代表信息安全等级保护中Linux服务器测评方法研究

信息安全等级保护中Linux服务器测评方法研究

随着Linux操作系统的发展与完善不少中小企业用户开始使用搭载Linux操作系统的服务器。但是很多Linux系统服务嚣安全策略并不完善。为满足国家信息安全等级保护的要求保护企业信息系统的安全稳定运行以信息安全等级保护测评的要求为依据本文提出对Linux系统服务器安全测评的具体操作方法分别从身份鉴别、访问控制、安全审计、入侵防范与恶意代码防范、资源控制等不同方面依据cat等指令检查系统文件的相关配置依此配置结果与信息安全等级保护的具体要求做比较以满足测评要求并提出加强Linux服务器的安全策略。

一引言

Linux是一个多用户多任务的操作系统 由于它稳定、可靠且系统内核代码的开源性使得Linux被广泛用于网络服务器操作系统 Linux系统可搭建多种服务器 Web网站服务器、 FTP服务器和DNS服务器等其系统的安全问题也受到人们的日益关注。但是在近年来的信息安全等级保护测评中发现很多Linux服务器的安全策略并不完善部分企业网络管理员以Linux系统服务器安全性高为理由忽视了对服务器的管理造成了影响系统正常运行的安全隐患。

本文以使用安装CentOS为基础系统的Linux服务器作讨论从身份鉴别、访问控制、安全审计、入侵防范与恶意代码防范、资源控制等不同方面提出为Linux服务器以满足《信息安全技术—信息系统安全等级保护基本要求》 (GB/T 22239-2008)中三级信息系统(S3A3G3)的要求为目标使Linux服务器应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击以及其他相当危害程度的威胁所造成的主要资源损害能够发现安全漏洞和安全事件在系统遭到损害后能够较快恢复绝大部分功能。文章阐述了在信息安全等级保护主机安全测评中的具体测评方法并提出了对Linux服务器安全策略的配置建议。

服务器的测评主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等方面的内容。

二身份鉴别

为计算机系统的安全起见只有经过授权的合法用户才能访问服务器。身份鉴别即服务器需要用户以一种安全的方式提交自己的身份证实然后由服务器确定用户的身份是否属实的过程。身份鉴别的机制大大的提高了服务器的安全性主要防止了身份欺诈。所以核实服务器系统的身份鉴别功能在测评中显得尤为重要。身份鉴别包括对用户的身份标识和鉴别系统的密码策略、登录控制功能身份的标识、密码口令的复杂度登录失败的处理、远程管理的传输模式、用户名的唯一性等。

(1)查看/etc/shadow中的相关参数其中九个栏位分别代表账号名称、加密密码、密码更动日期、密码最小可变动日期、密码最大需变动日期、密码过期前警告日数、密码失效天数、帐号失效日、保留位。我们关注第5位密码最大需变动日期即密码可存在的最长天数默认配置为99999但建议3个月更换一次即90天。 /etc/login.defs中也有对登录密码最小长度限制的配置(PASS_MIN_LEN) 。

(2)查看/ete/pam.d/system-auth中pam_cracklib. so的内容可以用来检验密码的强度。包括密码是否在字典中密码输入数次失败就断掉连接等功能。

(3)管理员为方便管理服务器常常开启了远程管理的功能由于telnet与rsh模式使用明文传输文件在互联网上传输极不安全所以最好使用更安全的SSH方式来管理服务器。新版本的CentOS默认开启了SSH功能通过使用netstattunlp指令可查看网络连线的服务检查sshd程序是否在监听或查看sshd_config文档中的相关配置。以root身份对服务器进行远程管理是危险的应禁止root账户的远程管理。当然最安全的方法是关闭远程管理的功能。

三访问控制

访问控制是安全防范和保护的主要策略它不仅应用于网络层面同样也适用于主机层面它的主要任务是保证系统资源不被非授权的用户使用和访问使用访问控制的目的在于通过限制用户对特定资源的访问保护系统资源。通过对访问控制的要求使不同的服务器访问者拥有不同的服务防止了用户越权使用的可能。访问控制主要涉及到文件权限默认共享的问题。需要分别对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离、默认用户的访问权限、账户的清理等做出要求。

