操作系統(tǒng)安全審計

..RedHatLinux操作系統(tǒng)RedHatLinux操作系統(tǒng)－平安審計測試類別：風(fēng)險評估測試對象：RedHat測試類：平安審計測試項：測試容：確信對系統(tǒng)的主要行為都有審計日志，對于重要效勞〔ftp，telnet，〕及重要操作〔su登錄等操作〕由日志記錄。并且所有的日志文件都有適當(dāng)?shù)脑L問權(quán)限，除root之外，其它用戶沒有修改權(quán)限。測試方法：查看/etc/syslog.conf的配置文件，確定是否對系統(tǒng)日志和網(wǎng)絡(luò)效勞配置了適當(dāng)?shù)娜罩居涗洸呗?；查看syslog.conf中制定的，存放在/var/log下日志文件的更新日期，確定是否對相應(yīng)的動作有實時日志功能〔僅對linux系統(tǒng)而言〕；確保這些文件的應(yīng)該屬于root用戶所有，文件的權(quán)限應(yīng)該是644；查看hosts.allow和hosts.deny文件容。測試記錄：已配置的日志：日志功能是否有效實施，日志記錄的日期和容是否與配置相符合：日志文件的訪問權(quán)限：查看hosts.allow和hosts.deny文件容：備注：簽名日期RedHatLinux操作系統(tǒng)－系統(tǒng)平安測試類別：風(fēng)險評估測試對象：RedHat測試類：系統(tǒng)平安測試項：測試容：被測操作系統(tǒng)應(yīng)安裝最新的系統(tǒng)補丁程序，只開啟必要的效勞；系統(tǒng)應(yīng)保證和常用命令相關(guān)配置文件的平安性。設(shè)置平安的訪問旗標(biāo)；并對系統(tǒng)資源作適當(dāng)?shù)氖褂孟拗啤y試方法：查看或詢問是否安裝最新補丁程序；Telnet/ftp登錄系統(tǒng)，確定系統(tǒng)旗標(biāo)信息的是否平安；是否為用戶不成功的鑒別嘗試次數(shù)定義閥值。測試記錄：補丁安裝情況〔控制面板|在線更新〕：是否有平安的系統(tǒng)訪問旗標(biāo)？顯示操作系統(tǒng)類型□顯示操作系統(tǒng)核版本□ftp登錄觀察顯示信息：是否使用了用戶磁盤限額？□用戶磁盤限額策略：用戶連續(xù)登錄失敗的次數(shù)：默認(rèn)umask值〔#umask〕：重要文件和目錄的讀寫權(quán)和屬主：/etc/security屬主訪問許可：/usr/etc屬主訪問許可：/bin屬主訪問許可：/usr/bin屬主訪問許可：/sbin屬主訪問許可：/var/log屬主訪問許可：/etc/*.conf屬主訪問許可：/etc/login.defs屬主訪問許可：備注：簽名日期RedHatLinux操作系統(tǒng)－用戶屬性測試類別：風(fēng)險評估測試對象：RedHat測試類：用戶屬性測試項：測試容：操作系統(tǒng)應(yīng)設(shè)置平安有效的口令策略〔密碼強度、密碼長度、口令有效期等〕。應(yīng)限制能夠su成root的用戶，限制root的遠(yuǎn)程登錄，根據(jù)需要設(shè)置可以進(jìn)入單用戶模式的用戶，應(yīng)啟用用戶超時自動注銷的功能。測試方法：查看/etc/passwd中是否有空口令賬戶；查看/etc/login.defs是否設(shè)置了適當(dāng)?shù)目诹畈呗?；查看wheel用戶組成員。測試記錄：login.defs口令策略〔〕：PASS_MAX_DAYSPASS_MIN_DAYSPASS_MIN_LENPASS_WARN_AGE能夠su為root的用戶〔/etc/group中wheel組成員〕：觀察/etc/pam.d/su文件是否存在以下項：□authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheel是否允許root遠(yuǎn)程登錄〔登陸驗證〕？□是否啟用了用戶超時自動注銷功能？□HISTFILESIZE=TMOUT=/etc/security/access.conf容：系統(tǒng)引導(dǎo)程序的訪問許可位：文件中是否有口令保護(hù)〔/etc/lilo.conf〕？