信息安全-风险评估-检查流程-操作系统安全评估检查表-HP-UNI(共28页).doc

《信息安全-风险评估-检查流程-操作系统安全评估检查表-HP-UNI(共28页).doc》由会员分享，可在线阅读，更多相关《信息安全-风险评估-检查流程-操作系统安全评估检查表-HP-UNI(共28页).doc（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上HP-UX Security CheckList目 录HP-UX SECURITY CHECKLIST11初级检查评估内容51.1系统信息51.1.1系统基本信息51.1.2系统网络设置51.1.3系统当前路由51.1.4检查目前系统开放的端口61.1.5检查当前系统网络连接情况81.1.6系统运行进程81.2物理安全检查91.2.1检查系统单用户运行模式中的访问控制91.3帐号和口令91.3.1检查系统中Uid相同用户情况91.3.2检查用户登录情况91.3.3检查账户登录尝试失效策略101.3.4检查账户登录失败时延策略101.3.5检查所有的系统默认帐户的登录权

2、限101.3.6空口令用户检查111.3.7口令策略设置参数检查111.3.8检查root是否允许从远程登录111.3.9验证已经存在的Passwd强度111.3.10用户启动文件检查121.3.11用户路径环境变量检查121.4网络与服务121.4.1系统启动脚本检查121.4.2TCP/UDP小服务131.4.3login(rlogin)，shell(rsh)，exec(rexec)131.4.4comsat talk uucp lp kerbd141.4.5Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd F

3、s Cachefs Dtspcd Gssd141.4.6远程打印服务141.4.7检查是否开放NFS服务151.4.8检查是否Enables NFS port monitoring151.4.9检查是否存在和使用 NIS ,NIS+151.4.10检查sendmail服务161.4.11Expn, vrfy (若存在sendmail进程)161.4.12SMTP banner161.4.13检查是否限制ftp用户权限171.4.14TCP_Wrapper171.4.15信任关系171.5文件系统181.5.1suid文件181.5.2sgid文件181.5.3/etc 目录下可写的文件181.

4、5.4检测重要文件目录下文件权限属性以及/dev下非设备文件系统191.5.5检查/tmp目录存取属性191.5.6检查UMASK201.5.7检查.rhosts文件201.6日志审核201.6.1Cron logged201.6.2/var/adm/cron/211.6.3Log all inetd services211.6.4Syslog.conf211.7UUCP服务211.8Xwindows检查222中级检查评估内容232.1安全增强性232.1.1TCP IP参数检查232.1.2Inetd启动参数检查242.1.3Syslogd启动参数检查252.1.4系统日志文件内容检查252

5、.1.5系统用户口令强度检查252.1.6系统补丁安装情况检查252.1.7系统审计检查253高级检查评估内容263.1后门与日志检查263.2系统异常服务进程检查263.3内核情况检查263.4第三方安全产品安装情况261 初级检查评估内容1.1 系统信息1.1.1 系统基本信息1.1.1.1 说明：检查系统的版本和硬件类型等基本信息。1.1.1.2 检查方法：uname auname vPATH=/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/export PATH1.1.2 系统网络设置1.1.2.1 说明：检查系统的网卡是否存在混杂模式。1

6、.1.2.2 检查方法：ifconfig lan01.1.3 系统当前路由1.1.3.1 说明：检查系统当前的路由设定配置，包括默认路由和永久路由，并检查其合法性。1.1.3.2 检查方法：netstat -nr1.1.3.3 结果分析方法：bash-2.05# netstat -nrRouting Table: IPv4 Destination Gateway Flags Ref Use Interface- - - - - -192.168.10.0 192.168.10.113 U 1 35 hme0default 192.168.10.254 UG 1 78127.0.0.1 127.

