等保下基于CentOS7设置访问控制策略

admin 2024年5月20日23:29:39评论13 views字数 1803阅读6分0秒阅读模式

a)应对登录的用户分配账户和权限

、应核查是否为用户分配了账户和权限及相关设置情况

umask

等保下基于CentOS7设置访问控制策略

umask命令用于设置文件和目录的默认权限掩码。umask值用来为新创建的文件和目录设置缺省权限。如果没有设定umask值,则生成的文件具有全局可写权限,存在一定的风险。为了提高守护进程所创建文件和目录的安全性,建议设置其umask值为0027。

操作:在配置文件/etc/sysconfig/init 中新增一行:umask 0027。

二、应核查是否已禁用或限制匿名、默认账户的访问权限

more /etc/shadow

查看命令返回结果 第二字段为(!*)表示该账户已锁定 //uucp、nuucp、lp、adm、shutdown均为默认账户。

等保下基于CentOS7设置访问控制策略

操作:userdel -r 用户名

三、查看文件的权限合理性

配置文件不大于644、可执行文件不大于755(r读、w写、x执行)

等保下基于CentOS7设置访问控制策略

b)应重命名或删除默认账户,修改默认账户的默认口令

一、应核查是否已经重命名默认账户或默认账户已被删除;

more /etc/shadow

查看命令结果,是否存在adm、lp、sync、shutdown、halt、mail、uucp、 operator、games、gopher、ftp等默认无用账户

二、应核查是否已修改默认账户的默认口令

有的root的默认口令是root,可以修改

三、查看root账户能否远程登录

/etc/ssh/sshd_config //查看命令结果,应该为PermitRootLogin NO(命令前面不能带#号,否则就算是有也是无效,#代表注释改行。)

等保下基于CentOS7设置访问控制策略

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在

应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应

询问管理员,是否每个账号对应到个人 。禁用或删除不需要的系统默认账户,如games,news,ftp,lp,halt,shutdown等。

特权账户halt、shutdown是否已被删除。

d) 应授予管理用户所需的最小权限,实现管理用户的权限分离

一、查看是否三权分立

需要创建auditsystemsecurity等三个账户并分配相应的权限。

二、查看是否三权分立

应核查管理用户的权限是否已进行分离

(more  /etc/passwd)  查看是否有除root账户外的第三个字段是0的

三、应核查管理用户权限是否为其工作任务所需的最小权限

(more  /etc/sudoers) 

//Allow  root to run any commands anywhere 

root  ALL=(ALL)  

ALL系统管理员权限只分配了root用户

e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

询问系统管理员, 核查是否由指定授权人对操作系统的访问控制权限进行配置。

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

由管理用户进行用户访问权限分配进行设置,依据访问控制策略,对各类文件和数据库表级进行访问。重要文件和目录权限均在合理范围内,用户可根据对文件不同的权限进行操作。

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

应核查是否对主体、客体设置了安全标记;例如:

(ls  -Z(大写)/etc/passwd)

//-rw-r--r--. root root system_u:object_r:passwd_file_t:s0 /etc/passwd
//服务器对重要主体和客体设置安全标记
//第一部分身份标识system_u表示系统程序方面的标识
//user_u表示一般用户相关身份标识;第二部分角色定义文件进程和用户用途
//object_r表示文件或目录等资源
//system_r表示进程
//第三部分数据类型
//第四部分限制访问的需要(0-15级)(要求3级)

psswd_file_t:s0(此处起码需要3级)

等保下基于CentOS7设置访问控制策略

f)应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。

more  /etc/selinux/config //查看SELinux是否开启

SELINUX=disable表示Selinux关闭      

=ecforcing强制模式       

=permissive宽容模式

等保下基于CentOS7设置访问控制策略

参考文章:

信息安全之linux等保三级详细指导 - 徐正柱- - 博客园 (cnblogs.com)

原文始发于微信公众号(透明魔方):等保下基于CentOS7设置访问控制策略

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月20日23:29:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   等保下基于CentOS7设置访问控制策略https://cn-sec.com/archives/2757057.html

发表评论

匿名网友 填写信息