El sistema operativo Linux en un entorno informático seguro

El sistema operativo Linux en un entorno informático seguro

1. Identificación

a) El usuario que inicia sesión debe estar identificado y autenticado. La identificación es única y la información de identificación tiene requisitos de complejidad y se reemplaza periódicamente.

"1) Entreviste al administrador del sistema si el usuario del sistema ha establecido una contraseña y verifique si la cuenta del sistema usó la contraseña para verificar el inicio de sesión durante el proceso de inicio de sesión.
2) Después de iniciar sesión en el sistema operativo como una cuenta autorizada, use el comando más para ver el archivo / etc / shadow, verifique si hay una cuenta de contraseña vacía en el sistema
3) Use el comando more para ver el archivo / etc / login. defs para ver si la longitud de la contraseña y los requisitos de reemplazo regulares están configurados
#más / etc / login. defs
Use el comando more para ver el archivo /etc/pam.d / system-auth. Verifique la longitud de la contraseña y los requisitos de complejidad
4) Verifique si existe un riesgo de seguridad que se pueda eludir mediante el bypass o las medidas de autenticación de identidad "

"1) El inicio de sesión requiere una contraseña
2) No hay una cuenta de contraseña vacía
3) Se obtiene información de retroalimentación similar, como sigue:
PASS MAX_DAYS 90 #La contraseña de inicio de sesión es válida por 90 días
PASS MIN_DAYS 0 # El tiempo mínimo de modificación de la contraseña de inicio de sesión puede ser aumentado para evitar que los usuarios ilegales cambien más en el corto plazo Tiempos
PASS MIN_LEN 7 #La longitud mínima de la contraseña de inicio de sesión es de 7 dígitos
PASS WARN_AGE 7 #La contraseña de inicio de sesión vence 7 días antes para solicitar la modificación
4) No hay riesgo de eludir "

b) Con la función de procesamiento de fallas de inicio de sesión, se deben configurar y habilitar medidas relevantes como finalizar la sesión, limitar el número de inicios de sesión ilegales y cerrar sesión automáticamente cuando se agote el tiempo de espera de la conexión de inicio de sesión.

"1) El sistema está configurado y la función de manejo de fallas de inicio de sesión está habilitada.
2) Inicie sesión en Linux como root y vea el contenido del archivo:
cat /ete/pam.d/system -auth o en el archivo común según la versión de Linux
3) Ver / etc La variable de entorno TIMEOUT en / profile, si desea configurar el parámetro de bloqueo de tiempo de espera
"

"Se obtiene información de retroalimentación similar, de la siguiente manera:
1) y 2) Verifique los parámetros relevantes de la función de manejo de fallas de inicio de sesión, que existen en el archivo /etc/pam.d/system-auth" "Se requiere la cuenta / lib / security / pam_tally.so deny = 3
no_ magic root reset "";
3) Registre el parámetro de bloqueo de tiempo de espera establecido en el archivo / etc / profile, configure TMOUT = 300s "en el perfil

c) Al realizar la gestión remota, se deben tomar las medidas necesarias para evitar que la información de autenticación sea interceptada durante la transmisión de la red.

"Entreviste a los administradores del sistema para la administración remota.
1) Inicie sesión en Linux como root para verificar si el servicio sshd se está ejecutando, service-status-all | grep sshd para
verificar si los puertos relevantes están abiertos, netstat -an | grep 22
si no Use SSH para la administración remota, verifique si Telnet se usa para el
servicio de administración remota - status-all | grep en ejecución, verifique si hay un servicio Telnet
2) Puede usar una herramienta de captura de paquetes como Wireshark para verificar si el protocolo está encriptado
3) Gestión local, N / A ”

"1) Utilice SSH para la administración remota para evitar que la información de autenticación sea escuchada durante la transmisión. Telnet no cumple con el valor predeterminado.
2) A través de la herramienta de captura de paquetes, la información interceptada es texto cifrado y no se puede leer, y el protocolo es encriptado
3) N / A gestión local "

d) Deben usarse dos o más combinaciones de tecnologías de autenticación, como contraseñas, técnicas criptográficas y biotecnología para autenticar a los usuarios, y una de las técnicas de autenticación debe usar al menos técnicas criptográficas para lograr

