信息安全等级保护中Linux服务器测评方法研究
随着Linux操作系统的发展与完善不少中小企业用户开始使用搭载Linux操作系统的服务器。但是很多Linux系统服务嚣安全策略并不完善。为满足国家信息安全等级保护的要求保护企业信息系统的安全稳定运行以信息安全等级保护测评的要求为依据本文提出对Linux系统服务器安全测评的具体操作方法分别从身份鉴别、访问控制、安全审计、入侵防范与恶意代码防范、资源控制等不同方面依据cat等指令检查系统文件的相关配置依此配置结果与信息安全等级保护的具体要求做比较以满足测评要求并提出加强Linux服务器的安全策略。
一引言
Linux是一个多用户多任务的操作系统 由于它稳定、可靠且系统内核代码的开源性使得Linux被广泛用于网络服务器操作系统 Linux系统可搭建多种服务器 Web网站服务器、 FTP服务器和DNS服务器等其系统的安全问题也受到人们的日益关注。但是在近年来的信息安全等级保护测评中发现很多Linux服务器的安全策略并不完善部分企业网络管理员以Linux系统服务器安全性高为理由忽视了对服务器的管理造成了影响系统正常运行的安全隐患。
本文以使用安装CentOS为基础系统的Linux服务器作讨论从身份鉴别、访问控制、安全审计、入侵防范与恶意代码防范、资源控制等不同方面提出为Linux服务器以满足《信息安全技术—信息系统安全等级保护基本要求》 (GB/T 22239-2008)中三级信息系统(S3A3G3)的要求为目标使Linux服务器应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击以及其他相当危害程度的威胁所造成的主要资源损害能够发现安全漏洞和安全事件在系统遭到损害后能够较快恢复绝大部分功能。文章阐述了在信息安全等级保护主机安全测评中的具体测评方法并提出了对Linux服务器安全策略的配置建议。
服务器的测评主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等方面的内容。
二身份鉴别
为计算机系统的安全起见只有经过授权的合法用户才能访问服务器。身份鉴别即服务器需要用户以一种安全的方式提交自己的身份证实然后由服务器确定用户的身份是否属实的过程。身份鉴别的机制大大的提高了服务器的安全性主要防止了身份欺诈。所以核实服务器系统的身份鉴别功能在测评中显得尤为重要。身份鉴别包括对用户的身份标识和鉴别系统的密码策略、登录控制功能身份的标识、密码口令的复杂度登录失败的处理、远程管理的传输模式、用户名的唯一性等。
(1)查看/etc/shadow中的相关参数其中九个栏位分别代表账号名称、加密密码、密码更动日期、密码最小可变动日期、密码最大需变动日期、密码过期前警告日数、密码失效天数、帐号失效日、保留位。我们关注第5位密码最大需变动日期即密码可存在的最长天数默认配置为99999但建议3个月更换一次即90天。 /etc/login.defs中也有对登录密码最小长度限制的配置(PASS_MIN_LEN) 。
(2)查看/ete/pam.d/system-auth中pam_cracklib. so的内容可以用来检验密码的强度。包括密码是否在字典中密码输入数次失败就断掉连接等功能。
(3)管理员为方便管理服务器常常开启了远程管理的功能由于telnet与rsh模式使用明文传输文件在互联网上传输极不安全所以最好使用更安全的SSH方式来管理服务器。新版本的CentOS默认开启了SSH功能通过使用netstattunlp指令可查看网络连线的服务检查sshd程序是否在监听或查看sshd_config文档中的相关配置。以root身份对服务器进行远程管理是危险的应禁止root账户的远程管理。当然最安全的方法是关闭远程管理的功能。
三访问控制
访问控制是安全防范和保护的主要策略它不仅应用于网络层面同样也适用于主机层面它的主要任务是保证系统资源不被非授权的用户使用和访问使用访问控制的目的在于通过限制用户对特定资源的访问保护系统资源。通过对访问控制的要求使不同的服务器访问者拥有不同的服务防止了用户越权使用的可能。访问控制主要涉及到文件权限默认共享的问题。需要分别对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离、默认用户的访问权限、账户的清理等做出要求。
