信息安全风险评估检查流程操作系统安全评估检查表H.pdf

HP-UX Security CheckListHP-UX Security CheckList目目录录HP-UX SECURITY CHECKLISTHP-UX SECURITY CHECKLIST.1 11 1初级检查评估内容初级检查评估内容.6 61.1系统信息.6系统基本信息.6系统网络设立.6系统当前路由.7检查目前系统开放的端口.7检查当前系统网络连接情况.8系统运营进程.81.1.11.1.21.1.31.1.41.1.51.1.61.2物理安全检查.9检查系统单用户运营模式中的访问控制.91.2.11.3帐号和口令.9检查系统中 Uid 相同用户情况.9检查用户登录情况.9检查账户登录尝试失效策略.10检查账户登录失败时延策略.10检查所有的系统默认帐户的登录权限.11空口令用户检查.11口令策略设立参数检查.11检查 root 是否允许从远程登录.12验证已经存在的 Passwd 强度.121.3.11.3.21.3.31.3.41.3.51.3.61.3.71.3.81.3.91.3.101.3.111.4用户启动文献检查.12用户途径环境变量检查.13网络与服务.13系统启动脚本检查.13TCP/UDP 小服务.13login(rlogin)，shell(rsh)，exec(rexec).14comsat talk uucp lp kerbd.15Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs1.4.11.4.21.4.31.4.41.4.5Dtspcd Gssd.151.4.61.4.71.4.81.4.91.4.101.4.111.4.121.4.131.4.141.4.151.5远程打印服务.16检查是否开放 NFS 服务.16检查是否 Enables NFS port monitoring.16检查是否存在和使用 NIS,NIS+.17检查 sendmail 服务.17Expn,vrfy(若存在 sendmail 进程).18SMTP banner.18检查是否限制 ftp 用户权限.19TCP_Wrapper.19信任关系.20文献系统.20suid 文献.20sgid 文献.21/etc 目录下可写的文献.211.5.11.5.21.5.31.5.41.5.51.5.61.5.71.6检测重要文献目录下文献权限属性以及/dev 下非设备文献系统.22检查/tmp 目录存取属性.22检查 UMASK.23检查.rhosts 文献.23日记审核.26Cron logged.26/var/adm/cron/.27Log all inetd services.27Syslog.conf.271.6.11.6.21.6.31.6.41.71.82 2UUCP 服务.27XWINDOWS检查.28中级检查评估内容中级检查评估内容.2 29 92.1安全增强性.29TCP IP参数检查.29Inetd 启动参数检查.31Syslogd 启动参数检查.31系统日记文献内容检查.31系统用户口令强度检查.31系统补丁安装情况检查.32系统审计检查.322.1.12.1.22.1.32.1.42.1.52.1.62.1.73 3高级检查评估内容高级检查评估内容.3 33 33.1后门与日记检查.333.23.33.4系统异常服务进程检查.33内核情况检查.33第三方安全产品安装情况.331 1 初级检查评估内容初级检查评估内容1.11.1 系统信息系统信息1.1.11.1.1 系统基本信息系统基本信息1.1.1.11.1.1.1说说明：明：检查系统的版本和硬件类型等基本信息。1.1.1.21.1.1.2检检查方法：查方法：uname auname vPATH=/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/export PATH1.1.21.1.2 系统网络设立系统网络设立1.1.2.11.1.2.1说说明：明：检查系统的网卡是否存在混杂模式。1.1.2.21.1.2.2检检查方法：查方法：ifconfig lan01.1.31.1.3 系统当前路由系统当前路由1.1.3.11.1.3.1说说明：明：检查系统当前的路由设定配置，涉及默认路由和永久路由，并检查其合法性。1.1.3.21.1.3.2检检查方法：查方法：netstat-nr1.1.3.31.1.3.3结结果分析方法：果分析方法：bash-2.05#netstat-nrRouting Table:IPv4DestinationGatewayFlagsRef-192.168.10.0192.168.10.113U1default192.168.10.254UG1127.0.0.1127.0.0.1UH21.1.41.1.4 检查目前系统开放的端口检查目前系统开放的端口1.1.4.11.1.4.1说说明：明：检查当前系统运营中开放的服务端口1.1.4.21.1.4.2检检查方法：查方法：netstat na|grep LISTENUseInterface35hme0787246lo01.1.4.31.1.4.3结结果分析方法：果分析方法：bash-2.05#netstat-na|grep LISTEN1.1.51.1.5 检查当前系统网络连接情况检查当前系统网络连接情况1.1.5.11.1.5.1说说明：明：根据显示的网络连接，记录已建立连接establish的数量，地址范围等。