7、0.0.1 UH 2 7246 lo01.1.4 检查目前系统开放的端口1.1.4.1 说明：检查当前系统运行中开放的服务端口1.1.4.2 检查方法：netstat na |grep LISTEN1.1.4.3 结果分析方法：bash-2.05# netstat -na | grep LISTEN1.1.5 检查当前系统网络连接情况1.1.5.1 说明：根据显示的网络连接，记录已建立连接establish的数量，地址范围等。记录listen的端口，记录其它状态，例如timewait，finwait，closewait等。1.1.5.2 检查方法：netstat na1.1.6 系统运行进程1

8、.1.6.1 说明：根据显示的当前所有在运行的系统进程，记录每个进程的运行时间，属主，查看相应的实例位置，检查相应的实例的版本、大小、类型等。1.1.6.2 检查方法：ps elf 1.1.6.3 结果分析方法：# ps ef 1.2 物理安全检查1.2.1 检查系统单用户运行模式中的访问控制1.2.1.1 说明：检查和发现系统在进入单用户模式是否具备访问控制。1.2.1.2 检查方法：more /tcb/files/auth/system/default，如果d_boot_authenticate 行的内容大于0，那么说明系统不需要口令就可以进入单用户模式。1.3 帐号和口令1.3.1 检查

9、系统中Uid相同用户情况1.3.1.1 说明：检查和发现系统中具有相同uid的用户情况，特别关注udi=0的用户情况。1.3.1.2 检查方法：pwck -s1.3.2 检查用户登录情况1.3.2.1 说明：检查和发现系统用户的登录情况，特别关注udi=0的用户情况。1.3.2.2 检查方法：last -Rlastb R | more1.3.3 检查账户登录尝试失效策略1.3.3.1 说明：检查系统允许的单次会话中的登录尝试次数。1.3.3.2 检查方法：more /tcb/files/auth/system/default，检查t_maxtrie 变量内容，如果有设定，它将改变默认的5次设定

10、。1.3.4 检查账户登录失败时延策略1.3.4.1 说明：检查系统允许的单次会话中的登录失败时延参数。1.3.4.2 检查方法：more /tcb/files/auth/system/default，检查t_logdelay 变量内容，如果有设定，它将改变默认的4秒设定。1.3.5 检查所有的系统默认帐户的登录权限1.3.5.1 说明：1.3.5.2 检查方法：cat /etc/passwd |grep v sh1.3.5.3 结果分析方法：例：noaccess:x:60002:60002:No Access User :/:/sbin/noshell1.3.6 空口令用户检查1.3.6.1

11、 说明：1.3.6.2 检查方法：authck ppwck -s1.3.7 口令策略设置参数检查1.3.7.1 说明：检查系统口令的配置策略1.3.7.2 检查方法：more /tcb/files/auth/system/default1.3.8 检查root是否允许从远程登录1.3.8.1 说明：Root从远程登录时，可能会被网络sniffer窃听到密码。1.3.8.2 检查方法：cat /etc/securetty1.3.8.3 结果分析方法：/etc/securetty应当包括console或者/dev/null1.3.9 验证已经存在的Passwd强度1.3.9.1 说明：检查/etc

12、/shadow文件中，是否存在空密码的帐号1.3.9.2 检查方法：cat /etc/shadow |awk -F: print $1 $21.3.10 用户启动文件检查1.3.10.1 说明：检查用户目录下的启动文件1.3.10.2 检查方法：检查用户目录下的.cshrc, .profile, .emacs, .exrc, .Xdefaults, .Xinit, .login, .logout, .Xsession,等文件的内容，包括root用户。1.3.11 用户路径环境变量检查1.3.11.1 说明：检查用户路径环境变量下的启动文件1.3.11.2 检查方法：切换到用户 echo $PA

13、TH，检查输出。1.4 网络与服务1.4.1 系统启动脚本检查1.4.1.1 说明：检查系统启动脚本1.4.1.2 检查方法：more /sbin/rc?.d1.4.2 TCP/UDP小服务1.4.2.1 说明：这些服务通常是用来进行网络调试的，包括：echo、discard、datetime、chargen1.4.2.2 检查方法：grep v “#” /etc/inetd.conf1.4.2.3 结果分析方法:echo stream tcp nowait root internalecho dgram udp wait root internaldiscard stream tcp now

14、ait root internaldiscard dgram udp wait root internaldaytime stream tcp nowait root internaldaytime dgram udp wait root internalchargen stream tcp nowait root internalchargen dgram udp wait root internal1.4.3 login(rlogin)，shell(rsh)，exec(rexec)1.4.3.1 说明：用来方便的登陆或执行远程系统的命令。1可能被用来获得主机信任关系的信息2被入侵者用来留后

