身份鉴别a
要求项
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
结果记录
1、登录用户需要输入用户名和口令进行身份鉴别;
2、所有用户的用户名和UID均唯一;
3、查看etc/login.defs有如下配置:PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 ;4、未设置口令复杂度策略;5、当前用户口令均为复杂口令,包括大小写字母、数字和字符,未定期更换口令。
整改步骤
- 修改/etc/login.defs,配置以下参数
PASS_MAX_DAYS 90 # 口令最长使用期限为90天
PASS_MIN_DAYS 1 # 口令最短使用期限为1天
PASS_MIN_LEN 8 # 口令最小长度为8位
PASS_WARN_AGE 7 # 口令过期警告天数
密码有效期
vim /etc/login.defs
- 修改/etc/pam.d/system-auth,在原来的password requisite下面添加一行配置以下参数
password requisite pam_cracklib.so minlen=8 ucredit= -1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
密码复杂度配置
vim /etc/security/pwquality.conf
验证有效的方法
输入命令
passwd 用户名
身份鉴别b
要求项
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
结果记录
1、经查看登录失败处理功能相关参数:文件中存在“auth required pam_env.so
auth required pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=60”;
2、未设置登录超时退出时间。
整改步骤
-
修改/etc/pam.d/system-auth,找到password required新增
#连续登录失败5次锁定5分钟(root用户锁定5分钟)
password required pam_tally2.so deny=5 unlock_time=300 even_dney_root root_unlock_time=300 -
修改/etc/profile,在原来的文件末尾加一行配置以下参数
#登录连接超时5分钟自动退出
export TMOUT=30
验证有效的方法
新建会话,等待/操作即可验证
访问控制a
要求项
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离。
结果记录
1、系统已划分不同管理角色,设置了系统管理员账户,安全员账户等账户;
2、未设置审计员账户;
3、存在系统管理员账户拥有所有权限,未实现账户权限分离。
整改步骤
- 创建审计用户命令
useradd auditor
passwd auditor
设置权限控制 setfacl -m u:auditor:rx /*
修改/etc/sudoers ,文末增加一行
auditor ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head - 创建操作用户lin
useradd lin
passwd lin
验证有效的方法
登录auditor用户, 执行sudo tail /var/log/messages查看日志
访问控制b
要求项
应重命名或删除默认账户,修改默认账户的默认口令;
结果记录
1、查看etc/passwd及etc/shadow文件,多余的默认账户已禁用或禁止登录;
2、未重命名默认管理员账户root;
3、已修改默认账户口令。
整改步骤
禁止root用户ssh远程登陆,该整改前,一定要先整改“访问控制a”,用于创建可以登陆的其他用户,而且一定要先尝试一下lin用户能不能通过堡垒机登陆,如果能登陆,就可以开始整改。
第一步:执行命令
vi /etc/ssh/sshd_config
在该文件的大概第36行附近,把
PermitRootLogin yes
改成
PermitRootLogin no
保存退出,重启ssh服务
service sshd restart
第二步:重启ssh服务后,切记不要退出或者关闭当前root用户的的会话,回到堡垒机用lin用户在堡垒机另外尝试登陆,登陆后如果切换到root用户,可输入
su root
成功切换,则以上设置成功,如果失败,回到root用户所在的会话,根据失败提示修改相关内容。
第三步:禁用多余默认账户,输入命令
su root
vim /etc/passwd
把默认的sync、shutdown、halt三个默认账号的黄颜色部分,改成
:/sbin/nologin
如下图
验证有效的方法
列出所有可以登陆的管理员账号命令
cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1
已无多余默认用户
访问控制c
要求项
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离。
结果记录
1、系统已划分不同管理角色,设置了系统管理员账户,安全员账户等账户;
2、未设置审计员账户;
3、存在系统管理员账户拥有所有权限,未实现账户权限分离。
整改步骤
在“访问控制a”已经创建了auditor和lin用户,并设置了权限,因此本项已经整改。
验证有效的方法
登录auditor用户, 执行sudo tail /var/log/messages查看日志
安全审计a
要求项
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
结果记录
1、审计进程rsyslogd和auditd运行正常,审计范围覆盖到所有用户;
2、rsyslog.conf包含类似于以下值:
*.info;mail.none;news.none;authpriv.none;cron.none
/var/log/messages /var/log/secure /var/log/maillog /var/log/cron;能够包括用户行为、系统资源异常使用、重要系统命令使用的事件日志;
