鲁达 一、前言
前边我们已经讲了windows系统下的入侵防范,现在我们讲讲Linux系统下的入侵防范,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置的方法不一样,windows系统使用的都是图形交互界面,而且我们平时使用windows系统比较多,查找起来比较方便,Linux系统是要使用命令来查看系统配置的,需要有一些Linux系统命令的基础,当然也都比较简单,现在就让我们来看看Linux系统下如何测评身份鉴别的相关测评项。
二、 测评项
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
b)应关闭不需要的系统服务、默认共享和高危端口;
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
三、测评项a
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
这一项比较简单,与windows系统那种良好的交互性不同,Linux系统毕竟是给专业的人使用的,因此Linux系统自安装的那时候起,注定不会有太多的人去安装其他应用和程序,因此一般Linux系统不会安装需要的组件和应用程序,我们只需通过访谈了解服务器的主要用途和业务需求再做简单判断就可以了。
四、测评项b
b)应关闭不需要的系统服务、默认共享和高危端口;
使用命令:service --status-all | grep running,确认系统目前正在运行的服务,查看并确认是否已经关闭危险的网络服务如echo、shell、login、finger和r命令等。关闭非必需的网络服务,如talk 、ntalk、pop-2、Sendmail、Imapd和Pop3d等。
五、 测评项c
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
通过访谈的当时询问是否存在对终端登录访问控制机制,查看/etc(禁止)中的设置,此文件是拒绝服务列表,是否有“all:all”,禁止所有的请求的设置,如果是禁止某一项服务,例如sshd服务,可以写为“sshd:all”,如果是限制某个ip地址对某项服务的访问,可以写成“sshd:192.16.1.1”,表示限制ip为192.168.1.1的用户对sshd服务的访问。
查看 /etc(允许)文件中的配置,和上边的配置一样,如果是写在这个文件里,就表示允许的设置了,需要注意的是,如果这两个文件中都写了相同的设置,那么系统是按照/etc(允许)文件中的配置执行的。
记录/etc 、/etc中相关配置参数。若有其他的方式实现此项要求的,如通过路由ACL、防火墙配置、堡垒机等,也可以记录。
六、测评项e
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
这一项有一点需要注意的是,我们平常所使用的杀毒软件并没有专业的漏洞扫描功能,要达到此项要求就必须使用专业的漏洞扫描工具进行扫描,或者进行专业的渗透测试,测评的时候,就需要向对方提供扫描报告或者渗透测试报告。
对于进行了漏洞扫描和渗透测试的来说,要重点查看扫描到的漏洞是否已经修补,如果仅仅是进行了漏洞扫描但是对于漏洞置之不理,那肯定是不行的。
七、测评项f
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
这一项需要通过第三方软件或者硬件来实现了,Linux系统并没有这项功能,一些杀毒软件具备入侵防范检测和报警功能(通过邮箱、短信等),或者在网络中部署有IPS等设备具有相关功能也可以。
以上就是一项一项教你测等保2.0——Linux入侵防范的所有内容,希望对大家有所帮助,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。