【愚公系列】2024年03月 《网络安全应急管理与技术实践》 022-网络安全应急技术与实践(主机层-Linux 检查演练)
🏆 作者简介,愚公搬代码
🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。
🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏
🚀前言
Linux检查演练是指对Linux系统进行全面的检查和测试,以确保系统的正常运行和安全性。以下是一些常见的Linux检查演练步骤:
| 步骤 | 检查内容 | 目标 |
|---|---|---|
| 1 | 确定系统配置 | 检查系统硬件和软件配置,确保其满足要求 |
| 2 | 更新系统 | 检查系统是否有最新的补丁和更新,并进行安装 |
| 3 | 文件系统检查 | 检查文件系统是否有错误,并执行修复操作 |
| 4 | 审计日志 | 检查系统日志文件,查找异常或不正常的行为 |
| 5 | 用户和权限检查 | 检查系统中的用户和权限设置,确保只有授权的用户可以访问系统 |
| 6 | 网络安全检查 | 检查系统的网络设置和安全设置,确保防火墙和其他网络安全措施正常运行 |
| 7 | 应用程序检查 | 检查系统上安装的应用程序的版本和安全性,确保它们是最新的和可信的 |
| 8 | 系统性能检查 | 检查系统的性能指标,如CPU使用率、内存使用率和磁盘空间等,以确保系统正常运行 |
| 9 | 数据备份和恢复测试 | 进行数据备份和恢复的测试,以确保在系统故障或数据丢失的情况下,能够快速恢复数据 |
| 10 | 安全漏洞扫描 | 使用安全漏洞扫描工具对系统进行扫描,查找可能存在的安全漏洞,并采取相应的措施进行修复 |
🚀一、Linux 检查演练
🔎1.身份鉴别
【检查重点】
- 检查系统管理员是否设置密码并且以密码进行验证登录。
- 渗透测试主要服务器的操作系统。
【检查方法】
以下是对身份鉴别策略的检查方法:
-
检查系统管理员是否设置密码并且以密码进行验证登录。同时,检查/etc/passwd和/etc/shadow文件是否存在空密码。
-
查看/etc/login.defs文件,并进行以下设置参考:
- PASS_MAX_DAYS 180
- PASS_MIN_DAYS 1
- PASS_WARN_AGE 28
- PASS_MIN_LEN 8
- 在/etc/pam.d/system-auth文件中配置密码复杂度。在pam_cracklib.so之后配置以下参数:
- password requisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1
-
在对多台主机服务器进行统一管理时,应避免多台主机服务器使用相同的口令密码。
-
在/etc/pam.d/system-auth文件中配置以下参数:
- auth required /lib/security/pam_tally.so onerr=fail_no_magic_rootaccount required /lib/security/pam_tally.so deny=5 no_magic_root_reset
(用户登录系统失败5次后锁定该账户)
- auth required /lib/security/pam_tally.so onerr=fail_no_magic_rootaccount required /lib/security/pam_tally.so deny=5 no_magic_root_reset
-
查看系统进程是否启动SSH服务,运行ps -aux | grep ssh。
-
查看/etc/passwd文件是否存在uid相同的账户。
-
检查是否使用两种组合的认证方式,例如,用户名/密码+生物技术等。
🔎2.访问控制
【检查重点】
(1) 检查系统安全配置。
(2) 检查操作系统功能手册或设计文档,该系统是否有对信息资源设置敏感标记,是否采用加密,并将资源分类成不同安全等级,且依据安全等级控制访问权限。
【检查方法】
(1) 系统umask应设置为022。
(2) 设置passwd、group等关键文件和目录的权限应不超过644,shadow应不超过400。
(3) 禁用不必要的服务,如Finger、Telnet、FTP、sendmail、Time、Echo、Discard、Daytime、Chargen、comsat、klogin、ntalk、talk、tfp、uucp、imap、pop3、GUI、X Windows、shell、rlogin、rsh、rep、X字体、SMB、NFS、NIS打印后台服务、Web服务进程、SNMP进程、DNS服务、SQL服务、Webmin服务、Squid高速缓存进程、kshell(可选)、dtspc(可选)。
(4) 禁用不必要的xinetd启动服务,如nfs、nfslock、autofs、ypbind、ypserv、yppasswdd、portmap、smb、netfs、lpd、apache、httpd、tux、snmpd、named、postgresql、MySQLd、webmin、kudzu、squid、cups、ip6tables、iptables、pcmcia、bluetooth、NSResponder、apmd、avahi-daemon、canna、cups-config-daemon、FreeWnn、gpm、hidd等。
