等保级问题清单修复.docx
《等保级问题清单修复.docx》由会员分享,可在线阅读,更多相关《等保级问题清单修复.docx(21页珍藏版)》请在冰豆网上搜索。
等保级问题清单修复
等保二级测评问题修复文档
1操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;5
1.1Centos操作系统用户口令未有复杂度要求并定期更换5
1.1.1提升系统口令复杂度5
1.1.2提升密码复杂度5
1.2Windows(跳板机)操作系统未根据安全策略配置口令的复杂度和更换周期6
1.3数据库系统用户口令未定期更换6
2应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;6
2.1Centos操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间6
2.1.1修改远程登录用户6
2.1.2修改客户端登录用户6
2.2Windows操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间7
2.3数据库系统登录失败处理功能配置不满足要求,登录失败次数为100次,未设置非法登录锁定措施7
3当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;7
4应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
7
5Windows(跳板机)应启用访问控制功能,依据安全策略控制用户对资源的访问;7
6应实现操作系统和数据库系统特权用户的权限分离9
6.1Centos操作系统未实现特权用户的权限分离,如可分为:
系统管理员、安全管理员、安全审计员等9
6.1.1添加不同角色的人员9
6.1.2为sysadmin添加sudo权限9
6.2Window操作系统未实现特权用户的权限分离,如可分为:
系统管理员、安全管理员、安全审计员等9
6.3数据库账户和系统管理员账户的权限一致10
7应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令11
7.1Centos操作系统未限制默认账户的访问权限,未重命名默认账户11
7.2Windows操作系统未限制默认账户的访问权限,未重命名默认账户11
7.3数据库系统未限制默认账户的访问权限,未重命名默认账户11
8应及时删除多余的、过期的帐户,避免共享帐户的存在12
8.1Centos操作系统未限制默认账户的访问权限,未删除多余、过期的账户(adm、lp、sync、shutdown、halt、mail、operator、games)12
8.1.1注释掉不需要的用户12
8.1.2注释掉不需要的组13
8.2Windows操作系统未限制默认账户的访问权限14
8.3数据库系统未限制默认账户的访问权限,未删除多余、过期和共享的账户15
9审计范围应覆盖到服务器上的每个操作系统用户和数据库用户15
9.1Centos操作系统未开启日志审计功能,审计范围未覆盖到每个用户,未使用第三方安全审计产品实现审计要求15
9.2Windows操作系统审计日志未覆盖到用户所有重要操作15
9.3数据库系统未开启审计进程;未使用第三方审计系统对系统进行操作审计,审计范围未覆盖到抽查的用户16
10审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件16
10.1Centos审计内容未包括重要用户行为,系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件16
10.2Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件18
10.3数据库系统的审计内容未包括:
重要用户行为、系统资源的异常使用和重要系统命令的使用等18
11审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等19
11.1Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等19
11.2数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等19
12应保护审计记录,避免受到未预期的删除、修改或覆盖等19
12.1Centos审计记录未受到保护,未能避免受到未预期的删除、修改或覆盖等19
13操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新19
13.1Centos操作系统未及时更新系统补丁,未禁用多余服务端口:
12319
13.1.1更新openssl19
13.1.2更新openssh19
13.2Windows操作系统未遵循最小安装原则,存在多余软件:
谷歌浏览器、notepad++,未及时更新系统补丁,未禁用多余服务:
PrintSpooler,未禁用多余端口:
135、137、139、445、12320
14应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库20
14.1Centos20
14.2Windows20
15应支持防恶意代码软件的统一管理21
15.1Centos21
15.2Windows21
16应通过设定终端接入方式、网络地址范围等条件限制终端登录22
16.1Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录22
16.2数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录23
17应根据安全策略设置登录终端的操作超时锁定23
