等保2.0 [等保2级问题清单-修复文档-(1)]

等保二级测评问题修复文档

　操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

　Centos操作系统用户口令未有复杂度要求并定期更换

　提升系统口令复杂度

　修改登录口令etc/login.defs

　PASS_MAX_DAYS180

　PASS_MIN_DAYS1

　PASS_WARN_AGE28

　PASS_MIN_LEN8

　如下图：

　提升密码复杂度

　/etc/pam.d/system-auth文件中配置密码复杂度：

　在pam_cracklib.so后面配置参数

　passwordrequisitepam_cracklib.sominlen=8ucredit=-1lcredit=-3dcredit=-3ocredit=-1

　说明：密码最少minlen=8位，ucredit=-1密码中至少有1个大写字母，icredit=-3密码中至少有3个小写字母，dredit=3密码中至少有3个数字，oredit=-1密码中至少有1个其它字符

　如下图：

　Windows（跳板机）操作系统未根据安全策略配置口令的复杂度和更换周期

　修改口令复杂度和更换周期如下：

　数据库系统用户口令未定期更换

　ALTERUSER用户名PASSWORDEXPIREINTERVAL180DAY;

　应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

　Centos操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间

　修改远程登录用户

　修改为登录三次锁定用户，锁定时间为：一般用户5分钟,超级用户锁定10分钟配置如下：

　修改/etc/pam.d/sshd(一定要放在第一行，否则即使输入次数超过三次，再输入密码也是可以进去的)：

　authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=600

　如下图：

　修改客户端登录用户

　修改/etc/pam.d/login(一定要放在第一行，否则即使输入次数超过三次，再输入密码也是可以进去的)：

　authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=600

　如下图：

　Windows操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间

　账户锁定策略:复位帐户锁定计数器->3分钟帐户锁定时间->5分钟帐户锁定阀值->5次无效登录，设置设备登录失败超时时间（不大于10分钟）

　数据库系统登录失败处理功能配置不满足要求，登录失败次数为100次，未设置非法登录锁定措施

　当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；这个对应那条

　这个对应那条

　应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。

　 已删除数据库root账号，数据库中每个需要连接的主机对应一个账号

　Windows（跳板机）应启用访问控制功能，依据安全策略控制用户对资源的访问；

　禁用PrintSpooler，禁用默认共享路径：C$

　如下图：

　应实现操作系统和数据库系统特权用户的权限分离

　Centos操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等

　在系统下分别添加不同较色的管理员：系统管理员、安全管理员、安全审计员

　添加不同角色的人员

　Useraddsysadmin

　Useraddsafeadmin

　Useraddsafecheck

　为sysadmin添加sudo权限

　chmod740/etc/sudoers

　vi/etc/sudoers

　sysadmin ALL=(ALL) ALL

　chmod440/etc/sudoers

　Window操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等

　添加：系统管理员、安全管理员和安全审计员

　权限分配：

　数据库账户和系统管理员账户的权限一致

　数据库root账号已删除，数据库管理员账号为hqwnm和manager

　应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令

　Centos操作系统未限制默认账户的访问权限，未重命名默认账户

　删除多余的账号，只保留root默认账号不确定是否正确，可以问下等保的人

　不确定是否正确，可以问下等保的人

　Windows操作系统未限制默认账户的访问权限，未重命名默认账户

　重命名administrator和guest默认用户名

　如下图：

　数据库系统未限制默认账户的访问权限，未重命名默认账户

　已删除root账号。无其他默认账号

　应及时删除多余的、过期的帐户，避免共享帐户的存在

　Centos操作系统未限制默认账户的访问权限，未删除多余、过期的账户（adm、lp、sync、shutdown、halt、mail、operator、games）

　注释掉不需要的用户

　修改：/etc/passwd如下：

　adm、lp、sync、shutdown、halt、mail、operator、games分别注释掉

　root:x:0:0:root:/root:/bin/bash

　bin:x:1:1:bin:/bin:/sbin/nologin

　daemon:x:2:2:daemon:/sbin:/sbin/nologin

　#adm:x:3:4:adm:/var/adm:/sbin/nologin

　#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

　#sync:x:5:0:sync:/sbin:/bin/sync

　#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

　#halt:x:7:0:halt:/sbin:/sbin/halt

　#mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

　#operator:x:11:0:operator:/root:/sbin/nologin

　#games:x:12:100:games:/usr/games:/sbin/nologin

　ftp:x:14:50:FTPUser:/var/ftp:/sbin/nologin

　nobody:x:99:99:Nobody:/:/sbin/nologin

　dbus:x:81:81:Systemmessagebus:/:/sbin/nologin

　polkitd:x:999:998:Userforpolkitd:/:/sbin/nologin

　avahi:x:70:70:AvahimDNS/DNS-SDStack:/var/run/avahi-daemon:/sbin/nologin

　avahi-autoipd:x:170:170:AvahiIPv4LLStack:/var/lib/avahi-autoipd:/sbin/nologin

　libstoragemgmt:x:998:997:daemonaccountforlibstoragemgmt:/var/run/lsm:/sbin/nologin