Entreviste y verifique qué métodos de autenticación de identidad utiliza el administrador del sistema al iniciar sesión en el sistema operativo, y si se utilizan dos o más combinaciones de tecnologías de autenticación, como el certificado de enseñanza de contraseñas Ukey, tokens, huellas dactilares, etc., y si hay uno El método de autenticación utiliza tecnología criptográfica en el proceso de autenticación

Además de la contraseña, se adopta otro mecanismo de autenticación. Este mecanismo utiliza tecnología criptográfica, como llamar a una máquina criptográfica o adoptar algoritmos como SM1-SM4.

2. Control de acceso

a) Las cuentas y los permisos deben asignarse al usuario que inició sesión ;

"Inicie sesión en Linux con la autoridad correspondiente y use el comando" 1s-1 file name "para verificar si la configuración de autoridad de archivos y directorios importantes es razonable, como: # 1s -1 / etc / passwd # 744.
"

"Concéntrese en verificar si los permisos de los siguientes archivos y directorios están configurados correctamente.
-Rw ------- (600) Solo el propietario tiene permisos de lectura y escritura.
-Rw-r - r-- (644) Solo el propietario tiene permisos de lectura y escritura; y los usuarios del grupo y otros usuarios solo tienen permisos de lectura.
-Rwx ------ (700) Solo el propietario tiene permisos de lectura, escritura y ejecución.
-Rwxr-xr-x ( 755) El propietario tiene permisos de lectura, escritura y ejecución; los usuarios de grupo y otros usuarios solo tienen permisos de lectura y ejecución.
-Rwx – x - x (711) El propietario tiene permisos de lectura, escritura y ejecución; usuarios de grupo y otros los usuarios solo tienen permisos de ejecución
-rw- rw-rw- (666) Todos los usuarios tienen permisos de lectura y escritura de archivos
-rwxrwxrwx (777) Todos los usuarios tienen permisos de lectura, escritura y ejecución.

Permisos detallados de linux: https://blog.csdn.net/qq_39131177/article/details/85060694 El
valor del permiso del archivo de configuración no puede ser mayor que 644, y para los archivos ejecutables no puede ser mayor que 755 "

b) La cuenta predeterminada debe cambiarse de nombre o eliminarse, y la contraseña predeterminada de la cuenta predeterminada debe modificarse

"1) Inicie sesión en Linux con la autoridad correspondiente, use más para ver el archivo / etc / shadow y verifique el usuario en el archivo, si hay adm, lp. Sync, shutdown, halt., Mail, uucp, operator ,, juegos., Gopher ftp y otros usuarios predeterminados e inútiles.
2) Compruebe si la cuenta de root puede iniciar sesión de forma remota "

"1) No hay una cuenta inútil predeterminada.
2) Use más para ver el parámetro" PermitRootLogin "en el archivo / etc / ssh / sshd_config y establezca el parámetro en" no ", es decir: PermitRootLogin no, es decir, root remoto no se permite el inicio de sesión.

c) Eliminar o deshabilitar cuentas redundantes y vencidas a tiempo para evitar la existencia de cuentas compartidas;

"1) Verifique si hay cuentas redundantes o caducadas. Por ejemplo, verifique si las cuentas predeterminadas del sistema, como juegos, noticias, ftp, 1p, están deshabilitadas y si las cuentas con privilegios detenidos y apagados se han eliminado.
2) Entrevistar a los administradores de red , administradores de seguridad, etc. ¿Los diferentes usuarios del administrador del sistema utilizan diferentes cuentas para iniciar sesión en el sistema?

