2022年信息安全_风险评估_检查流程_操作系统安全评估检查表_H.doc

HP-UX Security CheckList目 录HP-UX SECURITY CHECKLIST11初级检查评估内容51.1系统信息51.1.1系统根本信息51.1.2系统网络设置51.1.3系统当前路由51.1.4检查目前系统开放的端口61.1.5检查当前系统网络连接情况81.1.6系统运转进程81.2物理平安检查91.2.1检查系统单用户运转形式中的访咨询操纵91.3帐号和口令91.3.1检查系统中Uid一样用户情况91.3.2检查用户登录情况91.3.3检查账户登录尝试失效策略101.3.4检查账户登录失败时延策略101.3.5检查所有的系统默认帐户的登录权限101.3.6空口令用户检查111.3.7口令策略设置参数检查111.3.8检查root是否同意从远程登录111.3.9验证已经存在的Passwd强度111.3.10用户启动文件检查121.3.11用户途径环境变量检查121.4网络与效劳121.4.1系统启动脚本检查121.4.2TCP/UDP小效劳131.4.3login(rlogin)，shell(rsh)，exec(rexec)131.4.4comsat talk uucp lp kerbd141.4.5Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd141.4.6远程打印效劳141.4.7检查是否开放NFS效劳151.4.8检查是否Enables NFS port monitoring151.4.9检查是否存在和使用 NIS ,NIS+151.4.10检查sendmail效劳161.4.11Expn, vrfy (假设存在sendmail进程)161.4.12SMTP banner161.4.13检查是否限制ftp用户权限171.4.14TCP_Wrapper171.4.15信任关系171.5文件系统181.5.1suid文件181.5.2sgid文件181.5.3/etc 目录下可写的文件181.5.4检测重要文件目录下文件权限属性以及/dev下非设备文件系统191.5.5检查/tmp目录存取属性191.5.6检查UMASK201.5.7检查.rhosts文件201.6日志审核201.6.1Cron logged201.6.2/var/adm/cron/211.6.3Log all inetd services211.6.4Syslog.conf211.7UUCP效劳211.8Xwindows检查222中级检查评估内容232.1平安加强性232.1.1TCP IP参数检查232.1.2Inetd启动参数检查242.1.3Syslogd启动参数检查252.1.4系统日志文件内容检查252.1.5系统用户口令强度检查252.1.6系统补丁安装情况检查252.1.7系统审计检查253高级检查评估内容263.1后门与日志检查263.2系统异常效劳进程检查263.3内核情况检查263.4第三方平安产品安装情况261 初级检查评估内容1.1 系统信息1.1.1 系统根本信息1.1.1.1 说明：检查系统的版本和硬件类型等根本信息。1.1.1.2 检查方法：uname auname vPATH="/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/"export PATH1.1.2 系统网络设置1.1.2.1 说明：检查系统的网卡是否存在混杂形式。1.1.2.2 检查方法：ifconfig lan01.1.3 系统当前路由1.1.3.1 说明：检查系统当前的路由设定配置，包括默认路由和永久路由，并检查其合法性。1.1.3.2 检查方法：netstat -nr1.1.3.3 结果分析方法：bash-2.05# netstat -nrRouting Table: IPv4 Destination Gateway Flags Ref Use Interface- - - - - -192.168.10.0 192.168.10.113 U 1 35 hme0default 192.168.10.254 UG 1 78127.0.0.1 127.0.0.1 UH 2 7246 lo01.1.4 检查目前系统开放的端口1.1.4.1 说明：检查当前系统运转中开放的效劳端口1.1.4.2 检查方法：netstat na |grep LISTEN1.1.4.3 结果分析方法：bash-2.05# netstat -na | grep LISTEN1.1.5 检查当前系统网络连接情况1.1.5.1 说明：依照显示的网络连接，记录已建立连接establish的数量，地址范围等。记录listen的端口，记录其它状态，例如timewait，finwait，closewait等。