檢查項類型

檢查項名稱

檢查內(nèi)容

身份鑒別

應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。

• 檢查是否存在空密碼賬戶。

• 身份標識（UID）具有唯一性。

• 設(shè)置密碼復(fù)雜度要求。

• 定期更換密碼。

• 設(shè)置密碼最短修改時間，防止非法用戶短期更改多次。

• 限制密碼重用。

• 確保root是唯一的UID為0的賬戶。

當對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

• 檢查SSHD是否強制使用V2安全協(xié)議。

• 禁止Telnet等不安全的遠程連接服務(wù)。

應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施。

檢測是否配置登錄失敗鎖定策略，是否設(shè)置空閑會話斷開時間和啟用登錄時間過期后斷開與客戶端的連接設(shè)置。

訪問控制

應(yīng)對登錄的用戶分配賬戶和權(quán)限。

• 除系統(tǒng)管理用戶之外，應(yīng)該分配普通用戶、審計員、安全員賬戶。

• 確保用戶umask為027或更嚴格。

• 確保每個用戶的home目錄權(quán)限設(shè)置為750或者更嚴格。

應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令。

• Linux下root賬號不應(yīng)刪除，檢查是否禁止SSH直接登錄即可。

• root之外的系統(tǒng)默認賬戶、數(shù)據(jù)庫賬戶禁止登錄（non-login）。

• 確保無弱密碼存在，對應(yīng)的弱密碼基線檢測通過。

訪問控制的粒度應(yīng)達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級。

檢查重要文件，如訪問控制配置文件和用戶權(quán)限配置文件的權(quán)限，是否達到用戶級別的粒度。

應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

• root之外的系統(tǒng)默認賬戶、數(shù)據(jù)庫賬戶禁止登錄（non-login）。

• 鎖定或刪除shutdown、halt賬戶。

應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離。

• 確保su命令的訪問受限制。

• 檢查/etc/sudoers配置sudo權(quán)限的用戶，根據(jù)需要給root以外用戶配置sudo權(quán)限，但除管理員外不能所有用戶都配置（ALL）權(quán)限。

應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。

• 確保用戶home目錄權(quán)限設(shè)置為750或者更嚴格。

• 無主文件或文件夾的所有權(quán)，根據(jù)需要重置為系統(tǒng)上的某個活動用戶。

• 設(shè)置SSH主機公鑰文件的權(quán)限和所有權(quán)。

• 設(shè)置SSH主機私鑰文件的權(quán)限和所有權(quán)。

安全審計

應(yīng)對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

檢查auditd文件大小、日志拆分配置或者備份至日志服務(wù)器。若自動修復(fù)失敗，請先修復(fù)啟用安全審計功能檢查項。

審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。

滿足啟用安全審計功能檢查項，即滿足此項。

應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

• 啟用auditd服務(wù)。

• 啟用rsyslog或syslog-ng服務(wù)。

• 確保收集用戶的文件刪除事件。

• 確保收集對系統(tǒng)管理范圍（sudoers）的更改。

• 確保收集修改用戶或用戶組信息的事件。如使用了第三方日志收集服務(wù)，可自行舉證并忽略此項。

應(yīng)保護審計進程，避免受到未預(yù)期的中斷。

auditd是審計進程audit的守護進程，syslogd是日志進程syslog的守護進程，查看系統(tǒng)進程是否啟動。

入侵防范

應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。

云安全中心的漏洞檢測和修復(fù)功能可以滿足。如果有其他方式，可自行舉證并忽略此項。

應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。

• Alibaba Cloud Linux 3：應(yīng)卸載avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等軟件。

• Alibaba Cloud Linux 2：應(yīng)卸載NetworkManager、avahi-daemon、Bluetooth、firstboot、Kdump、wdaemon、wpa_supplicant、ypbind等軟件。

應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口。

• 應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、文件共享服務(wù)。

• 關(guān)閉21 、23、25、111、427、631等高危端口。

• 如果有特殊需求必須嚴格配置訪問控制策略，需自行舉證并忽略此項。

應(yīng)能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警。

云安全中心入侵檢測和告警功能可以滿足。如果已有其他檢測與告警方式，可自行舉證并忽略此項。

應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制。

• Alibaba Cloud Linux 3：

  1. 根據(jù)實際配置登錄服務(wù)器的終端，編輯 /etc/ssh/sshd_config文件。

  2. 根據(jù)實際情況設(shè)置參數(shù)AllowUsers <user>@<host>。

     說明

     user表示需要登錄的服務(wù)器用戶名，host表示服務(wù)器的IP地址，請根據(jù)實際情況進行替換。

  3. 修改完成后按Esc鍵，并輸入:wq后按下回車鍵，保存并退出。

  4. 執(zhí)行systemctl restart sshd命令重啟sshd服務(wù)。

• Alibaba Cloud Linux 2：

  • /etc/hosts.allow文件指定允許連接到主機的IP地址，不應(yīng)配置為ALL:ALL。

  • /etc/hosts.deny文件指定禁止連接到主機的IP地址，應(yīng)該配置為ALL:ALL，默認禁止所有連接。

  兩者需要配合使用，且必須先配置/etc/hosts.allow規(guī)則。若是已通過其他方式實現(xiàn)，例如網(wǎng)絡(luò)安全組、防火墻等，可自行舉證并忽略此項。

惡意代碼防范

• Alibaba Cloud Linux 3：應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。

• Alibaba Cloud Linux 2：應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。

檢測是否安裝使用云安全中心，如安裝了其他防惡意代碼軟件，可自行舉證并忽略此項。