《信息安全_风险评估_检查流程_操作系统评估检查表_Solaris_free.pdf》由会员分享,可在线阅读,更多相关《信息安全_风险评估_检查流程_操作系统评估检查表_Solaris_free.pdf(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、技术脆弱性评估列表Solaris主机评估SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注基本信息收集1查 看 系 统的 版 本 信息、主机名及 配 置 信息以root权限,执行:uname-a hostname prtconf2检 查 网 卡数 目 与 状态以 root 权限,执行:ifconfig a 查看网卡数目、网络配置、是否开启混杂监听模式。3检 查 系 统端 口 开 放情 况 及 路由以 root 权限,执行:netstat an netstat-rnSOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤
2、/方法审核结果补充说明备注4查 看 系 统已 经 安 装了 哪 些 程序包以 root 权限,执行:pkginfo5了 解 系 统备份情况、备份机制询问相关的管理员。重点了解备份介质,方式,人员,是否有应急恢复制度等状况。补丁安装情况6审 核 补 丁安装情况#patchadd-p 检查系统的补丁情况#showrev-p 查看所有已经安装的patch 或#ls/var/sadm/patch 或 ls/var/adm/patch帐户口令安全7检查passwd、shadow及group 文件cat/etc/passwd cat/etc/shadow cat/etc/group 保存后检查文件8检 查
3、 有 无执行:more/etc/defalut/login,确认存在如下行SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注对于login进 行 口 令认证PASSREQ=YES9检 查 是 否设 置 了 口令 最 短 长度要求执行:more/etc/default/passwd,确认是否有如下设置:#密码最短长度缺省是6,安全起见,设置为8(再长无用)PASSLENGTH=810检 查 是 否设 置 了 口令 过 期 策略执行:more/etc/default/passwd,确认是否有以下设置:#以天为单位,MAXWEEKS天后密码失效,
4、缺省为空MAXWEEKS=xx#以天为单位,MINWEEKS天后才可以修改密码,缺省为空MINWEEKS=yy11无 用 帐 号审核查看/etc/passwd 中是否存在uucp,news 等帐号以及确认拥有shell 权限的帐号是否合理12为 新 增 用户 配 置 安全模板确认/usr/sadm/defadduser 有以下类似配置内容:#一个用户最多属于15个组defgroup=15#缺省组defgname=users SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注#缺省$HOME defparent=/export/home#缺省
5、初始设置文件来源defskel=/etc/skel#缺省shell defshell=/bin/bash#帐号永不过期definact=0 defexpire=13检 查 是 否设 置 登 录超时查看/etc/default/login 文件,确认其中存在合理的设置,下面的举例为30 秒TIMEOUT=30文件系统安全14检 查root的 搜 索 路径执行:echo$PATH检查 root 的$PATH 环境变量中是否出现当前目录“.”。15检 查/tmp目 录 的 属执行:ls-ld/tmp查看执行结果是否如下:SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/
6、方法审核结果补充说明备注性drwxrwxrwt 7 sys sys 496 6 月8 15:41/tmp/确认有“t”的粘合位16检查/var/adm/utmp、/var/adm/utmpx、/etc/group、/var/adm/wtmp 文件的权限/var/adm/utmp、/var/adm/utmpx、/etc/group、/var/adm/wtmp 文件的权限应该是64417检 查 是 否有 属 主 非有 效 用 户的 文 件/目录执行:find/-type f-nouser(检查风险:根目录下目录及文件数量非常大,执行时间会很长,建议采用系统利用率比较底的时间执行)18检 查 是 否
7、有 属 组 非执行:find/-type f-nogroup(检查风险:根目录下目录及文件数量非常大,执行时间SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注有 效 组 的文件/目录会很长,建议采用系统利用率比较底的时间执行)19检查/var/adm 目录 下 是 否存 在 所 有人 可 写 文件执行:find/var/adm-type f-perm-2(检查风险:/var/adm 目录下目录及文件数量非常大,执行时间会很长,建议采用系统利用率比较底的时间执行)20检查/var/cron 目录的属性检查/var/cron 目录权限是否为:
8、root:sys 755 21检 查 是 否存 在 所 有人 可 写 的目录执行:find/-type d-perm-2|xargs ls-lasd(检查风险:根目录下目录及文件数量非常大,执行时间会很长,建议采用系统利用率比较底的时间执行)22检 查 属 性为 777的文件/目录执行:find/-type f-perm 777|xargs ls-las(检查风险:根目录下目录及文件数量非常大,执行时间会很长,建议采用系统利用率比较底的时间执行)23检 查 属 性为 666的文执行:find/-type f-perm 666|xargs ls-las(检查风险:根目录下目录及文件数量非常大,执
