|
??????验证检查:
1、输入service syslog/rsyslog status 、service auditd status查看进程是否存在。
2、(centos:cat /etc/syslog.conf或cat /etc/rsyslog.conf文件中应包含类似于以下值:*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages;)(Ubuntu:cat/etc/rsyslog.d/50-default.conf 文件中应包含类似于以下值:*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages;)
3、是否对审计日志定期查看、分析,生成审计分析报表
4、是否安全额外的审计进程保护
5、查看syslog.conf、audit.conf文件中日志信息所在文件的访问权限,如:
ls -l /var/log/messages;
(centos:ls -l/var/log/secure);(Ubuntu:ls -l/var/log/auth.log)
ls -l /var/log/audit/audit.log;
访谈并询问是否对审计日志进行保护
建议整改:
(一)策略修改
1、保障rsyslog和auditd进程开启
2、/etc/rsyslog.conf或/etc/rsyslog.d/50-default.conf文件中日志配置如下:
# 记录所有日志类型的info级别以及大于info级别的信息到/var/log/messages,但是mail邮件信息,authpriv验证方面的信息和cron时间任务相关的信息除外
*.info;mail.none;authpriv.none;cron.none??????????????? /var/log/messages
# The authpriv file has restricted access.
# authpriv验证相关的所有信息存放在/var/log/secure
authpriv.*?????????????????????????????????????????????/var/log/secure
# Log all the mail messages in one place.
# 邮件的所有信息存放在/var/log/maillog; 这里有一个-符号,表示是使用异步的方式记录,因为日志一般会比较大
mail.*?????????????????????????????????????????????????-/var/log/maillog
# Log cron stuff
# 计划任务有关的信息存放在/var/log/cron
cron.*?????????????????????????????????????????????????/var/log/cron
(备注:以上配置需要先在测试环境中验证是否正确后,在正式环境中进行修改)
3、ls -l /var/log/messages:640; ls -l /var/log/secure:640;
ls -l /var/log/audit/audit.log:640;ls -l /var/log/auth.log 640;(备注:保持系统默认就行,唯一需要满足的就是普通用户对这些文件只能有读的权限)
4、查看 /var/log/messages、/var/log/secure、/var/log/audit/audit.log、/var/log/auth.log日志文件的内容是否被覆盖和删除,保存是否满足6个月
(二)设备或服务部署
1、物理机房:日志服务器或日志审计系统或堡垒机
2、上云服务器(如阿里云):OSS或日志服务或jumpserver?
入侵防范
??????a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
??????整改方法:
??????验证检查:
1、安装主机入侵检测系统并配置策略;
2、定期对主机入侵检测系统的特征库进行维护升级;
3、发生严重入侵事件时提供报警。
4、是否经常命令查看more /var/log/secure | grep? refused?(centos)
5、more /var/log/auth.log | grep? refused?(ubuntu)
6、是否启用主机iptables防火墙规则、TCP SYN保护机制
建议整改:
(一)设备或服务部署
1、物理机房:部署入侵检测和防御系统(IDS、IPS或防火墙带有入侵检测和防御)
2、上云服务器(如阿里云):安骑士或态势感知或其它防入侵服务
??????c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
??????整改方法:
??????验证检查:
1、对系统补丁进行评估、测试后进行安装
2、系统遵循最小安装原则
建议整改:
(一)策略修改
1、如需最新补丁,需要评估、测试,或者根据业务使用稳定版本补丁
2、关闭危险网络服务:echo、login等,关闭非必要的网络服务:talk、ntalk、sendmail等
?
恶意代码防范
??????a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
??????b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
??????c)应支持防恶意代码软件的统一管理。
??????整体考虑
??????整改方法:
??????验证检查:
1、查看是否安装了防恶意代码软件;
2、查看恶意代码库是否为最新;
3、主机防病毒软件是否与网络版防病毒软件相同
4、安装的防病毒软件是否支持统一管理
建议整改:
(一)设备和服务部署
1、物理机房:防病毒网关、包含防病毒模块的多功能安全网关和网络版防病毒系统,任选一种部署
2、上云服务器(如阿里云):态势感知或安骑士或其它防病毒服务
?
资源控制
??????a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
??????整改方法:
??????验证检查:
1、使用SSH登录则查看/etc/ssh/sshd_config
2、查看/etc/hosts.allow和/etc/hosts.deny文件内是否配置可访问的IP或通过询问、查看方式确认是否通过网络设备或硬件防火墙实现此项要求;
3、iptables -nvL 查看防火墙规则
建议整改:
(一)策略修改
1、/etc/ssh/sshd_config文件中PermitRootLoginno,不允许root直接登录
2、/etc/hosts.allow和/etc/hosts.deny文件中配置可访问的IP或者通过防火墙或跳板机或堡垒机设置访问限制
3、上云的服务器:安全组或VPC或云防火墙进行设置
4、防火墙规则根据业务需求进行配置
??????b)应根据安全策略设置登录终端的操作超时锁定;
??????整改方法:
??????验证检查:
1、查看etc/profile文件中是否设置TMOUT
建议整改:
(一)策略修改
1、etc/profile文件中添加TMOUT,TMOUT=600(备注:根据业务进行设定)
??????d)应限制单个用户对系统资源的最大或最小使用限度;
??????整改方法:
(编辑:常州站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
