1、啟明信息安全中心編號：基線檢查指導書基礎網絡安全-Linux 操作系統V1.0啟明信息安全中心啟明信息安全中心序號類別檢查項檢查方法預期結果符合情況檢查：份標識和鑒別機制采用何種措施實現；標識和鑒別；令或空口令重新登錄，觀察是否成功。手工檢查:root#pwdck -n ALL返回結果應為空；戶進行身份標識和鑒別；錯誤口令或空口令登錄時提示登錄失敗，驗證了登錄控制功能的有效性；身份鑒別方法二:在root權限下，使用命令#cat /etc/passwd #cat /etc/shadow操作系統不存在密碼為空的用戶。不易被冒用的特點，口令應有復雜度要求并定期更換；空的用戶名。手工檢查：1root#

2、cat /etc/login.defs配置密碼策略；啟用了系統口令復雜度策略，系統8以不符合復雜度要求和不符合長敗。序號類別檢查項檢查方法預期結果符合情況2合復雜度要求和不符合最小長度要求的口令創建用戶，查看是否成功。檢查:雜性要求。手工檢查：root制非法登錄次數和自動退出等措施；防止鑒別信息在網絡傳輸過程中被竊聽；#cat /etc/pam.d/system-auth查看該配置文件的內容，記錄system-auth 次數和自動退出結束會話的配置項。測試：試方法進行測試：作系統，觀察反應；檢查：遠程管理數據進行加密傳輸。手工檢查：操作系統已啟用登陸失敗處理、結當超過系統規定的非法登陸次數自動

3、斷開連接。SSH連接；議進行遠程管理；序號類別檢查項檢查方法明文。預期結果理的信息保密。符合情況的用戶名，確保用戶名具有唯一性。應采用兩種或兩種以上組合的鑒別技術對管理用手工檢查:1)應測試主要服務器操作系統， 的標識（如用戶名或UID，查看是否不會成功；2識和所刪除的用戶標識一樣（如用戶名/UID檢查：多人共用一個賬戶的情況。檢查:添加測試賬戶不會成功；情況；確保用戶名具有唯一性。用戶的認證方式選擇兩種或兩種以戶進行身份鑒別。檢查系統管理員詢問系統除用戶名口令外上組合的鑒別技術只用一種技術有無其他身份鑒別方式如生物鑒別令牌、 法認證成功。動態口令等，并手工檢查。檢查:資源的訪問；檢查系統管理

4、員詢問操作系統的重要文件及目錄是否根據實際環境設置了訪問控制策略。手工檢查:執行命令#ls -l合理設置了訪問控制策略。操作系統的重要文件及目錄已根據實際環境設置了訪問控制策略。序號類別檢查項檢查方法預期結果符合情況檢查:的權限分離，僅授予管理用戶所需的最小權限；要有哪些角色每個角色的權限是否相互制該有系統管理員和安全管理員安約、每個系統用戶是否被賦予相應的角色。審計員在有第三方審計工具時可以不要求。離；認帳戶，修改這些帳戶的默認口令；的存在。應對重要信息資源設置敏感標記；檢查：了該項要求。手工檢查:root#cat /etc/passwd查看默認賬戶是否已更名,并且是否已禁用來賓賬戶。手工檢

5、查：賬戶的存在。手工檢查：操作系統是否具備能對信息資源設置敏感標記功能；置敏感標記。操作系統除具有管理員賬戶外，至少還有專門的審計管理員賬戶，且他們的權限互斥。默認賬戶已更名，來賓賬戶已禁用。不存在多余、過期和共享賬戶。對重要信息資源已設置敏感標記。序號類別檢查項信息資源的操作。操作系統用戶和數據庫用戶；使用和重要系統命令的使用等系統內重要的安全相關事件；檢查方法檢查：權限等。手工檢查：1了第三方安全審計設備。手工檢查：root#ps -ef | grep syslog，和審計服務#ps -ef | grep auditd，預期結果符合情況通過敏感標記設定用戶對重要信息資源的訪問。系統開啟了安