9、行时间SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注件/目录会很长,建议采用系统利用率比较底的时间执行)24检 查 移 动介 质 上 的文 件 系 统安全配置执行:more/etc/rmmount.conf,查看是否做了如下设置mount cdrom*hsfs-o nosuid mount floppy*ufs-o nosuid25检查/etc 目录 下 所 有文 件 的 组可写权限执行:find/etc-type f-perm-0020|xargs ls-las(检查风险:如果/etc 目录下目录及文件数量非常大,执行时间会很长,建议
10、采用系统利用率比较底的时间执行)26检查/etc 目录 下 所 有文 件 的 其他 用 户 可写权限执行:find/etc-type f-perm-2|xargs ls-las(检查风险:如果/etc 目录下目录及文件数量非常大,执行时间会很长,建议采用系统利用率比较底的时间执行)27检 查 初 始文 件 权 限掩码配置查看/etc/default/login 文件中是否有如下配置:#缺省设置是022,建议027或077 UMASK=02728检 查Root的 文 件 权限 掩 码 设查看 root 的掩码设置,确认/etc/profile 文件中将umask 设为 077 或者 027 SO
11、LARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注置29查 看 磁 盘分区情况执行:df-k网络服务安全30检查/etc/inetd.conf 中的各项 服 务 配置执行:more/etc/inetd.conf 查看是否禁止了部分不必要的、危险的服务。或者执行:grep v“#”/etc/inetd.conf检查 inetd.conf 文件中所有有效的行31检查telnet&SSH 服务状况执行:ps-ef|grep telnetd或 ps-ef|grep sshd是否有输出telnet localhost 32审 核root用 户 远 程te
12、lnetftp 登录查看/etc/default/login 文件,确认其中存在以下配置:CONSOLE=/dev/console 则 telnet 不允许 root 远程登录查看/etc/ftpusers 文件,确认其中存在以下配置行:root 则 ftp 不允许 root 远程登录SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注33检 查 是 否限制telnet或 ssh等的登录 IP 检查是否安装了tcp wrapper 或者有防火墙或有交换机(路由器)的ACL 进行保护,限制telnet 或 ssh等的登录IP。Tcp wrapp
13、er的 配置 文 件:/etc/hosts.deny&/etc/hosts.allow 34检 查SSH的 验 证 方式检查 sshd_config 的登录方式,可能为密码,公钥等方式35检查telnetd漏洞 是 否 已经 作 了 修补执行:showrev p 查看 telnetd 相关的补丁编号patch id 至少大于如下版本号OS Version PatchID SunOS 5.8 110668-03 SunOS 5.8_x86 110669-03 SunOS 5.7 107475-04 SunOS 5.7_x86 107476-04 SunOS 5.6 106049-04 SunOS
14、 5.6_x86 106050-04 36检 查 是 否采 用 了 最新 版 本 的ssh 服务软检查是否使用了最新版本的ssh 执行:telnet localhost 22获得 ssh的版本信息注意,端口可能不同,版本信息可能伪造,请询问管理员确认。SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注件37检 查 是 否开 启FTP服务执行:ps-ef|grep ftpd 查看返回同时与管理员确认是否开启ftp 服务。38检 查 是 否限 制 系 统帐 号 使 用ftp 登录Wu-ftp 和 sun 的 ftpd 通常查看/etc/ftpu
15、ser 或/etc/ftpaccess的配置;或者查看是否通过了/etc/shells 文件限制可使用FTP 服务的用户;对于其他ftp 请和管理员沟通。39检 查 是 否使用 sftp 或ssh 代替标准 ftpd 与管理员进行沟通了解(检查风险:经过严格测试后执行,建议采用sftp。)40检查 ftp 服务 软 件 版本 是 否 存在漏洞确认 ftp 版本号,以下版本存在漏洞Wu-ftpd 2.6.1 以下版本Proftpd 1.20rc4 以前版本Sun ftpd 41查 看 是 否开启了TCP/UDP查看/etc/inetd.conf 的配置,以及是否启用了inetd cat/etc/
16、inetd.conf ps-ef|grep inetdSOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注服务42查 看 是 否运行 rpc 服务,如 果有,都有哪些 rpc 服务查看是否存在/etc/rc3.d/S71RPC 或者执行:rpcinfo p localhost 查看有无输出同时也需要查看/etc/inetd.conf 查看都有哪些rpc 服务开启。43检 查 是 否运行 finger服务查看/etc/inetd.conf 的配置,是否注释了如下行finger stream tcp nowait nobody/usr/sbin/
