信息安全_风险评估_检查流程_操作系统安全评估检查表_HP-UNIX49007.doc-道客多多

资源描述

1、HP-UX Security CheckList HP-UX Security CheckList 第 1 页共 28 页HP-UX Security CheckListHP-UX Security CheckList HP-UX Security CheckList 第 2 页共 28 页目录HP-UX SECURITY CHECKLIST 11 初级检查评估内容 51.1 系统信息 51.1.1 系统基本信息 51.1.2 系统网络设置 51.1.3 系统当前路由 51.1.4 检查目前系统开放的端口 61.1.5 检查当前系统网络连接情况 81.1.6 系统运行进程 81.2 物理

2、安全检查 91.2.1 检查系统单用户运行模式中的访问控制 91.3 帐号和口令 91.3.1 检查系统中 Uid 相同用户情况 91.3.2 检查用户登录情况 91.3.3 检查账户登录尝试失效策略 101.3.4 检查账户登录失败时延策略 101.3.5 检查所有的系统默认帐户的登录权限 101.3.6 空口令用户检查 111.3.7 口令策略设置参数检查 111.3.8 检查 root 是否允许从远程登录 .111.3.9 验证已经存在的 Passwd 强度 111.3.10 用户启动文件检查 121.3.11 用户路径环境变量检查 121.4 网络与服务 121.4.1 系统启动脚本检

3、查 121.4.2 TCP/UDP 小服务 131.4.3 login(rlogin)，shell(rsh)，exec(rexec) .13HP-UX Security CheckList HP-UX Security CheckList 第 3 页共 28 页1.4.4 comsat talk uucp lp kerbd 141.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd .141.4.6 远程打印服务 141.4.7 检查是否开放 NFS 服务 15

4、1.4.8 检查是否 Enables NFS port monitoring .151.4.9 检查是否存在和使用 NIS ,NIS+ 151.4.10 检查 sendmail 服务 .161.4.11 Expn, vrfy (若存在 sendmail 进程) 161.4.12 SMTP banner .161.4.13 检查是否限制 ftp 用户权限 .171.4.14 TCP_Wrapper 171.4.15 信任关系 171.5 文件系统 181.5.1 suid 文件 181.5.2 sgid 文件 181.5.3 /etc 目录下可写的文件 181.5.4 检测重要文件目录下文件权限

5、属性以及/dev 下非设备文件系统 191.5.5 检查/tmp 目录存取属性 .191.5.6 检查 UMASK 201.5.7 检查.rhosts 文件 201.6 日志审核 201.6.1 Cron logged201.6.2 /var/adm/cron/211.6.3 Log all inetd services .211.6.4 Syslog.conf.211.7 UUCP 服务 211.8 XWINDOWS 检查 222 中级检查评估内容 23HP-UX Security CheckList HP-UX Security CheckList 第 4 页共 28 页2.1 安全增强

6、性 232.1.1 TCP IP 参数检查 .232.1.2 Inetd 启动参数检查 242.1.3 Syslogd 启动参数检查 252.1.4 系统日志文件内容检查 252.1.5 系统用户口令强度检查 252.1.6 系统补丁安装情况检查 252.1.7 系统审计检查 253 高级检查评估内容 263.1 后门与日志检查 263.2 系统异常服务进程检查 263.3 内核情况检查 263.4 第三方安全产品安装情况 26HP-UX Security CheckList HP-UX Security CheckList 第 5 页共 28 页1 初级检查评估内容1.1 系统信息1.1.

