檢查項類型

檢查項名稱

檢查內容

身份鑒別

應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。

• 檢查是否存在空密碼賬戶。

• 身份標識（UID）具有唯一性。

• 設置密碼復雜度要求。

• 定期更換密碼。

• 設置密碼最短修改時間，防止非法用戶短期更改多次。

• 限制密碼重用。

• 確保root是唯一的UID為0的賬戶。

當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽。

• 檢查SSHD是否強制使用V2安全協議。

• 禁止Telnet等不安全的遠程連接服務。

應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。

檢測是否配置登錄失敗鎖定策略，是否設置空閑會話斷開時間和啟用登錄時間過期后斷開與客戶端的連接設置。

訪問控制

應對登錄的用戶分配賬戶和權限。

• 除系統管理用戶之外，應該分配普通用戶、審計員、安全員賬戶。

• 確保用戶umask為027或更嚴格。

• 確保每個用戶的home目錄權限設置為750或者更嚴格。

應重命名或刪除默認賬戶，修改默認賬戶的默認口令。

• Linux下root賬號不應刪除，檢查是否禁止SSH直接登錄即可。

• root之外的系統默認賬戶、數據庫賬戶禁止登錄（non-login）。

• 確保無弱密碼存在，對應的弱密碼基線檢測通過。

訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。

檢查重要文件，如訪問控制配置文件和用戶權限配置文件的權限，是否達到用戶級別的粒度。

應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

• root之外的系統默認賬戶、數據庫賬戶禁止登錄（non-login）。

• 鎖定或刪除shutdown、halt賬戶。

應授予管理用戶所需的最小權限，實現管理用戶的權限分離。

• 確保su命令的訪問受限制。

• 檢查/etc/sudoers配置sudo權限的用戶，根據需要給root以外用戶配置sudo權限，但除管理員外不能所有用戶都配置（ALL）權限。

應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。

• 確保用戶home目錄權限設置為750或者更嚴格。

• 無主文件或文件夾的所有權，根據需要重置為系統上的某個活動用戶。

• 設置SSH主機公鑰文件的權限和所有權。

• 設置SSH主機私鑰文件的權限和所有權。

安全審計

應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

檢查auditd文件大小、日志拆分配置或者備份至日志服務器。若自動修復失敗，請先修復啟用安全審計功能檢查項。

審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

滿足啟用安全審計功能檢查項，即滿足此項。

應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

• 啟用auditd服務。

• 啟用rsyslog或syslog-ng服務。

• 確保收集用戶的文件刪除事件。

• 確保收集對系統管理范圍（sudoers）的更改。

• 確保收集修改用戶或用戶組信息的事件。如使用了第三方日志收集服務，可自行舉證并忽略此項。

應保護審計進程，避免受到未預期的中斷。

auditd是審計進程audit的守護進程，syslogd是日志進程syslog的守護進程，查看系統進程是否啟動。

入侵防范

應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。

云安全中心的漏洞檢測和修復功能可以滿足。如果有其他方式，可自行舉證并忽略此項。

應遵循最小安裝的原則，僅安裝需要的組件和應用程序。

• Alibaba Cloud Linux 3：應卸載avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等軟件。

• Alibaba Cloud Linux 2：應卸載NetworkManager、avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等軟件。

應關閉不需要的系統服務、默認共享和高危端口。

• 應關閉不需要的系統服務、文件共享服務。

• 關閉21 、23、25、111、427、631等高危端口。

• 如果有特殊需求必須嚴格配置訪問控制策略，需自行舉證并忽略此項。

應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵事件時提供報警。

云安全中心入侵檢測和告警功能可以滿足。如果已有其他檢測與告警方式，可自行舉證并忽略此項。

應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。

• Alibaba Cloud Linux 3：

  1. 根據實際配置登錄服務器的終端，編輯 /etc/ssh/sshd_config文件。

  2. 根據實際情況設置參數AllowUsers <user>@<host>。

     說明

     <user>表示需要登錄的服務器用戶名，<host>表示服務器的IP地址，請根據實際情況進行替換。

  3. 修改完成后按Esc鍵，并輸入:wq后按下回車鍵，保存并退出。

  4. 執行sudo systemctl restart sshd命令重啟sshd服務。

• Alibaba Cloud Linux 2：

  • /etc/hosts.allow文件指定允許連接到主機的IP地址，不應配置為ALL:ALL。

  • /etc/hosts.deny文件指定禁止連接到主機的IP地址，應該配置為ALL:ALL，默認禁止所有連接。

  兩者需要配合使用，且必須先配置/etc/hosts.allow規則。若是已通過其他方式實現，例如網絡安全組、防火墻等，可自行舉證并忽略此項。

惡意代碼防范

• Alibaba Cloud Linux 3：應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。

• Alibaba Cloud Linux 2：應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。

檢測是否安裝使用云安全中心，如安裝了其他防惡意代碼軟件，可自行舉證并忽略此項。