□備注：簽名日期RedHatLinux操作系統(tǒng)－網(wǎng)絡(luò)及效勞平安測試類別：風(fēng)險評估測試對象：RedHat測試類：網(wǎng)絡(luò)及效勞平安測試項：測試容：操作系統(tǒng)應(yīng)只開放必要的網(wǎng)絡(luò)效勞。無多余的網(wǎng)絡(luò)端口開放；操作系統(tǒng)應(yīng)使用高強度加密機制替代明文傳輸數(shù)據(jù)的協(xié)議或效勞；應(yīng)開啟Iptables防火墻，并且規(guī)那么得到有效實施；應(yīng)該有防病毒軟件安裝并且有效運行。限制能夠訪問本機的IP地址。測試方法：使用netstat命令來獲得系統(tǒng)的端口列表，并記錄關(guān)鍵的端口列表；觀察telnet，ftp等明文傳輸協(xié)議是否運行，觀察telnet和ftp的用戶屬性；觀察iptables是否已開啟，iptables日志是否有效記錄了現(xiàn)有規(guī)那么的實施結(jié)果。測試記錄：開放網(wǎng)絡(luò)端口有：TCP端口：UDP端口：啟用的效勞有〔#setup〕或查看/etc/xinetd.d目錄下的各個文件中disable項的賦值：FTP和Telnet等網(wǎng)絡(luò)效勞的訪問限制：〔如果系統(tǒng)沒有安裝ftp和telnet略過此項〕FTPTelnet：是否啟用了SSH等平安遠(yuǎn)程登錄工具？□取代方法：對連接到本機的訪問限制：Iptables是否已開啟？□主要規(guī)那么有：日志容是否有效？：查看防火墻設(shè)置的平安級別：是否安裝了防病毒軟件？□是否有效運行〔觀察日志和病毒庫更新情況〕：備注：簽名日期RedHatLinux操作系統(tǒng)－備份/恢復(fù)容錯機制測試類別：風(fēng)險評估測試對象：RedHat測試類：備份/恢復(fù)容錯機制測試項：測試容：操作系統(tǒng)要求在故障事件發(fā)生時能夠保證業(yè)務(wù)的連續(xù)性；操作系統(tǒng)應(yīng)根據(jù)自身情況，對系統(tǒng)數(shù)據(jù)、用戶數(shù)據(jù)、審計日志、策略文檔及注冊表數(shù)據(jù)制定合理的備份/恢復(fù)策略，以滿足系統(tǒng)在遇到意外事故數(shù)據(jù)遭受破壞時，系統(tǒng)恢復(fù)操作的需要。測試方法：查看效勞器是否有UPS電源支持，是否有RAID保護(hù)；查看系統(tǒng)備份/恢復(fù)機制是否滿足系統(tǒng)平安要求。測試記錄：操作系統(tǒng)是否有磁盤冗余陣列？___________________效勞器是否有UPS支持？□系統(tǒng)是否有雙機熱備？□操作系統(tǒng)備份/恢復(fù)機制？用戶數(shù)據(jù)備份/恢復(fù)機制？日志數(shù)據(jù)備份/恢復(fù)機制？業(yè)務(wù)應(yīng)用程序備份/恢復(fù)機制？是否使用cron和at定期執(zhí)行系統(tǒng)管理任務(wù)和備份/恢復(fù)任務(wù).記錄當(dāng)前的cron任務(wù)記錄當(dāng)前的at任務(wù)備注：簽名日期Solaris操作系統(tǒng)Solaris操作系統(tǒng)－平安審計〔標(biāo)準(zhǔn)的Solaris審計〕測試類別：風(fēng)險評估測試對象：Solaris8測試類：平安審計〔標(biāo)準(zhǔn)的Solaris審計〕測試項：測試容：操作系統(tǒng)的syslogd應(yīng)當(dāng)開啟。系統(tǒng)應(yīng)該確保錯誤信息和失敗登錄信息等的日志記錄，并且對日志數(shù)據(jù)有適當(dāng)?shù)牡脑L問控制〔一般不允許任何用戶寫日志數(shù)據(jù)，只有管理員或?qū)徲媶T才能閱讀日志數(shù)據(jù)〕；應(yīng)定期瀏覽日志數(shù)據(jù)；并對日志結(jié)果文件的大小、覆蓋策略、存放位置和備份清理作必要配置。測試方法：查看syslogd是否啟動；查看sydeslog的配置；查看日志相關(guān)文件的容和最后修改日期；查看日志相關(guān)文件的訪問許可；詢問或查看日志相關(guān)文件的存放位置，溢滿處理和備份清理策略。