"1) Deshabilite o elimine cuentas predeterminadas del sistema innecesarias, como juegos, noticias, ftp, 1p, detener, apagar, etc.
2) Todos los tipos de administradores usan sus permisos específicos asignados para iniciar sesión, y no hay cuentas redundantes o caducadas
"
d) Debería otorgarse la autoridad mínima requerida al usuario de gestión para realizar la separación de la autoridad del usuario de gestión;

"1) Inicie sesión en Linux con la autoridad correspondiente, use más para ver los usuarios no predeterminados en el archivo / etc / passwd y solicite la autoridad de cada cuenta, ya sea para lograr la separación de autoridad del usuario de administración
2 ) Inicie sesión con la autoridad correspondiente Linux, use más para ver el archivo /etc/sudo.conf para verificar qué cuentas se otorgan a los usuarios de nivel raíz "

"
1) Cada usuario tiene la autoridad mínima y no se superpone con la autoridad de otros usuarios. El dispositivo puede admitir la función de crear un nuevo rol multiusuario.
2) La autoridad de administrador solo se asigna al usuario raíz"

e) El sujeto autorizado debe configurar la estrategia de control de acceso, y la estrategia de control de acceso estipula las reglas de acceso del sujeto al objeto;

"1) Entreviste al administrador del sistema, si desea designar a una persona autorizada para configurar la autoridad de control de acceso del sistema operativo
2) Verifique la configuración de la autoridad de la cuenta, y si desea configurar las reglas de acceso de cada cuenta de acuerdo con la política de seguridad"

"1) Un oficial de seguridad dedicado es responsable de la autorización de la autoridad de control de acceso.
2) La configuración de la autoridad de cada cuenta se basa en la configuración de la política de seguridad del oficial de seguridad para el control de acceso"

f) La granularidad del control de acceso debe alcanzar el nivel de usuario o nivel de proceso como sujeto, y el nivel de archivo y tabla de base de datos como objeto;

Use el comando "ls -1 file name" para verificar si los permisos de los archivos y directorios importantes son razonables, como: #ls -1 / etc / passwd # 744, debe concentrarse en verificar si los permisos de los siguientes archivos y los directorios han sido modificados

El usuario de administración asigna la autoridad de acceso del usuario para configurar y accede a varios archivos y niveles de tabla de base de datos de acuerdo con la estrategia de control de acceso. Los archivos importantes y los permisos de directorio están dentro de un rango razonable, los usuarios pueden operar de acuerdo con diferentes permisos en los archivos

g) Establecer marcas de seguridad para sujetos y objetos importantes, y controlar el acceso del sujeto a los recursos de información con marcas de seguridad;

"1) Deje en claro si hay información confidencial en el sistema
2) Divida el nivel del usuario o proceso del sujeto y establezca marcas sensibles, y establezca marcas sensibles en los archivos del objeto
3) Pruebe si el control de acceso obligatorio del sujeto al objeto se controla en función de las marcas de seguridad del sujeto y del objeto Estrategia
4) Inicie sesión en Linux con los permisos correspondientes, use más para ver la configuración de los parámetros SELINUX en el archivo / etc / selinux / config "

"El servidor Linux desactiva el servicio SELinux de forma predeterminada. O adopta un host de terceros para reforzar el sistema o volver a desarrollar y reforzar el kernel del sistema operativo, y realmente ver la interfaz visual del sistema.
SELINUX tiene tres modos de trabajo, a saber:
hacer cumplir: modo obligatorio Violación de las reglas de SELinux El comportamiento de será bloqueado y registrado en el log indicando que se utiliza SELinux
permisivo: modo permisivo Los comportamientos que violen las reglas de SELinux solo se registrarán en el log, generalmente con fines de depuración, indicando el uso de SELinux deshabilitado: apague SELinux, use SELinux "

3. Auditoría de seguridad

a) La función de auditoría de seguridad debe estar habilitada, y la auditoría cubre a todos los usuarios, y se auditan los comportamientos importantes de los usuarios y los eventos de seguridad importantes;

"1) Inicie sesión en Linux como root y verifique el proceso de servicio
2) Si el servicio de auditoría de seguridad se está ejecutando, verifique si el demonio de auditoría de seguridad es normal
#ps -ef | grep auditd
3) Si la función de auditoría de seguridad del sistema no está habilitada , confirme si desea implementar herramientas de auditoría de seguridad de terceros
4) para iniciar sesión en Linux como configuración de evento de seguridad de vista raíz: #gerep "@ PRIV-OPS" "/etc/audit/filter.conf
...
Más / etc / audit / audit.rules
... "