1.1.5.2 检查方法：netstat na1.1.6 系统运转进程1.1.6.1 说明：依照显示的当前所有在运转的系统进程，记录每个进程的运转时间，属主，查看相应的实例位置，检查相应的实例的版本、大小、类型等。1.1.6.2 检查方法：ps elf 1.1.6.3 结果分析方法：# ps ef 1.2 物理平安检查1.2.1 检查系统单用户运转形式中的访咨询操纵1.2.1.1 说明：检查和发觉系统在进入单用户形式是否具备访咨询操纵。1.2.1.2 检查方法：more /tcb/files/auth/system/default，假如d_boot_authenticate 行的内容大于0，那么说明系统不需要口令就能够进入单用户形式。1.3 帐号和口令1.3.1 检查系统中Uid一样用户情况1.3.1.1 说明：检查和发觉系统中具有一样uid的用户情况，特别关注udi=0的用户情况。1.3.1.2 检查方法：pwck -s1.3.2 检查用户登录情况1.3.2.1 说明：检查和发觉系统用户的登录情况，特别关注udi=0的用户情况。1.3.2.2 检查方法：last -Rlastb R | more1.3.3 检查账户登录尝试失效策略1.3.3.1 说明：检查系统同意的单次会话中的登录尝试次数。1.3.3.2 检查方法：more /tcb/files/auth/system/default，检查t_maxtrie 变量内容，假如有设定，它将改变默认的5次设定。1.3.4 检查账户登录失败时延策略1.3.4.1 说明：检查系统同意的单次会话中的登录失败时延参数。1.3.4.2 检查方法：more /tcb/files/auth/system/default，检查t_logdelay 变量内容，假如有设定，它将改变默认的4秒设定。1.3.5 检查所有的系统默认帐户的登录权限1.3.5.1 说明：1.3.5.2 检查方法：cat /etc/passwd |grep v sh1.3.5.3 结果分析方法：例：noaccess:x:60002:60002:No Access User :/:/sbin/noshell1.3.6 空口令用户检查1.3.6.1 说明：1.3.6.2 检查方法：authck ppwck -s1.3.7 口令策略设置参数检查1.3.7.1 说明：检查系统口令的配置策略1.3.7.2 检查方法：more /tcb/files/auth/system/default1.3.8 检查root是否同意从远程登录1.3.8.1 说明：Root从远程登录时，可能会被网络sniffer窃听到密码。1.3.8.2 检查方法：cat /etc/securetty1.3.8.3 结果分析方法：/etc/securetty应当包括console或者/dev/null1.3.9 验证已经存在的Passwd强度1.3.9.1 说明：检查/etc/shadow文件中，是否存在空密码的帐号1.3.9.2 检查方法：cat /etc/shadow |awk -F: 'print $1 " "$2'1.3.10 用户启动文件检查1.3.10.1 说明：检查用户目录下的启动文件1.3.10.2 检查方法：检查用户目录下的.cshrc, .profile, .emacs, .exrc, .Xdefaults, .Xinit, .login, .logout, .Xsession,等文件的内容，包括root用户。1.3.11 用户途径环境变量检查1.3.11.1 说明：检查用户途径环境变量下的启动文件1.3.11.2 检查方法：切换到用户 echo $PATH，检查输出。1.4 网络与效劳1.4.1 系统启动脚本检查1.4.1.1 说明：检查系统启动脚本1.4.1.2 检查方法：more /sbin/rc?.d1.4.2 TCP/UDP小效劳1.4.2.1 说明：这些效劳通常是用来进展网络调试的，包括：echo、discard、datetime、chargen1.4.2.2 检查方法：grep v “#” /etc/inetd.conf1.4.2.3 结果分析方法:echo stream tcp nowait root internalecho dgram udp wait root internaldiscard stream tcp nowait root internaldiscard dgram udp wait root internaldaytime stream tcp nowait root internaldaytime dgram udp wait root internalchargen stream tcp nowait root internalchargen dgram udp wait root internal1.4.3 login(rlogin)，shell(rsh)，exec(rexec)1.4.3.1 说明：用来方便的登陆或执行远程系统的命令。