判定结果为符合；

系统中存在弱口令账户，判定结果为不符合；

3.登录失败处理策略

ADT-OS-HPUX-03

应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施

登录失败处理策略

检查系统帐号登录失败处理策略

执行以下命令

#more/tcb/files/auth/system/default

检查u_maxtries、t_maxtries、t_logdelay值

系统配置了合理的帐号锁定阀值及失败登录间隔时间，判定结果为符合；

系统未配置登录失败处理策略，判定结果为不符合；

如果启用了SSH远程登录，则检查SSH远程用户登录失败处理策略

cat/opt/ssh/etc/sshd_config

查看MaxAuthTries等参数。

LoginGraceTime1m帐号锁定时间（建议为30分钟）

PermitRootLoginno

#StrictModesyes

MaxAuthTries3帐号锁定阀值（建议5次）

系统配置了合理的登录失败处理策略，帐号锁定阀值及帐号锁定时间，判定结果为符合；

4.远程管理方式

ADT-OS-HPUX-04

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听

检查系统远程管理方式

询问系统管理员，并查看开启的服务中是否包含了不安全的远程管理方式，如telnet,ftp,ssh,VNC等。

执行：

#ps–ef查看开启的远程管理服务进程

#netstat-a查看开启的远程管理服务端口

系统采用了安全的远程管理方式，如ssh；

且关闭了如telnet、ftp等不安全的远程管理方式，判定结果为符合；

系统的开启了telnet、ftp等不安全的远程管理方式，判定结果为不符合。

5.账户分配及用户名唯一性

ADT-OS-HPUX-05

应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性

账户分配及用户名唯一性

检查系统账户

#cat/etc/passwd

#cat/etc/shadow

#cat/etc/group

查看UID是否唯一

查看系统是否分别建立了系统专用管理帐号，以及帐号的属组情况。

系统管理使用不同的帐户，且系统中不存在重名帐号，UID唯一，判定结果为符合；

系统管理使用相同的帐户，系统帐号存在重名情况，UID不唯一，判定结果为不符合。

6.双因子身份鉴别

应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别

双因子身份鉴别

检查系统双因子身份鉴别

询问系统管理员，系统是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

如：

帐户/口令鉴别，生物鉴别、认证服务器鉴别。

系统采用双因子身份鉴别，判定结果为符合；

系统未采用双因子身份鉴别，判定结果为不符合。

二、访问控制

1.检查文件访问控制策略

ADT-OS-HPUX-06

应启用访问控制功能，依据安全策略控制用户对资源的访问

检查访问控制策略

检查重要配置文件或重要文件目录的访问控制

查看系统命令文件和配置文件的访问许可有无被更改例如：

#ls-al/etc/shadow/etc/passwd/etc/group/etc/default/security/etc/inetd.conf/var/spool/cron/crontabs/*/etc/securetty/sbin/rc*.d//etc/login.defs/etc/*.conf

系统内的配置文件目录中，所有文件和子目录对组用户和其他用户不提供写权限，判定结果为符合；

组用户和其他用户对配置文件目录/etc中所有（部分）文件和子目录具有写权限，判定结果为不符合。

检查文件初始权限

#umask

查看输出文件属主、同组用户、其他用户对于文件的操作权限

umask值设置合理，为077或027，判定结果为符合；

umask值为000、002、022等判定结果为不符合。

测评分项3：

检查root帐号是否允许远程登录

查看ssh服务配置文件是否设置登录失败处理策略，执行以下

命令：

cat/opt/ssh/etc/ssh_config

查看PermitRootLogin参数

cat/etc/securetty

PermitRootLogin值为no，/etc/securetty只包含console或/dev/null,root帐号不可以远程登录，判定结果为符合；

PermitRootLogin所属行被注释或值为yes，/etc/securetty不只包含console或/dev/null，root帐号可以远程登录，判定结果为不符合。