记录listen的端口，记录其它状态，例如timewait，finwait，closewait等。1.1.5.21.1.5.2检检查方法：查方法：netstat na1.1.61.1.6 系统运营进程系统运营进程1.1.6.11.1.6.1说说明：明：根据显示的当前所有在运营的系统进程，记录每个进程的运营时间，属主，查看相应的实例位置，检查相应的实例的版本、大小、类型等。1.1.6.21.1.6.2检检查方法：查方法：ps elf1.1.6.31.1.6.3结结果分析方法：果分析方法：#ps ef1.21.2 物理安全检查物理安全检查1.2.11.2.1 检查系统单用户运营模式中的访问控制检查系统单用户运营模式中的访问控制1.2.1.11.2.1.1说说明：明：检查和发现系统在进入单用户模式是否具有访问控制。1.2.1.21.2.1.2检检查方法：查方法：more/tcb/files/auth/system/default，假如 d_boot_authenticate 行的内容大于 0，那么说明系统不需要口令就可以进入单用户模式。1.31.3 帐号和口令帐号和口令1.3.11.3.1 检查系统中检查系统中 UidUid 相同用户情况相同用户情况1.3.1.11.3.1.1说说明：明：检查和发现系统中具有相同 uid 的用户情况，特别关注 udi=0 的用户情况。1.3.1.21.3.1.2检检查方法：查方法：pwck-s1.3.21.3.2 检查用户登录情况检查用户登录情况1.3.2.11.3.2.1说说明：明：检查和发现系统用户的登录情况，特别关注 udi=0 的用户情况。1.3.2.21.3.2.2检检查方法：查方法：last-Rlastb R|more1.3.31.3.3 检查账户登录尝试失效策略检查账户登录尝试失效策略1.3.3.11.3.3.1说说明：明：检查系统允许的单次会话中的登录尝试次数。1.3.3.21.3.3.2检检查方法：查方法：more/tcb/files/auth/system/default，检查 t_maxtrie 变量内容，假如有设定，它将改变默认的 5 次设定。1.3.41.3.4 检查账户登录失败时延策略检查账户登录失败时延策略1.3.4.11.3.4.1说说明：明：检查系统允许的单次会话中的登录失败时延参数。1.3.4.21.3.4.2检检查方法：查方法：more/tcb/files/auth/system/default，检查 t_logdelay 变量内容，假如有设定，它将改变默认的 4 秒设定。1.3.51.3.5 检查所有的系统默认帐户的登录权限检查所有的系统默认帐户的登录权限1.3.5.11.3.5.1说说明：明：1.3.5.21.3.5.2检检查方法：查方法：cat/etc/passwd|grep v sh1.3.5.31.3.5.3结结果分析方法：果分析方法：例：noaccess:x:60002:60002:No Access User:/:/sbin/noshell1.3.61.3.6 空口令用户检查空口令用户检查1.3.6.11.3.6.1说说明：明：1.3.6.21.3.6.2检检查方法：查方法：authck ppwck-s1.3.71.3.7 口令策略设立参数检查口令策略设立参数检查1.3.7.11.3.7.1说说明：明：检查系统口令的配置策略1.3.7.21.3.7.2检检查方法：查方法：more/tcb/files/auth/system/default1.3.81.3.8 检查检查 rootroot 是否允许从远程登录是否允许从远程登录1.3.8.11.3.8.1说说明：明：Root 从远程登录时，也许会被网络 sniffer 窃听到密码。1.3.8.21.3.8.2检检查方法：查方法：cat/etc/securetty1.3.8.31.3.8.3结结果分析方法：果分析方法：/etc/securetty 应当涉及 console 或者/dev/null1.3.91.3.9 验证已经存在的验证已经存在的 PasswdPasswd 强度强度1.3.9.11.3.9.1说说明：明：检查/etc/shadow 文献中，是否存在空密码的帐号1.3.9.21.3.9.2检检查方法：查方法：cat/etc/shadow|awk-F:print$1$21.3.101.3.10用用户启动文献检查户启动文献检查1.3.10.11.3.10.1说明：说明：检查用户目录下的启动文献1.3.10.21.3.10.2检查方法：检查方法：检查用户目录下的.cshrc.cshrc,.profile.profile,.emacs.emacs,.exrc.exrc,.Xdefaults.Xdefaults,.Xinit.Xinit,.login.login,.logout.logout,.Xsession.Xsession,等文献的内容，涉及 root 用户。