"1) El contenido del proceso de auditoría es el siguiente:
[root @ localhost april] # service auditd status auditd (pid 1656) está ejecutándose ...
[root @ localhost april] # service rsyslog statusr syslogd (pid 1681) está ejecutándose ...
[root @ localhost april] #
2) El servidor Linux
habilita el demonio por defecto. 3) Audit.rules registra registros relacionados de archivos y llamadas de bajo nivel, y los eventos de seguridad registrados son más completos "

b) El registro de auditoría debe incluir la fecha y hora del evento, el usuario, el tipo de evento, si el evento fue exitoso y otra información relacionada con la auditoría;

Inicie sesión en Linux con los permisos adecuados, use el comando "ausearch-ts today", donde -ts registra después del tiempo especificado, o el comando "tail -20 /var/log/audit/audit.log" para ver el registro de auditoría

Los registros de auditoría deben incluir la fecha, hora, tipo, identificación del sujeto, identificación del objeto y resultados del evento.

c) Los registros de auditoría deben protegerse y respaldarse periódicamente para evitar borrados, modificaciones o sobrescrituras inesperados;

"Entreviste el almacenamiento de registros de auditoría, las medidas de respaldo y protección, ya sea para enviar registros del sistema operativo al servidor de registros con regularidad y usar sylog o smp para enviar los registros al servidor de registros.
Si el servidor de registros está implementado, inicie sesión en el servidor de registros para ver si el registro del sistema operativo está dentro del alcance de la recopilación
"

Los registros del sistema operativo se respaldan con regularidad y los registros de almacenamiento local se reenvían regularmente al servidor de registros.

d) El proceso de auditoría debe protegerse para evitar interrupciones no autorizadas;

"1) Medidas de entrevista para monitorear y proteger el proceso de auditoría.
2) Probar el uso de auditores que no sean de seguridad para interrumpir el proceso de auditoría y verificar si los derechos de acceso del proceso de auditoría están configurados correctamente.
3) Verificar si hay un tercero -sistema de la parte que audita el sistema operativo bajo prueba. Para monitorear y proteger "

"Los no auditores no pueden modificar el proceso de auditoría.
Se implementa una herramienta de auditoría de terceros, que puede registrar el registro de auditoría en tiempo real y el administrador no puede eliminar el registro".

4. Prevención de intrusiones

a) Se debe seguir el principio de instalación mínima y solo se deben instalar los componentes y aplicaciones requeridos;

"1) Entreviste si se siguió el principio mínimo de instalación al instalar el sistema y consulte el manual de instalación.
2) Utilice el comando" yum list installed "" para ver los paquetes instalados en el sistema operativo y pregunte si actualmente no se necesitan componentes y aplicaciones "

"1) La instalación del sistema sigue el principio de instalación mínima
2) No hay componentes ni aplicaciones que no sean necesarios para el negocio"

b) Deberían cerrarse los servicios del sistema innecesarios, el uso compartido predeterminado y los puertos de alto riesgo;

"1) Inicie sesión en L.inux con la autoridad correspondiente, utilice el comando" "service-status-all | grep running" "para comprobar si se ha cerrado el servicio de red peligroso
2) Inicie sesión en L.inux con la correspondiente autoridad, use el comando "netstat -ntlp" para verificar y confirmar si todos los puertos abiertos son necesarios para el negocio, y si los puertos no esenciales se han cerrado. No hay problema de compartir con L.inux.

"1) Apague los servicios redundantes, los servicios peligrosos y los procesos en el sistema
2) Apague los puertos redundantes"

c) El terminal de gestión gestionado a través de la red debería restringirse estableciendo el modo de acceso al terminal o el rango de direcciones de la red;

"Compruebe si hay" ALL: ALL "en /etc/hosts.deny y prohíba todas las solicitudes: En /etc/hosts.allow, si existe la siguiente configuración (por ejemplo):
sshd: 192.168.1.10/255. 255. 255. 0
2) Si utilizar el cortafuegos para establecer la restricción en el terminal de acceso "