2.数据库系统特权用户权限分离

ADT-OS-HPUX-07

应实现操作系统和数据库系统特权用户的权限分离

特权用户权限分离

检查系统帐户权限设置

询问管理员系统定义了哪些角色，是否分配给操作系统和数据库系统特权用户不同的角色

系统为操作系统和数据库系统特权用户的设置了不同的角色，实现了

权限分离，判定结果为符合；

系统没有为操作系统和数据库系统特权用户分配角色，判定结果为不符合。

3.特权用户权限分离

应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；

检查系统特权帐户权限设置

#sam进入SAM，判断系统是否处于Truested模式

询问管理员系统定义了哪些管理用户角色，是否仅授予管理用户所需的最小权限

sam进入SAM，判断系统是否处于Truested模式，可能由于系统显示乱码，使操作员产生误操作将系统模式转变

系统实现管理用户的权限分离，判定结果为符合；

系统没有实现管理用户的权限分离，判定结果为不符合。

4.默认账户访问权限

应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令

默认账户访问权限

#cat/etc/passwd或者/etc/shadow

查看不需要的账号games,news,gopher,ftp、lp是否被删除

查看不需要的特权账号halt,shutdown,reboot、who是否被删除

系统删除无用默认账户，判定结果为符合；

系统没有删除无用默认账户，判定结果为不符合。

5.多余及过期账户

ADT-OS-HPUX-08

应及时删除多余的、过期的帐户，避免共享帐户的存在

多余及过期账户

检查系统多余及过期账户

访谈系统管理员，是否存在无用的多余帐号。

同时执行以下命令：

cat/etc/passwd或cat/etc/passwd

系统中不存在多余自建帐户，判定结果为符合；

没有删除多余自建账户，判定结果为不符合。

6.基于标记的访问控制

应对重要信息资源设置敏感

标记

资源敏感标记设置检查

检查系统对重要信息资源是否设置了敏感标记

询问管理员系统是否对重要信息资源（重要文件、文件夹、重要服务器）设

置了敏感标记。

并查看标记的设置规则。

符合：

系统对重要信息资源设置敏感标记。

不符合：

没有对系统重要信息资源设置敏感标

检查对有敏感标记资源的访问控制情况

并查看访问控制规则的设置规则。

制定了有效的安全策略，依据安全策略严格控制用户对有敏感标记信

息资源的操作

没有制定有效的安全策略或没有依据安全策略严格控制用户对有敏

感标记信息资源的操作

三、安全审计

1.开启日志审核功能

ADT-OS-HPUX-09

日志记录范围应覆盖到服务器上的每个操作系统用户

开启日志审核功能

检查系统日志是否开启

执行

#ps-ef|grepsyslogd

查看系统是否运行syslogd进程

询问并查看是否有第三方审计工具或系统

系统启用了syslogd进程或有第三方审计系统，判定结果为符合；

系统未启用syslogd进程也没有第三方审计系统，判定结果为不符合。

检查系统审计功能是否开启

#audsys

（或者输入sam启动系统管理菜单GUI，点击“审计和安全”，点击“用户”查看被审计的用户，点击“事件”查看审计的事件，“systemcalls”查看被审计的系统调用。

）

#more/etc/rc.config.d./auditing中的auditing字段值（=1已开启）

#audusr

查看选择的被审计用户

系统运行在trustedmode下且开启审计功能，审计范围覆盖到服务器上的每个操作系统用户判定结果为符合；

系统未启用审计功能，审计范围未覆盖到服务器上的每个操作系统用户，判定结果为不符合。

2.日志审计内容

ADT-OS-HPUX-10

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

日志审计内容

检查系统日志策略配置

#cat/etc/syslog.conf

查看系统日志配置

syslog.conf配置文件设置合理，对大多数系统行为、用户行为进行了

纪录，并存储在指定的文档中，syslong.conf中至少应包括：

mail.debug/var/adm/syslog/mail.log

*.info;

