Linux服务器
控制点
4.
入侵防范
由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。
a)
安全要求:应遵循最小安装的原则,仅安装需要的组件和应用程序。
要求解读:在安装Linux操作系统时,应遵循最小化安装的原则,即“不需要的包不安装”。安装的包越多,系统面临的风险就越大,因此,系统“瘦身”有利于提高系统的安全性。在使用操作系统工程中,为了避免多余的组件和应用程序带来的安全风险,通常会遵循最小安装原则,仅安装需要的组件和应用程序等。
检查方法
1. 查看安装装操作手册,核查安装操作系统时是否遵循最小安装的原则。
2. 使用“yum list installed”命令查看操作系统中已安装的程序包,询问管理员其中是否有目前不需要使用的组件和应用程序(应为否)。
期望结果
1.操作系统的安装遵循最小化安装的原则。
2.操作系统中没有安装业务不需要的组件和应用程序。
b)
安全要求:应关闭不需要的系统服务、默认共享和高危端口。
要求解读:安装Linux操作系统时默认会开启许多非必要的系统服务。为了避免多余的系统服务带来的安全风险,通常可以将其关闭。通过查看监听端口,可以直观地发现并对比系统中运行的服务和程序。关闭高危端口是操作系统中常用的安全加固方式。
检查方法
1.以具有相应权限的账户身份登录Linux操作系统,使用“service -status-all
| grep running”命令查看危险的网络服务是否已经关闭。
2.以具有相应权限的账户身份登录Linux操作系统,使用“netstat -ntlp”命令查看并确认开放的端口是否都为业务需要的端口,是否已经关闭非必需的端口。
3.Linux操作系统不存在共享问题。
期望结果
1.已关闭系统中多余的、危险的服务和进程。
2.已关闭非必需的端口。
c)
安全要求:应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
要求解读:Linux操作系统中有/etc/hosts. allow 和/ete/hosts.deny两个文件,它们是tcpd服务器的配置文件(tcpd服务器可以控制外部IP对本机服务的访问)。其中,/etc/hosts.allow文件用于控制可以访问本机的IP地址,/etc/hosts.deny文件用于控制禁止访问本机的IP地址,如果这两个文件的配置有冲突,以/etc/hosts.deny文件中的配置为准。
检查方法
1.查看/etc/hosts.deny文件中是否有“ALL:ALL”(禁止所有请求)字样、
/etc/hosts.allow文件中是否有类似如下配置。
sshd:192.168.1.10/255.255.255.0
2.核查是否已通过防火墙对接入终端进行限制。
期望结果
1./etc/hosts.allow中有如下类似配置,以限制IP及其访问方式。
sshd:192.168.1.10/255.255.255.0
2.对终端接入方式、网络地址范围等条件进行限制。通过RADUS、堡垒机、安全域、防火墙等运维方式实现了对终端接入方式的限制。
d)
安全要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
要求解读:攻击者可能利用操作系统中的安全漏洞对操作系统进行攻击。因此,应对操作系统进行漏洞扫描,及时发现操作系统中的已知漏洞,并在经过充分的测试和评估后更新系统补丁,避免由系统漏洞带来的风险。
检查方法
1.查看自查漏洞扫描报告或由第三方检查的漏洞报告中是否存在高风险漏洞(应为不存在)。
2.核查操作系统中是否有漏洞测试环境及补丁更新机制和流程。
3.访谈系统管理员,了解补丁升级机制,查看补丁安装情况(使用命令“# rpm -qa |grep patch”)。
期望结果
1.运维团队定期进行漏洞扫描,在发现安全风险后及时进行修补。
2.补丁更新时间为最近,已对补丁进行控制和管理。
e)
安全要求:应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
要求解读:要想维护真正安全的环境,只有安全的系统是远远不够的。假设系统自身不会受到攻击,或者认为防护措施足以保护系统自身,都是非常危险的。维护系统安全,必须进行主动监视,以检查系统中是否发生了入侵和攻击。
在一般意义上,入侵威胁分为外部渗透、内部渗透、不法行为三种,入侵行为分为物理入侵、系统入侵、远程入侵三种。此项关注的操作系统所面对的入侵威胁包含以上三种,造成入侵威胁的入侵行为主要是系统入侵和远程入侵两种。
系统入侵是指入侵者在拥有系统低级别权限账号的情况下进行的破坏活动。在通常情况下,如果没有及时更新系统补丁,拥有低级别权限的用户就可能利用系统漏洞获取更高的管理特权。
远程入侵是指入侵者通过网络来渗透系统。在这种情况下,入侵者通常不具备特殊权限,需要先通过漏洞扫描或端口扫描等技术发现攻击目标,再利用相关技术进行破坏活动。
检查方法
1.访谈系统管理员并查看入侵检测措施。例如,通过“#more /var/log/secure |grep refused”命令查看入侵的重要线索(试图进行Telnet、FTP操作等)。
2.核查是否启用了主机防火墙、TCP SYN保护机制等。
3.访谈系统管理员,了解是否安装了主机入侵检测软件,查看已安装的主机入侵检测软件是否具备报警功能,可执行“find / -name-print”命令,核查是否安装了主机入侵检测软件,例如Dragon Squire by Enterasys Networks、ITA by Symantec、Hostsentry by Psionic Software、LogCheck by Psionic Software,RealSecure agent by ISS。
4.查看网络拓扑图,核查网络中是否部署了网络入侵检测系统。
期望结果
1.入侵的重要路径均被切断,不存在系统级入侵的可能性。
2.开启了主机防墙的相关配置。
3.安装了基于主机的IDS设备。若主机上未部署IDS设备,则可以在网络链路上查看主机本身是否为IDS或IPS设备。
4.在发生入侵事件时有记录和报警措施等。