"1) Utilice más para comprobar si existen las siguientes configuraciones en /etc/hosts.allow para restringir IP y sus métodos de acceso, como (por ejemplo): ssbd; 192. 168. 1.10 / 255.255 255.0
2) Método de acceso al terminal , rango de direcciones de red Restricciones tales como condiciones. A través de métodos de operación y mantenimiento como RADUS., host bastión, ciudad de seguridad, firewall, etc., se implementan restricciones en los métodos de entrada de terminales ".

d) Se debe proporcionar la función de verificación de validez de datos para garantizar que la entrada de contenido a través de la interfaz hombre-máquina o mediante la interfaz de comunicación cumpla con los requisitos de configuración del sistema;
este elemento no es adecuado y este elemento generalmente se implementa en el sistema de aplicación.

e) Debería poder encontrar posibles vulnerabilidades conocidas y reparar las vulnerabilidades de manera oportuna después de pruebas y evaluaciones suficientes;

"1) Verifique el informe de escaneo de agujeros auto-inspeccionado o el informe de vulnerabilidad de inspección de terceros, si hay vulnerabilidades de alto riesgo
2) ¿Existe un entorno de prueba de vulnerabilidad en el sistema y cuál es el mecanismo y proceso de actualización del parche?
3 ) Entreviste el mecanismo de actualización del parche, compruebe el estado de instalación del parche: #rpm -qa grep patch ”

"1 Hay un equipo de operación y mantenimiento que regularmente realiza escaneos de vulnerabilidades, encuentra riesgos de seguridad y los repara de manera oportuna
2) 3) El parche se actualiza a la última hora, y el parche se controla y administra".

f) Debería poder detectar la intrusión de nodos importantes y proporcionar una alarma cuando se produzca un evento de intrusión grave;

"1) Entreviste y visualice las medidas de detección de intrusos, como los siguientes comandos para verificar pistas importantes de intrusión (probando Telnet.FTP, etc.), que involucran el comando" #more / var / log / secure | grepjected ""
2) Compruebe si está habilitado. Configure el firewall del host, el mecanismo de protección TCP SYN, etc.
3) Entreviste al administrador del sistema si el software de detección de intrusiones del host está instalado. Verifique la intrusión del host instalado, verifique la configuración del sistema y si tiene la función de alarma. Comando ejecutable: find / -namie -print Verifique si el software de detección de intrusiones del host está instalado, como Dragon Squire de Enterasys Networks, ITA de Symantec. Hostsentry de Psionic Software. Logcheck de Psiomc Software. RealSecure-agent de ISS
4) Ver red Figura de topología, compruebe si un sistema de detección de intrusiones en la red, como IDS, está implementado en la red

"1) Se niegan todas las rutas importantes de intrusión
2) Habilite la configuración relacionada con el firewall del host
3) Instale el equipo IDS basado
en el host 4) Si el equipo IDS del host no está implementado en el host, puede verificar si es IDS o IPS en la red enlace. En caso de intrusión, registre las medidas de alarma, etc. "

5. Prevención de códigos maliciosos

a) Deben adoptarse medidas técnicas contra ataques de códigos maliciosos o mecanismos de verificación de confianza inmunológica activa para identificar intrusiones y comportamientos de virus de manera oportuna y bloquearlos de manera efectiva;

"1) Verifique qué software antivirus está instalado en el sistema operativo, entreviste al administrador si la base de datos de virus se actualiza con frecuencia, verifique la última versión de la base de datos de virus y si la fecha de actualización es más de una semana
2) Verifique si el el sistema implementa un mecanismo de verificación confiable y se pueden probar los programas, las aplicaciones y los archivos / parámetros de configuración importantes para una ejecución confiable "

"1) Se implementa la versión de red del software antivirus, la base de datos de virus está actualizada y se admite la administración unificada de códigos antimalware.
2) Se implementa el mecanismo de verificación de confianza inmune activa, que puede bloquear la intrusión de la responsabilidad de la enfermedad en el tiempo ".