測試記錄：是否開啟syslogd：□觀察syslog.conf系統(tǒng)審計配置：Falacility.levelaction查看inetd的效勞是否啟動日志功能：ftp的日志功能：查看審計功能是否有效實施，訪問許可位和屬主：/dev/sysmsg：/var/adm/cron/log：/var/adm/wtmp：/var/log/syslog：/var/adm/sulog：/var/log/authlog：/var/adm/messages：/etc/security/lastlog：是否有單獨的日志分區(qū)〔日志文件是否存放在單獨的文件系統(tǒng)〕：□如果有，觀察分區(qū)大小是否有定期的日志備份和清理策略：□備份策略備注：簽名日期Solaris操作系統(tǒng)－平安審計〔BSM審計〕測試類別：風(fēng)險評估測試對象：Solaris測試類：平安審計〔BSM審計〕測試項：測試容：操作系統(tǒng)的審計子系統(tǒng)SecU

Solaris

p2.3

BSM應(yīng)處于開啟狀態(tài)，并且根據(jù)需要定制必要的審計容；應(yīng)能對被定制的操作事件自動生成審計紀(jì)錄；系統(tǒng)應(yīng)針對審計結(jié)果文件的大小、覆蓋策略、存放位置和備份清理作必要配置。測試方法：檢查系統(tǒng)的平安審計功能是否已經(jīng)開；檢查系統(tǒng)設(shè)置的審計事件和審計對象；查看審計功能的運行是否實時有效；檢查審計日志是否存儲在單獨的磁盤分區(qū)上，存儲審計日志的磁盤分區(qū)是否足夠大；是否有定期的日志備份和清理策略。測試記錄：〔有條件的話，運行測試腳本文件〕是否開啟系統(tǒng)審計功能：□〔開啟：bsmconv〕audit_control的配置：審計文件存放位置：審計文件所需剩余空間：指定的系統(tǒng)用戶審計事件類：指定的普通審計事件類：查看審計功能是否有效實施，審計記錄是否包含事件的日期和時間，事件類型，主體身份，事件的結(jié)果：□是否有單獨的日志分區(qū)〔trail文件是否存放在單獨的文件系統(tǒng)〕：□如果有，觀察分區(qū)大小審計文件的訪問許可：是否有定期的日志備份和清理策略〔詢問〕：□備份策略查看用戶審計事件：備注：簽名日期Solaris操作系統(tǒng)－系統(tǒng)平安〔1〕測試類別：風(fēng)險評估測試對象：Solaris測試類：系統(tǒng)平安〔1〕測試項：測試容：被測操作系統(tǒng)應(yīng)安裝最新的系統(tǒng)補丁程序，只開啟必要的效勞，限制效勞配置文件的訪問權(quán)限；系統(tǒng)應(yīng)保證r族命令和常用命令相關(guān)配置文件的平安性；設(shè)置平安的訪問旗標(biāo)。測試方法：查看操作系統(tǒng)版本和補丁安裝情況；查看超級守護(hù)進(jìn)程配置文件屬性及容，Service配置文件屬性；檢查是否存在r族配置文件，確定系統(tǒng)是否運行r族命令；Telnet/ftp登錄系統(tǒng)，確定系統(tǒng)旗標(biāo)信息的是否平安。測試記錄：版本和補丁信息：操作系統(tǒng)版本：補丁集：〔如果可以連接Internet，試圖ftp匿名訪問sunsolve.sun./pub/patches，或者從從sunsolve.sun.中獲取專門的補丁檢查工具如PatchPro〕來查看平安補丁安裝情況〔系統(tǒng)所有的Patch文件都存儲在/var/sadm/patch中，命名方式為patchID-version〕2．超級守護(hù)進(jìn)程配置文件/etc/inetd.conf〔#ls-l〕：屬主：訪問許可權(quán)：開啟效勞：3．查看是否使用了r族配置文件，并且查看其配置情況$HOME/.rhosts□.netrc□hosts.equiv□4．是否有平安的系統(tǒng)訪問旗標(biāo)？telnet的旗標(biāo)：顯示操作系統(tǒng)類型□顯示操作系統(tǒng)版本□顯示ftp軟件版本□ftp的旗標(biāo)：顯示操作系統(tǒng)類型□顯示操作系統(tǒng)版本□顯示ftp軟件版本□備注：簽名日期Solaris操作系統(tǒng)－系統(tǒng)平安〔2〕測試類別：風(fēng)險評估測試對象：Solaris測試類：系統(tǒng)平安〔2〕測試項：測試容：被測操作系統(tǒng)應(yīng)保證相關(guān)命令文件和配置文件的訪問許可合理；對用戶、登錄設(shè)備、失敗登錄閥值、無操作自動鎖定等加以限制；并對系統(tǒng)資源的使用作適當(dāng)?shù)南拗?。