1.3.111.3.11用用户途径环境变量检查户途径环境变量检查1.3.11.11.3.11.1说明：说明：检查用户途径环境变量下的启动文献1.3.11.21.3.11.2检查方法：检查方法：切换到用户 echo$PATH，检查输出。1.41.4 网络与服务网络与服务1.4.11.4.1 系统启动脚本检查系统启动脚本检查1.4.1.11.4.1.1说说明：明：检查系统启动脚本1.4.1.21.4.1.2检检查方法：查方法：more/sbin/rc?.d1.4.21.4.2 TCP/UDPTCP/UDP 小服务小服务1.4.2.11.4.2.1说说明：明：这些服务通常是用来进行网络调试的，涉及：echo、discard、datetime、chargen1.4.2.21.4.2.2检检查方法：查方法：grep v“#”/etc/inetd.conf1.4.2.31.4.2.3结结果分析方法果分析方法:echostreamtcpnowaitrootinternalechodgramudpwaitrootinternaldiscardstreamtcpnowaitrootinternaldiscarddgramudpwaitrootinternaldaytimestreamtcpnowaitrootinternaldaytimedgramudpwaitrootinternalchargenstreamtcpnowaitrootinternalchargendgramudpwaitrootinternal1.4.31.4.3 login(rlogin)login(rlogin)，shell(rsh)shell(rsh)，exec(rexec)exec(rexec)1.4.3.11.4.3.1说说明：明：用来方便的登陆或执行远程系统的命令。1 也许被用来获得主机信任关系的信息2 被入侵者用来留后门3 成为被 ip 欺骗的服务对象1.4.3.21.4.3.2检检查方法：查方法：grep v“#”/etc/inetd.conf|egrep“login|shell|exec”1.4.41.4.4 comsat talk uucp lp kerbdcomsat talk uucp lp kerbd1.4.4.11.4.4.1说说明：明：以上服务大都不在公开服务器上使用，且存在一定的风险。1.4.4.21.4.4.2检检查方法：查方法：grep v“#”/etc/inetd.conf|egrep“comsat|talk|uucp|lp|kerbd|kcms”1.4.51.4.5 SadmindSadmind RquotadRquotad RuserRuser Rpc.spraydRpc.sprayd Rpc.walldRpc.walldRstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd GssdRstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd1.4.5.11.4.5.1说说明：明：在 inetd.conf 中启动的 RPC 服务，已有多次极严重的安全漏洞记录1.4.5.21.4.5.2检检查方法：查方法：grep v“#”/etc/inetd.conf|grep rpc查找 Sadmindttbspraydwalldcmsdkcms 等字样以上服务存在多个严重安全隐患 若不使用以上服务建议在 inetd 注释以上服务1.4.5.31.4.5.3备备注：注：不同的版本的某些 rpc 小服务不同样，并且也因安装方式不同而有异。对于少见的 rpc 服务，应当征求管理员的意见。1.4.61.4.6 远程打印服务远程打印服务1.4.6.11.4.6.1说说明：明：检查主机远程打印服务的配置1.4.6.21.4.6.2检检查方法：查方法：more/etc/hosts.equivmore/var/adm/lp/.rhosts1.4.71.4.7 检查是否开放检查是否开放 NFSNFS 服务服务1.4.7.11.4.7.1说说明：明：非有明确使用目的，建议停止运营 NFS 的相关服务1.4.7.21.4.7.2检检查方法：查方法：ps ef|grep nfskdshowmount e localhostmore/etc/exportsmore/etc/exportfsmore/etc/fstab1.4.81.4.8 检查是否检查是否 Enables NFS port monitoringEnables NFS port monitoring1.4.8.11.4.8.1说说明：明：1.4.8.21.4.8.2检检查方法：查方法：more/etc/rc.config.d/nfsconf1.4.8.31.4.8.3结结果分析方法：果分析方法：1.4.91.4.9 