7、1 系统基本信息1.1.1.1说明：检查系统的版本和硬件类型等基本信息。1.1.1.2检查方法：uname auname vPATH=“/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/“export PATH1.1.2 系统网络设置1.1.2.1说明：检查系统的网卡是否存在混杂模式。1.1.2.2检查方法：ifconfig lan01.1.3 系统当前路由1.1.3.1说明：检查系统当前的路由设定配置，包括默认路由和永久路由，并检查其合法性。HP-UX Security CheckList HP-UX Security CheckList 第 6

8、页共 28 页1.1.3.2检查方法：netstat -nr1.1.3.3结果分析方法：bash-2.05# netstat -nrRouting Table: IPv4Destination Gateway Flags Ref Use Interface- - - - - -192.168.10.0 192.168.10.113 U 1 35 hme0default 192.168.10.254 UG 1 78127.0.0.1 127.0.0.1 UH 2 7246 lo01.1.4 检查目前系统开放的端口1.1.4.1说明：检查当前系统运行中开放的服务端口1.1.4.2检查方法：net

9、stat na |grep LISTEN1.1.4.3结果分析方法：bash-2.05# netstat -na | grep LISTEN1.1.5 检查当前系统网络连接情况1.1.5.1说明：根据显示的网络连接，记录已建立连接establish的数量，地址范围等。记录listen的端口，记录其它状态，例如timewait，finwait ，closewait 等。HP-UX Security CheckList HP-UX Security CheckList 第 7 页共 28 页1.1.5.2检查方法：netstat na1.1.6 系统运行进程1.1.6.1说明：根据显示的当前所有

10、在运行的系统进程，记录每个进程的运行时间，属主，查看相应的实例位置，检查相应的实例的版本、大小、类型等。1.1.6.2检查方法：ps elf 1.1.6.3结果分析方法：# ps ef1.2 物理安全检查1.2.1 检查系统单用户运行模式中的访问控制1.2.1.1说明：检查和发现系统在进入单用户模式是否具备访问控制。1.2.1.2检查方法：more /tcb/files/auth/system/default，如果 d_boot_authenticate 行的内容大于0，那么说明系统不需要口令就可以进入单用户模式。1.3 帐号和口令HP-UX Security CheckList HP-UX

11、Security CheckList 第 8 页共 28 页1.3.1 检查系统中 Uid 相同用户情况1.3.1.1说明：检查和发现系统中具有相同 uid 的用户情况，特别关注 udi=0 的用户情况。1.3.1.2检查方法：pwck -s1.3.2 检查用户登录情况1.3.2.1说明：检查和发现系统用户的登录情况，特别关注 udi=0 的用户情况。1.3.2.2检查方法：last -Rlastb R | more1.3.3 检查账户登录尝试失效策略1.3.3.1说明：检查系统允许的单次会话中的登录尝试次数。1.3.3.2检查方法：more /tcb/files/auth/system/d

12、efault，检查 t_maxtrie 变量内容，如果有设定，它将改变默认的 5 次设定。1.3.4 检查账户登录失败时延策略1.3.4.1说明：检查系统允许的单次会话中的登录失败时延参数。HP-UX Security CheckList HP-UX Security CheckList 第 9 页共 28 页1.3.4.2检查方法：more /tcb/files/auth/system/default，检查 t_logdelay 变量内容，如果有设定，它将改变默认的 4 秒设定。1.3.5 检查所有的系统默认帐户的登录权限1.3.5.1说明：1.3.5.2检查方法：cat /etc/pas

13、swd |grep v sh1.3.5.3结果分析方法：例：noaccess:x:60002:60002:No Access User :/:/sbin/noshell1.3.6 空口令用户检查1.3.6.1说明：1.3.6.2检查方法：authck ppwck -s1.3.7 口令策略设置参数检查1.3.7.1说明：检查系统口令的配置策略1.3.7.2检查方法：more /tcb/files/auth/system/defaultHP-UX Security CheckList HP-UX Security CheckList 第 10 页共 28 页1.3.8 检查 root 是否允许从

14、远程登录1.3.8.1说明：Root 从远程登录时，可能会被网络 sniffer 窃听到密码。1.3.8.2检查方法：cat /etc/securetty1.3.8.3结果分析方法：/etc/securetty 应当包括 console 或者/dev/null1.3.9 验证已经存在的 Passwd 强度1.3.9.1说明：检查/etc/shadow 文件中，是否存在空密码的帐号1.3.9.2检查方法：cat /etc/shadow |awk -F: print $1 “ “$21.3.10用户启动文件检查1.3.10.1 说明：检查用户目录下的启动文件1.3.10.2 检查方法：检查用户目录