1可能被用来获得主机信任关系的信息2被入侵者用来留后门3成为被ip欺骗的效劳对象1.4.3.2 检查方法：grep v “#” /etc/inetd.conf |egrep “login|shell|exec”1.4.4 comsat talk uucp lp kerbd1.4.4.1 说明：以上效劳大都不在公开效劳器上使用，且存在一定的风险。1.4.4.2 检查方法：grep v “#” /etc/inetd.conf |egrep “comsat| talk| uucp| lp| kerbd|kcms”1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd1.4.5.1 说明：在inetd.conf中启动的RPC效劳，已经有屡次极严峻的平安破绽记录1.4.5.2 检查方法：grep v “#” /etc/inetd.conf|grep rpc查找 Sadmind ttb sprayd walld cmsd kcms等字样以上效劳存在多个严峻平安隐患 假设不使用以上效劳 建议在inetd注释以上效劳1.4.5.3 备注：不同的版本的某些rpc小效劳不一样，而且也因安装方式不同而有异。关于少见的rpc效劳，应该征求治理员的意见。1.4.6 远程打印效劳1.4.6.1 说明：检查主机远程打印效劳的配置1.4.6.2 检查方法：more /etc/hosts.equivmore /var/adm/lp/.rhosts1.4.7 检查是否开放NFS效劳1.4.7.1 说明：非有明确使用目的，建议停顿运转NFS的相关效劳1.4.7.2 检查方法：ps ef | grep nfskdshowmount e localhostmore /etc/exportsmore /etc/exportfsmore /etc/fstab1.4.8 检查是否Enables NFS port monitoring1.4.8.1 说明：1.4.8.2 检查方法：more /etc/rc.config.d/nfsconf1.4.8.3 结果分析方法：1.4.9 检查是否存在和使用 NIS ,NIS+1.4.9.1 说明：检查/var/nis1.4.9.2 检查方法：more /var/nis1.4.10 检查sendmail效劳1.4.10.1 说明：检查本地sendmail效劳开放情况1.4.10.2 检查方法ps ef|grep sendmail 1.4.11 Expn, vrfy (假设存在sendmail进程)1.4.11.1 说明：限制用户通过这两个sendmial命令来获取系统的信息1.4.11.2 检查方法：检查是否存在sendmail.cf文件 假设不存在系统当前sendmail配置为系统默认cat /etc/sendmail.cf |grep PrivacyOPtions是否等于authwarnigs.goawayPrivacyOptions是否等于noexpn,novrfy,authwarnignsLoglevel等于51.4.12 SMTP banner1.4.12.1 说明：在SMTP banner中隐藏版本号1.4.12.2 检查方法：cat /etc/sendmail.cf |grep “De Mail Server Ready”1.4.12.3 结果分析方法：#SMTP login messageDe Mail Server Ready1.4.13 检查是否限制ftp用户权限1.4.13.1 说明：回绝系统默认的帐号使用ftp效劳1.4.13.2 检查方法：more /etc/ftpusersmore /etc/ftpd/ftpusers检查ftpusers文件存取权限 以及因该禁用的登陆的用户名 1.4.14 TCP_Wrapper1.4.14.1 说明：检查inetd效劳的访咨询情况。1.4.14.2 检查方法：more /var/adm/inetd.sec1.4.15 信任关系1.4.15.1 说明：主机之间的可信任咨询题，可能会导致平安咨询题；确保 /etc/hosts.equiv文件的内容为空。