(1)查看/ete/passwd中的相关参数其中七个栏位分别代表账号名称、密码、UID、GID、用户全名、家目录、 shell类型 UID只有0与非0两种非0则是一般账号。一般账号又分为系统账号(1499)即可登入者帐号(大于500) 具有root权限的帐号UID、 GID均为0 UID为0的账户应只有一个。若账户密码一栏为“ ”则表示密码为空通过此项可检查出系统是否存在默认账户、多余的共享的账户。
(2)用户、用户组对系统重要文件的访问权限可通过ls~l指令查看。对系统重要文件使用getfaclfilename指令系统会列出此文件对于文件拥有者、文件所属组成员、其他用户的不同权限。使用net share指令可查看系统开启了哪些共享。网络管理员可通过对用户群组的管理确定不同用户的访问策略。
四安全审计
安全审计通过关注系统和网络日志文件、 目录和文件中不期望的改变、程序执行中的不期望行为、物理形式的入侵信息等用以检查和防止虚假数据和欺骗行为是保障计算机系统本地安全和网络安全的重要技术。通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此安全审计的覆盖范围必须要到每个操作系统用户和数据库用户。包括审计范围、审计的事件、审计记录格式、审计报表的生成几个方面。
(1)系统登录日志保存在syslogd、 klogd文件中 我们也可以通过查询/var/log/messages(记录系统发生错误的信息) 、 /var/log/secure(所有需要输入帐号密码的软件 login、 gdm、 su、 sudo、 ssh等) 、 /var/log/wtmp /var/log/faillog(成功和失败登陆者信息)来查看系统是否完整记录重要系统日志。审计记录一般只有root权限的用户才可以读取所以一般满足不被破坏的要求。
(2)审计记录还应定期生成报表使用aureport或者CentOS使用自带的logwatch分析工具即可 logwateh还可以定期发送审计记录email给root管理员。
五入侵防范、恶意代码防范
要维护系统安全只具备安全系统还不够服务器必须进行主动监视以检查是否发生
了入侵和攻击。因此一套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事件。为防止木马、蠕虫等病毒软件的破坏安装杀毒软件并及时更新病毒库可以抵御恶意代码的攻击。遵循最小安装原则仅开启需要的服务安装需要的组件和程序可以极大的降低系统遭受攻击的可能性。及时更新系统补丁可以避免遭受由系统漏洞带来的风险。
(1)CentOS采用yum组件进行自动更新可使用yum list指令查看目前yum所管理的所有的套件名称与版本也可查看/var/cache/yum里存放的下载过的文件 以此判断系统补丁是否得到及时更新或通过#rpm-qa/grep patch查看补丁的安装情况。主流的Linux发行版本通常每月数次发布系统相关的补丁。
(2)Linux系统可使用组件netfilter/iptable配置本机的防火墙。 netfilter/iptable信息包过滤系统是一种功能强大的工具管理员可添加、编辑和删除为包过滤作决定的一些规则。改进后的防火墙对大流量的网络环境有很好的负载能力具有占用CPU使用率低 内存消耗小 网络吞吐量大的特点。
(3)系统所有的服务状态可使用service-status-all来查看或者用netstat-tunlp指令来查看目前www.huishel iren.com系统开启的网络服务并可以检测到主机名称、服务名称和端口号等避免系统存在不需要的服务或网络连接。一些组件如git、 finger、 talk、ytalk、 ucd-snmp-utils、 ftp、 echo、 shell、 login、 r、 ntalk、 pop-2、 sendmail、 imapd、pop3d等则是系统不必须要的需要移除。常见的必须存在的系统服务如表1
点击图片查看大图
六资源控制
系统资源是指CPU、储存空间、传输带宽等软硬件资源。通过设定终端接入方式、网络地址范围等条件限制终端登录可以极大的节省系统资源保证了系统的可用性同时也提高了系统的安全性。如果系统管理员在离开系统之前忘记注销管理员账户那么可能存在被恶意用户利用或被其他非授权用户误用的可能性从而对系统带来不可控的安全隐患。
(1)查看/etc/hosts.allow与/etc/hosts.deny文件可知系统允许与拒绝登录用户的IP地址或网段。 同样在这两个文件中可以写入详细到终端接人方式的具体规则。
