1. 操作系统整改
1.0 检查系统版本
[root@fshbj-hjbhrcwgl-215-55 ~]# cat /etc/redhat-release
CentOS Linux release 7.2.1511 (Core)
[root@fshbj-hjbhrcwgl-215-55 ~]# uname -r
3.10.0-327.el7.x86_641.1 访问控制
结果:服务器管理员使用超管权限执行所有操作,服务器管理员和数据库管理员为同一人。
建议:建议进行角色划分,严格控制访问权限,达到三权分立;在操作系统上对可登录服务器的所有用户进行分配单独的系统账户,且账户权限的分配应遵循其职责范围内的最小账户权限,实现管理用户的权限分离。
整改:对于Centos7 这Linux 系统,root用户权限最大,无法实现权限分离
1.2 安全审计
结果:未开启自身审计功能。
建议:建议在确保系统正常运行的情况下,开启系统的安全审计功能或部署第三方审计工具对用户所有操作行为进行记录。审计记录信息应包括事件的日期和时间、用户、事件类型、事件是否成功等。建议部署日志收集系统,对审计记录进行定期备份,遵循《网络安全法》的要求,至少保存6个月以上。
操作:开启自身审计功能-配置audit 审计日志;备份日志
<Centos7使用audit>https://my.oschina.net/u/4113630/blog/4377155
- 检查auditd状态
systemctl status auditd- 永久增加审计规则使用auditcrl -w /etc/passwd -p rwxa 设置的规则重启后会消失
vim /etc/auditd/rules.d/auditd.rules
-w /etc/passwd -p rwxa
-w /home/guest -p rwxa
-w /etc/my.cnf -p rwxa- 使规则生效
augenrules --load- 检查规则
auditctl -l- 生成登陆审计报告
aureport -l- 备份日志
audit 日志目录是/var/log/audit/audit.log
定期手动备份日志,并保存6个月
1.3 入侵防范
结果:开启了多余的cupsd系统服务。
建议:建议关闭不需要的系统服务。
整改:关闭cupsd
<cupsd的关闭>https://blog.51cto.com/holy2010/343888
在centos7可以直接使用systemctl 命令控制进程
cupsd进程是Linux打印机相关的进程,不用通过linux打印东西的话可以关闭
- 检查cupsd进程状态systemctl status cups
#注意是cups - 关闭cupsd进程systemctl stop cups
- 禁止开机自启动systemctl disable cups
- 再次检查状态
systemctl status cups1.4 恶意代码防范
结果:未安装杀毒软件。
建议:建议安装防恶意代码软件或相应功能的软件,至少每周进行升级和更新防恶意代码库,确保开启病毒查杀引擎。
整改:安装杀毒软件clamav
<Centos7安装clamav>
- 安装过程请查看上面的网址
- 检查clamav状态
systemctl status clamav-freshclam- 扫描杀毒
/usr/local/clamav/bin/clamdscan /1.5 可信验证
结果:被测服务器未使用可信根验证的可信验证机制。
建议:建议终端具有可信根芯片或硬件。服务器启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证度量。在检测到其可信性收到破坏后进行报警。(此项问题可保留,做为持续整改项)
整改:Linux 无法整改