1.4.15.2 检查方法：cat /etc/hosts.equiv假设安装TCP_warpper并对某些网络效劳绑定改效劳 请检查/etc/hosts.allow和 /etc/hosts.deny文件是否为空 或者不做策略1.4.15.3 结果分析方法：文件内容应为空或此文件不存在1.5 文件系统1.5.1 suid文件1.5.1.1 说明：检查所有属组为root(uid=0)的suid属性文件 同时其执行权限为任意用户可执行非法的一般用户可能会利用这些程序里潜在的破绽 以stack, format strings,heap等方法来溢出和覆盖缓冲区执行非法代码提升到root权限目的1.5.1.2 检查方法：find / -type f perm -4001 user 0 检查风险：1.5.2 sgid文件1.5.2.1 说明：移去所有不需要sgid属性的文件危害性同上 这里是提升组权限到other1.5.2.2 检查方法：find / -type f perm -2001 group 01.5.3 /etc 目录下可写的文件1.5.3.1 说明：将检查/etc目录下对任何用户和组都能够进展写入文件这将造成系统风险隐患1.5.3.2 检查方法：find /etc -type f -perm 00021.5.4 检测重要文件目录下文件权限属性以及/dev下非设备文件系统1.5.4.1 说明 不平安的文件系统库文件权限将导致被任意用户交换危险1检查/usr/lib /usr/lib /usr/local/lib(假设存在)目录下对所有用户可写文件2 检查/dev下非设备类型的文件 3检查系统所有conf文件权限是否为任意用户可写 以及文件属主1.5.4.2 检查方法find /usr/lib type f perm 0002find /lib type f perm 0002find /usr/local/lib type f perm 0002 find /dev type f find / -type f perm -0002 name *.conf* 1.5.5 检查/tmp目录存取属性1.5.5.1 说明：在每次重启时，设置/tmp目录的粘滞位限制攻击者的部分活动。1.5.5.2 检查方法：ls la / |grep tmp1.5.5.3 结果分析方法：bash-2.05# ls -la / |grep tmpdrwxrwxrwt 5 root sys 447 5 13 14:08 tmp1.5.6 检查UMASK1.5.6.1 说明：设置严格的UMASK值，加强文件的存取权限1.5.6.2 检查方法：more /tc/profile 1.5.7 检查.rhosts文件1.5.7.1 说明：.rhosts文件有一定的平安缺陷，当使用不正确时，可能会导致平安破绽；推荐禁止所有的.rhosts文件1.5.7.2 检查方法：find / -type f -name ".rhosts"1.5.7.3 结果分析方法：没有此文件或文件内容为空，假设要使用.rhosts信任机制 则请确保文件属性为6001.5.7.4 备注：Cluster软件可能需要.rhosts文件，请细心检查使用.rhosts文件Add by weiling 2005/11/02 审核setuid 和 setgid 网络平安审计# hostnameyd_db1# # ll /dev/ether*crw-rw-rw- 1 bin bin 5 0x010001 Nov 16 2000 /dev/ether1crw-rw-rw- 1 bin bin 5 0x020001 Nov 16 2000 /dev/ether2crw-rw-rw- 1 bin bin 52 0x030001 Nov 16 2000 /dev/ether3# # ll /ieee*/ieee* not found# # ll /dev/ieee*/dev/ieee* not found# # ll /dev/lan*crw-rw-rw- 1 root sys 72 0x000077 Jan 19 2003 /dev/lancrw-rw-rw- 1 bin bin 32 0x000000 Nov 16 2000 /dev/lan0crw-rw-rw- 1 bin bin 5 0x010000 Nov 16 2000 /dev/lan1crw-rw-rw- 1 bin bin 5 0x020000 Nov 16 2000 /dev/lan2crw- 1 root root 45 0x030000 Nov 16 2000 /dev/lan31.6 日志审核1.6.1 Cron logged1.6.1.1 说明：检查所有的cron活动是否被记录1.6.1.2 检查方法：HP-UX默认开启。1.6.2 /var/adm/cron/1.6.2.1 说明：确保/var/adm/cron的正确属性为700 root用户和sys用户可读写1.6.2.2 检查方法：ls -la /var |grep cron1.6.3 Log all inetd services1.6.3.1 说明：1.6.3.2 检查方法：ps elf|grep inetd 检查启动参数1.6.4 Syslog.conf1.6.4.1 说明：查看本地日志输出目录功能1.6.4.2 检查方法：cat /etc/syslog.conf |grep debug1.7 UUCP效劳1.7.1.1 说明：检查UUCP效劳的使用情况1.7.1.2 检查方法：cat /etc/inetd.conf | grep UUCP1.8 Xwindows检查1.8.1.1 说明：检查Xwindows的配置情况1.8.1.2 检查方法：find / -name .Xauthority printxhosts ( 什么意思啊？ 