检查是否存在和使用检查是否存在和使用 NIS,NIS+NIS,NIS+1.4.9.11.4.9.1说说明：明：检查/var/nis1.4.9.21.4.9.2检检查方法：查方法：more/var/nis1.4.101.4.10检检查查 sendmailsendmail 服务服务1.4.10.11.4.10.1说明：说明：检查本地 sendmail 服务开放情况1.4.10.21.4.10.2检查方法检查方法ps ef|grep sendmail1.4.111.4.11E Expn,vrfy(xpn,vrfy(若存在若存在 sendmailsendmail 进程进程)1.4.11.11.4.11.1说明：说明：限制用户通过这两个 sendmial 命令来获取系统的信息1.4.11.21.4.11.2检查方法：检查方法：检查是否存在 sendmail.cf 文献 若不存在系统当前 sendmail 配置为系统默认cat/etc/sendmail.cf|grep PrivacyOPtions 是否等于 authwarnigs.goawayPrivacyOptions 是否等于 noexpn,novrfy,authwarnignsLoglevel 等于 51.4.121.4.12S SMTP bannerMTP banner1.4.12.11.4.12.1说明：说明：在 SMTP banner 中隐藏版本号1.4.12.21.4.12.2检查方法：检查方法：cat/etc/sendmail.cf|grep“De Mail Server Ready”1.4.12.31.4.12.3结果分析方法：结果分析方法：#SMTP login messageDe Mail Server Ready1.4.131.4.13检检查是否限制查是否限制 ftpftp 用户权限用户权限1.4.13.11.4.13.1说明：说明：拒绝系统默认的帐号使用 ftp 服务1.4.13.21.4.13.2检查方法：检查方法：more/etc/ftpusersmore/etc/ftpd/ftpusers检查 ftpusers 文献存取权限 以及因该禁用的登陆的用户名1.4.141.4.14T TCP_WrapperCP_Wrapper1.4.14.11.4.14.1说明：说明：检查 inetd 服务的访问情况。1.4.14.21.4.14.2检查方法：检查方法：more/var/adm/inetd.sec1.4.151.4.15信信任关系任关系1.4.15.11.4.15.1说明：说明：主机之间的可信任问题，也许会导致安全问题；保证/etc/hosts.equiv 文献的内容为空。1.4.15.21.4.15.2检查方法：检查方法：cat/etc/hosts.equiv若安装 TCP_warpper 并对某些网络服务绑定改服务请检查/etc/hosts.allow 和/etc/hosts.deny 文献是否为空 或者不做策略1.4.15.31.4.15.3结果分析方法：结果分析方法：文献内容应为空或此文献不存在1.51.5 文献系统文献系统1.5.11.5.1 suidsuid 文献文献1.5.1.11.5.1.1说说明：明：检查所有属组为 root(uid=0)的 suid 属性文献 并且其执行权限为任意用户可执行非法的普通用户也许会运用这些程序里潜在的漏洞 以 stack,format strings,heap等方法来溢出和覆盖缓冲区执行非法代码提高到 root 权限目的1.5.1.21.5.1.2检检查方法：查方法：find/-type f perm-4001 user 0检查风险：1.5.21.5.2 sgidsgid 文献文献1.5.2.11.5.2.1说说明：明：移去所有不需要 sgid 属性的文献危害性同上 这里是提高组权限到 other1.5.2.21.5.2.2检检查方法：查方法：find/-type f perm-2023 group 01.5.31.5.3/etc/etc 目录下可写的文献目录下可写的文献1.5.3.11.5.3.1说说明：明：将检查/etc 目录下对任何用户和组都可以进行写入文献这将导致系统风险隐患1.5.3.21.5.3.2检检查方法：查方法：find/etc-type f-perm 00021.5.41.5.4 检测重要文献目录下文献权限属性以及检测重要文献目录下文献权限属性以及/dev/dev 下非下非设备文献系统设备文献系统1.5.4.11.5.4.1说说明明不安全的文献系统库文献权限将导致被任意用户替换危险1检查/usr/lib/usr/lib/usr/local/lib(若存在)目录下对所有用户可写文献2检查/dev 下非设备类型的文献3检查系统所有 conf 文献权限是否为任意用户可写 以及文献属主1.5.4.21.5.4.2检检查方法查方法find/usr/lib type f perm 0002find/lib type f perm 0002find/usr/local/lib type f perm 0002find/dev type ffind/-type f perm-0002 name*.conf*1.5.51.5.5 检查检查/tmp/tmp 目录存取属性目录存取属性1.5.5.11.5.5.1说说明：明：在每次重启时，设立/tmp 目录的粘滞位限制袭击者的部分活动。