15、下的.cshrc, .profile, .emacs, .exrc, .Xdefaults, .Xinit, .login, .logout, .Xsession,等文件的内容，包括 root 用户。HP-UX Security CheckList HP-UX Security CheckList 第 11 页共 28 页1.3.11用户路径环境变量检查1.3.11.1 说明：检查用户路径环境变量下的启动文件1.3.11.2 检查方法：切换到用户 echo $PATH，检查输出。1.4 网络与服务1.4.1 系统启动脚本检查1.4.1.1说明：检查系统启动脚本1.4.1.2检查方法：more

16、 /sbin/rc?.d1.4.2 TCP/UDP 小服务1.4.2.1说明：这些服务通常是用来进行网络调试的，包括：echo、discard 、datetime 、chargen1.4.2.2检查方法：grep v “#” /etc/inetd.conf1.4.2.3结果分析方法:echo stream tcp nowait root internalecho dgram udp wait root internaldiscard stream tcp nowait root internalHP-UX Security CheckList HP-UX Security CheckList

17、第 12 页共 28 页discard dgram udp wait root internaldaytime stream tcp nowait root internaldaytime dgram udp wait root internalchargen stream tcp nowait root internalchargen dgram udp wait root internal1.4.3 login(rlogin)，shell(rsh)，exec(rexec)1.4.3.1说明：用来方便的登陆或执行远程系统的命令。1 可能被用来获得主机信任关系的信息2 被入侵者用来留后门3

19、 Cachefs Dtspcd Gssd1.4.5.1说明：在 inetd.conf 中启动的 RPC 服务，已经有多次极严重的安全漏洞记录HP-UX Security CheckList HP-UX Security CheckList 第 13 页共 28 页1.4.5.2检查方法：grep v “#” /etc/inetd.conf|grep rpc查找 Sadmind ttb sprayd walld cmsd kcms 等字样以上服务存在多个严重安全隐患若不使用以上服务建议在 inetd 注释以上服务1.4.5.3备注：不同的版本的某些 rpc 小服务不一样，而且也因安装方式不

20、同而有异。对于少见的 rpc 服务，应该征求管理员的意见。1.4.6 远程打印服务1.4.6.1说明：检查主机远程打印服务的配置1.4.6.2检查方法：more /etc/hosts.equivmore /var/adm/lp/.rhosts1.4.7 检查是否开放 NFS 服务1.4.7.1说明：非有明确使用目的，建议停止运行 NFS 的相关服务1.4.7.2检查方法：ps ef | grep nfskdshowmount e localhostmore /etc/exportsmore /etc/exportfsmore /etc/fstabHP-UX Security CheckList

21、 HP-UX Security CheckList 第 14 页共 28 页1.4.8 检查是否 Enables NFS port monitoring1.4.8.1说明：1.4.8.2检查方法：more /etc/rc.config.d/nfsconf1.4.8.3结果分析方法：1.4.9 检查是否存在和使用 NIS ,NIS+1.4.9.1说明：检查/var/nis1.4.9.2检查方法：more /var/nis1.4.10检查 sendmail 服务1.4.10.1 说明：检查本地 sendmail 服务开放情况1.4.10.2 检查方法ps ef|grep sendmail HP-

22、UX Security CheckList HP-UX Security CheckList 第 15 页共 28 页1.4.11Expn, vrfy (若存在 sendmail 进程)1.4.11.1 说明：限制用户通过这两个 sendmial 命令来获取系统的信息1.4.11.2 检查方法：检查是否存在 sendmail.cf 文件若不存在系统当前 sendmail 配置为系统默认cat /etc/sendmail.cf |grep PrivacyOPtions 是否等于 authwarnigs.goawayPrivacyOptions 是否等于 noexpn,novrfy,authw