17.1Centos操作系统未根据安全策略设置登录终端的操作超时锁定23
17.1.1修改ssh终端用户23
17.1.2修改系统用户23
17.2windows操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护时间24
17.2.1为断开的会话设置时间限制:
10分钟24
17.2.2屏幕保护25
17.3数据库系统未根据安全策略设置终端的操作超时锁定25
18应限制单个用户对系统资源的最大或最小使用限度25
19应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用25
20应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;25
21应由授权主体配置访问控制策略,并严格限制默认账户的访问权限;26
22应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;26
23应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计26
23.1应用系统未启用审计功能26
23.1中间件已提供覆盖到抽查用户的安全审计功能,未对增加用户、删除用户、修改用户权限、系统资源异常等操作进行记录27
24应采用校验码技术保证通信过程中数据的完整性。
27
25中间件未提供登录超时退出功能,空闲20分钟,自动退出系统27
26应用系统未对系统的最大并发会话连接数进行限制27
27中间件未对系统的最大并发会话连接数进行限制27
28应用系统同一台机器未对系统单个账号的多重并发会话进行限制,不同机器未对系统单个账号的多重并发会话进行限制27
29系统通过SSH1、VPN和HTTP方式进行数据传输,部分管理数据、鉴别数据、重要业务数据在传输过程中未能检测到完整性遭到破坏,未能够对数据在遭到传输完整性破28
30建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性28
31建议系统提供每天至少一次的数据完全备份,并对备份介质进行场外存放28
32建议提供数据库系统硬件冗余,保证系统的高可用性28
1操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
1.1Centos操作系统用户口令未有复杂度要求并定期更换
1.1.1提升系统口令复杂度
修改登录口令etc/login.defs
PASS_MAX_DAYS180
PASS_MIN_DAYS1
PASS_WARN_AGE28
PASS_MIN_LEN8
如下图:
1.1.2提升密码复杂度
/etc/pam.d/system-auth文件中配置密码复杂度:
在pam_cracklib.so后面配置参数
passwordrequisitepam_cracklib.sominlen=8ucredit=-1lcredit=-3dcredit=-3ocredit=-1
说明:
密码最少minlen=8位,ucredit=-1密码中至少有1个大写字母,icredit=-3密码中至少有3个小写字母,dredit=3密码中至少有3个数字,oredit=-1密码中至少有1个其它字符
如下图:
1.2Windows(跳板机)操作系统未根据安全策略配置口令的复杂度和更换周期
修改口令复杂度和更换周期如下:
1.3数据库系统用户口令未定期更换
ALTERUSER用户名PASSWORDEXPIREINTERVAL180DAY;
2应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
2.1Centos操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间
2.1.1修改远程登录用户
修改为登录三次锁定用户,锁定时间为:
一般用户5分钟,超级用户锁定10分钟配置如下:
修改/etc/pam.d/sshd(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的):
authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=600
如下图:
2.1.2修改客户端登录用户
修改/etc/pam.d/login(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的):
authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=600
如下图:
2.2Windows操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间
账户锁定策略:
复位帐户锁定计数器->3分钟帐户锁定时间->5分钟帐户锁定阀值->5次无效登录,设置设备登录失败超时时间(不大于10分钟)
2.3数据库系统登录失败处理功能配置不满足要求,登录失败次数为100次,未设置非法登录锁定措施
3当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
4应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
已删除数据库root账号,数据库中每个需要连接的主机对应一个账号
5Windows(跳板机)应启用访问控制功能,依据安全策略控制用户对资源的访问;
禁用PrintSpooler,禁用默认共享路径:
C$
如下图:
6应实现操作系统和数据库系统特权用户的权限分离
6.1Centos操作系统未实现特权用户的权限分离,如可分为:
系统管理员、安全管理员、安全审计员等
在系统下分别添加不同较色的管理员:
系统管理员、安全管理员、安全审计员
6.1.1添加不同角色的人员
Useraddsysadmin