(2)使用ulimit-a指令查看对每个用户使用系统资源的限制如最大内存使用限制。可使用的最大CPU时间等。此项配置可以避免多用户同时连线过度使用系统资源防止本地DOS攻击。
(3)查看/etc/prof ile文件中加入TMOUT的值确定用户登录超时系统自动注销的时长确保系统对登陆超时有正确的处理方式。
(4)用top指令查看服务器的CPU、 内存、 网络等资源的使用情况避免系统资源过度使用造成系统服务不可用。任何占用50以上CPU资源的进程都可能有故障。通过syslog配置文件可以通过邮件或短信方式通知管理员系统资源已达到报警阈值。
七小结
虽然本文提出了用于信息安全等级保护测评中对Linux系统服务器的若干测评方法但是没有一种固定的测评方法是适用于现实中所有的Linux系统服务器的测评与具体的产品信息息息相关可能存在个别不能普适的方法更重要的是在测评中需要测评人员要根据现场的实际情况做出合理的判断后期整理时根据全局网络的综合配置做出统一的评判这样测评工作才能做到更加准确。
原文已完。下文为附加文档如不需要下载后可以编辑删除谢谢
2016年乡镇人大主席团工作汇报
XXX乡人大主席团在县人大常委会的大力支持下在乡党委的正确领导下按照法律赋予的职责紧紧围绕全乡整体工作按照年初制订的工作计划有条不紊扎实地开展各项工作。现将工作开展情况予以汇报
一、前期主要工作
一乡人大建设工作
1、加强制度建设积极开展活动
乡代表活动中心、代表小组活动室建立8项代表活动制度即人大代表学习制度、代表联席选民制度、代表接待选民制度、代表述职制度、代表视察制度、代表专项调研制度、代表履职档案登记制度和代表争先创优制度。每位代表联系选民不少于10户。联系重点村干部、老党员、特困户、上访户等听取他们的意见和呼声努力当好群众的“代言人” 。
2、加强学习培训提高代表履职能力
人大代表的履职能力事关代表工作成效的好坏因此提高代表的素质能力尤为重要。为提高代表的业务水平强化代表的履职能力乡人大活动办建立定期学习制度每周一组织代表在会议室进行集体
学习增强法律知识和服务群众本领使每一位代表从思想上认识到了人大代表的重要职责和任务为接下来的人大工作奠定了思想和理论基础。
3、开展“双联三争”活动体民情解民忧
为深入贯彻落实党的群众路线教育实践活动 XXX乡人大代表在“双联三争”活动中通过人大主席团联系代表、代表联系选民 以“访、听、帮”的形式深入到群众中去体察民情解决民忧争创先进乡镇人大主席团、争创先进代表小组、争做优秀人大代表。一是“走访”群众。县、乡人大代表走村入户 了解群众所想、所盼。主席团成员坚持每月入户走访不少于10天一般代表每月入户走访6天以上做到情况在一线了解 问题在一线解决职责在一线展现。二是“倾听”民意。通过召开会议或设立群众意见箱等形式征求群众意见对群众提出的路、塘、桥、坝的维修农业科技知识下乡、扶贫工作透明等民生意见进行收集汇总逐一解决。三是“帮扶”群众。根据群众所需所求要求主席团成员每年要协助群众完成1至2个项目工程定点帮扶2至3户困难群众每月至少为帮扶群众办1件实事。真正将群众路线教育实践活动做实、做细、做好把乡人大工作推上新台阶。
4、开展代表向选民述职工作
制定乡人大代表向选民述职方案并选取5名代表在选区选民代表大会上进行述职。乡直选区参加选民代表人数不低于选民总数的50%农村选区参加选民代表人数不低于选民总数的10%且在大会
上进行了民主测评。会议由人大主席主持代表做述职报告选民代表评议发言其他代表书面述职。通过开展代表向选民述职工作代表们自觉履行职责更加透明化、公开化起到了良好的舆论监督作用。
二代表依法履职情况
1、加强对非法采砂采矿工作的监督检查
为严厉打击非法采砂采矿工作还XXX乡青山绿水 XXX乡人大主席团积极组织代表对该项工作进行了全面督查组织相关职能部门逐村、逐组、逐个砂场进行排查摸清采砂活动基本情况建立基础数据库。 6月2日全乡统一行动全体机关干部参加工商、公安、土地、 电力等相关执法部门密切配合 出动人员120多人车辆30余辆通过十天工作共查封扣押铲车18台、钩机线路板11个、电力设备8台 112个采砂点全部捣毁。有效制止了非法采砂活动治理工作取得了明显成效。
2、加强校园饮用水、食品和校园周边环境安全监督