測試方法：查看是否針對用戶使用了用戶磁盤限額〔尤其是效勞器〕；是否認(rèn)義了登錄相關(guān)參數(shù)；是否對重要的命令文件和配置文件設(shè)置平安的訪問許可權(quán)；是否安裝了防病毒軟件，過濾軟件。測試記錄：是否使用了用戶磁盤限額？用戶磁盤限額策略：觀察login登錄相關(guān)參數(shù)CONSOLE=/dev/console〔登錄到console的終端〕注銷：□PASSREQ=YES〔登錄是否需要口令〕：YES□TIMEOUT〔登錄超時限制〕注銷：□UMASK：SYSLOG=〔是否記錄到LOG_CRIT〕：YES□RETRIES〔允許連續(xù)嘗試登錄次數(shù)〕：注銷：□SYSLOG_FAILED_LOGINS〔失敗登錄記錄之前允許的嘗試次數(shù)〕：注銷：□重要文件和目錄的讀寫權(quán)和屬主〔#ls–la〕：/usr/etc屬主訪問許可：/usr/bin屬主訪問許可：/bin屬主訪問許可：/sbin屬主訪問許可：/etc屬主訪問許可：/etc/security/*屬主訪問許可：是否安裝了防病毒軟件：□類型及版本：備注：簽名日期Solaris操作系統(tǒng)－用戶屬性測試類別：風(fēng)險評估測試對象：Solaris測試類：用戶屬性測試項：測試容：操作系統(tǒng)應(yīng)設(shè)置了有效的口令策略〔密碼強度、密碼長度、口令有效期等〕；確保系統(tǒng)偽賬號〔如sys，uucp，nobody等〕沒有登錄shell，口令域設(shè)為NP；用戶口令有效性設(shè)置合理。測試方法：觀察系統(tǒng)中是否存在與所提供效勞無關(guān)的無用賬號；查看passwd中的口令相關(guān)設(shè)置；查看shadow文件，確定是否為每一用戶設(shè)置了口令更改最短天數(shù)，口令更改最長天數(shù)，口令過期前的警告天數(shù)、休眠天數(shù)和失效期限。測試記錄：無用賬號：2.passwd口令策略：MAXWEEKS：□MINWEEKS：□PASSLENGTH：□3.Shadow文件中用戶口令有效性設(shè)置：4.是否限制使用su的組□5.應(yīng)用效勞器是否有密鑰和證書□備注：簽名日期Solaris操作系統(tǒng)－網(wǎng)絡(luò)及效勞平安測試類別：風(fēng)險評估測試對象：Solaris8測試類：網(wǎng)絡(luò)及效勞平安測試項：測試容：操作系統(tǒng)應(yīng)只開放必要的網(wǎng)絡(luò)效勞。無多余的網(wǎng)絡(luò)端口開放；操作系統(tǒng)應(yīng)使用高強度加密機制替代明文傳輸數(shù)據(jù)的協(xié)議或效勞；遠(yuǎn)程控制的終端訪問應(yīng)采用高強度的認(rèn)證和加密機制，保證數(shù)據(jù)的完整性和性；限制能夠訪問本機的IP地址。測試方法：使用netstat命令來獲得系統(tǒng)的端口列表，并記錄關(guān)鍵的端口列表；觀察telnet，ftp等明文傳輸協(xié)議是否運行，觀察telnet和ftp的用戶屬性；查看對訪問本機的IP限制。測試記錄：觀察netstat開放網(wǎng)絡(luò)端口1、20，21/tcp：FTP-data，F(xiàn)TP□□2、22/tcp：SSH□3、23/tcp：telnet□4、25/tcp：SMTP□5、43/tcp：Whois□6、53/tcp：Domain□7、69/udp：tftp□8、80/tcp：□9、80/udp：□10、109，110/tcp：pop2，pop3□□觀察inetd.conf啟用的網(wǎng)絡(luò)效勞有FTP的拒絕訪問用戶列表：是否限制root的遠(yuǎn)程登錄：查看/etc/default/login是否設(shè)置CONSOLE為console或null，查看/etc/ftpusers是否參加root及其他root組成員，查看SSH

配置文件中是否參加如：permitRootLogin