Useraddsafeadmin
Useraddsafecheck
6.1.2为sysadmin添加sudo权限
chmod740/etc/sudoers
vi/etc/sudoers
sysadminALL=(ALL)ALL
chmod440/etc/sudoers
6.2Window操作系统未实现特权用户的权限分离,如可分为:
系统管理员、安全管理员、安全审计员等
添加:
系统管理员、安全管理员和安全审计员
权限分配:
6.3数据库账户和系统管理员账户的权限一致
数据库root账号已删除,数据库管理员账号为hqwnm和manager
7应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令
7.1Centos操作系统未限制默认账户的访问权限,未重命名默认账户
删除多余的账号,只保留root默认账号
7.2Windows操作系统未限制默认账户的访问权限,未重命名默认账户
重命名administrator和guest默认用户名
如下图:
7.3数据库系统未限制默认账户的访问权限,未重命名默认账户
已删除root账号。
无其他默认账号
8应及时删除多余的、过期的帐户,避免共享帐户的存在
8.1Centos操作系统未限制默认账户的访问权限,未删除多余、过期的账户(adm、lp、sync、shutdown、halt、mail、operator、games)
8.1.1注释掉不需要的用户
修改:
/etc/passwd如下:
adm、lp、sync、shutdown、halt、mail、operator、games分别注释掉
root:
x:
0:
0:
root:
/root:
/bin/bash
bin:
x:
1:
1:
bin:
/bin:
/sbin/nologin
daemon:
x:
2:
2:
daemon:
/sbin:
/sbin/nologin
#adm:
x:
3:
4:
adm:
/var/adm:
/sbin/nologin
#lp:
x:
4:
7:
lp:
/var/spool/lpd:
/sbin/nologin
#sync:
x:
5:
0:
sync:
/sbin:
/bin/sync
#shutdown:
x:
6:
0:
shutdown:
/sbin:
/sbin/shutdown
#halt:
x:
7:
0:
halt:
/sbin:
/sbin/halt
#mail:
x:
8:
12:
mail:
/var/spool/mail:
/sbin/nologin
#operator:
x:
11:
0:
operator:
/root:
/sbin/nologin
#games:
x:
12:
100:
games:
/usr/games:
/sbin/nologin
ftp:
x:
14:
50:
FTPUser:
/var/ftp:
/sbin/nologin
nobody:
x:
99:
99:
Nobody:
/:
/sbin/nologin
dbus:
x:
81:
81:
Systemmessagebus:
/:
/sbin/nologin
polkitd:
x:
999:
998:
Userforpolkitd:
/:
/sbin/nologin
avahi:
x:
70:
70:
AvahimDNS/DNS-SDStack:
/var/run/avahi-daemon:
/sbin/nologin
avahi-autoipd:
x:
170:
170:
AvahiIPv4LLStack:
/var/lib/avahi-autoipd:
/sbin/nologin
libstoragemgmt:
x:
998:
997:
daemonaccountforlibstoragemgmt:
/var/run/lsm:
/sbin/nologin
ntp:
x:
38:
38:
:
/etc/ntp:
/sbin/nologin
abrt:
x:
173:
173:
:
/etc/abrt:
/sbin/nologin
postfix:
x:
89:
89:
:
/var/spool/postfix:
/sbin/nologin
sshd:
x:
74:
74:
Privilege-separatedSSH:
/var/empty/sshd:
/sbin/nologin
chrony:
x:
997:
996:
:
/var/lib/chrony:
/sbin/nologin
nscd:
x:
28:
28:
NSCDDaemon:
/:
/sbin/nologin
tcpdump:
x:
72:
72:
:
/:
/sbin/nologin
nginx:
x:
996:
995:
nginxuser:
/var/cache/nginx:
/sbin/nologin
sysadmin:
x:
1000:
1000:
:
/home/sysadmin:
/bin/bash
safeadmin:
x:
1001:
1001:
:
/home/safeadmin:
/bin/bash
safecheck:
x:
1002:
1002:
:
/home/safecheck:
/bin/bash
如下图:
8.1.2注释掉不需要的组
[root@iZ886zdnu5gZ~]#cat/etc/group
root:
x:
0:
bin:
x:
1:
daemon:
x:
2:
sys:
x:
3:
#adm:
x:
4:
tty:
x:
5:
disk:
x:
6:
#lp:
x:
7:
mem:
x:
8:
kmem:
x:
9:
wheel:
x:
10:
cdrom:
x:
11:
#mail:
x:
12:
postfix
man:
x:
15:
dialout:
x:
18:
floppy:
x:
19:
#games:
x:
20:
tape:
x:
30:
video:
x:
39:
ftp:
x:
50:
lock:
x:
54:
audio:
x:
63:
nobody:
x:
99:
users:
x:
100:
utmp:
x:
22:
utempter:
x:
35:
ssh_keys:
x:
999:
systemd-journal:
x:
190:
dbus:
x:
81:
polkitd:
x:
998:
avahi:
x:
70:
avahi-autoipd:
x:
170:
libstoragemgmt:
x:
997:
ntp:
x:
38:
dip:
x:
40:
abrt:
x:
173:
stapusr:
x:
156:
stapsys:
x:
157:
stapdev:
x:
158:
slocate:
x:
21:
postdrop:
x:
90:
postfix:
x:
89:
sshd:
x:
74:
chrony:
x:
996:
nscd:
x:
28:
tcpdump:
x:
72:
nginx:
x:
995:
sysadmin:
x:
1000:
safeadmin:
x:
1001:
safecheck:
x:
1002:
8.2Windows操作系统未限制默认账户的访问权限
对重要文件夹进行访问限制,没有权限的系统默认账号是无法访问的,例如:
8.3数据库系统未限制默认账户的访问权限,未删除多余、过期和共享的账户
数据库已限制用户的访问,每个IP对应一个用户名
9审计范围应覆盖到服务器上的每个操作系统用户和数据库用户
9.1Centos操作系统未开启日志审计功能,审计范围未覆盖到每个用户,未使用第三方安全审计产品实现审计要求
开启日志日记进程(audit),审计覆盖到每个用户
9.2Windows操作系统审计日志未覆盖到用户所有重要操作
开启系统审计日志,如下图:
9.3数据库系统未开启审计进程;未使用第三方审计系统对系统进行操作审计,审计范围未覆盖到抽查的用户
数据库安装了第三方的审计插件。
macfee公司基于percona开发的mysql?
audit?
插件
10审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
10.1Centos审计内容未包括重要用户行为,系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
修改audit.rules,使审计内容包括:
用户重要行为、系统资源调用、文件访问和用户登录等
-w/var/log/audit/-kLOG_audit
-w/etc/audit/-pwa-kCFG_audit
-w/etc/sysconfig/auditd-pwa-kCFG_auditd.conf
-w/etc/libaudit.conf-pwa-kCFG_libaudit.conf
-w/etc/audisp/-pwa-kCFG_audisp
-w/etc/cups/-pwa-kCFG_cups
-w/etc/init.d/cups-pwa-kCFG_initd_cups
-w/etc/netlabel.rules-pwa-kCFG_netlabel.rules
-w/etc/selinux/mls/-pwa-kCFG_MAC_policy
-w/usr/share/selinux/mls/-pwa-kCFG_MAC_policy
-w/etc/selinux/semanage.conf-pwa-kCFG_MAC_policy
-w/usr/sbin/stunnel-px
-w/etc/security/rbac-self-test.conf-pwa-kCFG_RBAC_self_test
-w/etc/aide.conf-pwa-kCFG_aide.conf
-w/etc/cron.allow-pwa-kCFG_cron.allow
-w/etc/cron.deny-pwa-kCFG_cron.deny
-w/etc/cron.d/-pwa-kCFG_cron.d
-w/etc/cron.daily/-pwa-kCFG_cron.daily
-w/etc/cron.hourly/-pwa-kCFG_cron.hourly
-w/etc/cron.monthly/-pwa-kCFG_cron.monthly
-w/etc/cron.weekly/-pwa-kCFG_cron.weekly
-w/etc/crontab-pwa-kCFG_crontab
-w/var/spool/cron/root-kCFG_crontab_root
-w/etc/group-pwa-kCFG_group
-w/etc/passwd-pwa-kCFG_passwd
-w/etc/gshadow-kCFG_gshadow
-w/etc/shadow-kCFG_shadow
-w/etc/security/opasswd-kCFG_opasswd
-w/etc/login.defs-pwa-kCFG_login.defs
-w/etc/securetty-pwa-kCFG_securetty
-w/var/log/faillog-pwa-kLOG_faillog
-w/var/log/lastlog-pwa-kLOG_lastlog
-w/var/log/tallylog-pwa-kLOG_tallylog
-w/etc/hosts-pwa-kCFG_hosts
-w/etc/sysconfig/network-scripts/-pwa-kCFG_network
-w/etc/inittab-pwa-kCFG_inittab
-w/etc/rc.d/init.d/-pwa-kCFG_initscripts
-w/etc/localtime-pwa-kCFG_localtime
-w/etc/sysctl.conf-pwa-kCFG_sysctl.conf
-w/etc/modprobe.conf-pwa