等保2级问题清单修复文档1.docx
《等保2级问题清单修复文档1.docx》由会员分享,可在线阅读,更多相关《等保2级问题清单修复文档1.docx(29页珍藏版)》请在冰豆网上搜索。
等保2级问题清单修复文档1
等保二级测评问题修复文档
1操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
1.1Centos操作系统用户口令未有复杂度要求并定期更换
1.1.1提升系统口令复杂度
修改登录口令etc/
PASS_MAX_DAYS180
PASS_MIN_DAYS1
PASS_WARN_AGE28
PASS_MIN_LEN8
如下图:
1.1.2提升密码复杂度
/etc/system-auth文件中配置密码复杂度:
在后面配置参数
passwordrequisiteminlen=8ucredit=-1lcredit=-3dcredit=-3ocredit=-1
说明:
密码最少minlen=8位,ucredit=-1密码中至少有1个大写字母,icredit=-3密码中至少有3个小写字母,dredit=3密码中至少有3个数字,oredit=-1密码中至少有1个其它字符
如下图:
1.2Windows(跳板机)操作系统未根据安全策略配置口令的复杂度和更换周期
修改口令复杂度和更换周期如下:
1.3数据库系统用户口令未定期更换
ALTERUSER用户名PASSWORDEXPIREINTERVAL180DAY;
2应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
2.1Centos操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间
2.1.1修改远程登录用户
修改为登录三次锁定用户,锁定时间为:
一般用户5分钟,超级用户锁定10分钟配置如下:
修改/etc/sshd(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的):
authrequireddeny=3unlock_time=300even_deny_rootroot_unlock_time=600
如下图:
2.1.2修改客户端登录用户
修改/etc/login(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的):
authrequireddeny=3unlock_time=300even_deny_rootroot_unlock_time=600
如下图:
2.2Windows操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间
账户锁定策略:
复位帐户锁定计数器->3分钟帐户锁定时间->5分钟帐户锁定阀值->5次无效登录,设置设备登录失败超时时间(不大于10分钟)
2.3数据库系统登录失败处理功能配置不满足要求,登录失败次数为100次,未设置非法登录锁定措施
3当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
4应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
已删除数据库root账号,数据库中每个需要连接的主机对应一个账号
5Windows(跳板机)应启用访问控制功能,依据安全策略控制用户对资源的访问;
禁用PrintSpooler,禁用默认共享路径:
C$
如下图:
6应实现操作系统和数据库系统特权用户的权限分离
6.1Centos操作系统未实现特权用户的权限分离,如可分为:
系统管理员、安全管理员、安全审计员等
在系统下分别添加不同较色的管理员:
系统管理员、安全管理员、安全审计员
6.1.1添加不同角色的人员
Useraddsysadmin
Useraddsafeadmin
Useraddsafecheck
6.1.2为sysadmin添加sudo权限
chmod740/etc/sudoers
vi/etc/sudoers
sysadminALL=(ALL)ALL
chmod440/etc/sudoers
6.2Window操作系统未实现特权用户的权限分离,如可分为:
系统管理员、安全管理员、安全审计员等
添加:
系统管理员、安全管理员和安全审计员
权限分配:
6.3数据库账户和系统管理员账户的权限一致
数据库root账号已删除,数据库管理员账号为hqwnm和manager
7应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令
7.1Centos操作系统未限制默认账户的访问权限,未重命名默认账户
删除多余的账号,只保留root默认账号
7.2Windows操作系统未限制默认账户的访问权限,未重命名默认账户
重命名administrator和guest默认用户名
如下图:
7.3数据库系统未限制默认账户的访问权限,未重命名默认账户
已删除root账号。
无其他默认账号
8应及时删除多余的、过期的帐户,避免共享帐户的存在
8.1Centos操作系统未限制默认账户的访问权限,未删除多余、过期的账户(adm、lp、sync、shutdown、halt、mail、operator、games)
8.1.1注释掉不需要的用户
修改:
/etc/passwd如下:
adm、lp、sync、shutdown、halt、mail、operator、games分别注释掉
root:
x:
0:
0:
root:
/root:
/bin/bash
bin:
x:
1:
1:
bin:
/bin:
/sbin/nologin
daemon:
x:
2:
2:
daemon:
/sbin:
/sbin/nologin
#adm:
x:
3:
4:
adm:
/var/adm:
/sbin/nologin
#lp:
x:
4:
7:
lp:
/var/spool/lpd:
/sbin/nologin
#sync:
x:
5:
0:
sync:
/sbin:
/bin/sync
#shutdown:
x:
6:
0:
shutdown:
/sbin:
/sbin/shutdown
#halt:
x:
7:
0:
halt:
/sbin:
/sbin/halt
#mail:
x:
8:
12:
mail:
/var/spool/mail:
/sbin/nologin
#operator:
x:
11:
0:
operator:
/root:
/sbin/nologin
#games:
x:
12:
100:
games:
/usr/games:
/sbin/nologin
ftp:
x:
14:
50:
FTPUser:
/var/ftp:
/sbin/nologin
nobody:
x:
99:
99:
Nobody:
/:
/sbin/nologin
dbus:
x:
81:
81:
Systemmessagebus:
/:
/sbin/nologin
polkitd:
x:
999:
998:
Userforpolkitd:
/:
/sbin/nologin
avahi:
x:
70:
70:
AvahimDNS/DNS-SDStack:
/var/run/avahi-daemon:
/sbin/nologin
avahi-autoipd:
x:
170:
170:
AvahiIPv4LLStack:
/var/lib/avahi-autoipd:
/sbin/nologin
libstoragemgmt:
x:
998:
997:
daemonaccountforlibstoragemgmt:
/var/run/lsm:
/sbin/nologin
ntp:
x:
38:
38:
:
/etc/ntp:
/sbin/nologin
abrt:
x:
173:
173:
:
/etc/abrt:
/sbin/nologin
postfix:
x:
89:
89:
:
/var/spool/postfix:
/sbin/nologin
sshd:
x:
74:
74:
Privilege-separatedSSH:
/var/empty/sshd:
/sbin/nologin
chrony:
x:
997:
996:
:
/var/lib/chrony:
/sbin/nologin
nscd:
x:
28:
28:
NSCDDaemon:
/:
/sbin/nologin
tcpdump:
x:
72:
72:
:
/:
/sbin/nologin
nginx:
x:
996:
995:
nginxuser:
/var/cache/nginx:
/sbin/nologin
sysadmin:
x:
1000:
1000:
:
/home/sysadmin:
/bin/bash
safeadmin:
x:
1001:
1001:
:
/home/safeadmin:
/bin/bash
safecheck:
x:
1002:
1002:
:
/home/safecheck:
/bin/bash
如下图:
8.1.2注释掉不需要的组
[root@iZ886zdnu5gZ~]#cat/etc/group
root:
x:
0:
bin:
x:
1:
daemon:
x:
2:
sys:
x:
3:
#adm:
x:
4:
tty:
x:
5:
disk:
x:
6:
#lp:
x:
7:
mem:
x:
8:
kmem:
x:
9:
wheel:
x:
10:
cdrom:
x:
11:
#mail:
x:
12:
postfix
man:
x:
15:
dialout:
x:
18:
floppy:
x:
19:
#games:
x:
20:
tape:
x:
30:
video:
x:
39:
ftp:
x:
50:
lock:
x:
54:
audio:
x:
63:
nobody:
x:
99:
users:
x:
100:
utmp:
x:
22:
utempter:
x:
35:
ssh_keys:
x:
999:
systemd-journal:
x:
190:
dbus:
x:
81:
polkitd:
x:
998:
avahi:
x:
70:
avahi-autoipd:
x:
170:
libstoragemgmt:
x:
997:
ntp:
x:
38:
dip:
x:
40:
abrt:
x:
173:
stapusr:
x:
156:
stapsys:
x:
157:
stapdev:
x:
158:
slocate:
x:
21:
postdrop:
x:
90:
postfix:
x:
89:
sshd:
x:
74:
chrony:
x:
996:
nscd:
x:
28:
tcpdump:
x:
72:
nginx:
x:
995:
sysadmin:
x:
1000:
safeadmin:
x:
1001:
safecheck:
x:
1002:
8.2Windows操作系统未限制默认账户的访问权限
对重要文件夹进行访问限制,没有权限的系统默认账号是无法访问的,例如:
8.3数据库系统未限制默认账户的访问权限,未删除多余、过期和共享的账户
数据库已限制用户的访问,每个IP对应一个用户名
9审计范围应覆盖到服务器上的每个操作系统用户和数据库用户
9.1Centos操作系统未开启日志审计功能,审计范围未覆盖到每个用户,未使用第三方安全审计产品实现审计要求
开启日志日记进程(audit),审计覆盖到每个用户
9.2Windows操作系统审计日志未覆盖到用户所有重要操作
开启系统审计日志,如下图:
9.3数据库系统未开启审计进程;未使用第三方审计系统对系统进行操作审计,审计范围未覆盖到抽查的用户
数据库安装了第三方的审计插件。
macfee公司基于percona开发的mysql audit 插件
10审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
10.1Centos审计内容未包括重要用户行为,系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
修改,使审计内容包括:
用户重要行为、系统资源调用、文件访问和用户登录等
-w/var/log/audit/-kLOG_audit
-w/etc/audit/-pwa-kCFG_audit
-w/etc/sysconfig/auditd-pwa-k
-w/etc/-pwa-k
-w/etc/audisp/-pwa-kCFG_audisp
-w/etc/cups/-pwa-kCFG_cups
-w/etc/cups-pwa-kCFG_initd_cups
-w/etc/-pwa-k
-w/etc/selinux/mls/-pwa-kCFG_MAC_policy
-w/usr/share/selinux/mls/-pwa-kCFG_MAC_policy
-w/etc/selinux/-pwa-kCFG_MAC_policy
-w/usr/sbin/stunnel-px
-w/etc/security/-pwa-kCFG_RBAC_self_test
-w/etc/-pwa-k
-w/etc/-pwa-k
-w/etc/-pwa-k
-w/etc/-pwa-k
-w/etc/-pwa-k
-w/etc/-pwa-k
-w/etc/-pwa-k
-w/etc/-pwa-k
-w/etc/crontab-pwa-kCFG_crontab
-w/var/spool/cron/root-kCFG_crontab_root
-w/etc/group-pwa-kCFG_group
-w/etc/passwd-pwa-kCFG_passwd
-w/etc/gshadow-kCFG_gshadow
-w/etc/shadow-kCFG_shadow
-w/etc/security/opasswd-kCFG_opasswd
-w/etc/-pwa-k
-w/etc/securetty-pwa-kCFG_securetty
-w/var/log/faillog-pwa-kLOG_faillog
-w/var/log/lastlog-pwa-kLOG_lastlog
-w/var/log/tallylog-pwa-kLOG_tallylog
-w/etc/hosts-pwa-kCFG_hosts
-w/etc/sysconfig/network-scripts/-pwa-kCFG_network
-w/etc/inittab-pwa-kCFG_inittab
-w/etc/-pwa-kCFG_initscripts
-w/etc/-pwa-k/etc/localtime-pwa-kCFG_localtime
-w/etc/-pwa-k
-w/etc/-pwa-k
-w/etc/-pwa-kCFG_pam
-w/etc/security/-pwa-kCFG_pam
-w/etc/security/-pwa-kCFG_pam
-w/etc/security/-pwa-kCFG_pam
-w/etc/security/-pwa-kCFG_pam
-w/etc/aliases-pwa-kCFG_aliases
-w/etc/postfix/-pwa-kCFG_postfix
-w/etc/ssh/sshd_config-kCFG_sshd_config
-w/etc/-k
-aexit,always-Farch=b32-Ssethostname
-w/etc/issue-pwa-kCFG_issue
-w/etc/-pwa-k如:
用户登录信息:
用户重要行为信息:
10.2Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
修改如下图:
10.3数据库系统的审计内容未包括:
重要用户行为、系统资源的异常使用和重要系统命令的使用等
{"msg-type":
"header","date":
"","audit-version":
"","audit-protocol-version":
"","hostname":
"iZ88h64j92qZ","mysql-version":
"","mysql-program":
"/usr/sbin/mysqld","mysql-socket":
"/var/lib/mysql/","mysql-port":
"3306","server_pid":
"3375"}
{"msg-type":
"activity","date":
"","thread-id":
"2422","query-id":
"","user":
"root","priv_user":
"root","ip":
"","host":
"localhost","connect_attrs":
{"_os":
"Linux","_client_name":
"libmysql","_pid":
"2583","_client_version":
"","_platform":
"x86_64","program_name":
"mysql"},"cmd":
"set_option","query":
"SETGLOBALaudit_json_file=ON"}
{"msg-type":
"activity","date":
"","thread-id":
"2422","query-id":