mail.none/var/adm/syslog/syslog.log

*.alert/dev/console

*.alertroot

判定结果为符合；

syslog.conf配置文件设置不合理，对大多数系统行为、用户行为未

进行纪录，判定结果为不符合。

检查系统审计策略配置

#more/etc/rc.config.d/auditing

查看系统审计配置

#audevent–E

查看选择的被审计事件

系统配置了合理的审计策略，判定结果为符合；

系统未配置合理的审计策略，判定结果为不符合。

日志记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等

#more/var/adm/syslog/mail.log

#more/var/adm/syslog/syslog.log

#more/var/adm/sulog

#last

查看系统历史日志信息

审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等

审计记录不包括事件的日期、时间、类型、主体标识、客体标识和结果等判定结果为符合；

系统系统是运行在trustedmode下且开启审计功能，审计范围覆盖到服务器上的每个操作系统用户判定结果为符合；

3.审计报表

ADT-OS-HPUX-12

应能够根据记录数据进行分析，并生成审计报表

查看日志审计文件权限设置

询问并查看是否有第三方审计工具或系统，询问系统是否能够生成审计报表

系统能够生成审计报表，判定结果为符合；

系统不能生成审计报表，判定结果为不符合。

4.日志保护

应保护审计记录，避免受到未预期的删除、修改或覆盖等

查看日志文件权限设置

ls–la/etc/syslog.conf/var/adm/syslog/mail.log/var/adm/syslog/syslog.log/var/adm/sulog

查看系统历史日志文件的权限或访问控制是否合理

日志访问权限合理，除属主外，组用户和其它用户都不具有写、执行

权限；

日志访问权限不合理，除属主外，部分组用户和其它用户具有写、

执行权限

查看审计文件权限设置

#more/etc/rc.config.d/auditing或#audsys）：

查看

主审计文件路径PRI_AUDFILE/Currentfile:

备用审计文件路径SEC_AUDFILE/nextfile:

主审计文件大小PRI_SWITCH:

备用审计文件大小SEC_SWITCH:

#ls查看申日文件的权限或访问控制是否合理

审计文件访问权限合理，除属主外，组用户和其它用户都不具有写、执行

审计文件访问权限不合理，除属主外，部分组用户和其它用户具有写、

四、剩余信息保护（HPUX系统不适用）

五、入侵防范

1.入侵防范

ADT-OS-HPUX-13

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新

入侵防范

检查操作系统是否开启了与业务无关的服务

ps–ef

执行#more/etc/inetd.conf|grep-v"

#"

记录系统开启的服务

查看文件列表，执行：

ls-al/sbin/rc?

.d/*

ls-al/sbin/init.d/*（其中保存服务脚本文件）

ls–al/etc/rc.config.d/*（其中保存服务配置文件）

系统没有开启与业务无关的服务，判定结果为符合；

系统开启了与业务无关的服务，判定结果为符合；

查检查操作系统是否开启了与业务无关的网络端口

netstat–an

netstat–a

系统禁用了与业务无关的端口，判定结果为符合；

系统没有禁用与业务无关的端口，判定结果为不符合

检查操作系统版本与补丁升级情况

执行以下命令，查看HPUX内核版本：

uname–a

#swlist-lproduct|grepPH

查看补丁版本号

系统安装了最新的补丁，判定结果为符合；

系统没有安装最新的补丁，判定结果为不符合

六、恶意代码防范（HPUX系统不适用）

七、资源控制

1.终端登录限制

ADT-OS-HPUX-14

应通过设定终端接入方式、网络地址范围等条件限制终端登录；

终端登录限制

检查系统是否有网络访问控制策略

访谈系统管理员，是否制定了严格的访问控制策略，包括是否限制登录

用户，对远程登录的IP是否有限制，采用哪种远程登录方式等。

查看hosts.allow、hosts.deny是否对某些服务，某些IP进行了限制。

#cathosts.allow

#cathosts.deny

#cat/etc/ftpusers

#cat/etc/ftpaccess

系统开启了远程登录IP限制功能，并配置了合理的限制策略，判定结果为符合；

系统没有开启远程登录IP限制功能，未配置合理的限制策略，判定结果为不符合

2.终端操作超时锁定

ADT-OS-HPUX-15

应根据安全策略设置登录终端的操作超时锁定；

终端操作超时锁定

检查系统是否开启了超时自动注销功能

cat/etc/profile|grepTMOUT

查看输出结果

系统开启了超时注销功能，并设置了合理的TMOUT注销时间（如5

分钟、10分钟、15分钟等），判定结果为符合；

系统没有开启超时注销功能，判定结果为不符合

3.单个用户系统资源使用限制

ADT-OS-HPUX-16

应限制单个用户对系统资源的最大或最小使用限度；

单个用户系统资源使用限制

检查系统是否限制单个用户系统资源的使用

#quotaUserName

查看UserName用户对系统资源使用的限制值

限制了单个用户对系统资源的最大或最小使用，判定结果为符合；

未限制单个用户对系统资源的最大或最小使用，判定结果为不符合；