说的难道是 find / -name xhosts )2 中级检查评估内容2.1 平安加强性2.1.1 TCP IP参数检查2.1.1.1 检查套接口序列是否防止SYN攻击2.1.1.1.1 说明：各种网络应用软件一般必须开放一个或者几个端口供外界使用，因此其必定能够会被恶意攻击者向这几个口发起回绝效劳攻击，其中一个非常流行的攻击确实是SYN FLOOD，在攻击发生时，客户端的来源IP地址是通过伪造的(spoofed)，现行的IP路由机制仅检查目的IP地址并进展转发，该IP包到达目的主机后返回途径无法通过路由到达的，因此目的主机无法通过TCP三次握手建立连接。在此期间由于TCP套接口缓存队列被迅速填满，而回绝新的连接恳求。为了防止这些攻击，部分UNIX变种采纳别离入站的套接口连接恳求队列，一队列针对半打开套接口(SYN 接收,SYN|ACK 发送), 另一队列针对全打开套借口等待一个accept()调用，增加这两队列能够非常好的缓和这些SYN FLOOD攻击并使对效劳器的妨碍减到最小程度。2.1.1.1.2 检查方法/usr/sbin/ndd -get /dev/tcp tcp_syn_rcvd_max/usr/sbin/ndd -get /dev/tcp tcp_conn_request_max2.1.1.2 检查Redirects参数2.1.1.2.1 说明：恶意用户能够使用IP重定向来修正远程主机中的路由表，在设计良好的网络中，末端的重定向设置是不需要的，发送和接受重定向信息包都要关闭。2.1.1.2.2 检查方法：通过如下命令检查其值是否为0：/usr/sbin/ndd -get /dev/ip ip_send_redirects2.1.1.3 检查源路由的设置2.1.1.3.1 说明：通过源路由，攻击者能够尝试到达内部IP地址 -包括RFC1918中的地址，因此不接受源路由信息包能够防止你的内部网络被探测。2.1.1.3.2 检查方法：通过如下命令检查其值是否为0：ndd -get /dev/ip ip_forward_src_routed2.1.1.4 检查广播ECHO响应2.1.1.4.1 说明：Smurf攻击确实是一个伪造的地址通过发送ICMP 8 0 (ECHO REQUEST) 信息到一个广播地址，一些IP堆栈默认情况下会响应这些信息，因此必须关闭这个特征。假如这个主机作为防火墙使用(router)，关闭这个特征就不能处理处理广播。2.1.1.4.2 检查方法：通过如下命令检查其值是否为0：ndd -get /dev/ip ip_respond_to_echo_broadcast2.1.1.5 检查TIME_WAIT setting 设置2.1.1.5.1 说明：在一些比拟繁忙的网络效劳器上，许多套接口可能就处于TIME_WAIT状态，这是由于一些不正规编码的客户端应用程序没有非常正确的处理套接口所引起的，这就可能引起如DDOS的攻击。2.1.1.5.2 检查方法：通过如下命令检查其值是否大于6000：ndd -get /dev/tcp tcp_time_wait_interval2.1.2 Inetd启动参数检查检查inetd是否严格使用了-t参数来记录所有对inetd守护进程所绑定网络效劳的连接记录2.1.3 Syslogd启动参数检查检查Syslogd的启动参数2.1.4 系统日志文件内容检查检查/var/log和/var/admin目录下的日志文件。2.1.5 系统用户口令强度检查将口令文件/etc/passwd和/etc/shadow导出，通过运转john the ripper检查其强度。2.1.6 系统补丁安装情况检查执行swlist ，检查补丁情况。2.1.7 系统审计检查执行tail etc/rc.config.d/auditing，检查其内容3 高级检查评估内容3.1 后门与日志检查检查系统日志文件是否完备，是否存在异常情况，如日期，大小，完好性。3.2 系统异常效劳进程检查检查系统是否存在异常的效劳进程，需要安装lsof等工具进展检查和确定系统运转进程和效劳之间的关系。3.3 内核情况检查检查HP-UX内核与模块加载情况执行kmtune l执行kmadmin k执行/usr/sbin/kmadmin s3.4 第三方平安产品安装情况是否禁用telnetd service使用openssh等加密连接协议来进展remote login登陆假设安装md5软件包 请检测/bin/login的md5效检值是否一至 与文件权限咨询题假设有必要能够truss跟踪ls, ps ,netstat 等系统调用 查看是否存在不正常的系统调用和函数劫持.