1、等保基本要求及加固建议
基于安全性和稳定性方面考虑,越来越多的企业单位采用Linux服务器承载重要业务,对于Linux服务器安全加固可通过手动和工具加固两种方法来增强其安全性。等保三级通用标准中共有211个测评项,其中关键测评项39个,占比18%;重要测评项107个,占比51%;一般测评项65个,占比31%。由于安全计算环境中包含Linux主机多个控制点,下面以最常见的CentOS系统等保三级作为标准,对其重要及关键的安全控制项提供加固建议。
1.1 身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
加固建议:
1.配置密码的复杂度策略;修改配置文件vim /etc/pam.d/system-auth,配置密码的长度,大小字母、字符、数字的搭配;
2.配置密码的有效期;修改配置文件vim /etc/login.defs,调整密码时效性。
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
加固建议:
1.配置登录失败锁定策略;修改配置文件/etc/pam.d/sshd,可配置为ssh失败登录3次,则锁定300秒(参数值按需调整);
2.配置登录连接超时策略:修改配置文件/etc/profile,按需配置空闲一定时间后自动退出。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
加固建议:
1、开启SSH远程管理服务;首先查看并修改ssh配置:vim /etc/ssh/sshd_config,然后启动ssh服务并保持开机自动启动:/bin/systemctl start sshd.service;
2、关闭telnet远程服务;查看并修改telnet配置,vi /etc/xinetd.d/telnet 将disable = no 改为disable = yes。
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
加固建议:
1.首先本地登录方式需保证物理环境、网络环境安全可控;
2.其次采用双因子认证方式认证,例如密码认证服务器、堡垒机、ukey、生物识别等手段。
1.2 访问控制
a)应对登录的用户分配账户和权限;
加固建议:
1.每一个组件服务建立一个用户,仅拥有管理自身组件的服务的权利。如nginx、mysql、ftp权限均分开,避免统一使用root管理维护;
2.检查passwd和shadow文件的权限未发生变化;执行ls -al /etc/passwd,ls -al /etc/shadow查看文件权限,确保passwd和shadow文件的权限未发生变化(-rw-r--r--);
3.核查sudo权限分配 ,防止普通用户提权操作。
b) 应重命名或删除默认账户,修改默认账户的默认口令;
加固建议:
1.修改默认账户名;修改用户名文件vi /etc/shadow,修改第一行第一个root成想要的用户名;
2.修改默认账户的密码,修改默认用户密码vi /etc/passwd,将root密码修改;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
加固建议:
1、通过cat /etc/shadow查看用户信息;
2、删除过期的、多余的、共享的账户;通过userdel -r username 指令删除不需要的账户,#username是指用户名。
1.3 安全审计
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
加固建议:
方法一:
1.开启syslog(或rsyslog)和audit审计服务;通过修改/etc/rsyslog.conf配置文件打开syslog服务,并重启进程;
2.修改配置文件/etc/audit/audit.rules,对重要目录或对重要数据文件进行审计。
方法二:
可在主机上部署日志采集和审计软件,对重要目录、文件及服务进行安全审计。
1.4 入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
加固建议:
执行命令yum list installed或rpm -qa查看系统已安装的程序,保证系统仅安装业务相关的软件,卸载多余的应用程序。
b)应关闭不需要的系统服务、默认共享和高危端口;
加固建议:
1.执行命令systemctl|grep running和systemctl list-unit-files|grep enabled查看系统正在运行和开机启动的服务列表;
2.执行命令:service服务名称stop,关闭不需要的服务和端口。
常见的高危端口有:
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
加固建议:
1.开启防火墙firewalld;通过配置systemctl start firewalld开启防火墙服务;
2.开放特定的端口;通过配置firewall-cmd --add-port=*/tcp来放通必要服务端口。
d)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
加固建议:
关注漏洞发布平台有关Linux系统的漏洞,并采用漏洞扫描系统定期对业务服务器进行漏洞扫描,修补漏洞扫描器扫描的高危漏洞。
e)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
加固建议:
在防火墙及端口服务策略配置好后,安装主机入侵检测和防御软件并配置访问控制策略。
1.5 恶意代码防范