今年3月、 9月乡人大主席团组织部分人大代表两次对乡六所学校饮用水安全及食品安全进行专项督查活动。活动重点从校园食堂环境是否整洁、饭菜质量是否过关、从业人员是否具有健康证明、校园及周围小卖部是否有“三无”食品等多个角度进行检查。同时组织代表对校园周边环境进行视察相关职能部门取缔了两所校园周边三处非法施工点。并对少数学校消防器材缺少、防雷设施不完善、安全硬件不够、交通秩序不好、环境卫生差等问题提出了四个整改建议意见。一是要严格重视校园环境卫生管理二是要进一步完善学校的
消防设施、消防疏散通道、教学楼应急照明灯、疏散指示灯以及防雷设施并设立醒目标志牌三是要加强对中小学生公共安全常识宣传和教育树立安全意识培养应变能力 四是要健全安全管理机构落实安全应急方案实施责任追究制。
3、对新农村社区建设进行视察
今年五月 XXX乡召开人大主席团会议针对XXX乡澧园社区建设宏观从社区整体规划水、电、路、公共设施配套广场、游园及社区绿化进行综合视察。并对社区建设进行综合评估。大会最后确定社区建设规划为跨河高架桥3座、滨河路2条建成以后社区内部将形成“四纵四横”的路网结构最大程度地方便群众日常生活。该社区建设分8年三期进行一期规划建设用地6.7公顷拆旧后整合利用合法占地14.4公顷预计2015年年底完成二期建新拆旧分三年进行 2018年底完成三期计划于2020年底完成。 目前工程顺利开展建成后将成为XXX山乡精品宜居社区。
4、体现人大职责抓好人大信访工作
XXX人大主席团历来重视人大信访工作。一是认真学习提升业务素质。以学习党的十八大精神为契机要求主席团成员在全面提高综合素质的基础上认真学习《信访工作条例》 、 《监督法》 、 《土地管理法》等与农村群众密切相关的法律法规。二是以民为本热情细致接待。耐心听取来访群众的陈述认真做好记录主动做好答疑解惑和情绪疏导工作上半年共接待上访群众20余名解决实际问题19件切实保障群众反映的问题得到解决。三是依法办事维护
法律权威。严格按照信访工作程序对群众提出的合理化建议与合法要求积极向有关部门批转督促落实对于与法律法规相抵触或要求不符合实际的耐心向信访群众做好解释工作坚决维护法律权威。四是跟踪督办保障群众利益。要求信访问题承办单位做到限期办结并及时将办理情况向乡人大主席团报告信访人对办理结果不满意的或未按要求办结的督促承办单位快速办理人大实行跟踪督办直到信访问题圆满解决。四项工作的落实为全乡大局稳定打下了坚实的基础。
5、开展“四联帮扶”拓展代表工作
为进一步拓展人大代表工作 XXX乡人大主席团要求代表入村、入户、入企业深入全乡开展“四联帮扶”活动 即联系困难群众、联系留守家庭、联系致富能人、联系诉求对象。着力在助困、助学、助业、助稳等方面开展帮扶。实行“蹲点民情日记”制度每一名帮扶代表要从帮扶对象所面临的最困难、最迫切、最需要解决的突出问题入手着力落实帮扶措施确保帮扶的贫困户家庭基本生活得到保障确保贫困学生不因贫困而辍学留守儿童得到关爱孤寡老人能过上幸福的晚年生活让致富能人在自己致富的同时能引领一方群众共同致富让诉求对象正当的利益诉求得到满足合法权益得到维护。 目前共协调扶贫贷款150余万元救助困难群众47户帮助留守儿童、孤寡老人160人收到了良好的社会效果。
二、存在的问题
一乡人大代表理论学习不够思想认识不到位
hostyun新上了香港cloudie机房的香港原生IP的VPS,写的是默认接入200Mbps带宽(共享),基于KVM虚拟,纯SSD RAID10,三网直连,混合超售的CN2网络,商家对VPS的I/O有大致100MB/S的限制。由于是原生香港IP,所以这个VPS还是有一定的看头的,这里给大家弄个测评,数据仅供参考!9折优惠码:hostyun,循环优惠内存CPUSSD流量带宽价格购买1G1核10G3...
rangcloud怎么样?rangcloud是去年年初开办的国人商家,RangCloud是一家以销售NAT起步,后续逐渐开始拓展到VPS及云主机业务,目前有中国香港、美国西雅图、韩国NAT、广州移动、江门移动、镇江BGP、山东联通、山东BGP等机房。目前,RangCloud提供香港CN2线路云服务器,电信走CN2、联通移动直连,云主机采用PCle固态硬盘,19.8元/月起,支持建站使用;美国高防云...
TmhHost 商家是一家成立于2019年的国人主机品牌。目前主营的是美国VPS以及美国、香港、韩国、菲律宾的独立服务器等,其中VPS业务涵盖香港CN2、香港NTT、美国CN2回程高防、美国CN2 GIA、日本软银、韩国cn2等,均为亚太中国直连优质线路,TmhHost提供全中文界面,支持支付宝付款。 TmhHost黑五优惠活动发布了,全场云服务器、独立服务器提供8折,另有充值返现、特价服务器促销...