等保级问题清单修复 .doc

《等保级问题清单修复 .doc》由会员分享，可在线阅读，更多相关《等保级问题清单修复 .doc（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、等保级问题清单修复 dows（跳板机）应启用访问控制功能，依据安全策略控制用户对资源的访问； 应实现操作系统和数据库系统特权用户的权限分离 Centos操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等6.1.1添加不同角色的人员 为sysadmin添力卩sudo权限dow操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等6.3数据库账户和系统管理员账户的权限一致 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令 Cen tos操作系统未限制默认账户的访问权限，未重命名默认账户 1.1dows操作系统未限制默认账户

2、的访问权限，未重命名默认账户 7.3数据库系统未限制默认账户的访问权限，未重命名默认账户 应及时删除多余的、过期的帐户，避免共享帐户的存在 Centos操作系统未限制默认账户的访问权限，未删除多余、过期的账户（ adm Ip、syncshutdown halt、mail、operator、games） 8.1.1注释掉不需要的用户 8.1.2注释掉不需要的组dows操作系统未限制默认账户的访问权限8.3数据库系统未限制默认账户的访问权限，未删除多余、过期和共享的账户 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户 Centos操作系统未开启日志审计功能，审计范围未覆盖到每个用户，未使用

3、第三方安全审计产品实现审计要求 dows操作系统审计日志未覆盖到用户所有重要操作 9.3数据库系统未开启审计进程；未使用第三方审计系统对系统进行操作审计，审计范围未覆盖到抽查的用户审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件Centos审计内容未包括重要用户行为，系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件dows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件数据库系统的审计内容未包括：重要用户行为、系统资源的异常使用和重要系统命令的使用等审计记录应包括事件的日期、时间、类型、主体标识、客体标识

4、和结果等 Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等 数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等.1212应保护审计记录，避免受到未预期的删除、修改或覆盖等Cen tos审计记录未受到保护，未能避免受到未预期的删除、修改或覆盖等 数据库系统未对审计记录进行保护 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新 Ce ntos操作系统未及时更新系统补丁，未禁用多余服务端口：123更新 openssJ更新 opensshdows操作系统未遵循最小安装原则，存在多余软件：谷歌

5、浏览器、notepad+，未及时更新系统补丁，未禁用多余服务：Print Spooler,未禁用多余端口： 135 137、139 445 123 .应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库 Centosdows应支持防恶意代码软件的统一管理 Centosdows应通过设定终端接入方式、网络地址范围等条件限制终端登录 Cen tos作系统未设定终端接入方式、网络地址范围等条件限制终端登录数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录 应根据安全策略设置登录终端的操作超时锁定 24Ce ntos操作系统未根据安全策略设置登录终端的操作超时锁定 17.1.1

6、修改ssh终端用户 17.1.2修改系统用户 23dows操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护时间 17.2.1为断开的会话设置时间限制：10分钟17.2.2屏幕保护数据库系统未根据安全策略设置终端的操作超时锁定 应限制单个用户对系统资源的最大或最小使用限度 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；应由授权主体配置访问控制策略，并严格限制默认账户的访问权限； 应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约

7、的关系；应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计错误!未定义书签。应用系统未启用审计功能23.1中间件已提供覆盖到抽查用户的安全审计功能，未对增加用户、删除用户、修改用户权限、系统资源异常等操作进行记录 应采用校验码技术保证通信过程中数据的完整性。中间件未提供登录超时退出功能，空闲 20分钟，自动退出系统 应用系统未对系统的最大并发会话连接数进行限制 中间件未对系统的最大并发会话连接数进行限制 应用系统同一台机器未对系统单个账号的多重并发会话进行限制，不同机器未对系统单个账号的多重并发会话进行限制 系统通过SSH1、VPN和方式进行数据传输，部分管理数据、鉴别数据、重