=

no是否啟用加密協(xié)議/效勞來取代明文傳輸?shù)膖elnet和ftp等：□是否限制能夠訪問本機的IP地址：本機IP地址為：是否限制IP轉(zhuǎn)發(fā)〔多網(wǎng)卡〕：備注：簽名日期Solaris操作系統(tǒng)－備份/恢復(fù)容錯機制測試類別：風(fēng)險評估測試對象：Solaris8測試類：備份/恢復(fù)容錯機制測試項：測試容：操作系統(tǒng)要求在故障事件發(fā)生時能夠保證業(yè)務(wù)的連續(xù)性；操作系統(tǒng)應(yīng)根據(jù)自身情況，對系統(tǒng)數(shù)據(jù)、用戶數(shù)據(jù)、審計日志、策略文檔及注冊表數(shù)據(jù)制定合理的備份/恢復(fù)策略，以滿足系統(tǒng)在遇到意外事故數(shù)據(jù)遭受破壞時，系統(tǒng)恢復(fù)操作的需要。測試方法：查看效勞器是否有UPS電源支持，是否有RAID保護(hù)；查看系統(tǒng)備份/恢復(fù)機制是否滿足系統(tǒng)平安要求。測試記錄：統(tǒng)是否有定期任務(wù)用來備份記錄當(dāng)前的cron任務(wù)記錄當(dāng)前的at任務(wù)cron.allow

□

cron.deny

□操作系統(tǒng)是否有磁盤冗余陣列？___________________是否有物理備份？冷備份？□效勞器是否有UPS支持？□系統(tǒng)是否有雙機熱備？□操作系統(tǒng)備份/恢復(fù)機制？□核心的系統(tǒng)文件：如系統(tǒng)配置，核心映像的備份/恢復(fù)機制？日志、審計數(shù)據(jù)的備份/恢復(fù)機制？系統(tǒng)是否有定期任務(wù)用來備份：針對集群、NetBackup軟件、SunCluster軟件設(shè)置一些特別的測試項；備注：簽名日期AIX操作系統(tǒng)AIX操作系統(tǒng)－平安審計〔標(biāo)準(zhǔn)的AIX審計〕測試類別：風(fēng)險評估測試對象：AIX操作系統(tǒng)測試類：平安審計〔標(biāo)準(zhǔn)的AIX審計〕測試項：測試容：操作系統(tǒng)應(yīng)運行在標(biāo)準(zhǔn)模式下；系統(tǒng)應(yīng)該確保錯誤信息和失敗登錄信息等的日志記錄，并且對日志數(shù)據(jù)的讀寫權(quán)限加以限制，應(yīng)定期瀏覽日志數(shù)據(jù)；對日志結(jié)果文件的大小、覆蓋策略、存放位置和備份清理作必要配置。測試方法：查看syslogd是否啟動；查看sydeslog的配置；查看日志相關(guān)文件的容和最后修改日期；查看日志相關(guān)文件的訪問許可；詢問或查看日志相關(guān)文件的存放位置，溢滿處理和備份清理策略。測試記錄：是否開啟syslogd：□系統(tǒng)審計配置：Falacility.levelaction查看審計功能是否有效實施：/var/adm/wtmp：/var/adm/sulog：/var/adm/cron/log：/etc/security/lastlog：/etc/security/failedlogin：是否有單獨的日志分區(qū)〔trail文件是否存放在單獨的文件系統(tǒng)〕：□如果有，觀察分區(qū)大小〔#df〕審計文件的訪問許可：〔#ls–l/audit〕是否有定期的日志備份和清理策略〔詢問〕：□備份策略備注：簽名日期AIX操作系統(tǒng)－平安審計〔可信模式下的AIX審計系統(tǒng)〕測試類別：風(fēng)險評估測試對象：AIX操作系統(tǒng)測試類：平安審計〔可信模式下的AIX審計系統(tǒng)〕測試項：測試容：操作系統(tǒng)應(yīng)運行在可信模式下，開啟平安審計功能，并且根據(jù)需要定制必要的審計容；開啟了審計功能的操作系統(tǒng)應(yīng)能對被定制的操作事件自動生成審計紀(jì)錄；系統(tǒng)應(yīng)針對審計結(jié)果文件的大小、覆蓋策略、存放位置和備份清理作必要配置。測試方法：檢查系統(tǒng)的平安審計功能是否已經(jīng)開；檢查系統(tǒng)設(shè)置的審計事件和審計對象；查看審計功能的運行是否實時有效；檢查審計日志是否存儲在單獨的磁盤分區(qū)上，存儲審計日志的磁盤分區(qū)是否足夠大，是否有定期的日志備份和清理策略。