a)应对登录的用户分配账户和权限
一、应核查是否为用户分配了账户和权限及相关设置情况
umask
umask命令用于设置文件和目录的默认权限掩码。umask值用来为新创建的文件和目录设置缺省权限。如果没有设定umask值,则生成的文件具有全局可写权限,存在一定的风险。为了提高守护进程所创建文件和目录的安全性,建议设置其umask值为0027。
操作:在配置文件/etc/sysconfig/init 中新增一行:umask 0027。
二、应核查是否已禁用或限制匿名、默认账户的访问权限
more /etc/shadow查看命令返回结果 第二字段为(!*)表示该账户已锁定 //uucp、nuucp、lp、adm、shutdown均为默认账户。
操作:userdel -r 用户名
三、查看文件的权限合理性
配置文件不大于644、可执行文件不大于755(r读、w写、x执行)
b)应重命名或删除默认账户,修改默认账户的默认口令
一、应核查是否已经重命名默认账户或默认账户已被删除;
more /etc/shadow查看命令结果,是否存在adm、lp、sync、shutdown、halt、mail、uucp、 operator、games、gopher、ftp等默认无用账户
二、应核查是否已修改默认账户的默认口令
有的root的默认口令是root,可以修改
三、查看root账户能否远程登录
/etc/ssh/sshd_config //查看命令结果,应该为PermitRootLogin NO(命令前面不能带#号,否则就算是有也是无效,#代表注释改行。)
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在
应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应。
询问管理员,是否每个账号对应到个人 。禁用或删除不需要的系统默认账户,如games,news,ftp,lp,halt,shutdown等。
特权账户halt、shutdown是否已被删除。
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离
一、查看是否三权分立
需要创建auditsystemsecurity等三个账户并分配相应的权限。
二、查看是否三权分立
应核查管理用户的权限是否已进行分离
(more /etc/passwd) 查看是否有除root账户外的第三个字段是0的
三、应核查管理用户权限是否为其工作任务所需的最小权限
(more /etc/sudoers)
//Allow root to run any commands anywhere
root ALL=(ALL)
ALL系统管理员权限只分配了root用户
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
询问系统管理员, 核查是否由指定授权人对操作系统的访问控制权限进行配置。
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
由管理用户进行用户访问权限分配进行设置,依据访问控制策略,对各类文件和数据库表级进行访问。重要文件和目录权限均在合理范围内,用户可根据对文件不同的权限进行操作。
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
应核查是否对主体、客体设置了安全标记;例如:
(ls -Z(大写)/etc/passwd)
//-rw-r--r--. root root system_u:object_r:passwd_file_t:s0 /etc/passwd
//服务器对重要主体和客体设置安全标记
//第一部分身份标识system_u表示系统程序方面的标识
//user_u表示一般用户相关身份标识;第二部分角色定义文件进程和用户用途
//object_r表示文件或目录等资源
//system_r表示进程
//第三部分数据类型
//第四部分限制访问的需要(0-15级)(要求3级)
psswd_file_t:s0(此处起码需要3级)
f)应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。
more /etc/selinux/config //查看SELinux是否开启
SELINUX=disable表示Selinux关闭
=ecforcing强制模式
=permissive宽容模式
参考文章:
信息安全之linux等保三级详细指导 - 徐正柱- - 博客园 (cnblogs.com)
原文始发于微信公众号(透明魔方):等保下基于CentOS7设置访问控制策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论