6、全審計功能或部署了第三方安全審計設備。（戶登錄、退出）等設置。安全審計是否有效合理的配置了安全審計內手工檢查：標識、客體標識和結果等；1more#cat /etc/audit/auditd.conf #cat /etc/audit/audit.rules識、客體標識、事件的結果等手工檢查：應能夠根據記錄數據進行分析，并生成審計報表；audit能定期生成審計報表并包含必要審計要素。序號類別檢查項檢查方法syslog.conf確認是否記錄了必要的審計要素；計日志是否包括必要的審計要素；預期結果符合情況檢查：應保護審計進程，避免受到未預期的中斷；對審計進程已采取相關保護措施。檢查對審計進程監控和保護

7、的措施。檢查：檢查對審計記錄監控和保護的措施。例如：通過專用日志服務器或存儲設備對覆蓋等。通過專用日志服務器或存儲設備對審計記審計記錄進行備份，并避免對審計記錄進行備份并避免對審計記錄的修改刪錄的修改、刪除或覆蓋。除或覆蓋。檢查：應保證操作系統和數據庫系統用戶的鑒別信息所剩余信息全清除，無論這些信息是存放在硬盤上還是在內存保護中；檢查產品的測試報告、用戶手冊或管理方工具提供了相應功能。手工檢查：root#cat /etc/issue#cat /etc/1)若未刪除系統相關信息則不符合。查看是否清除系統相關信息。應確保系統內的文件、目錄和數據庫記錄等資源檢查：linux 默認會清除swap 中的

8、存儲內序號類別檢查項到完全清除。檢查方法容。檢查產品的測試報告、用戶手冊或管理手工具提供了相應功能。檢查，手工檢查:預期結果符合情況a) 應能夠檢測到對重要服務器進行入侵的行為，能IP的時間，并在發生嚴重入侵事件時提供報警；入侵防范b) 應能夠對重要程序的完整性進行檢測，并在檢到完整性受到破壞后具有恢復的措施；c) 操作系統應遵循最小安裝的原則，僅安裝需要的系統補丁及時得到更新。并對其進行分析。否具備報警功能。如:IDS。檢查，核查：檢查產品的測試報告、用戶手冊或管理手工具(例如：完整性檢查工具或安全防護工具)提供了相應功能。檢查：1)檢查系統管理員系統目前是否采取了最小安裝原則。手工檢查：嚴

9、重入侵事件時提供報警。工具(例如：完整性檢查工具或安全防護工具)增強該功能，則該項要求為不符合。了最小安裝的原則；不必要的服務沒有啟動；不必要的端口沒有打開；確認系統目前正在運行的服務4)系統補丁先測試，再升級；補丁號-status-all|grep查看并確認為較新版本。是否已經關閉危險的網絡服務如 echo、序號類別檢查項檢查方法預期結果符合情況shellloginfingerrtalkntalkpop-2SendmailImapd等。# rpm qa | greppatch丁升級方式和已安裝最新的補丁名稱。防范軟件版本和惡意代碼庫；品不同的惡意代碼庫；檢查，核查：新日期是否及時。檢查：檢查

10、系統管理員網絡防病毒軟件和主機防病毒軟件分別采用什么病毒庫。安裝了防病毒軟件，病毒庫經常更新，是最新版本。主機防惡意代碼產品與網絡防惡意代碼產品的惡意代碼庫不同。檢查：應支持防惡意代碼的統一管理。檢查防惡意代碼的管理方式，例如升級式。防惡意代碼統一管理，統一升級。資源控制a) 應通過設定終端接入方式、網絡地址范圍等條限制終端登錄；手工檢查：記錄/etc/hosts.deny、/etc/hosts.allow關配置參數。已設定終端登錄安全策略及措施，非授權終端無法登錄管理。序號類別檢查項檢查方法預期結果符合情況訪問控制策略、堡壘機策略等實現。手工檢查：應根據安全策略設置登錄終端的操作超時鎖定；查

11、看并記錄/etc/profile中的TMOUT環境TMOUT作超時時間。已在/etc/profile 中為 TMOUT 設置了合理的操作超時時間。應對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況；度；檢查，手工檢查：檢查系統管理員是否經常通過“系統資源監控器”或第三方監控平臺對重要服務器CPU情況進行監視。檢查：是否對單個用戶系統資源（CPU、內存、硬盤等）的最大或最小使用限度。監控平臺對重要服務器的的 CPU已針對系統資源控制的管理措施， 對單個用戶系統資源（CPU硬盤等）的最大或最小使用限度；在/etc/security/limits中已設定對單手工檢查：個用戶系統資源的最