8、要业务数据在传输过程中未能检测到完整性遭到破坏，未能够对数据在遭到传输完整性破 建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性建议系统提供每天至少一次的数据完全备份，并对备份介质进行场外存放 建议提供数据库系统硬件冗余，保证系统的高可用性 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点， 口令应有复杂度要求并定期 更换；Cen tos操作系统用户口令未有复杂度要求并定期更换提升系统口令复杂度修改登录口令 etc/lon.defsPASSMADAYS 180PASSMINDAYS 1PASSWARNAGE 28PASSMINLEN 8如下图：提升密码

9、复杂度/etc/pam.d/system-auth 文件中配置密码复杂度：在pamcracklib.sc后面配置参数password requisite pamcracklib.sominlen=8 ucredit=-1 lcredit=-3 dcredit=-3 ocredit=-1说明：密码最少 minlen =8位，ucredit=-1密码中至少有1个大写字母，redit=-3密码中至少有3个小写字母，dredit=3密码中至少有3个数字，oredit=-1密码中至少有1个其它字符 如下图：dows （跳板机）操作系统未根据安全策略配置口令的复杂度和更换周期修改口令复杂度和更换周期如下：

10、1.3数据库系统用户口令未定期更换ALTER USER 用户名 PASSWORD EPIRE INTERVAL 180 DAY;应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；Cen tos操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间2.1.1修改远程登录用户修改为登录三次锁定用户，锁定时间为：一般用户5分钟,超级用户锁定10分钟配置如下：修改/etc/pam.d/sshd（ 定要放在第一行，否则即使输入次数超过三次，再输入密码也是可以进去的）：authrequired pamtally2.so deny=3 uni ocktime=300 eve

11、 nden yroot rootuni ocktime=600如下图：2.1.2修改客户端登录用户修改/etc/pam.d/lon（ 定要放在第一行，否则即使输入次数超过三次，再输入密码也是可以进去的）：authrequired pamtally2.so deny=3 uni ocktime=300 eve nden yroot rootuni ocktime=600如下图：dows操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间账户锁定策略：复位帐户锁定计数器-3分钟 帐户锁定时间-5分钟 帐户锁定阀值-5次无效登录,设置设备登录失败超时时间（不大于 10 分钟）数据库系统登

12、录失败处理功能配置不满足要求，登录失败次数为 100 次，未设置非法登录 锁定措施当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。已删除数据库 root 账号，数据库中每个需要连接的主机对应一个账号dows（跳板机）应启用访问控制功能，依据安全策略控制用户对资源的访问；禁用Print Spooler,禁用默认共享路径：C$如下图：应实现操作系统和数据库系统特权用户的权限分离Ce ntos操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全 审计员等在系统下分别添加不同较色

13、的管理员：系统管理员、安全管理员、安全审计员添加不同角色的人员Useradd sysadminUseradd safeadminUseradd safecheck为 sysadmin添加 sudo权限 chmod 740 /etc/sudoersvi /etc/sudoerssysadmin ALL=(ALL) ALLchmod 440 /etc/sudoersdow 操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等添加：系统管理员、安全管理员和安全审计员权限分配：数据库账户和系统管理员账户的权限一致数据库 root 账号已删除，数据库管理员账号为 hqwnm

14、和 manager应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令Cen tos操作系统未限制默认账户的访问权限，未重命名默认账户删除多余的账号，只保留 root 默认账号dows操作系统未限制默认账户的访问权限，未重命名默认账户重命名administrator和guest默认用户名 如下图：数据库系统未限制默认账户的访问权限，未重命名默认账户 已删除 root 账号。无其他默认账号应及时删除多余的、过期的帐户，避免共享帐户的存在Centos操作系统未限制默认账户的访问权限，未删除多余、过期的账户（adm、Ip、syncshutdown、 halt、 mail、 opera

15、tor、 games ）注释掉不需要的用户修改： /etc/passwd 如下：adm、Ip、 sync、shutdown、 haIt、 maiI、 operator、 games 分别注释掉root:0:0:root:/root:/bin/bashbin:1:1:bin:/bin:/sbin/noIondaemon:2:2:daemon:/sbin:/sbin/noIon#adm:3:4:adm:/var/adm:/sbin/noIon#Ip:4:7:Ip:/var/spooI/Ipd:/sbin/noIon#sync:5:0:sync:/sbin:/bin/sync#shutdown:6:

16、0:shutdown:/sbin:/sbin/shutdown#haIt:7:0:haIt:/sbin:/sbin/haIt #maiI:8:12:maiI:/var/spooI/maiI:/sbin/noIon#operator:11:0:operator:/root:/sbin/nolon #games:12:100:games:/usr/games:/sbin/nolon ftp:14:50:FTP User:/var/ftp:/sbin/nolon nobody:99:99:Nobody:/:/sbin/nolon dbus:81:81:System message bus:/:/sb

17、in/nolon polkitd:999:998:User for polkitd:/:/sbin/nolon avahi:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nolon avahi-autoipd:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nolon libstoragemgmt:998:997:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nolon ntp:38:38:/etc/n

18、tp:/sbin/nolon abrt:173:173:/etc/abrt:/sbin/nolon postfi:89:89:/var/spool/postfi:/sbin/nolon sshd:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nolon chrony:997:996:/var/lib/chrony:/sbin/nolon nscd:28:28:NSCD Daemon:/:/sbin/nolon tcpdump:72:72:/:/sbin/nolon nn:996:995:nn user:/var/cache/nn:/sb

19、in/nolonsysadmin:1000:1000:/home/sysadmin:/bin/bash safeadmin:1001:1001:/home/safeadmin:/bin/bashsafecheck:1002:1002:/home/safecheck:/bin/bash如下图：注释掉不需要的组rootiZ886zdnu5gZ # cat /etc/grouproot:0:bin:1:daemon:2:sys:3:#adm:4:tty:5:disk:6:#lp:7:mem:8:kmem:9: wheel:10:cdrom:11:#mail:12:postfiman:15:dialo

20、ut:18:floppy:19:#games:20:tape:30:video:39:ftp:50:lock:54:audio:63:nobody:99:users:100:utmp:22:utempter:35:sshkeys:999:systemd-journal:190:dbus:81:polkitd:998:avahi:70:avahi-autoipd:170:libstoragemgmt:997:ntp:38:dip:40:abrt:173:stapusr:156:stapsys:157:stapdev:158:slocate:21:postdrop:90:postfi:89:ssh

21、d:74:chrony:996:nscd:28:数据库安装了第三方的审计插件。数据库安装了第三方的审计插件。macfee公司基于percona开发的mysql?audit插件tcpdump:72: nn :995:sysadmi n:1000:safeadmi n:1001:safecheck:1002:dows操作系统未限制默认账户的访问权限对重要文件夹进行访问限制，没有权限的系统默认账号是无法访问的，例如：8.3数据库系统未限制默认账户的访问权限，未删除多余、过期和共享的账户数据库已限制用户的访问，每个IP对应一个用户名审计范围应覆盖到服务器上的每个操作系统用户和数据库用户Centos操作

22、系统未开启日志审计功能，审计范围未覆盖到每个用户，未使用第三方安全审计产品实现审计要求开启日志日记进程（audit）,审计覆盖到每个用户dows操作系统审计日志未覆盖到用户所有重要操作开启系统审计日志，如下图：9.3数据库系统未开启审计进程；未使用第三方审计系统对系统进行操作审计，审计范围未覆盖到抽查的用户-w /usr/sbin/stunnel -p -w /usr/sbin/stunnel -p 审计内容应包括重要用户行为、 系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件Centos 审计内容未包括重要用户行为，系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关

23、事件修改audit.rules使审计内容包括：用户重要行为、系统资源调用、文件访问和用户登录等-w /var/log/audit/ -k LOGaudit-w /etc/audit/ -p wa -k CFGaudit-w /etc/sysconfig/auditd -p wa -k CFGauditd.conf-w /etc/libaudit.conf -p wa -k CFGlibaudit.conf-w /etc/audisp/ -p wa -k CFGaudisp-w /etc/cups/ -p wa -k CFGcups-w /etc/init.d/cups -p wa -k CFG