"","user":
"root","priv_user":
"root","ip":
"","host":
"localhost","connect_attrs":
{"_os":
"Linux","_client_name":
"libmysql","_pid":
"2583","_client_version":
"","_platform":
"x86_64","program_name":
"mysql"},"rows":
"30","cmd":
"show_variables","objects":
[{"db":
"information_schema","name":
"/tmp/#sql_d2f_0","obj_type":
"TABLE"}],"query":
"SHOWGLOBALVARIABLESLIKE'%audi%'"}
{"msg-type":
"activity","date":
"","thread-id":
"2423","query-id":
"","user":
"zmq","priv_user":
"zmq","ip":
"","host":
"","client_port":
"22404","rows":
"1","cmd":
"select","query":
"select1"}
11审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
11.1Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等
开启日志监控:
Audit
11.2数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等
12应保护审计记录,避免受到未预期的删除、修改或覆盖等
12.1Centos审计记录未受到保护,未能避免受到未预期的删除、修改或覆盖等
在系统下修改日志保存文件/etc/文件如下:
#keep10weeksworthofbacklogs
rotate10
保存日志文件10周
12.2数据库系统未对审计记录进行保护
数据库审计日志存储在/var/lib/mysql/
定期1个月人工将该文件备份
13操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新
13.1Centos操作系统未及时更新系统补丁,未禁用多余服务端口:
123
已关闭123端口对应的服务ntpd。
启用firewalld。
各主机只开放对应端口。
包括80,7008,9200,9300及3306
13.1.1更新openssl
[root@iZ886zdnu5gZ~]#opensslversion
OpenSSL11Feb2013
更新后的版本为:
[root@iZ886zdnu5gZopensslversion
OpenSSL25May2017
13.1.2更新openssh
[root@iZ886zdnu5gZ~]#ssh-V
OpenSSL11Feb2013
更新后的版本为:
[root@iZ886zdnu5gZ]#ssh-V
OpenSSL25May2017
13.2Windows操作系统未遵循最小安装原则,存在多余软件:
谷歌浏览器、notepad++,未及时更新系统补丁,未禁用多余服务:
PrintSpooler,未禁用多余端口:
135、137、139、445、123
删除多余的软件:
如谷歌浏览器、notepad++、禁止多余服务:
PrintSpooler
14应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库
14.1Centos
由阿里云盾提供保护
14.2Windows
由阿里云提供:
15应支持防恶意代码软件的统一管理
15.1Centos
由阿里云盾提供
15.2Windows
由阿里云提供:
16应通过设定终端接入方式、网络地址范围等条件限制终端登录
16.1Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录
在系统的/etc/和/etc/添加网络拒绝和允许地址
在/etc/中禁止TCP类型所有联系
在/etc/中只允许开头的IP端进行连接和操作(包括SSH)
16.2数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录
每个账号对应一个IP地址。
限制用户%类型的无限制连接
17应根据安全策略设置登录终端的操作超时锁定
17.1Centos操作系统未根据安全策略设置登录终端的操作超时锁定
17.1.1修改ssh终端用户
添加:
/etc/ssh/sshd_conf内容:
ClientAliveInterval600
闲20分钟退出
18应用系统未对系统的最大并发会话连接数进行限制
已设置,在中配置maxConcurrentCount属性
19中间件未对系统的最大并发会话连接数进行限制
已设置,在中配置maxSessionCount属性
20应用系统同一台机器未对系统单个账号的多重并发会话进行限制,不同机器未对系统单个账号的多重并发会话进行限制
在nginx中启用连接会话限制。
每个IP只能有20个连接,
21系统通过SSH1、VPN和HTTP方式进行数据传输,部分管理数据、鉴别数据、重要业务数据在传输过程中未能检测到完整性遭到破坏,未能够对数据在遭到传输完整性破
数据库启用SSL
22建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性
数据库启用SSL
23建议系统提供每天至少一次的数据完全备份,并对备份介质进行场外存放
24建议提供数据库系统硬件冗余,保证系统的高可用性
s数据库集群或热备
!