Linux服务器
控制点
2.
访问控制
在系统中实施访问控制的目的是为了保证系统资源(操作系统和数据库管理系统)受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。
a)
安全要求:应对登录的用户分配账户和权限。
要求解读:对于Linux操作系统中的一些重要文件,应检查系统主要目录的权限设置情况,Linux操作系统的文件操作权限,包括4种:读(r,4)、写(w,2)、执行(x,1)、空(-,0),文件的权限分别为属主(拥有者)、属组、其它用户、用户组。
检查方法
以具有相应权限的账户身份登录进入Linux操作系统,使用“ls -l文件名”命令查看重要文件和目录的权限设置是否合理,例如“# ls-l /etc/passwd #744”。
重点查看以下文件和目录的权限设置是否合理。
-rwx------:数字表示为700。
-rwxr--r--:数字表示为744。
-rw-rw-r-x:数字表示为665。
drwx--x--x:数字表示为711。
drwx------:数字表示为700。
期望结果
配置文件的权限值不能大于644,可执行文件的权限不能大于755。
b)
安全要求:应重命名或删除默认账户,修改默认账户的默认口令。
要求解读:Linux操作系统本身提供了各种账户,如adm、 lp、 sync、shutdown、halt、mail、uucp、operator、games、gopher、ftp等,但这些账户并不会被使用,而且账户越多,系统就越容易受到攻击,因此,应禁用或删除这些账户。root是重要的默认账户,一般应禁止其远程登录。
检查方法
1.以具有相应权限的账户身份登录Linux操作系统,执行more命令,查看/etc/shadow文件中是否存在adm、lp、sync、shutdown、halt、mai1、uucp、operator、games、gopher、ftp等默认无用的用户。
2.查看root账户是否能进行远程登录(通常为不能)。
期望结果
1.不存在默认无用的账户。
2.已将/etc/ssh/sshd_config文件中的“PermitRootLogin”参数设置为no,也就是PermitRootLogin no,表示不允许root远程登录。
c)
安全要求:应及时删除或停用多余的、过期的账户,避免共享账户的存在。
要求解读:操作系统运行一段时间后,会因业务应用或管理员岗位的调整而出现一些多余的、过期的账户,也会出现多个系统管理员或用户使用同一账户登录的情况,导致无法通过审计追踪定位自然人。多余的、过期的账户可能会被攻击者利用进行非法操作,因此应及时清理系统中的账户,删除或停用多余的、过期的账户,同时避免共享账户的存在。
检查方法
1.核查是否不存在多余或过期的账户(应为不存在)。例如,查看games、news、ftp、lp等系统默认账户是否已被禁用,特权账户halt、shutdown 是否已被被删除。
2.访谈网络管理员、安全管理员、系统管理员,核查不同的用户是否使用不同的账户登录系统。
期望结果
1.已禁用或删除不需要的系统默认账户。
2.各类管理员均使用自己的特定权限账户登录,不存在多余的、过期的账户。
d)
安全要求:应授予管理用户所需的最小权限,实现管理用户的权限分离。
要求解读:根据管理用户的角色对权限进行细致的划分,有利于各岗位精准协调工作。同时,仅授予管理用户所需的最小权限,可以避免出现权限漏洞而使一些高级用户拥有过高的权限。Linux操作系统的root账户拥有所有权限,使用sudo命令可授予普通用户root权限(在sudoer.conf中进行配置)。
检查方法
1.以具有相应权限的账户身份登录Linux操作系统,执行more命令,查看/etc/passwd文件中的非默认用户,了解各用户的权限,核查是否实现了管理用户的权限分离。
2.以具有相应权限的账户身份登录Linux操作系统,执行more命令,查看/etc/sudoers文件,核查哪些用户具有root权限。
期望结果
1.各用户均具备最小权限,且不与其他用户的权限交叉。设备支持新建多用户角色功能。
2.管理员权限仅分配给root用户。
e)
安全要求:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
要求解读:操作系统的访问控制策略应由授权体(例如安全管理员)进行配置,非授权主体不得更改访问控制策略。访问控制策略规定了操作系统用户对操作系统资源(例如文件和目录)具有哪些权限,能进行哪些操作。通过在操作系统配置访问控制策略,可以实现对操作系统各用户权限的限制。
检查方法
1.询问系统管理员,核查是否由指定授权人对操作系统的访问控制权限进行配置。
2.核查账户权限配置,了解是否依据安全策略配置各账户的访问规则。
期望结果
1.由专门的安全员负责访问控制权限的授权工作。
2.各账户权限配置均基于安全员的安全策略配置进行访问控制。
f)
安全要求:访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
要求解读:此项明确提出了访问控制粒度方面的要求。重点目录的访问控制主体可能为某个用户或某个进程,应能够控制用户或进程对文件、数据库表等客体的访问。
检查方法
使用“ls-l文件名”命令查看重要文件和目录权限的设置是否合理(例如“
# ls-l/etc/passwd #744”)。应重点核查文件和目录权限是否被修改过。
期望结果
由管理用户进行用户访问权限的分配,用户依据访问控制策略对各类文件和数据库表进行访问。重要文件和目录的权限均在合理范围内,用户可根据自身拥有的对文件不同的权限进行操作。
g)
安全要求:应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
要求解读:敏感标记是由强认证的安全管理员设置的。通过对重要信息资源设置敏感标记,可以决定主体以何种权限对客体进行操作,实现强制访问控制。
安全增强型Linux(Security-Enhanced Linux,SELinux)是一个Linux内核模块,也是Linux的一个安全子系统。2.6及以上版本的Linux内核都已集成SELinux模块。在使用SELinux的Linux操作系统中,决定资源是否能够被访问的因素,除了用户的权限(读、写、执行),还有每一类进程对某一类资源的访问权限。这种权限管理机制的主体是进程,也称为强制访问控制。在SELinux中,主体等同于进程,客体是主体访问的资源(可以是文件、目录、端口、设备等)。
SELINUX有三种工作模式。
enforcing:强制模式。违反SELinux规则的行为将被阻止并记录到日志中,表示使用SELinux。
permissive:宽容模式。违反SELinux规则的行为只会被记录到日志中,一般在调试时使用,表示使用SELinux。
disabled:关闭SELinux,表示不使用SELinux。
检查方法
1.核查系统中是否有敏感信息。
2.核查是否为主体用户或进程划分了级别并设置了敏感标记,以及是否在客体文件中设置了敏感标记。
3.测试验证是否依据主体和客体的安全标记来控制主体对客体访问的强制访问控制策略。
4.以具有相应权限的账户身份登录Linux操作系统,使用more命令,查看
/etc/selinux/config文件中SELinux的参数。
期望结果
Linux服务器默认关闭SELinux服务,或者已使用第三方主机加固系统或对系统内核进行了二次开发加固(需要实际查看系统可视化界面)。