cat /etc/passwd  查看账户管理文件

cat /etc/shadow  查看账户管理文件

cat /etc/login.defs  查看密码配置策略

/etc/login.defs密码策略

PASS_MAX_DAYS  99999     #密码的最大有效期, 99999:永久有期

PASS_MIN_DAYS  0          #是否可修改密码,0可修改,非0多少天后可修改

PASS_MIN_LEN   5          #密码最小长度,使用pam_cracklibmodule,该参数不再有效

PASS_WARN_AGE  7         #密码失效前多少天在用户登录时通知用户修改密码

来自 

cat /etc/pam.d/system-auth 查看密码复杂度和登录失败配置

—  参数retry=3指出用户在输入一个强口令的时候必须输入三遍。

— 参数minlen=12指出口令的最短长度。大写字母、数字和标点符号由库特殊处理，从而减小了这个最短长度。参数为minlen=12时，用户能有的最短口令实际为8个字符，不是12个字符，但是用户设定一个8字符口令时必须包括所有4种字符类型。

—  参数difok=4指出新口令至少要有4个字符不会出现在老口令中。

现代Linux发行版本包含并且默认使用pam_cracklib模块，但通常不启用口令复杂性规则。

来自 

pam_cracklib主要参数说明:

    tretry=N:重试多少次后返回密码修改错误

    difok=N:新密码必需与旧密码不同的位数

    dcredit=N: N >=0:密码中最多有多少个数字;N < 0密码中最少有多少个数字.

    lcredit=N:小宝字母的个数

    ucredit=N大宝字母的个数

    credit=N:特殊字母的个数

    minclass=N:密码组成(大/小字母,数字,特殊字符)

来自 

操作系统使用“用户名+密码”登录方式进行身份识别和鉴别，用户名唯一，已配置密码策略，最小长度为5位，未有复杂度要求，未要求定期更换密码。

cat /etc/pam.d/system-auth 查看密码复杂度和登录失败配置

查看pam_tally2.so模块控制用户密码认证失败次数上限，可以实现登录次数、超时时间、解锁时间等。

cat /etc/profile查看超时退出功能

cat/etc/ssh/sshd_conf

查看其中的timeout环境变量，是否配置超时锁定参数

操作系统已启用登录失败处理功能，超时5分钟自动退出，登录失败6次，锁定账户。

ps -ef |grep telnet  查看Telnet服务是否开启

ps -ef|grep sshd  查看sshd服务是否开启

service telnet status  查看Telnet服务是否开启

service sshd status  查看sshd服务是否开启

cat /etc/ssh/sshd_conf 查看远程登录用户

cat /etc/ssh/ssh_conf

操作系统采用SSH进行远程管理，已禁用telnet和rlogin服务，防止鉴别信息在网络传输过程中被窃听。

目前通过堡垒机及跳板机进行远程管理，堡垒机采用双因子（口令+短信），跳板机仅采用二次密码验证。

ls -l /etc/passwd /etc/shadow /etc/group/etc/rsyslog.conf /etc/xinetd.conf /etc/sudoers /etc/syslog.conf

ls -l /var/log

ls -l /var/log/audit/ 查看重要文件的访问权限设置

操作系统已禁用root用户直接远程连接，已对登录的用户分配账户和权限。

检查没有用adm lp sync shutdown halt mail uucp operator games gopher  ftp等无用的账号。

操作系统已修改默认口令，但未重命名root账户。

略

umask  查看当前用户在新建文件和目录时的默认权限

more /etc/passwd   看各个账户的权限

more /etc/sudo.conf      查看root权限分配给哪些用户

操作系统目前存在超级管理员root、系统管理员xianliaoadmin，目前系统管理员仅拥有管理系统的所需的最小权限，但未能限制root账户，目前未有专门的审计管理员。

专门的安全管理员负责访问控制策略等工作，各账户权限由安全员的安全策略进行控制

操作系统目前由管理员配置访问控制策略，未设有专门的安全管理员，重要文件权限均小于644。

more /etc/selinux/config   （三级）查看selinux参数的设定

more /var/log/secure | grep refused   (三级)查看入侵检测措施

ps -ef |grep syslog  查看syslog服务是否开启

ps -ef |grep audit  查看audit服务是否开启

ps -ef |grep syslogd  查看syslog服务的保护进程是否开启

ps -ef |grep auditd  查看audit服务的保护进程是否开启

ps -ef |grep rsyslog 查看管理日志的服务是否开启

UID       PID     PPID     C     STIME    TTY     TIME         CMD

zzw      14124   13991      0     00:38      pts/0      00:00:00    grep --color=auto dae

UID     ：程序被该UID 所拥有

PID     ：就是这个程序的 ID 

PPID   ：则是其上级父程序的ID

C         ：CPU使用的资源百分比

STIME ：系统启动时间

TTY    ：登入者的终端机位置

TIME   ：使用掉的CPU时间。

CMD  ：所下达的是什么指令

service syslog status

service audit status

service auditd status

service syslogd status

service rsyslog status

查看服务，若运行安全很急服务，则查看守护进程是否正常（若未开启系统安全服务，看看有没有第三方安全审计工具），

操作系统已开启安全审计功能，开启了audit、rsyslog等服务，审计覆盖到每个用户，对系统的用户的行为和重要的安全事件进行审计。

aucat |tail -100  查看最近100条日志

more /var/log/audit/audit.log |tail -100   查看最近100条日志

tail /var/log/audit/audit.log  查看所有的audit记录

审计日志分析https://www.cnblogs.com/xingmuxin/p/8796961.html

操作系统审计记录包括日期、时间、pid、事件类型等审计相关信息。

ls -l /etc/passwd /etc/shadow /etc/group/etc/rsyslog.conf /etc/xinetd.conf /etc/sudoers /etc/syslog.conf