15、门3成为被ip欺骗的服务对象1.4.3.2 检查方法：grep v “#” /etc/inetd.conf |egrep “login|shell|exec”1.4.4 comsat talk uucp lp kerbd1.4.4.1 说明：以上服务大都不在公开服务器上使用，且存在一定的风险。1.4.4.2 检查方法：grep v “#” /etc/inetd.conf |egrep “comsat| talk| uucp| lp| kerbd|kcms”1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd

16、 Fs Cachefs Dtspcd Gssd1.4.5.1 说明：在inetd.conf中启动的RPC服务，已经有多次极严重的安全漏洞记录1.4.5.2 检查方法：grep v “#” /etc/inetd.conf|grep rpc查找 Sadmind ttb sprayd walld cmsd kcms等字样以上服务存在多个严重安全隐患 若不使用以上服务 建议在inetd注释以上服务1.4.5.3 备注：不同的版本的某些rpc小服务不一样，而且也因安装方式不同而有异。对于少见的rpc服务，应该征求管理员的意见。1.4.6 远程打印服务1.4.6.1 说明：检查主机远程打印服务的配置1.4

17、.6.2 检查方法：more /etc/hosts.equivmore /var/adm/lp/.rhosts1.4.7 检查是否开放NFS服务1.4.7.1 说明：非有明确使用目的，建议停止运行NFS的相关服务1.4.7.2 检查方法：ps ef | grep nfskdshowmount e localhostmore /etc/exportsmore /etc/exportfsmore /etc/fstab1.4.8 检查是否Enables NFS port monitoring1.4.8.1 说明：1.4.8.2 检查方法：more /etc/rc.config.d/nfsconf1.

18、4.8.3 结果分析方法：1.4.9 检查是否存在和使用 NIS ,NIS+1.4.9.1 说明：检查/var/nis1.4.9.2 检查方法：more /var/nis1.4.10 检查sendmail服务1.4.10.1 说明：检查本地sendmail服务开放情况1.4.10.2 检查方法ps ef|grep sendmail 1.4.11 Expn, vrfy (若存在sendmail进程)1.4.11.1 说明：限制用户通过这两个sendmial命令来获取系统的信息1.4.11.2 检查方法：检查是否存在sendmail.cf文件 若不存在系统当前sendmail配置为系统默认cat

19、/etc/sendmail.cf |grep PrivacyOPtions是否等于authwarnigs.goawayPrivacyOptions是否等于noexpn,novrfy,authwarnignsLoglevel等于51.4.12 SMTP banner1.4.12.1 说明：在SMTP banner中隐藏版本号1.4.12.2 检查方法：cat /etc/sendmail.cf |grep “De Mail Server Ready”1.4.12.3 结果分析方法：#SMTP login messageDe Mail Server Ready1.4.13 检查是否限制ftp用户权限

20、1.4.13.1 说明：拒绝系统默认的帐号使用ftp服务1.4.13.2 检查方法：more /etc/ftpusersmore /etc/ftpd/ftpusers检查ftpusers文件存取权限 以及因该禁用的登陆的用户名 1.4.14 TCP_Wrapper1.4.14.1 说明：检查inetd服务的访问情况。1.4.14.2 检查方法：more /var/adm/inetd.sec1.4.15 信任关系1.4.15.1 说明：主机之间的可信任问题，可能会导致安全问题；确保 /etc/hosts.equiv文件的内容为空。1.4.15.2 检查方法：cat /etc/hosts.equi

21、v若安装TCP_warpper并对某些网络服务绑定改服务 请检查/etc/hosts.allow和 /etc/hosts.deny文件是否为空 或者不做策略1.4.15.3 结果分析方法：文件内容应为空或此文件不存在1.5 文件系统1.5.1 suid文件1.5.1.1 说明：检查所有属组为root(uid=0)的suid属性文件 并且其执行权限为任意用户可执行非法的普通用户可能会利用这些程序里潜在的漏洞 以stack, format strings,heap等方法来溢出和覆盖缓冲区执行非法代码提升到root权限目的1.5.1.2 检查方法：find / -type f perm -4001