1.5.5.21.5.5.2检检查方法：查方法：ls la/|grep tmp1.5.5.31.5.5.3结结果分析方法：果分析方法：bash-2.05#ls-la/|grep tmpdrwxrwxrwt5 rootsys447513 14:08 tmp1.5.61.5.6 检查检查 UMASKUMASK1.5.6.11.5.6.1说说明：明：设立严格的 UMASK 值，增强文献的存取权限1.5.6.21.5.6.2检检查方法：查方法：more/tc/profile1.5.71.5.7 检查检查.rhosts.rhosts 文献文献1.5.7.11.5.7.1说说明：明：.rhosts 文献有一定的安全缺陷，当使用不对的时，也许会导致安全漏洞；推荐严禁所有的.rhosts 文献1.5.7.21.5.7.2检检查方法：查方法：find/-type f-name.rhosts1.5.7.31.5.7.3结结果分析方法：果分析方法：没有此文献或文献内容为空，若要使用.rhosts 信任机制 则请保证文献属性为 6001.5.7.41.5.7.4备备注：注：Cluster 软件也许需要.rhosts 文献，请仔细检查使用.rhosts 文献Addbyweiling 2023/11/02审核 setuid 和 setgid网络安全审计#hostnameyd_db1#ll/dev/ether*crw-rw-rw-1 binbin5 0 x010001 Nov 162023/dev/ether1crw-rw-rw-1 binbin5 0 x020231 Nov 162023/dev/ether2crw-rw-rw-1 binbin52 0 x030001 Nov 162023/dev/ether3#ll/ieee*/ieee*not found#ll/dev/ieee*/dev/ieee*not found#ll/dev/lan*crw-rw-rw-1 rootcrw-rw-rw-1 bincrw-rw-rw-1 bincrw-rw-rw-1 bincrw-1 rootsys72 0 x000077 Jan 192023/dev/lanbin32 0 x000000 Nov 162023/dev/lan0bin5 0 x010000 Nov 162023/dev/lan1bin5 0 x020230 Nov 162023/dev/lan2root45 0 x030000 Nov 162023/dev/lan31.61.6 日记审核日记审核1.6.11.6.1 Cron loggedCron logged1.6.1.11.6.1.1说说明：明：检查所有的 cron 活动是否被记录1.6.1.21.6.1.2检检查方法：查方法：HP-UX 默认启动。1.6.21.6.2/var/adm/cron/var/adm/cron/1.6.2.11.6.2.1说说明：明：保证/var/adm/cron 的对的属性为 700 root 用户和 sys 用户可读写1.6.2.21.6.2.2检检查方法：查方法：ls-la/var|grep cron1.6.31.6.3 Log all inetd servicesLog all inetd services1.6.3.11.6.3.1说说明：明：1.6.3.21.6.3.2检检查方法：查方法：ps elf|grep inetd 检查启动参数1.6.41.6.4 Syslog.confSyslog.conf1.6.4.11.6.4.1说说明：明：查看本地日记输出目录功能1.6.4.21.6.4.2检检查方法：查方法：cat/etc/syslog.conf|grep debug1.71.7 UUCPUUCP 服务服务1.7.1.11.7.1.1说说明：明：检查 UUCP 服务的使用情况1.7.1.21.7.1.2检检查方法：查方法：cat/etc/inetd.conf|grep UUCP1.81.8 XwindowsXwindows 检查检查1.8.1.11.8.1.1说说明：明：检查 Xwindows 的配置情况1.8.1.21.8.1.2检检查方法：查方法：find/-name.Xauthority printxhosts(什么意思啊？说的难道是 find/-name xhosts)2 2 中级检查评估内容中级检查评估内容2.12.1 安全增强性安全增强性2.1.12.1.1 TCP IPTCP IP参数检查参数检查2.1.1.12.1.1.1检检查套接口序列是否防止查套接口序列是否防止 SYNSYN 袭击袭击2.1.1.1.12.1.1.1.1 说明：说明：各种网络应用软件一般必须开放一个或者几个端口供外界使用，所以其必然可以会被恶意袭击者向这几个口发起拒绝服务袭击，其中一个很流行的袭击就是SYN FLOOD，在袭击发生时，客户端的来源IP 地址是通过伪造的(spoofed)，现行的 IP 路由机制仅检查目的 IP 地址并进行转发，该 IP 包到达目的主机后返回途径无法通过路由达成的，于是目的主机无法通过 TCP 三次握手建立连接。