ls -l /var/log

ls -l /var/log/audit/ 查看重要文件的访问权限设置

测评实施包括以下内容：

1) 应核查是否采取了保护措施对审计记录进行保护；

2) 应核查是否采取技术措施对审计记录进行定期备份，并核查其备份策略。

看权限有没有W

目前操作系统的日志实时备份到备份服务器上，广州三零信息安全有限公司每个月不定期收集日志，已保证日志保存6个月以上，避免受到未预期的删除、修改或覆盖等。

service  auditd stop测试非管理员账号能否停止审计

service  syslogstop

应测试验证通过非审计管理员的其他账户来中断审计进程，验证审计进程是否受到保护。

操作系统能够对审计进程进行保护，防止未经授权的中断。

rpm -qa |grep patch 查看系统补丁安装情况

rpm -qa  查看所有的软件包

yum list installed

测评实施包括以下内容：

1) 应核查是否遐循最小安装原则；

2) 应核查是否未安装非必要的组件和应用程序。

操作系统已遵循最小安装，未发现多余的组件或应用程序。

netstat -ano

netstat -tunlp  查看网络端口占用情况

service -status-all |grep running  查看开启了哪些网络服务

chkconfig --list  查看运行的所有的系统服务

service nfs status  查看是否开启共享服务

操作系统已关闭多余的系统服务、共享服务与高危端口。

看有没有通过跳板机、堡垒机、或者限制管理员登录的网段或IP

操作系统目前绑定服务器只能通过阿里云跳板机和堡垒机进行跳转登录。

测评的对象是应用系统、中间件、系统管理软件、系统设计文档

服务器不适用

1) 应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞；

2) 应核查是否在经过充分测试评估后及时修补漏洞。

1）阿里云提供服务器安全扫描功能，目前已及时修补发现的漏洞。

2）管理员定期对操作系统进行安全扫描，在经过充分测试评估后，及时修补漏洞。

1) 应访谈并核查是否有入侵检测的措施；

2) 应核查在发生严重入侵事件时是否提供报警。

1）阿里云提供监控功能，另外已购买云安全中心，能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

2）操作系统未能提供监控与检测入侵行为的功能，未能在发生严重入侵事件时提供报警。

1) 应核查是否安装了防恶意代码软件或相应功能的软件，定期进行升级和更新防恶意代

码库；

2) 应核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为；

3) 应核查当识别入侵和病毒行为时是否将其有效阻断。

1）目前云安全中心提供杀毒引擎，能够对恶意代码进行有效阻断。

2）操作系统未受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

操作系统未可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，未在应用程序的关键执行环节进行动态可信验证，未在检测到可信性受到破坏后进行报警，未将验证结果形成审计记录送至安全管理中心。

1) 应核查系统设计文档，鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频

数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性；

2) 应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要

视频数据和重要个人信息等进行篡改，是否能够检测到数据在传输过程中的完整性受到

破坏并能够及时恢复。

采用SSH进行远程管理，能够保证鉴别数据在传输过程中的保密性，其他重要数据未能保证通信保密性。

1) 应核查设计文档，是否采用了校验技术或密码技术保证鉴别数据、重要业务数据、重要审

计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性；

2) 应核查是否采用技术措施（如数据安全保护系统等）保证鉴别数据、重要业务数据、重要审

计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性；

3) 应测试验证在存储过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要

视频数据和重要个人信息等进行篡改，是否能够检测到数据在存储过程中的完整性受到

破坏并能够及时恢复。

经查看目前鉴别信息加密存储，但不包括重要业务数据、重要个人信息。

1) 应核查系统设计文档，鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用

密码技术保证保密性；

2) 应通过嗅探等方式抓取传输过程中的数据包，鉴别数据、重要业务数据和重要个人信息等

在传输过程中是否进行了加密处理。

采用SSH进行远程管理，能够保证鉴别数据在传输过程中的保密性，其他重要数据未能保证通信保密性。

1) 应核查是否采用密码技术保证鉴别数据、重要业务数据和重要个人信息等在存储过程中

的保密性；

2) 应核查是否采用技术措施（如数据安全保护系统等）保证鉴别数据、重要业务数据和重要

个人信息等在存储过程中的保密性；

3) 应测试验证是否对指定的数据进行加密处理。

建议操作系统应采用校验技术或密码技术保证重要数据和个人信息在存储过程中的保密性。

1) 应核查是否按照备份策略进行本地备份；

2) 应核查备份策略设置是否合理、配置是否正确；

3) 应核查备份结果是否与备份策略一致；

4) 应核查近期恢复测试记录是否能够进行正常的数据恢复。

每天对重要数据进行完全备份并存放在云服务器，可提供恢复功能。

应核查是否提供异地实时备份功能，并通过网络将重要配置数据、重要业务数据实时备份至备份场地。

1）阿里云提供硬件备份配置，重要数据每天完全备份至云服务器，管理员每半个月手动备份至本地存放。

2）经询问，未有异地实时备份功能，未利用通讯网络将重要数据实时备份至备份场地。

应核查重要数据处理系统（包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等）是否采用热冗余方式部署。

重要数据处理系统采用冗余技术，能够保证系统的高可用性。

基本不符合或者不适用

应核查相关配置信息或系统设计文档，用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。

操作系统退出登录后，不显示前一登录用户信息，但未保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。

cat /etc/profile

检查参数HISTSIZE=  

应核查相关配置信息或系统设计文档，敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除。

操作系统设置HISTSIZE=0，但未能保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。