🏆 作者简介,愚公搬代码 🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。 🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏
Linux检查演练是指对Linux系统进行全面的检查和测试,以确保系统的正常运行和安全性。以下是一些常见的Linux检查演练步骤:
步骤 | 检查内容 | 目标 |
---|---|---|
1 | 确定系统配置 | 检查系统硬件和软件配置,确保其满足要求 |
2 | 更新系统 | 检查系统是否有最新的补丁和更新,并进行安装 |
3 | 文件系统检查 | 检查文件系统是否有错误,并执行修复操作 |
4 | 审计日志 | 检查系统日志文件,查找异常或不正常的行为 |
5 | 用户和权限检查 | 检查系统中的用户和权限设置,确保只有授权的用户可以访问系统 |
6 | 网络安全检查 | 检查系统的网络设置和安全设置,确保防火墙和其他网络安全措施正常运行 |
7 | 应用程序检查 | 检查系统上安装的应用程序的版本和安全性,确保它们是最新的和可信的 |
8 | 系统性能检查 | 检查系统的性能指标,如CPU使用率、内存使用率和磁盘空间等,以确保系统正常运行 |
9 | 数据备份和恢复测试 | 进行数据备份和恢复的测试,以确保在系统故障或数据丢失的情况下,能够快速恢复数据 |
10 | 安全漏洞扫描 | 使用安全漏洞扫描工具对系统进行扫描,查找可能存在的安全漏洞,并采取相应的措施进行修复 |
【检查重点】
【检查方法】
以下是对身份鉴别策略的检查方法:
【检查重点】
(1) 检查系统安全配置。
(2) 检查操作系统功能手册或设计文档,该系统是否有对信息资源设置敏感标记,是否采用加密,并将资源分类成不同安全等级,且依据安全等级控制访问权限。
【检查方法】
(1) 系统umask应设置为022。
(2) 设置passwd、group等关键文件和目录的权限应不超过644,shadow应不超过400。
(3) 禁用不必要的服务,如Finger、Telnet、FTP、sendmail、Time、Echo、Discard、Daytime、Chargen、comsat、klogin、ntalk、talk、tfp、uucp、imap、pop3、GUI、X Windows、shell、rlogin、rsh、rep、X字体、SMB、NFS、NIS打印后台服务、Web服务进程、SNMP进程、DNS服务、SQL服务、Webmin服务、Squid高速缓存进程、kshell(可选)、dtspc(可选)。
(4) 禁用不必要的xinetd启动服务,如nfs、nfslock、autofs、ypbind、ypserv、yppasswdd、portmap、smb、netfs、lpd、apache、httpd、tux、snmpd、named、postgresql、MySQLd、webmin、kudzu、squid、cups、ip6tables、iptables、pcmcia、bluetooth、NSResponder、apmd、avahi-daemon、canna、cups-config-daemon、FreeWnn、gpm、hidd等。
(5) 应查看是否采用最小授权原则,如Oracle用户只能管理数据库等。
(6) 检查主要数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。
(7) 是否根据安全策略要求对特权用户进行分离,如可分为系统管理员:安全管理员、安全审计员等。
(8) 查看是否禁用默认用户或修改默认用户名、默认口令。
(9) 检查/etc/passwd 是否禁用以下用户:adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp。
(10) 查看操作系统功能手册或相关文档,确认操作系统是否具备对信息资源设置敏感标记功能;询问管理员是否对重要信息资源设置敏感标记,例如,等级分类可置为非密、秘密、机密、绝密等。
(11) 仅允许 HAC所在IP地址能 root 远程登录到服务器。
(12) 对于其他卫P,应禁止 root 远程登录,禁用方法如下: ① 应禁止 root 直接远程登录,在/etc/security/user 文件中设置 rlogin=false。 ② 在/etc/ssh/sshd_config 中配置仅允许 HAC 所在 IP 能 root 远程登录,PermitRootLogin 设置为 no。
【检查重点】
(1) 检查系统是否开启日志进程。
(2) 日志应保留6个月以上。
(3) 检查是否存在专门的审计设备或审计软件,若存在则查看是否有对审计记录生成报表,是否可以对审计记录进行分析。
(4) 如果没有专门审计工具,检查是否存在工具(如脚本)对系统日志进行处理,以便分析。
【检查方法】
(1) 系统应开启日志进程: 使用命令 "ps -ef | grep syslogd" 检查是否存在 syslogd 进程。
(2) 通过第三方审计系统进行操作审计(可选)。
(3) 配置 /etc/syslog.conf,将所需日志类型写入 /etc/syslog.conf,包括:
审计历史记录:
(4) 入侵痕迹检测:使用 "more /var/log/secure" 命令查看是否存在攻击痕迹等。
(5) 用户行为日志:使用 "who /var/log/wtmp" 命令查看是否存在未知的链接信息。
(6) 如使用第三方审计系统,应覆盖用户重要操作。
(7) 检测 /etc/syslog.conf 文件权限是否不超过 644。
(8) 检查 /var/log/ 相关日志文件(如 messages),其他用户是否没有写权限(默认情况下,other 表示没有写权限)。
(9) 日志应保留6个月以上。
(10) 使用 "ps -aux | grep syslog; chkconfig --list syslog" 命令检查 syslog 服务是否在启动服务器时开启。
【检查重点】 (1) 应检查入侵防范系统,查看是否采取入侵防范措施。 (2) 当检测到完整性受到破坏后是否具备恢复的措施功能。
【检查方法】 (1) 检查系统是否安装 HIDS(主机入侵检测系统)或有类似功能的杀毒软件。 (2) 检查是否使用完整性检查工具对重要文件的完整性进行检查,是否对重要的配置文件进行备份,查看备份情况。 (3) 检查是否删除多余组件和应用程序,应禁用多余服务。 (4) 检查软件安装情况,查看是否应删除多余组件和应用程序。 (5) 检查补丁安装前是否进行安全性和兼容性测试。 (6) 使用最新版漏洞扫描工具扫描目标主机。
【检查重点】
(1)本机访问控制列表。
(2)是否有相关网管软件,对CPU、内存、硬盘等监控。
【检查方法】 (1) 检查是否配置 /etc/hosts.allow 和 /etc/hosts.deny 文件。 (2) 通过网络安全设备限制访问本机的IP地址。 (3) 检查 /etc/profile 下 TIMEOUT 值是否设置为 600s。 (4) 在 /etc/security/limits.conf 中针对不同用户配置相应的 maxlogins 参数。 (5) 安装相关网管软件,对 CPU、内存、硬盘等进行监控。 (6) 询问系统是否使用第三方工具或系统,在系统服务降至预定义警戒值时进行报警。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。