(1)查看/ete/passwd中的相关参数其中七个栏位分别代表账号名称、密码、UID、GID、用户全名、家目录、 shell类型 UID只有0与非0两种非0则是一般账号。一般账号又分为系统账号(1499)即可登入者帐号(大于500) 具有root权限的帐号UID、 GID均为0 UID为0的账户应只有一个。若账户密码一栏为“  ”则表示密码为空通过此项可检查出系统是否存在默认账户、多余的共享的账户。

(2)用户、用户组对系统重要文件的访问权限可通过ls~l指令查看。对系统重要文件使用getfaclfilename指令系统会列出此文件对于文件拥有者、文件所属组成员、其他用户的不同权限。使用net share指令可查看系统开启了哪些共享。网络管理员可通过对用户群组的管理确定不同用户的访问策略。

四安全审计

安全审计通过关注系统和网络日志文件、 目录和文件中不期望的改变、程序执行中的不期望行为、物理形式的入侵信息等用以检查和防止虚假数据和欺骗行为是保障计算机系统本地安全和网络安全的重要技术。通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此安全审计的覆盖范围必须要到每个操作系统用户和数据库用户。包括审计范围、审计的事件、审计记录格式、审计报表的生成几个方面。

(1)系统登录日志保存在syslogd、 klogd文件中 我们也可以通过查询/var/log/messages(记录系统发生错误的信息) 、 /var/log/secure(所有需要输入帐号密码的软件 login、 gdm、 su、 sudo、 ssh等) 、 /var/log/wtmp /var/log/faillog(成功和失败登陆者信息)来查看系统是否完整记录重要系统日志。审计记录一般只有root权限的用户才可以读取所以一般满足不被破坏的要求。

(2)审计记录还应定期生成报表使用aureport或者CentOS使用自带的logwatch分析工具即可 logwateh还可以定期发送审计记录email给root管理员。

五入侵防范、恶意代码防范

要维护系统安全只具备安全系统还不够服务器必须进行主动监视以检查是否发生

了入侵和攻击。因此一套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事件。为防止木马、蠕虫等病毒软件的破坏安装杀毒软件并及时更新病毒库可以抵御恶意代码的攻击。遵循最小安装原则仅开启需要的服务安装需要的组件和程序可以极大的降低系统遭受攻击的可能性。及时更新系统补丁可以避免遭受由系统漏洞带来的风险。

(1)CentOS采用yum组件进行自动更新可使用yum list指令查看目前yum所管理的所有的套件名称与版本也可查看/var/cache/yum里存放的下载过的文件 以此判断系统补丁是否得到及时更新或通过#rpm-qa/grep patch查看补丁的安装情况。主流的Linux发行版本通常每月数次发布系统相关的补丁。

(2)Linux系统可使用组件netfilter/iptable配置本机的防火墙。 netfilter/iptable信息包过滤系统是一种功能强大的工具管理员可添加、编辑和删除为包过滤作决定的一些规则。改进后的防火墙对大流量的网络环境有很好的负载能力具有占用CPU使用率低 内存消耗小 网络吞吐量大的特点。

(3)系统所有的服务状态可使用service-status-all来查看或者用netstat-tunlp指令来查看目前www.huishel iren.com系统开启的网络服务并可以检测到主机名称、服务名称和端口号等避免系统存在不需要的服务或网络连接。一些组件如git、 finger、 talk、ytalk、 ucd-snmp-utils、 ftp、 echo、 shell、 login、 r、 ntalk、 pop-2、 sendmail、 imapd、pop3d等则是系统不必须要的需要移除。常见的必须存在的系统服务如表1

点击图片查看大图

六资源控制

系统资源是指CPU、储存空间、传输带宽等软硬件资源。通过设定终端接入方式、网络地址范围等条件限制终端登录可以极大的节省系统资源保证了系统的可用性同时也提高了系统的安全性。如果系统管理员在离开系统之前忘记注销管理员账户那么可能存在被恶意用户利用或被其他非授权用户误用的可能性从而对系统带来不可控的安全隐患。

(1)查看/etc/hosts.allow与/etc/hosts.deny文件可知系统允许与拒绝登录用户的IP地址或网段。 同样在这两个文件中可以写入详细到终端接人方式的具体规则。