23、arnignsLoglevel 等于 51.4.12SMTP bannerHP-UX Security CheckList HP-UX Security CheckList 第 16 页共 28 页1.4.12.1 说明：在 SMTP banner 中隐藏版本号1.4.12.2 检查方法：cat /etc/sendmail.cf |grep “De Mail Server Ready”1.4.12.3 结果分析方法：#SMTP login messageDe Mail Server Ready1.4.13检查是否限制 ftp 用户权限1.4.13.1 说明：拒绝系统默认的帐号使用 ftp 服

24、务1.4.13.2 检查方法：more /etc/ftpusersmore /etc/ftpd/ftpusers检查 ftpusers 文件存取权限以及因该禁用的登陆的用户名 1.4.14TCP_Wrapper1.4.14.1 说明：检查 inetd 服务的访问情况。1.4.14.2 检查方法：more /var/adm/inetd.secHP-UX Security CheckList HP-UX Security CheckList 第 17 页共 28 页1.4.15信任关系1.4.15.1 说明：主机之间的可信任问题，可能会导致安全问题；确保 /etc/hosts.equiv 文件

25、的内容为空。1.4.15.2 检查方法：cat /etc/hosts.equiv若安装 TCP_warpper 并对某些网络服务绑定改服务请检查/etc/hosts.allow 和 /etc/hosts.deny 文件是否为空或者不做策略1.4.15.3 结果分析方法：文件内容应为空或此文件不存在1.5 文件系统1.5.1 suid 文件1.5.1.1说明：检查所有属组为 root(uid=0)的 suid 属性文件并且其执行权限为任意用户可执行非法的普通用户可能会利用这些程序里潜在的漏洞以 stack, format strings,heap等方法来溢出和覆盖缓冲区执行非法代码提升到

26、 root 权限目的1.5.1.2检查方法：find / -type f perm -4001 user 0 检查风险：1.5.2 sgid 文件1.5.2.1说明：移去所有不需要 sgid 属性的文件HP-UX Security CheckList HP-UX Security CheckList 第 18 页共 28 页危害性同上这里是提升组权限到 other1.5.2.2检查方法：find / -type f perm -2001 group 01.5.3 /etc 目录下可写的文件1.5.3.1说明：将检查/etc 目录下对任何用户和组都可以进行写入文件这将造成系统风险隐患1.5.

27、3.2检查方法：find /etc -type f -perm 00021.5.4 检测重要文件目录下文件权限属性以及/dev 下非设备文件系统1.5.4.1说明不安全的文件系统库文件权限将导致被任意用户替换危险1检查/usr/lib /usr/lib /usr/local/lib(若存在) 目录下对所有用户可写文件2 检查/dev 下非设备类型的文件 3检查系统所有 conf 文件权限是否为任意用户可写以及文件属主1.5.4.2检查方法find /usr/lib type f perm 0002find /lib type f perm 0002find /usr/local/lib t

28、ype f perm 0002 find /dev type f find / -type f perm -0002 name *.conf*HP-UX Security CheckList HP-UX Security CheckList 第 19 页共 28 页1.5.5 检查/tmp 目录存取属性1.5.5.1说明：在每次重启时，设置/tmp 目录的粘滞位限制攻击者的部分活动。1.5.5.2检查方法：ls la / |grep tmp1.5.5.3结果分析方法：bash-2.05# ls -la / |grep tmpdrwxrwxrwt 5 root sys 447 5 13 14:

29、08 tmp1.5.6 检查 UMASK1.5.6.1说明：设置严格的 UMASK 值，增强文件的存取权限1.5.6.2检查方法：more /tc/profile 1.5.7 检查.rhosts 文件1.5.7.1说明：.rhosts 文件有一定的安全缺陷，当使用不正确时，可能会导致安全漏洞；推荐禁止所有的.rhosts 文件1.5.7.2检查方法：find / -type f -name “.rhosts“HP-UX Security CheckList HP-UX Security CheckList 第 20 页共 28 页1.5.7.3结果分析方法：没有此文件或文件内容为空，若要使用