3、查看/etc/audit/audit.rules,未配置audit审计规则。
整改步骤
-
已开启rsyslogd和auditd进程
systemctl status rsyslog
systemctl status auditd -
配置audit规则,修改/etc/audit/rules.d/audit.rules文件
vi /etc/audit/rules.d/audit.rules
添加以下数据
#监视sysconfig
-w /etc/sysconfig -p rwxa
#监视审计配置文件
-w /etc/rsyslog.conf -p rwxa
-w /etc/audit/audit.rules -p rwxa
-w /etc/audit/auditd.conf -p rwxa
#监视密码文件
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p rwxa
#监视环境文件
-w /etc/profile -p wa
-w /etc/bashrc -p wa
重启审计服务生效
systemctl restart auditd
验证有效的方法
auditctl -l可查看审计规则是否生效
安全审计c
要求项
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
结果记录
1、查看日志文件及配置文件权限设置如下:
/var/log/messages 640
/var/log/secure 640
/var/log/audit/audit.log 640
/etc/rsyslog.conf 640
/etc/audit/audit.conf 640;
2、本地留存时间超过6个月;
3、未配置日志服务器对审计记录进行保护。
整改步骤
- 相关文件授权640
chmod 640 /var/log/messages
chmod 640 /var/log/secure
chmod 640 /var/log/audit/audit.log
chmod 640 /etc/rsyslog.conf
chmod 640 /etc/audit/auditd.conf
- 进行本地日志备份,备份路径/var/log与相关conf文件到/var/log_bak。周期为每日
cd /var/
mkdir log_bak
cd log_bak
vi autobak.sh
在文件里加入以下内容
#!/bin/sh
cd /var/log_bak/
mkdir temp
cp /var/log/messages /var/log_bak/temp/messages
cp /var/log/secure /var/log_bak/temp/secure
cp /var/log/audit/audit.log /var/log_bak/temp/audit.log
cp /etc/rsyslog.conf /var/log_bak/temp/rsyslog.conf
cp /etc/audit/auditd.conf /var/log_bak/temp/auditd.conf
filename=`date +%Y_%m_%d`
zip log$filename.zip temp/*
rm -rf temp
find /var/log_bak/ -name "*.zip" -type f -mtime +360 -exec rm {} \; > /dev/null 2>&1
设置改文件的权限
chmod 777 autobak.sh
输入命令
vi /etc/crontab
添加自动执行规则一行
00 0 * * * root /var/log_bak/autobak.sh
最后重启crontab
service crond restart
验证有效的方法
隔天登陆查看/var/log_bak/是否生成新日志备份文件
入侵防范e
要求项
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
f)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
结果记录
未定期进行漏洞扫描。
操作系统未安装防恶意代码软件。
整改步骤
验证有效的方法
如上图
可信验证
要求项
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
结果记录
未采取基于可信根对计算设备的系统引导程序、系统程序、重要配合参数和应用程序等进行可信验证。
整改步骤
购买https可信根证书
验证有效的方法
数据备份恢复a
要求项
a) 应提供重要数据的本地数据备份与恢复功能;
结果记录
未定期备份操作系统的重要数据,未定期进行恢复测试。
整改步骤
向厂家申请对系统进行快照备份;定期对备份数据进行恢复测试,保证备份数据的可用性。根据需要购买相关备份服务。
验证有效的方法
数据备份恢复b
要求项
b) 应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。
结果记录
未实现异地数据备份功能。
整改步骤
向厂家申请对系统进行快照备份并异地存储;定期对备份数据进行恢复测试,保证备份数据的可用性。根据需要购买相关备份服务。
验证有效的方法
剩余信息保护
要求项
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
结果记录
操作系统无法实现鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
整改步骤
该项暂不整改:目前暂未找到适合的方法途径整改文章来源:https://www.toymoban.com/news/detail-833940.html
验证有效的方法
其中部分中风险不可整改,部分不建议更改,对等保不影响(高风险才扣分)。文章来源地址https://www.toymoban.com/news/detail-833940.html
到了这里,关于麒麟/Linux/centOS服务器等保测评漏洞整改方法的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!