等保下基于CentOS7入侵防范和恶意代码防范

入侵防范

a)应遵循最小安装的原则，仅安装需要的组件和应用程序

rpm -qa    //centOS与redhat查看已安装组件yum list installed    //这个命令也可以看

敲完命令后，对于不清楚的组件可以查查，看看是否安装了不必要的应用程序和组件，也可以询问对接的运维人员（所以我说等保涵盖的知识点真是太多了，因为一拉下来就有几百个组件，怎么用我聪明的大脑去记住组件的作用并判断？）

b) 应关闭不需要的系统服务、默认共享和高危端口

systemctl list-unit-files | grep enable 

通过这个命令查看正在运行的系统服务，不清楚的就查一下，或者询问对接的运维人员这个是什么。

输入以下命令检查系统当前开启的端口，看看有没有高危端口：

netstat -antupl    //查看开启端口

Linux系统自身不存在默认共享，创建共享文件夹需安装samba，输入以下命令检查是否已经安装samba：

rpm -qi samba

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

Linux系统中/etc/hosts.allow控制可以访问本机的IP地址，/etc/hosts.deny控制禁止访问本机的IP。实际测评中基本都未在此处进行配置，多在防火墙或堡垒机上进行限制。

d) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

该项对linux不适用。主机不涉及人机接口输入或通信接口输入控制，这个主要针对应用系统。

e) 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

该项需结合漏扫，初测是否发现高风险漏洞，复测后高风险漏洞是否被修补。可以询问运维人员，查看初测和复测的报告。

输入以下命令查看补丁更新情况，是否及时安装最新补丁：

rpm -qa grep patch

f) 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

检查操作系统是否安装入侵检测软件，如：Dragon Squire by Enterasys Networks ，ITA by Symantec等。或者，查看网络拓补图，在网络层面是否部署有入侵检测系统。

恶意代码

a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断

检查，是否安装可防恶意代码的杀毒软件，市面上针对Linux操作系统的杀毒软件较少，可以看看有没有统一管理的防病毒软件如EDR等。也可以使用ClamAV（Claminal Antivirus）这款免费的，开源的杀毒软件来防护恶意代码。

sudo apt-get update   //更新索引sudo apt-get install clamav  //安装clamavsudo freshclam //更新病毒数据库sudo clamscan -r  //扫描整个系统

如果有安装clam AV软件，测评时要查看病毒库版本

freshclam -V clamscan --version

确定病毒库的版本距今不超过1个月。

THE  END

参考：

https://www.freebuf.com/articles/compliance/261924.html

https://blog.csdn.net/mashiro_hibiki/article/details/136885297

原文始发于微信公众号（透明魔方）：等保下基于CentOS7入侵防范和恶意代码防范