22、user 0 检查风险：1.5.2 sgid文件1.5.2.1 说明：移去所有不需要sgid属性的文件危害性同上 这里是提升组权限到other1.5.2.2 检查方法：find / -type f perm -2001 group 01.5.3 /etc 目录下可写的文件1.5.3.1 说明：将检查/etc目录下对任何用户和组都可以进行写入文件这将造成系统风险隐患1.5.3.2 检查方法：find /etc -type f -perm 00021.5.4 检测重要文件目录下文件权限属性以及/dev下非设备文件系统1.5.4.1 说明 不安全的文件系统库文件权限将导致被任意用户替换危险1检查/u

23、sr/lib /usr/lib /usr/local/lib(若存在)目录下对所有用户可写文件2 检查/dev下非设备类型的文件 3检查系统所有conf文件权限是否为任意用户可写 以及文件属主1.5.4.2 检查方法find /usr/lib type f perm 0002find /lib type f perm 0002find /usr/local/lib type f perm 0002 find /dev type f find / -type f perm -0002 name *.conf* 1.5.5 检查/tmp目录存取属性1.5.5.1 说明：在每次重启时，设置/tmp目

24、录的粘滞位限制攻击者的部分活动。1.5.5.2 检查方法：ls la / |grep tmp1.5.5.3 结果分析方法：bash-2.05# ls -la / |grep tmpdrwxrwxrwt 5 root sys 447 5 13 14:08 tmp1.5.6 检查UMASK1.5.6.1 说明：设置严格的UMASK值，增强文件的存取权限1.5.6.2 检查方法：more /tc/profile 1.5.7 检查.rhosts文件1.5.7.1 说明：.rhosts文件有一定的安全缺陷，当使用不正确时，可能会导致安全漏洞；推荐禁止所有的.rhosts文件1.5.7.2 检查方法：fi

25、nd / -type f -name .rhosts1.5.7.3 结果分析方法：没有此文件或文件内容为空，若要使用.rhosts信任机制 则请确保文件属性为6001.5.7.4 备注：Cluster软件可能需要.rhosts文件，请仔细检查使用.rhosts文件Add by weiling 2005/11/02 审核setuid 和 setgid 网络安全审计# hostnameyd_db1# # ll /dev/ether*crw-rw-rw- 1 bin bin 5 0x Nov 16 2000 /dev/ether1crw-rw-rw- 1 bin bin 5 0x Nov 16 20

26、00 /dev/ether2crw-rw-rw- 1 bin bin 52 0x Nov 16 2000 /dev/ether3# # ll /ieee*/ieee* not found# # ll /dev/ieee*/dev/ieee* not found# # ll /dev/lan*crw-rw-rw- 1 root sys 72 0x Jan 19 2003 /dev/lancrw-rw-rw- 1 bin bin 32 0x Nov 16 2000 /dev/lan0crw-rw-rw- 1 bin bin 5 0x Nov 16 2000 /dev/lan1crw-rw-rw-

27、1 bin bin 5 0x Nov 16 2000 /dev/lan2crw- 1 root root 45 0x Nov 16 2000 /dev/lan31.6 日志审核1.6.1 Cron logged1.6.1.1 说明：检查所有的cron活动是否被记录1.6.1.2 检查方法：HP-UX默认开启。1.6.2 /var/adm/cron/1.6.2.1 说明：确保/var/adm/cron的正确属性为700 root用户和sys用户可读写1.6.2.2 检查方法：ls -la /var |grep cron1.6.3 Log all inetd services1.6.3.1 说明：

28、1.6.3.2 检查方法：ps elf|grep inetd 检查启动参数1.6.4 Syslog.conf1.6.4.1 说明：查看本地日志输出目录功能1.6.4.2 检查方法：cat /etc/syslog.conf |grep debug1.7 UUCP服务1.7.1.1 说明：检查UUCP服务的使用情况1.7.1.2 检查方法：cat /etc/inetd.conf | grep UUCP1.8 Xwindows检查1.8.1.1 说明：检查Xwindows的配置情况1.8.1.2 检查方法：find / -name .Xauthority printxhosts ( 什么意思啊？ 说