17、in.fingerd in.fingerd44检 查 是 否允许R 系列服务,是否 作 了 合理限制查看/etc/inetd.conf 的配置,是否注释了如下行login stream tcp nowait root/usr/sbin/in.rlogind in.rlogind shell stream tcp nowait root/usr/sbin/in.rshd in.rshd exec stream tcp nowait root/usr/sbin/in.rexecd in.rexecd comsat dgram udp wait root/usr/sbin/sat sat talk
18、dgram udp wait root/usr/sbin/in.talkd in.talkd SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注如果允许r 服务的话,是否作了合理的限制:检查/etc/hosts.equiv,确保为空;以及$HOME/.rhosts、.netrc等文件。45检 查NFS的 访 问 限制查看NFS 的配置文件/etc/export 的设置是否指定了访问export 目录的主机名称。46查 看 是 否开启了automounter 服务执行:ls alF/etc/auto_*,查看执行结果;执行:ls alF/et
19、c/rc2.d/*autofs,查看执行结果47审 核 其 他通过 RC 方式 启 动 的服务查看/etc/rc1.d/etc/rc2.d/etc/rc3.d/下所有文件。48检查SNMP服务状况执行:ls alF/etc/rc3.d/*snmp*,查看执行结果,确认是否运行 SNMP 服务;如果运行SNMP 服务,应检查补丁安装情况。Showrev-p 检查相关补丁id 是否至少大于如下id OS Version Patch ID SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注SunOS 5.8 108869-16 SunOS 5.8
20、_x86 108870-16 SunOS 5.7 107709-19 SunOS 5.7_x86 107710-19 SunOS 5.6 106787-18 SunOS 5.6_x86 106872-18 49检查SNMP Community设置状况检查/etc/snmp/conf/snmpd.conf 文件中 community 的设置。50审 核CDE服 务 的 开启状况查看/etc/rc2.d/目录下是否存在S99dtlogin 文件。日志审计51审 核cron行为,审核是 否 配 置了 审 计 功能查看所有的cron 任务在/var/spool/cron/crontabs 文件中你可以
21、找到它们。同时需要查看是否配置了审计,执行:more/etc/default/cronSOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注确认存在如下内容CRONLOG=YES52对root 用户 的 登 录进行审计执行:more/etc/default/login确认其中存在如下内容:SYSLOG=YES53审 核 是 否对 Login 行为 作 了 记录建议执行下述操作,实现对login 行为的记录:touch/var/adm/loginlog chmod 600/var/adm/loginlog chgrp sys/var/adm/lo
22、ginlog54Syslog.conf的 配 置 审核主要查看/etc/syslog.conf 配置文件中是否设置了loghost 55审 核 是 否对 inetd 启动 的TCP服 务 的 配置 了 日 志记录功能执行:more/etc/init.d/inetsvc确认其中存在如下内容(一般在该文件最后)/usr/sbin/inetd-s-t&安全增强配置SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注56审 核 系 统和 各 类 服务的banner设置状况(1)系统是否设置登录警告,执行:more/etc/issue(2)FTP 登录
23、信息,执行:more/etc/default/ftpd,确认文件相关配置是否作了改动:BANNER=XXXX(XXXX可以任意改变为任何一个版本信息),将该系统版本信息屏蔽。(3)Telnet 登录信息,执行:more/etc/default/telnetd,确认在文件中的加进以下一项BANNER=XXXX(XXXX可以任意改变为任何一个版本信息),将该系统版本信息屏蔽。假如/etc/default/telnetd文件不存在,按如下步骤操作:touch/etc/default/telnetd echo BANNER=/etc/default/telnetd 修改telnetd的属性chmod
24、444/etc/default/telnetd57审 核 堆 栈缓 冲 溢 出攻 击 防 护设置执行:more/etc/system查看文件中是否有如下设置:set noexec_user_stack=1 set noexec_user_stack_log=158查看执行:eeprom SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注eeprom的状态设置确认 eeprom 状态,查看是否有如下配置:security-mode=full 或 security-mode-command59stop-a 设置审核查看/etc/default/