a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
加固建议:
安装Linux操作系统版本的主机防护软件,定期升级、更新病毒库;考虑到恶意代码种类多、迭代快,对于重要业务系统推荐采用白名单检测防护机制,防止未知威胁攻击。
1.6 数据完整性
关于数据安全内容大都和业务系统相关,因此首先需要对业务系统本身进行防护。
a)应采用校验技术保证重要数据在传输过程中的完整性;
加固建议:
方法一:
管理员用户远程管理服务器需采用ssh安全协议,且openssh升级至稳定安全的版本。
方法二:
部署主机安全加固软件对数据的操作进行审计和防护。
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性。
加固建议:
1.提高本地加密算法强度;查看当前加密方式authconfig --test |grep hashing,若不是sha512,则更改加密方式authconfig --passalgo=sha512 --update;
2.采用访问控制功能,对存储的数据、配置文件进行完整性保护,避免遭到非法破坏。
1.7 数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
加固建议:
方法一:
管理员用户远程管理服务器采用ssh安全协议,且禁用des、3des等相对简单的加密算法。
方法二:
在数据传输边界部署数据库防火墙,并采用加密方式传输。
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
加固建议:
方法一:
1.Linux的重要鉴别数据默认采取sha512算法计算后保存在/etc/shadow文件中;
2.针对tomcat、nginx、vsftp等组件及数据库配置文件中口令字段,加密存放并做好600权限(-rw-------权限)。
方法二:
在业务系统上部署数据加密防护软件,对重要数据加工、使用、传输进行加密。
1.8
数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能;
加固建议:
定期备份导出操作系统的重要数据,存储到其他存储介质,并做定期恢复测试,留存恢复测试记录。
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
加固建议:
对重要业务服务器建立异地备份中心,同时形成数据备份制度,定期进行现场的关键数据、配置文件的备份。
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性;
加固建议:
对重要业务系统使用的服务器使用集群、双机热备、负载均衡等技术实现系统高可用性。
2、威努特应对之道--工控主机卫士
以上是以等保三级基本要求为基础,针对Linux主机加固提供的一些建议,企业单位根据上述建议即可满足等保三级在安全计算环境中所涉及的要求。不过,总体来说上述配置相对较为复杂,面对越来越多的业务系统,运维人员显得力不从心。
威努特作为国内领先的工控安全解决方案供应商,其自主研发的工控主机卫士目前在同类产品中市场占有率最高,可便捷有效的解决上述问题。工控主机卫士产品可以通过截取系统调用实现对文件、目录、进程、注册表和服务的强制访问控制,结合文件和服务的完整性检测、缓冲区溢出检测等,将普通操作系统提升为安全操作系统,具备用户身份鉴别、访问权限控制、外设控制、完整性校验、日志审计等功能,采用集中式管理,能够满足等保三级中关于Linux主机加固的要求。
身份鉴别
对于Linux系统的身份鉴别工控主机卫士通过双因子认证方式(用户名/密码+USB-KEY)来提高用户的身份认证能力,当用户登录系统时需要插入USB-KEY然后系统对用户进行身份认证,用户只有拥有合法的USB-KEY,并且输入正确的操作系统口令才能登录终端系统,确保了用户身份标识的唯一性。
访问控制
威努特工控主机卫士的安全基线功能包含40多个配置项,可对Linux主机进行安全基线配置管理,包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等,使之符合安全策略基线并满足本控制点的要求。同时本控制点提出了出了主体、客体的概念,工控主机卫士基于BIBA和BLP访问控制技术,对主体(用户,进程)和客体(文件,数据)进行了安全级别标记,可对不同安全级别的主客体制定读写访问控制策略。
安全审计
威努特工控主机卫士可以对用户的操作行为和主机的安全事件进行审计,审计内容包括重要用户行为、系统资源、应用资源(文件、执行程序、进程)、硬件资源状态的异常、违反策略的安全事件等,产生相对应的日志信息并按控制点的要求进行存储和保护。
入侵防范
威努特工控主机卫士采用白名单机制以保证工业主机遵循最小安装的原则,结合上述安全基线配置功能确保关闭系统不需要的服务端口和高危端口,利用网络白名单和非法外联功能阻止非授权的网络连接行为,抵御对工业主机的基于已知和未知漏洞的非法网络入侵攻击行为。
恶意代码防范
威努特工控主机卫士采用“白名单”防护机制,通过建立可信程序名单,可以识别、阻止任何白名单外的程序运行,对通过网络、U盘等引入系统的病毒、木马、恶意程序具有阻止运行、阻止传播、分析识别的能力,有效避免未知程序对系统可能造成的破坏,进而实现恶意代码防护。
可信验证
威努特工控主机卫士一方面以“白名单”防护机制为基础,建立系统本身安全可信环境,另一方面站在系统自身角度,提供操作系统关键文件、配置参数验证,通过监控操作系统关键文件、重要配置参数的变更,在发现Linux主机操作系统完整性被破坏时进行告警。
Copyright © 2005-2021 网信安全世界版权所有