測試記錄：是否開啟系統(tǒng)審計功能：□系統(tǒng)審計配置：開啟模式：bin□stream□Bin模式的trail文件：Bin文件路徑及大?。侯A(yù)定義的審計類：general□objects□SRC□kenel□files□svipc□mail□cron□tcpip□lvm□其它自定義審計類：配置的用戶審計：查看審計功能是否有效實施：是否有單獨的日志分區(qū)〔trail文件是否存放在單獨的文件系統(tǒng)〕：□如果有，觀察分區(qū)大小審計文件的訪問許可：是否有定期的日志備份和清理策略〔詢問〕：□備份策略備注：簽名日期AIX操作系統(tǒng)－系統(tǒng)平安〔1〕測試類別：風(fēng)險評估測試對象：AIX操作系統(tǒng)測試類：系統(tǒng)平安〔1〕測試項：測試容：被測操作系統(tǒng)應(yīng)安裝最新的系統(tǒng)補丁程序，只開啟必要的效勞，限制效勞配置文件的訪問權(quán)限；系統(tǒng)應(yīng)保證r族命令和常用命令相關(guān)配置文件的平安性。設(shè)置平安的訪問旗標(biāo)。測試方法：查看操作系統(tǒng)版本和補丁安裝情況；查看系統(tǒng)的安裝模式是否為可信計算基庫〔TCB〕；查看超級守護(hù)進(jìn)程配置文件屬性及容，Service配置文件屬性；檢查是否存在r族配置文件，確定系統(tǒng)是否運行r族命令；Telnet/ftp登錄系統(tǒng)，確定系統(tǒng)旗標(biāo)信息否平安。測試記錄：版本信息：補丁安裝情況：操作系統(tǒng)的TCB運行模式tcbck命令是否可用檢查可信文件：檢查文件系統(tǒng)樹：ACL是否啟用：超級守護(hù)進(jìn)程配置文件/etc/inetd.conf：屬主：訪問許可權(quán)：是否存在R族配置文件？hosts.equiv□設(shè)置條目：.rhosts□設(shè)置條目：是否有平安的系統(tǒng)訪問旗標(biāo)？〔telnet，ftp〕telnet顯示操作系統(tǒng)類型□顯示操作系統(tǒng)版本□ftp顯示ftp軟件版本□觀察允許su的用戶記錄su=true的用戶：記錄rlogin=true的用戶：備注：簽名日期AIX操作系統(tǒng)－系統(tǒng)平安〔2〕測試類別：風(fēng)險評估測試對象：AIX操作系統(tǒng)測試類：系統(tǒng)平安〔2〕測試項：測試容：被測操作系統(tǒng)應(yīng)保證相關(guān)命令文件和配置文件的訪問許可合理；對用戶登錄的旗標(biāo)、允許登錄時間、登錄設(shè)備、失敗登錄閥值、無操作自動鎖定等加以限制；并對系統(tǒng)資源的使用作適當(dāng)?shù)南拗?。測試方法：查看是否針對用戶使用了用戶磁盤限額；是否認(rèn)義了登錄相關(guān)參數(shù)。測試記錄：是否使用了用戶磁盤限額？用戶磁盤限額策略：觀察login.cfg登錄相關(guān)參數(shù)Herald：logindelay：logindisable：Logininterval：Loginreenable：Logintimes：sak_enabled：Synonym：Maxlogins：Logintimeout：是否啟用超時自動注銷功能：參數(shù)TMOUT=平安配置文件的讀寫權(quán)和屬主：/etc/security/*屬主訪問許可：查看某個進(jìn)程相關(guān)的啟動程序：#ps–elaf查看sendmail的版本：備注：簽名日期AIX操作系統(tǒng)－用戶屬性測試類別：風(fēng)險評估測試對象：AIX操作系統(tǒng)測試類：用戶屬性測試項：測試容：操作系統(tǒng)應(yīng)確保所有用戶設(shè)置口令；設(shè)置了有效的口令策略〔密碼強度、密碼長度、口令有效期等〕；確保系統(tǒng)偽賬號〔如sys，uucp，nobody等〕沒有登錄shell，口令域設(shè)為NP；用戶角色和權(quán)限的分配應(yīng)該遵循最小權(quán)限原那么。