6. Verificación confiable

a) Con base en la raíz de confianza, se puede confiar en el programa de arranque del sistema, el programa del sistema, los parámetros de configuración importantes y el programa de aplicación del dispositivo informático para su verificación, y se puede realizar una verificación confiable dinámica en el enlace de ejecución de claves de la aplicación. a la policía después de que se dañe la seguridad, y formar un registro de auditoría del resultado de la verificación y enviarlo al centro de gestión de seguridad;

"
1) Verifique el inicio del servidor, si se da cuenta del proceso de detección de verificación creíble, verifique qué programa de inicio del sistema, programa del sistema o parámetros de configuración importantes son confiables para verificar
2) Modifique uno de los programas importantes del sistema y uno de los programas de aplicación, Verifique si puede ser detectado y alarmado
3) Si el resultado de la verificación se forma en un registro de auditoría y se envía al centro de gestión de seguridad "

"L) El servidor tiene un chip o hardware de raíz de confianza
2) El proceso de inicio se basa en la raíz de confianza para realizar métricas de verificación confiables en los programas de inicio del sistema, programas del sistema, parámetros de configuración importantes y aplicaciones clave, etc. .
3) Cuando se detecta que su credibilidad se ve afectada Después de la destrucción, se emite una alarma, y el resultado de la verificación se forma en un registro de auditoría y envía al centro de gestión de la seguridad
4) el centro de gestión de seguridad puede recibir el registro de resultado de verificación del equipo "

7. Integridad de los datos

a) Se debe utilizar tecnología de verificación o tecnología criptográfica para garantizar la integridad de los datos importantes durante la transmisión, incluidos, entre otros, datos de autenticación, datos comerciales importantes, datos de auditoría importantes, datos de configuración importantes, datos de video importantes e información personal importante, etc. ;

b) Se debe utilizar tecnología de verificación o tecnología criptográfica para garantizar la integridad de los datos importantes en el proceso de almacenamiento, incluidos, entre otros, datos de autenticación, datos comerciales importantes, datos de auditoría importantes, datos de configuración importantes, datos de video importantes e información personal importante. etc .;

8. Confidencialidad de los datos

a) Se debe utilizar tecnología de cifrado para garantizar la confidencialidad de los datos importantes durante la transmisión, incluidos, entre otros, datos de autenticación, datos comerciales importantes e información personal importante, etc .;

b) Se debe utilizar tecnología de cifrado para garantizar la confidencialidad de los datos importantes en el proceso de almacenamiento, incluidos, entre otros, datos de autenticación, datos comerciales importantes e información personal importante, etc .;

9. Copia de seguridad y recuperación de datos

a) Deben proporcionarse funciones de copia de seguridad y recuperación de datos locales de datos importantes;

b) Debe proporcionarse la función de respaldo remoto en tiempo real, y la red de comunicación debe usarse para respaldar datos importantes en el sitio de respaldo en tiempo real;

c) Debe proporcionarse la redundancia térmica del importante sistema de procesamiento de datos para garantizar la alta disponibilidad del sistema;

"1) Entreviste a los administradores de sistemas sobre qué sistemas de procesamiento de datos importantes son sistemas de procesamiento de datos importantes, si los sistemas de procesamiento de datos importantes tienen mecanismos de respaldo, ya sea que utilicen respaldos de sitios de respaldo en caliente locales o respaldos de asistencia mutua para actividades remotas.
2) Verifique la lista de equipos y si los sistemas de procesamiento de datos importantes utilizan un servidor Hot Standby "

"1) Realice una copia de seguridad periódica de los datos importantes, como datos de usuario, datos de autenticación, etc., y realice una copia de seguridad en el área local mediante cinta.
2) Para equipos importantes, adopte métodos de alta disponibilidad como copia de seguridad en caliente, agrupación en clústeres y carga. equilibrio ".

10. Protección de la información restante

a) Debe asegurarse que el espacio de almacenamiento donde se encuentra la información de autenticación esté completamente despejado antes de ser liberado o reasignado;

b) Debería asegurarse de que el espacio de almacenamiento que contiene datos sensibles se borre por completo antes de ser liberado o reasignado;

11. Protección de la información personal

a) Solo se debe recopilar y almacenar la información personal del usuario necesaria para el negocio, lo
cual no es adecuado y este requisito generalmente se verifica en el sistema de aplicación.
b) Debe prohibirse el acceso no autorizado y el uso ilegal de la información personal del usuario, lo
cual no es adecuado y este requisito generalmente se verifica en el sistema de aplicación.