30、.rhosts 信任机制则请确保文件属性为6001.5.7.4备注：Cluster 软件可能需要.rhosts 文件，请仔细检查使用 .rhosts 文件Add by weiling 2005/11/02 审核 setuid 和 setgid 网络安全审计HP-UX Security CheckList HP-UX Security CheckList 第 21 页共 28 页# hostnameyd_db1# # ll /dev/ether*crw-rw-rw- 1 bin bin 5 0x010001 Nov 16 2000 /dev/ether1crw-rw-rw- 1 bin bi

31、n 5 0x020001 Nov 16 2000 /dev/ether2crw-rw-rw- 1 bin bin 52 0x030001 Nov 16 2000 /dev/ether3# # ll /ieee*/ieee* not found# # ll /dev/ieee*/dev/ieee* not found# # ll /dev/lan*crw-rw-rw- 1 root sys 72 0x000077 Jan 19 2003 /dev/lancrw-rw-rw- 1 bin bin 32 0x000000 Nov 16 2000 /dev/lan0crw-rw-rw- 1 bin b

32、in 5 0x010000 Nov 16 2000 /dev/lan1crw-rw-rw- 1 bin bin 5 0x020000 Nov 16 2000 /dev/lan2crw- 1 root root 45 0x030000 Nov 16 2000 /dev/lan3HP-UX Security CheckList HP-UX Security CheckList 第 22 页共 28 页1.6 日志审核1.6.1 Cron logged1.6.1.1说明：检查所有的 cron 活动是否被记录1.6.1.2检查方法：HP-UX 默认开启。1.6.2 /var/adm/cron/1.6

33、.2.1说明：确保/var/adm/cron 的正确属性为 700 root 用户和 sys 用户可读写HP-UX Security CheckList HP-UX Security CheckList 第 23 页共 28 页1.6.2.2检查方法：ls -la /var |grep cron1.6.3 Log all inetd services1.6.3.1说明：1.6.3.2检查方法：ps elf|grep inetd 检查启动参数1.6.4 Syslog.conf1.6.4.1说明：查看本地日志输出目录功能1.6.4.2检查方法：cat /etc/syslog.conf |grep

34、 debug1.7 UUCP 服务1.7.1.1说明：检查 UUCP 服务的使用情况1.7.1.2检查方法：cat /etc/inetd.conf | grep UUCP1.8 Xwindows 检查1.8.1.1说明：检查 Xwindows 的配置情况HP-UX Security CheckList HP-UX Security CheckList 第 24 页共 28 页1.8.1.2检查方法：find / -name .Xauthority printxhosts ( 什么意思啊？说的难道是 find / -name xhosts )HP-UX Security CheckList

35、HP-UX Security CheckList 第 25 页共 28 页2 中级检查评估内容2.1 安全增强性2.1.1 TCP IP 参数检查2.1.1.1检查套接口序列是否防止 SYN 攻击2.1.1.1.1 说明：各种网络应用软件一般必须开放一个或者几个端口供外界使用，所以其必定可以会被恶意攻击者向这几个口发起拒绝服务攻击，其中一个很流行的攻击就是 SYN FLOOD，在攻击发生时，客户端的来源 IP 地址是经过伪造的(spoofed)，现行的 IP 路由机制仅检查目的 IP 地址并进行转发，该 IP 包到达目的主机后返回路径无法通过路由达到的，于是目的主机无法通过 TCP 三次握手