在此期间由于 TCP 套接口缓存队列被迅速填满，而拒绝新的连接请求。为了防止这些袭击，部分 UNIX 变种采用分离入站的套接口连接请求队列，一队列针对半打开套接口(SYN 接受,SYN|ACK 发送),另一队列针对全打开套借口等待一个accept()调用，增长这两队列可以很好的缓和这些 SYN FLOOD 袭击并使对服务器的影响减到最小限度。2.1.1.1.22.1.1.1.2 检查方法检查方法/usr/sbin/ndd-get/dev/tcp tcp_syn_rcvd_max/usr/sbin/ndd-get/dev/tcp tcp_conn_request_max2.1.1.22.1.1.2检检查查 RedirectsRedirects 参数参数2.1.1.2.12.1.1.2.1 说明：说明：恶意用户可以使用 IP 重定向来修改远程主机中的路由表，在设计良好的网络中，末端的重定向设立是不需要的，发送和接受重定向信息包都要关闭。2.1.1.2.22.1.1.2.2 检查方法：检查方法：通过如下命令检查其值是否为 0：/usr/sbin/ndd-get/dev/ip ip_send_redirects2.1.1.32.1.1.3检检查源路由的设立查源路由的设立2.1.1.3.12.1.1.3.1 说明：说明：通过源路由，袭击者可以尝试到达内部 IP 地址-涉及 RFC1918 中的地址，所以不接受源路由信息包可以防止你的内部网络被探测。2.1.1.3.22.1.1.3.2 检查方法：检查方法：通过如下命令检查其值是否为 0：ndd-get/dev/ip ip_forward_src_routed2.1.1.42.1.1.4检检查广播查广播 ECHOECHO 响应响应2.1.1.4.12.1.1.4.1 说明：说明：Smurf袭击就是一个伪造的地址通过发送ICMP 8 0(ECHO REQUEST)信息到一个广播地址，一些 IP 堆栈默认情况下会响应这些信息，所以必须关闭这个特性。假如这个主机作为防火墙使用(router)，关闭这个特性就不能解决解决广播。2.1.1.4.22.1.1.4.2 检查方法：检查方法：通过如下命令检查其值是否为 0：ndd-get/dev/ip ip_respond_to_echo_broadcast2.1.1.52.1.1.5检检查查 TIME_WAIT settingTIME_WAIT setting 设立设立2.1.1.5.12.1.1.5.1 说明：说明：在一些比较繁忙的网络服务器上，许多套接口也许就处在 TIME_WAIT状态，这是由于一些不正规编码的客户端应用程序没有很对的的解决套接口所引起的，这就也许引起如 DDOS 的袭击。2.1.1.5.22.1.1.5.2 检查方法：检查方法：通过如下命令检查其值是否大于 6000：ndd-get/dev/tcp tcp_time_wait_interval2.1.22.1.2 InetdInetd 启动参数检查启动参数检查检查 inetd是否严格使用了-t参数来记录所有对 inetd 守护进程所绑定网络服务的连接记录2.1.32.1.3 SyslogdSyslogd 启动参数检查启动参数检查检查 Syslogd 的启动参数2.1.42.1.4 系统日记文献内容检查系统日记文献内容检查检查/var/log 和/var/admin 目录下的日记文献。2.1.52.1.5 系统用户口令强度检查系统用户口令强度检查将口令文献/etc/passwd 和/etc/shadow 导出，通过运营 john the ripper 检查其强度。2.1.62.1.6 系统补丁安装情况检查系统补丁安装情况检查执行 swlist，检查补丁情况。2.1.72.1.7 系统审计检查系统审计检查执行 tail etc/rc.config.d/auditing，检查其内容3 3 高级检查评估内容高级检查评估内容3.13.1 后门与日记检查后门与日记检查检查系统日记文献是否完备，是否存在异常情况，如日期，大小，完整性。3.23.2 系统异常服务进程检查系统异常服务进程检查检查系统是否存在异常的服务进程，需要安装 lsof 等工具进行检查和拟定系统运营进程和服务之间的关系。3.33.3 内核情况检查内核情况检查检查 HP-UX 内核与模块加载情况执行 kmtune l执行 kmadmin k执行/usr/sbin/kmadmin s3.43.4 第三方安全产品安装情况第三方安全产品安装情况是否禁用 telnetd service 使用 openssh 等加密连接协议来进行 remote login 登陆若安装 md5 软件包 请检测/bin/login 的 md5 效检值是否一至 与文献权限问题若有必要可以 truss 跟踪 ls,ps,netstat 等系统调用查看是否存在不正常的系统调用和函数劫持.