29、的难道是 find / -name xhosts )2 中级检查评估内容2.1 安全增强性2.1.1 TCP IP参数检查2.1.1.1 检查套接口序列是否防止SYN攻击2.1.1.1.1 说明：各种网络应用软件一般必须开放一个或者几个端口供外界使用，所以其必定可以会被恶意攻击者向这几个口发起拒绝服务攻击，其中一个很流行的攻击就是SYN FLOOD，在攻击发生时，客户端的来源IP地址是经过伪造的(spoofed)，现行的IP路由机制仅检查目的IP地址并进行转发，该IP包到达目的主机后返回路径无法通过路由达到的，于是目的主机无法通过TCP三次握手建立连接。在此期间因为TCP套接口缓存队列被迅速填

30、满，而拒绝新的连接请求。为了防止这些攻击，部分UNIX变种采用分离入站的套接口连接请求队列，一队列针对半打开套接口(SYN 接收,SYN|ACK 发送), 另一队列针对全打开套借口等待一个accept()调用，增加这两队列可以很好的缓和这些SYN FLOOD攻击并使对服务器的影响减到最小程度。2.1.1.1.2 检查方法/usr/sbin/ndd -get /dev/tcp tcp_syn_rcvd_max/usr/sbin/ndd -get /dev/tcp tcp_conn_request_max2.1.1.2 检查Redirects参数2.1.1.2.1 说明：恶意用户可以使用IP重定向

31、来修改远程主机中的路由表，在设计良好的网络中，末端的重定向设置是不需要的，发送和接受重定向信息包都要关闭。2.1.1.2.2 检查方法：通过如下命令检查其值是否为0：/usr/sbin/ndd -get /dev/ip ip_send_redirects2.1.1.3 检查源路由的设置2.1.1.3.1 说明：通过源路由，攻击者可以尝试到达内部IP地址 -包括RFC1918中的地址，所以不接受源路由信息包可以防止你的内部网络被探测。2.1.1.3.2 检查方法：通过如下命令检查其值是否为0：ndd -get /dev/ip ip_forward_src_routed2.1.1.4 检查广播EC

32、HO响应2.1.1.4.1 说明：Smurf攻击就是一个伪造的地址通过发送ICMP 8 0 (ECHO REQUEST) 信息到一个广播地址，一些IP堆栈默认情况下会响应这些信息，所以必须关闭这个特征。如果这个主机作为防火墙使用(router)，关闭这个特征就不能处理处理广播。2.1.1.4.2 检查方法：通过如下命令检查其值是否为0：ndd -get /dev/ip ip_respond_to_echo_broadcast2.1.1.5 检查TIME_WAIT setting 设置2.1.1.5.1 说明：在一些比较繁忙的网络服务器上，许多套接口可能就处于TIME_WAIT状态，这是由于一些

33、不正规编码的客户端应用程序没有很正确的处理套接口所引起的，这就可能引起如DDOS的攻击。2.1.1.5.2 检查方法：通过如下命令检查其值是否大于6000：ndd -get /dev/tcp tcp_time_wait_interval2.1.2 Inetd启动参数检查检查inetd是否严格使用了-t参数来记录所有对inetd守护进程所绑定网络服务的连接记录2.1.3 Syslogd启动参数检查检查Syslogd的启动参数2.1.4 系统日志文件内容检查检查/var/log和/var/admin目录下的日志文件。2.1.5 系统用户口令强度检查将口令文件/etc/passwd和/etc/sha

34、dow导出，通过运行john the ripper检查其强度。2.1.6 系统补丁安装情况检查执行swlist ，检查补丁情况。2.1.7 系统审计检查执行tail etc/rc.config.d/auditing，检查其内容3 高级检查评估内容3.1 后门与日志检查检查系统日志文件是否完备，是否存在异常情况，如日期，大小，完整性。3.2 系统异常服务进程检查检查系统是否存在异常的服务进程，需要安装lsof等工具进行检查和确定系统运行进程和服务之间的关系。3.3 内核情况检查检查HP-UX内核与模块加载情况执行kmtune l执行kmadmin k执行/usr/sbin/kmadmin s3.4 第三方安全产品安装情况是否禁用telnetd service使用openssh等加密连接协议来进行remote login登陆若安装md5软件包 请检测/bin/login的md5效检值是否一至 与文件权限问题若有必要可以truss跟踪ls, ps ,netstat 等系统调用 查看是否存在不正常的系统调用和函数劫持.专心-专注-专业