ToB企服应用市场:ToB评测及商务社交产业平台
标题:
网络安全等级保护测评-安全计算环境-AIX-上篇
[打印本页]
作者:
吴旭华
时间:
2024-8-14 07:14
标题:
网络安全等级保护测评-安全计算环境-AIX-上篇
身份辨别
a)应对登录的用户进行身份标识和辨别,身份标识具有唯一性,身份辨别信息具有复杂度要求并定期更换;
测评过程;
1、现场核查是否对登录的用户进行身份辨别
登录操纵系统时,是否进行了身份验证,例如需要输入精确的账户、口令才能登录操纵系统则为符合,如果存在用户利用口令登录则为不符合;
2、现场核查用户身份标识是否具有唯一性
检察/etc/passwd文件,是否存在雷同uid的账户,不存在uid雷同的账户则为符合;
3、访谈当前root账户所利用的口令构成情况是否满足“长度不低于8位,是否包含大写字母、小写字母、数字、特别符号中的任意三种组合(4选3即可)”;满足上述要求则为符合;
4、检察/etc/security/user文件,口令复杂度要求及更换周期:(default为缺省配置,如果用户策略下也有以下的配置项,以用户下的配置为准)
maxage XX;口令可利用周期,以“周”为单位,小于90则符合,大于90或为0则不符合
maxexpried XX;口令到达利用周期后X天内必须更改口令
minalpha XX;口令必须包含X个字母,取值大于1则符合
minother XX;口令必须包含X个非字母字符,取值大于1则符合
minlen XX; 口令不得少于X个字符,取值大于8则符合
mindiff XX; 新口令与旧口令至少要X字符不雷同
max repeats XX;口令中字符重复出现的个数
histexpire XX;用户在xx期限内不能重用密码,以”周“为单位
histsize XX;定义新密码不能和之前几次的雷同
b)应具有登录失败处理功能,应配置并启用结束会话、限定非法登录次数和当登录连接超时自动退出等相干措施;
测评过程;
1、现场核查是否设置合理的登录失败处理策略
检察/etc/security/login.cfg文件:(锁定端口)
logindisable X;一连登录失败次数
logininterval X;规定时间内
loginreenable X;锁定时间
登录失败小于等于10次,锁定时间大于等于5min
检察/etc/security/user:(锁定账户)
loginretries X; 规定允许登录的可重试次数,不限定时间,累计到一定次数就锁定,不会自动解锁,需通过下令解锁
以上两种方式只要合理设置了此中一个则为符合;
2、现场核查是否设置合理的登录连接超时自动退出处理措施
检察/etc/profile,设置了超时自动退出功能;
TMOUT=X
c)当进行长途管理时,应采取必要措施防止辨别信息在网络传输过程中被窃听;
测评过程;
1、现场核查是否进行长途管理:
检察是否开启Telnet服务:
lssrc -t telnet (检察服务状态)
ps -ef | grep telnet(检察进程)
lsof -i:23 (检察端口)
检察是否开启SSH服务:
lssrc -t ssh (检察服务状态)
ps -ef | grep ssh (检察进程)
lsof -i:22 (检察端口)
2、现场核查辨别信息传输过程中是否加密:
仅开启并利用SSH进行长途管理,则为符合;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的辨别技术对用户进行身份辨别,且此中一种辨别技术至少应利用密码技术来实现。
测评过程;
1、是否采用两种及以上辨别技术:
现场核查是否采用口令、密码技术、生物技术等两种或两种以上组合的辨别技术;
2、此中一种辨别技术是否利用密码技术来实现:
除了口令验证外,是否采用了密码技术(如USBkey、证书等)进行身份辨别;
访问控制
a)应对登录的用户分配账户和权限;
测评过程;
1、通过下令检察/etc/passwd文件,检察操纵系统中的账户利用情况;
检察/etc/security/user文件,检察系统账户的权限,admin TRUE/FALSE,如果值为TRUE,则表示用户具有管理权限;核实操纵系统中存在的账户及权限,是否能够与实际利用人员一一对应
2、核查是否存在匿名账户,若存在,核查是否禁用或限定匿名账户的访问
b)应重命名或删除默认账户,修改默认账户的默认口令;
测评过程;
1、是否存在默认账户或易猜测账户:
检察/etc/passwd文件,检察操纵系统中的用户名,包括系统自带用户(如root、bin等)、后期安装服务自带的用户(mysql、oracle等)是否进行了重命名,不存在默认账户、易猜测账户则为符合;
2、默认账户或易猜测账户口令是否更改为复杂口令:
访谈管理员是否修改了默认账户的口令,或通过下令chage -l 用户名,检察账户口令更改日期,修改了默认账户的默认口令
c)应及时删除或停用多余的、过期的账户,制止共享账户的存在;
测评过程;
1、是否存在多余账户:
核查系统中的用户是否都配有专人管理,不存在多余的账户无人认领;操纵系统中的账户均有专人管理,不存在无人利用的账户则为符合;
2、是否存在过期的账户:
核查系统中是否存在因口令到期后未及时更换导致过期的账户;不存在过期的账户则为符合;
3、是否存在多人共用同一账户的情况:
核查系统中是否存在多人共同利用一个账号登录系统,不存在共享账户则为符合;
如通过堡垒机管理服务器,操纵系统中创建的用户供运维人员共同利用;
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
测评过程;
1、是否进行脚色划分:
核查操纵系统中是否创建了系统管理员账户、审计管理员账户、安全管理员账户;
2、管理用户的权限是否进行分离,各自的权限是否为任务所需的最小权限:
检察/etc/security/user文件,admin TRUE/FALSE;如果值为TRUE,则表示用户具有管理权限;
核查是否为审计管理员、安全管理员赋予了相应的管理权限,为各管理用户分配了各自所需的权限
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
测评过程;
1、核查是否由授权主体(如管理用户)负责配置访问控制策略:
核查具有管理权限的账户是否可以修改文件权限,管理用户可以修改文件权限控制平凡用户访问文件资源则为符合;
2、用户是否有可越权访问的情况
登录平凡用户进行测试,实行打开或编辑权限为600的文件,如果平凡用户不能进行读写操纵,则为符合
f)访问控制的粒度应到达主体为用户级或进程级,客体为文件、数据库表级;
测评过程;
检察系统重要文件权限,如配置文件/etc/secuiry/user、/etc/security/passwd等
ls -l /etc/secuiry/user;
ls -l /etc/security/passwd
检察对应文件权限是否设置合理,权限情况小于等于644均为符合范围,大于644则不满足要求;
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
测评过程;
检察是否采用第三方工具对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问,或在操纵系统中检察是否开启了强制访问模式。
安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户举动和重要安全变乱进行审计;
测评过程;
1、是否具有审计功能:
检察确认设备是否具备审计功能;
2、审计谋略是否开启:
实行下令ps -e | grep syslog,检察是否开启了日志服务;
实行下令audit query,检察是否开启审计功能;
如果同时开启了syslog、audit,则为符合;
3、审计对象是否全面:
检察/etc/syslog.conf文件中是否包含
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages;(info级别的信息)
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages;
4、是否对重要的用户举动和重要安全变乱进行审计,审计范围有哪些:
检察日志内容:/etc/log/message、/etc/security/audit/events日志文件中对应的审计日志内容
b)审计记载应包括变乱的日期和时间、用户、变乱类型、变乱是否乐成及其他与审计相干的信息;
测评过程;
检察/var/log/messages、 /var/adm/messages文件,为系统日志文件
检察/etc/security/audit/events、/etc/security/audit/objects文件,重要记载安全变乱
审计记载包含哪些,是否包含时间的日期和时间、用户、变乱类型、时间是否乐成等其他与审计相干的信息
c)应对审计记载进行保护,定期备份,制止受到未预期的删除、修改或覆盖等;
测评过程;
1、审计记载会受到未预期的删除、修改或覆盖:
检察日志文件权限,实行下令
ls -l /etc/log/message
ls -l /var/adm/messages
ls -l /etc/security/audit/events
ls -l /etc/security/audit/objects
文件权限应不大于644
2、审计记载是否定期备份:
访谈管理员是否具有做日志备份,如果系统中有日志审计系统,则在日志审计系统资产中检察是否有此台设备,并检察是否收纳了此台设备的日志,对于没有日志审计系统的,则检察当前设备是否设置了crontab定时操持实现脚本备份
3、审计记载留存时间是否大于6个月:
利用head -10 /var/log/message下令,检察各日志文件头10行日志记载的时间,留存时间大于6个月;
d)应对审计进程进行保护,防止未经授权的停止。
测评过程;
测试审计进程能否受到未经授权的停止:
利用平凡用户实行下列下令:
audit shutdown
stopsrc -s syslogd
检察未经授权的用户是否可以关闭审计进程
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)
Powered by Discuz! X3.4