24、initdcups-w /etc/netlabel.rules -p wa -k CFGnetlabel.rules-w /etc/selinu/mls/ -p wa -k CFGMACpoly-w /usr/share/selinu/mls/ -p wa -k CFGMACpoly-w /etc/selinu/semanage.conf -p wa -k CFGMACpoly-w /etc/security/rbac-self-test.conf -p wa -k CFGRBACselftest-w /etc/postfi/ -p wa -k CFGpostfi-w /etc/postfi/

25、 -p wa -k CFGpostfi-w /etc/securetty -p wa -k CFGsecuretty-w /etc/securetty -p wa -k CFGsecuretty-w /etc/aide.conf -p wa -k CFGaide.conf -w /etc/cron.allow -p wa -k CFGcron.allow -w /etc/cron.deny -p wa -k CFGcron.deny -w /etc/cron.d/ -p wa -k CFGcron.d -w /etc/cron.daily/ -p wa -k CFGcron.daily -w

26、/etc/cron.hourly/ -p wa -k CFGcron.hourly -w /etc/cron.monthly/ -p wa -k CFGcron.monthly -w /etc/cron.weekly/ -p wa -k CFGcron.weekly -w /etc/crontab -p wa -k CFGcrontab -w /var/spool/cron/root -k CFGcrontabroot -w /etc/group -p wa -k CFGgroup -w /etc/passwd -p wa -k CFGpasswd -w /etc/gshadow -k CFG

27、gshadow -w /etc/shadow -k CFGshadow -w /etc/security/opasswd -k CFGopasswd -w /etc/lon.defs -p wa -k CFGlon.defs-w /var/log/faillog -p wa -k LOGfaillog -w /var/log/lastlog -p wa -k LOGlastlog -w /var/log/tallylog -p wa -k LOGtallylog -w /etc/hosts -p wa -k CFGhosts -w /etc/sysconfig/network-scripts/

28、 -p wa -k CFGnetwork -w /etc/inittab -p wa -k CFGinittab -w /etc/rc.d/init.d/ -p wa -k CFGinitscripts -w /etc/localtime -p wa -k CFGlocaltime -w /etc/sysctl.conf -p wa -k CFGsysctl.conf -w /etc/modprobe.conf -p wa -k CFGmodprobe.conf -w /etc/pam.d/ -p wa -k CFGpam -w /etc/security/limits.conf -p wa

29、-k CFGpam -w /etc/security/pamenv.conf -p wa -k CFGpam -w /etc/security/namespace.conf -p wa -k CFGpam -w /etc/security/namespace.init -p wa -k CFGpam -w /etc/aliases -p wa -k CFGaliases-w /etc/ssh/sshdconfig -k CFGsshdconfig -w /etc/vsftpd.ftpusers -k CFGvsftpd.ftpusers-a eit,always -F arch=b32 -S

30、sethostname-w /etc/issue -p wa -k CFGissue-w /etc/issue .net -p wa -k CFGissue .ne如：用户登录信息：用户重要行为信息：dows 审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件修改如下图：数据库系统的审计内容未包括：重要用户行为、系统资源的异常使用和重要系统命令的使用等审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等Cen tos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等开启日志监控：Audit数据库系统审计记录未包括事件的日期、时间、类型、主体

31、标识、客体标识和结果等应保护审计记录，避免受到未预期的删除、修改或覆盖等Cen tos审计记录未受到保护，未能避免受到未预期的删除、修改或覆盖等在系统下修改日志保存文件 /etc/logrotate.conf 文件如下：#keep 10 weeks worth of backlogsrotate 10保存日志文件 10 周数据库系统未对审计记录进行保护数据库审计日志存储在 /var/lib/mysql/ mysql-audit.json定期 1 个月人工将该文件备份操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式 保持系统补丁及时得到更新Cen tos操作系