(5) 应查看是否采用最小授权原则,如Oracle用户只能管理数据库等。
(6) 检查主要数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。
(7) 是否根据安全策略要求对特权用户进行分离,如可分为系统管理员:安全管理员、安全审计员等。
(8) 查看是否禁用默认用户或修改默认用户名、默认口令。
(9) 检查/etc/passwd 是否禁用以下用户:adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp。
(10) 查看操作系统功能手册或相关文档,确认操作系统是否具备对信息资源设置敏感标记功能;询问管理员是否对重要信息资源设置敏感标记,例如,等级分类可置为非密、秘密、机密、绝密等。
(11) 仅允许 HAC所在IP地址能 root 远程登录到服务器。
(12) 对于其他卫P,应禁止 root 远程登录,禁用方法如下: ① 应禁止 root 直接远程登录,在/etc/security/user 文件中设置 rlogin=false。 ② 在/etc/ssh/sshd_config 中配置仅允许 HAC 所在 IP 能 root 远程登录,PermitRootLogin 设置为 no。
🔎3.安全审计
【检查重点】
(1) 检查系统是否开启日志进程。
(2) 日志应保留6个月以上。
(3) 检查是否存在专门的审计设备或审计软件,若存在则查看是否有对审计记录生成报表,是否可以对审计记录进行分析。
(4) 如果没有专门审计工具,检查是否存在工具(如脚本)对系统日志进行处理,以便分析。
【检查方法】
(1) 系统应开启日志进程: 使用命令 “ps -ef | grep syslogd” 检查是否存在 syslogd 进程。
(2) 通过第三方审计系统进行操作审计(可选)。
(3) 配置 /etc/syslog.conf,将所需日志类型写入 /etc/syslog.conf,包括:
- kern.warning;*.err;authpriv.none\t@loghost
- *.info;mail.none;authpriv.none;cron.none\t@loghost
- *.emerg\t@loghost
- local7.*\t@loghost
审计历史记录:
- 检查 /.sh_history,/.bash_history 和其他用户目录的历史记录文件等。
(4) 入侵痕迹检测:使用 “more /var/log/secure” 命令查看是否存在攻击痕迹等。
(5) 用户行为日志:使用 “who /var/log/wtmp” 命令查看是否存在未知的链接信息。
(6) 如使用第三方审计系统,应覆盖用户重要操作。
(7) 检测 /etc/syslog.conf 文件权限是否不超过 644。
(8) 检查 /var/log/ 相关日志文件(如 messages),其他用户是否没有写权限(默认情况下,other 表示没有写权限)。
(9) 日志应保留6个月以上。
(10) 使用 “ps -aux | grep syslog; chkconfig --list syslog” 命令检查 syslog 服务是否在启动服务器时开启。
🔎4.入侵防范
【检查重点】 (1) 应检查入侵防范系统,查看是否采取入侵防范措施。 (2) 当检测到完整性受到破坏后是否具备恢复的措施功能。
【检查方法】 (1) 检查系统是否安装 HIDS(主机入侵检测系统)或有类似功能的杀毒软件。 (2) 检查是否使用完整性检查工具对重要文件的完整性进行检查,是否对重要的配置文件进行备份,查看备份情况。 (3) 检查是否删除多余组件和应用程序,应禁用多余服务。 (4) 检查软件安装情况,查看是否应删除多余组件和应用程序。 (5) 检查补丁安装前是否进行安全性和兼容性测试。 (6) 使用最新版漏洞扫描工具扫描目标主机。
🔎5.资源控制
【检查重点】
(1)本机访问控制列表。
(2)是否有相关网管软件,对CPU、内存、硬盘等监控。
【检查方法】 (1) 检查是否配置 /etc/hosts.allow 和 /etc/hosts.deny 文件。 (2) 通过网络安全设备限制访问本机的IP地址。 (3) 检查 /etc/profile 下 TIMEOUT 值是否设置为 600s。 (4) 在 /etc/security/limits.conf 中针对不同用户配置相应的 maxlogins 参数。 (5) 安装相关网管软件,对 CPU、内存、硬盘等进行监控。 (6) 询问系统是否使用第三方工具或系统,在系统服务降至预定义警戒值时进行报警。
🚀感谢:给读者的一封信
亲爱的读者,
我在这篇文章中投入了大量的心血和时间,希望为您提供有价值的内容。这篇文章包含了深入的研究和个人经验,我相信这些信息对您非常有帮助。
如果您觉得这篇文章对您有所帮助,我诚恳地请求您考虑赞赏1元钱的支持。这个金额不会对您的财务状况造成负担,但它会对我继续创作高质量的内容产生积极的影响。
我之所以写这篇文章,是因为我热爱分享有用的知识和见解。您的支持将帮助我继续这个使命,也鼓励我花更多的时间和精力创作更多有价值的内容。
如果您愿意支持我的创作,请扫描下面二维码,您的支持将不胜感激。同时,如果您有任何反馈或建议,也欢迎与我分享。
再次感谢您的阅读和支持!
最诚挚的问候, “愚公搬代码”
- 点赞
- 收藏
- 关注作者
评论(0)