Linux操作系統(tǒng)脆弱性識別用例

本文格式為Word版，下載可任意編輯——Linux操作系統(tǒng)脆弱性識別用例1.1LINUX操作系統(tǒng)脆弱性識別

1.1.1賬號管理、認(rèn)證授權(quán)

共享賬號

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級檢查是否阻止不同用戶間共享賬號工具檢測/人工核查1、使用cat/etc/passwd命令查看輸出結(jié)果；2、與相關(guān)負(fù)責(zé)人交流賬戶設(shè)置狀況。1、應(yīng)依照不同的用戶分派不同的賬號，避免不同用戶間共享賬號，避免用戶賬號和設(shè)備間通信使用的賬號共享。2、為用戶創(chuàng)立賬號：#useraddusername#創(chuàng)立賬號#passwdusername#設(shè)置密碼3、修改權(quán)限：#chmod750directory#其中750為設(shè)置的權(quán)限，可根據(jù)實際狀況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄；4、用以上命令為不同的用戶分派不同的賬號，設(shè)置不同的口令及權(quán)限信息等。加固建議賬號刪除及默認(rèn)帳號shell變量更改

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級檢查是否刪除或鎖定系統(tǒng)不需要的默認(rèn)帳號、及是否更改危險帳號缺省的shell變量工具檢測/人工核查1、使用cat/etc/passwd命令查看當(dāng)前用戶列表；2、使用cat/etc/shadow命令查看當(dāng)前密碼配置。1、#userdellp#groupdellp2、修改一些系統(tǒng)賬號的shell變量，例如uucp,ftp和news等，還有一些僅僅需要FTP功能的賬號，一定不要給他們設(shè)置/bin/bash或者/bin/sh等Shell變量?？梢栽?etc/passwd中將它們的shell變量設(shè)為/bin/false或者/dev/null等，也可以使用usermod-s/dev/nullusername命令來更改username的shell為/dev/null。加固建議刪除不必要的系統(tǒng)用戶組

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級加固建議檢測系統(tǒng)中是否已經(jīng)刪除不必要的用戶組工具檢測/人工核查more/etc/group刪除系統(tǒng)中不必要的用戶和組，鎖定無關(guān)的組用戶遠(yuǎn)程登錄

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級檢查是否限制具備超級管理員權(quán)限的用戶遠(yuǎn)程登錄工具檢測/人工核查1、使用cat/etc/securetty命令查看輸出結(jié)果；2、使用cat/etc/ssh/sshd_config命令查看輸出結(jié)果。3、顯示PermitRootLoginno。1、遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應(yīng)操作。2、SSH：#vi/etc/ssh/sshd_config把PermitRootLoginyes改為PermitRootLoginno3、重啟sshd服務(wù)#servicesshdrestart4、CONSOLE：在/etc/securetty文件中配置：CONSOLE=/dev/tty01加固建議系統(tǒng)賬號

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級加固建議檢查是否對系統(tǒng)賬號進(jìn)行登錄限制工具檢測/人工核查1、使用cat/etc/passwd命令查看帳號狀態(tài)；2、阻止登陸賬號的shell顯示為/sbin/nologin。1、確保系統(tǒng)賬號僅被守護(hù)進(jìn)程和服務(wù)使用，不應(yīng)直接由該賬號登錄。（1）阻止用戶登錄：vi/etc/passwd例：修改lynn:x:500:500::/home/lynn:/sbin/bash更改為lynn:x:500:500::/home/lynn:/sbin/nologin（2）阻止所有用戶登錄（除root以外的用戶不能登錄）：touch/etc/nologin（3）阻止交互登錄的系統(tǒng)賬號，譬如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等?？湛诹钣脩?/p>

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級加固建議檢查是否阻止空口令用戶工具檢測/人工核查1、使用cat/etc/passwd命令查看帳號狀態(tài)；2、使用awk-F':''($2==\命令。1、awk-F':''($2==\2、用root用戶登陸Linux系統(tǒng)，執(zhí)行passwd命令，給用戶增加口令?？诹铋L度限制

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級加固建議檢查對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度是否至少8位工具檢測/人工核查1、使用cat/etc/login.defs命令查看輸出結(jié)果；2、顯示PASS_MIN_LEN8。1、#vi/etc/login.defs2、PASS_MIN_LEN口令馬上修改

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級加固建議口令是否可以被馬上修改工具檢測/人工核查more/etc/login.defs1、PASS_MIN_DAYS0口令生存期限制

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級加固建議檢查對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期是否不長于90天工具檢測/人工核查1、使用cat/etc/login.defs命令查看輸出結(jié)果；2、顯示PASS_MAX_DAYS90。1、#vi/etc/login.defs2、PASS_MAX_DAYS900口令過期提醒

檢查目的檢測依據(jù)檢測對象檢測方法檢查流程（流程圖）檢查結(jié)果漏洞等級加固建議檢查是否設(shè)置口令到期前多少天開始通知用戶口令即將到期工具檢測/人工核查1、使用cat/etc/login.defs命令查看輸出結(jié)果；2、顯示PASS_WARN_AGE7。1、#vi/etc/login.defs2、PASS_WARN_AGE71用戶最小權(quán)限

檢查目的檢測依據(jù)檢測對象檢測方法檢查是否在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限工具檢測/人工核查1、使用ls–al/etc/查看關(guān)鍵目錄的權(quán)限；2、顯示如下：[root@localhostsysconfig]#ls-al/etc/passwd|grep'^...-.--.--'-rw-r--r--1root16473??719:05/etc/passwd[root@localhostsysconfig]#ls-al/etc/group|grep'^...-.--.--'-rw-r--r--1root6243??719:04/etc/group[root@localhostsysconfig]#ls-al/etc/shadow|grep'^...'-r1root11403??719:06/etc/shadow1、通過chmod命令對目錄的權(quán)限進(jìn)行實際設(shè)置。/etc/passwd必需所有用戶都可讀，root用戶可寫–rw-r—r—檢查流程（流程圖）檢查結(jié)果漏洞等級加固建議/etc/shadow只有root可讀–r/etc/group必需所有用戶都可讀，root用戶可寫–rw-r—r—2、使用如下命令設(shè)置：chmod644/etc/passwdchmod600/etc/shadowchmod644/etc/group3、假使是有寫權(quán)限，就需移去組及其它用戶對/etc的寫權(quán)限（特別狀況除外），執(zhí)行命令#chmod-Rgo-w/etc2用戶缺省訪問權(quán)限

檢查目的檢測依據(jù)檢測對象檢測方法檢查是否控制用戶缺省訪問權(quán)限工具檢測/人工核查1、使用如下命令：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc2、檢查是否包含umask值，且顯示umask027。1、設(shè)置默認(rèn)權(quán)限：vi/etc/profilevi/etc/csh.loginvi/etc/csh.cshrcvi/etc/bashrc在末尾增加umask0272、修改文件或目錄的權(quán)限，例如下：#chmod444dir;#修改目錄dir的權(quán)限為所有人都為只讀。備注：1、假使用戶需要使用一個不同于默認(rèn)全局系統(tǒng)設(shè)置的umask，可以在需要的時候通過命令行設(shè)置，或者在用戶的shell啟動文件中配置。umask的默認(rèn)設(shè)置一般為022，這給新創(chuàng)立的文件默認(rèn)權(quán)限755（777-022=755），這會給文件所有者讀、寫權(quán)限，但只給組成員和其