測試方法：查看系統(tǒng)支持的認(rèn)證方式；是否有空口令用戶，并且采用可信模式；觀察系統(tǒng)中是否存在與所提供效勞無關(guān)的無用賬號；查看用戶平安屬性的默認(rèn)設(shè)置和root用戶的設(shè)置；查看用戶角色和權(quán)限的分配是否合理。測試記錄：認(rèn)證方式空口令用戶剩余賬號默認(rèn)的用戶平安屬性Default：admin=falselogin=truesu=truedaemon=truerlogin=truesugroups=ALLadmgroups=ttys=ALLauth1=SYSTEMauth2=NONEtpath=nosakumask=022expires=0SYSTEM="pat"logintimes=pwdwarntime=0account_locked=falseloginretries=0histexpire=0histsize=0minage=0maxage=0maxexpired=-1minalpha=0minother=0minlen=0mindiff=0maxrepeats=8dictionlist=pwdchecks=Root：admin=SYSTEM=loginretries=account_locked=login=角色分配：備注：簽名日期AIX操作系統(tǒng)－網(wǎng)絡(luò)及效勞平安測試類別：風(fēng)險評估測試對象：AIX操作系統(tǒng)測試類：網(wǎng)絡(luò)及效勞平安測試項：測試容：操作系統(tǒng)應(yīng)只開放必要的網(wǎng)絡(luò)效勞。無多余的網(wǎng)絡(luò)端口開放；操作系統(tǒng)應(yīng)使用高強度加密機制替代明文傳輸數(shù)據(jù)的協(xié)議或效勞；遠(yuǎn)程控制的終端訪問應(yīng)采用高強度的認(rèn)證和加密機制，保證數(shù)據(jù)的完整性和性；限制能夠訪問本機的IP地址。測試方法：使用netstat命令來獲得系統(tǒng)的端口列表，并記錄關(guān)鍵的端口列表；觀察telnet，ftp等明文傳輸協(xié)議是否運行，觀察telnet和ftp的用戶屬性。測試記錄：開放網(wǎng)絡(luò)端口有：1、20，21/tcp：FTP-data，F(xiàn)TP□□2、22/tcp：SSH□3、23/tcp：telnet□4、25/tcp：SMTP□5、43/tcp：Whois□6、53/tcp：Domain□7、69/udp：tftp□8、79/tcp：finger□9、80/tcp：□10、80/udp：□11、109，110/tcp：pop2，pop3□□12、111，135/tcp：portmap，loc-serv□□13、111，135/udp：portmap，loc-serv□□14、143/tcp：imap□15、161，162/tcp：snmp，snmp-trap□□16、161，162/udp：snmp，snmp-trap□□其他端口：TCP端口：UDP端口：啟用的網(wǎng)絡(luò)效勞有：FTP□Bootps□NFSClient□NIS□NFSSever□TFTP□NFS□Rlogin□其它：FTP的拒絕訪問用戶列表：對連接到本機的訪問限制：遠(yuǎn)程監(jiān)控采用的軟件：認(rèn)證和加密方式：備注：簽名日期AIX操作系統(tǒng)－備份/恢復(fù)容錯機制測試類別：風(fēng)險評估測試對象：AIX操作系統(tǒng)測試類：備份/恢復(fù)容錯機制測試項：測試容：操作系統(tǒng)要求在故障事件發(fā)生時能夠保證業(yè)務(wù)的連續(xù)性；操作系統(tǒng)應(yīng)根據(jù)自身情況，對系統(tǒng)數(shù)據(jù)、用戶數(shù)據(jù)、審計日志、策略文檔及注冊表數(shù)據(jù)制定合理的備份/恢復(fù)策略，以滿足系統(tǒng)在遇到意外事故數(shù)據(jù)遭受破壞時，系統(tǒng)恢復(fù)操作的需要。測試方法：查看效勞器是否有UPS電源支持，是否有RAID保護(hù)；查看系統(tǒng)備份/恢復(fù)機制是否滿足系統(tǒng)平安要求。測試記錄：操作系統(tǒng)是否有磁盤冗余陣列？___________________〔#smit查看device〕效勞器是否有UPS支持？