36、建立连接。在此期间因为 TCP 套接口缓存队列被迅速填满，而拒绝新的连接请求。为了防止这些攻击，部分 UNIX 变种采用分离入站的套接口连接请求队列，一队列针对半打开套接口(SYN 接收,SYN|ACK 发送), 另一队列针对全打开套借口等待一个 accept()调用，增加这两队列可以很好的缓和这些 SYN FLOOD 攻击并使对服务器的影响减到最小程度。2.1.1.1.2 检查方法/usr/sbin/ndd -get /dev/tcp tcp_syn_rcvd_max/usr/sbin/ndd -get /dev/tcp tcp_conn_request_max2.1.1.2检查 Redir

37、ects 参数2.1.1.2.1 说明：恶意用户可以使用 IP 重定向来修改远程主机中的路由表，在设计良好的网络中，末端的重定向设置是不需要的，发送和接受重定向信息包都要关闭。2.1.1.2.2 检查方法：通过如下命令检查其值是否为 0：HP-UX Security CheckList HP-UX Security CheckList 第 26 页共 28 页/usr/sbin/ndd -get /dev/ip ip_send_redirects2.1.1.3检查源路由的设置2.1.1.3.1 说明：通过源路由，攻击者可以尝试到达内部 IP 地址 -包括 RFC1918 中的地址，所以不接受

38、源路由信息包可以防止你的内部网络被探测。2.1.1.3.2 检查方法：通过如下命令检查其值是否为 0：ndd -get /dev/ip ip_forward_src_routed2.1.1.4检查广播 ECHO 响应2.1.1.4.1 说明：Smurf 攻击就是一个伪造的地址通过发送 ICMP 8 0 (ECHO REQUEST) 信息到一个广播地址，一些 IP 堆栈默认情况下会响应这些信息，所以必须关闭这个特征。如果这个主机作为防火墙使用(router)，关闭这个特征就不能处理处理广播。2.1.1.4.2 检查方法：通过如下命令检查其值是否为 0：ndd -get /dev/ip ip_re

39、spond_to_echo_broadcast2.1.1.5检查 TIME_WAIT setting 设置2.1.1.5.1 说明：在一些比较繁忙的网络服务器上，许多套接口可能就处于 TIME_WAIT 状态，这是由于一些不正规编码的客户端应用程序没有很正确的处理套接口所引起的，这就可能引起如 DDOS 的攻击。2.1.1.5.2 检查方法：通过如下命令检查其值是否大于 6000：ndd -get /dev/tcp tcp_time_wait_intervalHP-UX Security CheckList HP-UX Security CheckList 第 27 页共 28 页2.1.2

40、 Inetd 启动参数检查检查 inetd 是否严格使用了-t 参数来记录所有对 inetd 守护进程所绑定网络服务的连接记录2.1.3 Syslogd 启动参数检查检查 Syslogd 的启动参数2.1.4 系统日志文件内容检查检查/var/log 和/var/admin 目录下的日志文件。2.1.5 系统用户口令强度检查将口令文件/etc/passwd 和/etc/shadow 导出，通过运行 john the ripper 检查其强度。2.1.6 系统补丁安装情况检查执行 swlist ，检查补丁情况。2.1.7 系统审计检查执行 tail etc/rc.config.d/auditin

41、g，检查其内容HP-UX Security CheckList HP-UX Security CheckList 第 28 页共 28 页3 高级检查评估内容3.1 后门与日志检查检查系统日志文件是否完备，是否存在异常情况，如日期，大小，完整性。3.2 系统异常服务进程检查检查系统是否存在异常的服务进程，需要安装 lsof 等工具进行检查和确定系统运行进程和服务之间的关系。3.3 内核情况检查检查 HP-UX 内核与模块加载情况执行 kmtune l执行 kmadmin k执行/usr/sbin/kmadmin s3.4 第三方安全产品安装情况是否禁用 telnetd service 使用 openssh 等加密连接协议来进行 remote login 登陆若安装 md5 软件包请检测/bin/login 的 md5 效检值是否一至与文件权限问题若有必要可以 truss 跟踪 ls, ps ,netstat 等系统调用查看是否存在不正常的系统调用和函数劫持.

展开阅读全文