(2)使用ulimit-a指令查看对每个用户使用系统资源的限制如最大内存使用限制。可使用的最大CPU时间等。此项配置可以避免多用户同时连线过度使用系统资源防止本地DOS攻击。

(3)查看/etc/prof ile文件中加入TMOUT的值确定用户登录超时系统自动注销的时长确保系统对登陆超时有正确的处理方式。

(4)用top指令查看服务器的CPU、 内存、 网络等资源的使用情况避免系统资源过度使用造成系统服务不可用。任何占用50以上CPU资源的进程都可能有故障。通过syslog配置文件可以通过邮件或短信方式通知管理员系统资源已达到报警阈值。

七小结

虽然本文提出了用于信息安全等级保护测评中对Linux系统服务器的若干测评方法但是没有一种固定的测评方法是适用于现实中所有的Linux系统服务器的测评与具体的产品信息息息相关可能存在个别不能普适的方法更重要的是在测评中需要测评人员要根据现场的实际情况做出合理的判断后期整理时根据全局网络的综合配置做出统一的评判这样测评工作才能做到更加准确。

原文已完。下文为附加文档如不需要下载后可以编辑删除谢谢

2016年乡镇人大主席团工作汇报

XXX乡人大主席团在县人大常委会的大力支持下在乡党委的正确领导下按照法律赋予的职责紧紧围绕全乡整体工作按照年初制订的工作计划有条不紊扎实地开展各项工作。现将工作开展情况予以汇报

一、前期主要工作

一乡人大建设工作

1、加强制度建设积极开展活动

乡代表活动中心、代表小组活动室建立8项代表活动制度即人大代表学习制度、代表联席选民制度、代表接待选民制度、代表述职制度、代表视察制度、代表专项调研制度、代表履职档案登记制度和代表争先创优制度。每位代表联系选民不少于10户。联系重点村干部、老党员、特困户、上访户等听取他们的意见和呼声努力当好群众的“代言人” 。

2、加强学习培训提高代表履职能力

人大代表的履职能力事关代表工作成效的好坏因此提高代表的素质能力尤为重要。为提高代表的业务水平强化代表的履职能力乡人大活动办建立定期学习制度每周一组织代表在会议室进行集体

学习增强法律知识和服务群众本领使每一位代表从思想上认识到了人大代表的重要职责和任务为接下来的人大工作奠定了思想和理论基础。

3、开展“双联三争”活动体民情解民忧

为深入贯彻落实党的群众路线教育实践活动 XXX乡人大代表在“双联三争”活动中通过人大主席团联系代表、代表联系选民 以“访、听、帮”的形式深入到群众中去体察民情解决民忧争创先进乡镇人大主席团、争创先进代表小组、争做优秀人大代表。一是“走访”群众。县、乡人大代表走村入户 了解群众所想、所盼。主席团成员坚持每月入户走访不少于10天一般代表每月入户走访6天以上做到情况在一线了解 问题在一线解决职责在一线展现。二是“倾听”民意。通过召开会议或设立群众意见箱等形式征求群众意见对群众提出的路、塘、桥、坝的维修农业科技知识下乡、扶贫工作透明等民生意见进行收集汇总逐一解决。三是“帮扶”群众。根据群众所需所求要求主席团成员每年要协助群众完成1至2个项目工程定点帮扶2至3户困难群众每月至少为帮扶群众办1件实事。真正将群众路线教育实践活动做实、做细、做好把乡人大工作推上新台阶。

4、开展代表向选民述职工作

制定乡人大代表向选民述职方案并选取5名代表在选区选民代表大会上进行述职。乡直选区参加选民代表人数不低于选民总数的50%农村选区参加选民代表人数不低于选民总数的10%且在大会

上进行了民主测评。会议由人大主席主持代表做述职报告选民代表评议发言其他代表书面述职。通过开展代表向选民述职工作代表们自觉履行职责更加透明化、公开化起到了良好的舆论监督作用。