32、统未及时更新系统补丁，未禁用多余服务端口：123已关闭123端口对应的服务ntpd。启用firewalld。各主机只开放对应端口。包括80,7008,920,930及330613.1.1更新 opensslrootiZ886zdnu5gZ # openssl version更新后的版本为：13.1.2更新 openssh rootiZ886zdnu5gZ # ssh -V更新后的版本为：rootiZ886zdnu5gZ openssh-7.5p1# ssh -V13.2 dows操作系统未遵循最小安装原则，存在多余软件：谷歌浏览器、notepad+，未及时更新系统补丁，未禁用多余服务：Prin

33、t Spooler,未禁用多余端口： 135、137 139、445123删除多余的软件：如谷歌浏览器、n otepad+、禁止多余服务：Prin tSpooler应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库Centos由阿里云盾提供保护dows由阿里云提供：应支持防恶意代码软件的统一管理Centos由阿里云盾提供dows由阿里云提供：应通过设定终端接入方式、网络地址范围等条件限制终端登录Cen tos作系统未设定终端接入方式、网络地址范围等条件限制终端登录在系统的/etc/hosts.deny和/etc/hosts.allow添加网络拒绝和允许地址在/etc/hosts.d

34、eny中禁止TCP类型所有联系数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录每个账号对应一个 IP 地址。限制用户 类型的无限制连接应根据安全策略设置登录终端的操作超时锁定Cen tos操作系统未根据安全策略设置登录终端的操作超时锁定17.1.1修改ssh终端用户添加： /etc/ssh/sshdconf 内容：ClientAliveInterval 600 /超过 1 0分钟后退出ClientAliveCountMa 0如下：rootiZ886zdnu5gZ # cat /etc/ssh/sshdconfig |grep ClientAClientAliveInterval

35、 600ClientAliveCountMa 017.1.2修改系统用户在 /etc/profile 中添加如下内容：TMOUT=600如下：rootiZ886zdnu5gZ # cat /etc/profile |grep TMOUTTMOUT=600dows 操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护时间17.2.1为断开的会话设置时间限制 :10分钟17.2.2屏幕保护数据库系统未根据安全策略设置终端的操作超时锁定已设置超时时间 10 分钟set global waittimeout=600;set global interactivetimeout=600;应限制单个用

36、户对系统资源的最大或最小使用限度 已限制单个用户的最大连接数和查询应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 已在单点登录上配置失败 3 次处理锁定 3分钟应由授权主体配置访问控制策略，并严格限制默认账户的访问权限； 有已删除多余的应用测试账号 admin应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计应用系统未启用审计功能已启用应用系统的审计日志功能23.1

37、中间件已提供覆盖到抽查用户的安全审计功能， 未对增加用户、 删除用户、 修改用户权限、 系统资源异常等操作进行记录应采用校验码技术保证通信过程中数据的完整性。启用s。由于申请的公网IP的443端口未开通，测试时使用 80端口作为s端口中间件未提供登录超时退出功能，空闲 20分钟，自动退出系统已设置，在anyonedev.cfg配置sessionTimeou空闲20分钟退出应用系统未对系统的最大并发会话连接数进行限制 已设置，在 anyonedev.cfg配置 maConcurrentCount属性中间件未对系统的最大并发会话连接数进行限制已设置，在 anyonedev.cfg配置 maSess

38、ionCoun属性应用系统同一台机器未对系统单个账号的多重并发会话进行限制， 不同机器未对系统单个账号的多重并发会话进行限制在nn中启用连接会话限制。每个IP只能有20个连接，系统通过 SSH1、VPN 和 方式进行数据传输，部分管理数据、鉴别数据、重要业务数据在传输过程中未能检测到完整性遭到破坏，未能够对数据在遭到传输完整性破数据库启用 SSL建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性数据库启用 SSL建议系统提供每天至少一次的数据完全备份，并对备份介质进行场外存放建议提供数据库系统硬件冗余，保证系统的高可用性s 数据库集群或热备第 18 页 共 18 页