□系統(tǒng)是否有雙機熱備？□操作系統(tǒng)備份/恢復(fù)機制？核心的系統(tǒng)文件，如系統(tǒng)配置，核心映像的備份/恢復(fù)機制？日志、審計數(shù)據(jù)的備份/恢復(fù)機制？系統(tǒng)是否有定期任務(wù)：cron.deny□cron.allow□記錄當(dāng)前的cron任務(wù)記錄當(dāng)前的at任務(wù)備注：簽名日期HP-UNIX操作系統(tǒng)HP-UNIX操作系統(tǒng)－平安審計測試類別：風(fēng)險評估測試對象：HP-UNIX操作系統(tǒng)測試類：平安審計測試項：測試容：操作系統(tǒng)應(yīng)開啟平安審計功能，并且根據(jù)需要定制必要的審計容；開啟了審計功能的操作系統(tǒng)應(yīng)能對被定制的操作事件自動生成審計紀(jì)錄；系統(tǒng)應(yīng)針對審計結(jié)果文件的大小、覆蓋策略、存放位置和備份清理作必要配置。測試方法：檢查系統(tǒng)的平安審計功能是否已經(jīng)開啟；執(zhí)行相應(yīng)的審計事件，檢查審計日志，看系統(tǒng)是否正確的進(jìn)展了審計；檢查審計日志是否存儲在單獨的磁盤分區(qū)上，存儲審計日志的磁盤分區(qū)是否足夠大，是否有定期的日志備份和清理策略。測試記錄：是否開啟系統(tǒng)審計功能：□當(dāng)前審計存儲文件文件大小使用率路徑：下一個審計存儲文件路徑：系統(tǒng)中已開啟的審計項：Auditedevents：Auditedsyscall：Auditedusers：用戶相關(guān)審計：是否有單獨的日志分區(qū)：□如果有，觀察分區(qū)大小是否有定期的審計數(shù)據(jù)備份和清理策略〔詢問〕：□備份策略備注：簽名日期HP-UNIX操作系統(tǒng)－平安審計〔系統(tǒng)日志〕測試類別：風(fēng)險評估測試對象：HP-UNIX操作系統(tǒng)測試類：平安審計〔系統(tǒng)日志〕測試項：測試容：操作系統(tǒng)應(yīng)運行在標(biāo)準(zhǔn)模式下，系統(tǒng)的審計功能應(yīng)相對簡單一些；系統(tǒng)應(yīng)該確保錯誤信息和失敗登錄信息等的日志記錄，并且對日志數(shù)據(jù)的讀寫權(quán)限加以限制，應(yīng)定期瀏覽日志數(shù)據(jù)；對日志結(jié)果文件的大小、覆蓋策略、存放位置和備份清理作必要配置。測試方法：查看syslogd是否啟動；查看sydeslog的配置；查看日志相關(guān)文件的容和最后修改日期；查看日志相關(guān)文件的訪問許可；詢問或查看日志相關(guān)文件的存放位置，溢滿處理和備份清理策略。測試記錄：是否開啟syslogd：□系統(tǒng)審計配置：Falacility.levelaction查看審計功能是否有效實施：是否有單獨的日志分區(qū)〔trail文件是否存放在單獨的文件系統(tǒng)〕：□如果有，觀察分區(qū)大小是否有定期的日志備份和清理策略〔詢問〕：□備份策略備注：簽名日期HP-UNIX操作系統(tǒng)－系統(tǒng)平安測試類別：風(fēng)險評估測試對象：HP-UNIX操作系統(tǒng)測試類：系統(tǒng)平安測試項：測試容：被測操作系統(tǒng)應(yīng)安裝最新的系統(tǒng)補丁程序，只開啟必要的效勞，限制效勞配置文件的訪問權(quán)限；系統(tǒng)應(yīng)保證r族命令和常用命令相關(guān)配置文件的平安性。設(shè)置平安的訪問旗標(biāo)；并對系統(tǒng)資源作適當(dāng)?shù)氖褂孟拗?。測試方法：查看是否安裝最新補丁程序；查看超級守護(hù)進(jìn)程配置文件屬性及容；檢查是否存在r族配置文件，確定系統(tǒng)是否運行r族命令；Telnet，ftp登錄系統(tǒng)，或者查看配置文件，確定系統(tǒng)旗標(biāo)信息的是否平安；查看是否針對用戶使用了用戶磁盤限額，是否為用戶不成功的鑒別嘗試次數(shù)定義閥值。測試記錄：補丁安裝情況：查看備份補丁文件：超級守護(hù)進(jìn)程配置文件/etc/inetd.conf：屬主：訪問許可權(quán)：開啟Deamon：是否存在R族配置文件