二代表依法履职情况

1、加强对非法采砂采矿工作的监督检查

为严厉打击非法采砂采矿工作还XXX乡青山绿水 XXX乡人大主席团积极组织代表对该项工作进行了全面督查组织相关职能部门逐村、逐组、逐个砂场进行排查摸清采砂活动基本情况建立基础数据库。 6月2日全乡统一行动全体机关干部参加工商、公安、土地、 电力等相关执法部门密切配合 出动人员120多人车辆30余辆通过十天工作共查封扣押铲车18台、钩机线路板11个、电力设备8台 112个采砂点全部捣毁。有效制止了非法采砂活动治理工作取得了明显成效。

2、加强校园饮用水、食品和校园周边环境安全监督

今年3月、 9月乡人大主席团组织部分人大代表两次对乡六所学校饮用水安全及食品安全进行专项督查活动。活动重点从校园食堂环境是否整洁、饭菜质量是否过关、从业人员是否具有健康证明、校园及周围小卖部是否有“三无”食品等多个角度进行检查。同时组织代表对校园周边环境进行视察相关职能部门取缔了两所校园周边三处非法施工点。并对少数学校消防器材缺少、防雷设施不完善、安全硬件不够、交通秩序不好、环境卫生差等问题提出了四个整改建议意见。一是要严格重视校园环境卫生管理二是要进一步完善学校的

消防设施、消防疏散通道、教学楼应急照明灯、疏散指示灯以及防雷设施并设立醒目标志牌三是要加强对中小学生公共安全常识宣传和教育树立安全意识培养应变能力 四是要健全安全管理机构落实安全应急方案实施责任追究制。

3、对新农村社区建设进行视察

今年五月 XXX乡召开人大主席团会议针对XXX乡澧园社区建设宏观从社区整体规划水、电、路、公共设施配套广场、游园及社区绿化进行综合视察。并对社区建设进行综合评估。大会最后确定社区建设规划为跨河高架桥3座、滨河路2条建成以后社区内部将形成“四纵四横”的路网结构最大程度地方便群众日常生活。该社区建设分8年三期进行一期规划建设用地6.7公顷拆旧后整合利用合法占地14.4公顷预计2015年年底完成二期建新拆旧分三年进行 2018年底完成三期计划于2020年底完成。 目前工程顺利开展建成后将成为XXX山乡精品宜居社区。

4、体现人大职责抓好人大信访工作

XXX人大主席团历来重视人大信访工作。一是认真学习提升业务素质。以学习党的十八大精神为契机要求主席团成员在全面提高综合素质的基础上认真学习《信访工作条例》 、 《监督法》 、 《土地管理法》等与农村群众密切相关的法律法规。二是以民为本热情细致接待。耐心听取来访群众的陈述认真做好记录主动做好答疑解惑和情绪疏导工作上半年共接待上访群众20余名解决实际问题19件切实保障群众反映的问题得到解决。三是依法办事维护

法律权威。严格按照信访工作程序对群众提出的合理化建议与合法要求积极向有关部门批转督促落实对于与法律法规相抵触或要求不符合实际的耐心向信访群众做好解释工作坚决维护法律权威。四是跟踪督办保障群众利益。要求信访问题承办单位做到限期办结并及时将办理情况向乡人大主席团报告信访人对办理结果不满意的或未按要求办结的督促承办单位快速办理人大实行跟踪督办直到信访问题圆满解决。四项工作的落实为全乡大局稳定打下了坚实的基础。

5、开展“四联帮扶”拓展代表工作

为进一步拓展人大代表工作 XXX乡人大主席团要求代表入村、入户、入企业深入全乡开展“四联帮扶”活动 即联系困难群众、联系留守家庭、联系致富能人、联系诉求对象。着力在助困、助学、助业、助稳等方面开展帮扶。实行“蹲点民情日记”制度每一名帮扶代表要从帮扶对象所面临的最困难、最迫切、最需要解决的突出问题入手着力落实帮扶措施确保帮扶的贫困户家庭基本生活得到保障确保贫困学生不因贫困而辍学留守儿童得到关爱孤寡老人能过上幸福的晚年生活让致富能人在自己致富的同时能引领一方群众共同致富让诉求对象正当的利益诉求得到满足合法权益得到维护。 目前共协调扶贫贷款150余万元救助困难群众47户帮助留守儿童、孤寡老人160人收到了良好的社会效果。

二、存在的问题

一乡人大代表理论学习不够思想认识不到位