25、kbd 是否存在如下配置:KEYBOARD_ABORT=disable 或者查看在/etc/system 文件是否存在如下配置:set abort_enable=060检查 ASET启用情况执行 Pkginfo 查看是否安装了ASET 工具或者执行whereis asset 查看有无该工具61系 统 完 整性 保 护 的审核询问管理员是否安装了tripwire 或者 AIDE 类似软件高级安全配置62检 查 是 否设 置 最 安全 的TCP初 始 序 列号 产 生 方式,以提高抗 IP 欺骗查看在/etc/default/inetinit中是否存在如下配置:TCP_STRONG_ISS=2SO
26、LARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注能力63检 查 是 否进 行 了 缩短 ARP 缓存 有 效 期的 安 全 配置询问管理员是否专门做过IP Stack 优化调整;或者执行:/usr/sbin/ndd-get/dev/arp arp_cleanup_interval 检查返回值(以毫秒为单位,缺省值5 分钟,建议60000)64检 查 是 否作了IP Stack优化,不响应广 播icmp echo request报文询问管理员是否专门做过IP Stack 优化调整;或者执行:/usr/sbin/ndd-get/dev/ip ip
27、_respond_to_echo_broadcast 检查返回值,(系统缺省设置为1,表示响应广播ping,建议 0)65检 查 是 否作了IP Stack优化,禁止 IP源路由询问管理员是否专门做过IP Stack 优化调整;或者执行:/usr/sbin/ndd-get/dev/ip ip_forward_src_routed 检查返回值,(系统缺省设置为1,建议 0,1 表示允许IP源路由)SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注66检 查 是 否作了IP Stack优化,禁止 IP转发询问管理员是否专门做过IP Stack
28、优化调整;或者执行:/usr/sbin/ndd-get/dev/ip ip_forwarding 检查返回值,系统缺省设置为1,建议 0,如果此主机需要路由则应该为1 67检 查 是 否作了IP Stack优化,不转发定 向 广 播IP 报文询问管理员是否专门做过IP Stack 优化调整;或者执行:/usr/sbin/ndd-get/dev/ip ip_forward_directed_broadcasts 检查返回值,(系统缺省设置为1,建议 0)68检 查 是 否作了IP Stack优化,忽 略ICMP 重定向报文询问管理员是否专门做过IP Stack 优化调整;或者执行:/usr/sb
29、in/ndd-get/dev/ip ip_ignore_redirect 检查返回值,系统缺省设置为0,表示接受ICMP 重定向报文,建议改为1 69检 查 是 否作了IP Stack优询问管理员是否专门做过IP Stack 优化调整;或者执行:/usr/sbin/ndd-get/dev/ip SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注化,不响应广 播icmp netmask request报文ip_respond_to_address_mask_broadcast 检查返回值,(系统缺省设置为1,建议 0)70检 查 是 否作了I
30、P Stack优化,不响应广 播icmp timestamp request报文询问管理员是否专门做过IP Stack 优化调整;或者执行:/usr/sbin/ndd-get/dev/ip ip_respond_to_timestamp_broadcast 检查返回值,(系统缺省设置为1,建议 0)71检 查 是 否作了IP Stack优化,不响应单 播icmp timestamp request报询问管理员是否专门做过IP Stack 优化调整;或者执行:/usr/sbin/ndd-get/dev/ip ip_respond_to_timestamp 检查返回值,(系统缺省设置为1,建议 0
31、)SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注文72检 查 是 否作了IP Stack优化,禁止发送 ICMP 重定向报文询问管理员是否专门做过IP Stack 优化调整;或者执行:/usr/sbin/ndd-get/dev/ip ip_send_redirects 检查返回值,(系统缺省设置为1,建议 0)73查 看 是 否使 用 了 静态 ARP 表与管理员沟通,询问是否使用arp-f 方式使用了静态arp。74检 查 是 否禁 止 某 个网 络 接 口做 ARP 解析,提高抗ARP欺 骗能力与管理员沟通,询问是否使用/sbin/ifconfig hme0-arp 命令禁止 hme0 接口做 ARP 解析,hme0 接口不会发送/接收ARP 报文。75检 查 是 否作了IP Stack优询问管理员是否专门做过IP Stack 优化调整;或者执行:SOLARIS 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结果补充说明备注化,以对抗SynFlood攻击/usr/sbin/ndd-get/dev/tcp tcp_conn_req_max_q/usr/sbin/ndd-get/dev/tcp tcp_conn_req_max_q0 检查返回值76