　ntp:x:38:38::/etc/ntp:/sbin/nologin

　abrt:x:173:173::/etc/abrt:/sbin/nologin

　postfix:x:89:89::/var/spool/postfix:/sbin/nologin

　sshd:x:74:74:Privilege-separatedSSH:/var/empty/sshd:/sbin/nologin

　chrony:x:997:996::/var/lib/chrony:/sbin/nologin

　nscd:x:28:28:NSCDDaemon:/:/sbin/nologin

　tcpdump:x:72:72::/:/sbin/nologin

　nginx:x:996:995:nginxuser:/var/cache/nginx:/sbin/nologin

　sysadmin:x:1000:1000::/home/sysadmin:/bin/bash

　safeadmin:x:1001:1001::/home/safeadmin:/bin/bash

　safecheck:x:1002:1002::/home/safecheck:/bin/bash

　如下图：

　注释掉不需要的组

　[root@iZ886zdnu5gZ~]#cat/etc/group

　root:x:0:

　bin:x:1:

　daemon:x:2:

　sys:x:3:

　#adm:x:4:

　tty:x:5:

　disk:x:6:

　#lp:x:7:

　mem:x:8:

　kmem:x:9:

　wheel:x:10:

　cdrom:x:11:

　#mail:x:12:postfix

　man:x:15:

　dialout:x:18:

　floppy:x:19:

　#games:x:20:

　tape:x:30:

　video:x:39:

　ftp:x:50:

　lock:x:54:

　audio:x:63:

　nobody:x:99:

　users:x:100:

　utmp:x:22:

　utempter:x:35:

　ssh_keys:x:999:

　systemd-journal:x:190:

　dbus:x:81:

　polkitd:x:998:

　avahi:x:70:

　avahi-autoipd:x:170:

　libstoragemgmt:x:997:

　ntp:x:38:

　dip:x:40:

　abrt:x:173:

　stapusr:x:156:

　stapsys:x:157:

　stapdev:x:158:

　slocate:x:21:

　postdrop:x:90:

　postfix:x:89:

　sshd:x:74:

　chrony:x:996:

　nscd:x:28:

　tcpdump:x:72:

　nginx:x:995:

　sysadmin:x:1000:

　safeadmin:x:1001:

　safecheck:x:1002:

　Windows操作系统未限制默认账户的访问权限

　对重要文件夹进行访问限制，没有权限的系统默认账号是无法访问的，例如：

　数据库系统未限制默认账户的访问权限，未删除多余、过期和共享的账户

　数据库已限制用户的访问，每个IP对应一个用户名

　审计范围应覆盖到服务器上的每个操作系统用户和数据库用户

　Centos操作系统未开启日志审计功能，审计范围未覆盖到每个用户，未使用第三方安全审计产品实现审计要求

　开启日志日记进程（audit）,审计覆盖到每个用户

　Windows操作系统审计日志未覆盖到用户所有重要操作

　开启系统审计日志，如下图：

　数据库系统未开启审计进程；未使用第三方审计系统对系统进行操作审计，审计范围未覆盖到抽查的用户

　数据库安装了第三方的审计插件。macfee公司基于percona开发的mysql?audit?插件

　审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

　Centos审计内容未包括重要用户行为，系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

　修改audit.rules，使审计内容包括：用户重要行为、系统资源调用、文件访问和用户登录等

　-w/var/log/audit/-kLOG_audit

　-w/etc/audit/-pwa-kCFG_audit

　-w/etc/sysconfig/auditd-pwa-kCFG_auditd.conf

　-w/etc/libaudit.conf-pwa-kCFG_libaudit.conf

　-w/etc/audisp/-pwa-kCFG_audisp

　-w/etc/cups/-pwa-kCFG_cups

　-w/etc/init.d/cups-pwa-kCFG_initd_cups

　-w/etc/netlabel.rules-pwa-kCFG_netlabel.rules

　-w/etc/selinux/mls/-pwa-kCFG_MAC_policy

　-w/usr/share/selinux/mls/-pwa-kCFG_MAC_policy

　-w/etc/selinux/semanage.conf-pwa-kCFG_MAC_policy

　-w/usr/sbin/stunnel-px

　-w/etc/security/rbac-self-test.conf-pwa-kCFG_RBAC_self_test

　-w/etc/aide.conf-pwa-kCFG_aide.conf

　-w/etc/cron.allow-pwa-kCFG_cron.allow

　-w/etc/cron.deny-pwa-kCFG_cron.deny

　-w/etc/cron.d/-pwa-kCFG_cron.d

　-w/etc/cron.daily/-pwa-kCFG_cron.daily

　-w/etc/cron.hourly/-pwa-kCFG_cron.hourly

　-w/etc/cron.monthly/-pwa-kCFG_cron.monthly

　-w/etc/cron.weekly/-pwa-kCFG_cron.weekly

　-w/etc/crontab-pwa-kCFG_crontab

　-w/var/spool/cron/root-kCFG_crontab_root

　-w/etc/group-pwa-kCFG_group

　-w/etc/passwd-pwa-kCFG_passwd

　-w/etc/gshadow-kCFG_gshadow

　-w/etc/shadow-kCFG_shadow

　-w/etc/security/opasswd-kCFG_opasswd

　-w/etc/login.defs-pwa-kCFG_login.defs

　-w/etc/securetty-pwa-kCFG_securetty

　-w/var/log/faillog-pwa-kLOG_faillog

　-w/var/log/lastlog-pwa-kLOG_lastlog

　-w/var/log/tallylog-pwa-kLOG_tallylog

　-w/etc/hosts-pwa-kCFG_hosts

　-w/etc/sysconfig/network-scripts/-pwa-kCFG_network

　-w/etc/inittab-pwa-kCFG_inittab

　-w/etc/rc.d/init.d/-pwa-kCFG_initscripts

　-w-pwa-k

　-w/etc/localtime-pwa-kCFG_localtime

　-w/etc/sysctl.conf-pwa-kCFG_sysctl.conf

　-w/etc/modprobe.conf-pwa-kCFG_modprobe.conf

　-w/etc/pam.d/-pwa-kCFG_pam

　-w/etc/security/limits.conf-pwa-kCFG_pam

　-w/etc/security/pam_env.conf-pwa-kCFG_pam

　-w/etc/security/namespace.conf-pwa-kCFG_pam

　-w/etc/security/namespace.init-pwa-kCFG_pam

　-w/etc/aliases-pwa-kCFG_aliases

　-w/etc/postfix/-pwa-kCFG_postfix

　-w/etc/ssh/sshd_config-kCFG_sshd_config

　-w/etc/vsftpd.ftpusers-kCFG_vsftpd.ftpusers

　-aexit,always-Farch=b32-Ssethostname

　-w/etc/issue-pwa-kCFG_issue

　-w/etc/-pwa-kCFG_如：用户登录信息：

　用户重要行为信息：

　Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

　修改如下图：

　数据库系统的审计内容未包括：重要用户行为、系统资源的异常使用和重要系统命令的使用等

　GLOBALaudit_json_file=ON"}

　GLOBALVARIABLESLIKE'%audi%'"}

　1"}

　审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等

　Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等

　开启日志监控：

　Audit

　数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等

　应保护审计记录，避免受到未预期的删除、修改或覆盖等

　Centos审计记录未受到保护，未能避免受到未预期的删除、修改或覆盖等

　在系统下修改日志保存文件/etc/logrotate.conf文件如下：

　#keep10weeksworthofbacklogs

　rotate10

　保存日志文件10周

　数据库系统未对审计记录进行保护

　数据库审计日志存储在/var/lib/mysql/mysql-audit.json

　定期1个月人工将该文件备份

　操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新

　Centos操作系统未及时更新系统补丁，未禁用多余服务端口：123

　已关闭123端口对应的服务ntpd。启用firewalld。各主机只开放对应端口。包括80,7008,9200,9300及3306

　更新openssl

　[root@iZ886zdnu5gZ~]#opensslversion

　OpenSSL11Feb2013

　更新后的版本为：

　[root@iZ886zdnu5gZopensslversion

　OpenSSL25May2017

　更新openssh

　[root@iZ886zdnu5gZ~]#ssh-V

　OpenSSL11Feb2013

　更新后的版本为：

　[root@iZ886zdnu5gZopenssh-7.5p1]#ssh-V

　OpenSSH_7.5p1,OpenSSL25May2017

　Windows操作系统未遵循最小安装原则，存在多余软件：谷歌浏览器、notepad++，未及时更新系统补丁，未禁用多余服务：PrintSpooler，未禁用多余端口：135、137、139、445、123

　删除多余的软件：如谷歌浏览器、notepad++、禁止多余服务：PrintSpooler

　应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库

　Centos

　由阿里云盾提供保护

　Windows

　由阿里云提供：

　应支持防恶意代码软件的统一管理

　Centos

　由阿里云盾提供

　Windows

　由阿里云提供：

　应通过设定终端接入方式、网络地址范围等条件限制终端登录

　Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录

　在系统的/etc/hosts.deny和/etc/hosts.allow添加网络拒绝和允许地址

　在/etc/hosts.deny中禁止TCP类型所有联系

　数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录

　每个账号对应一个IP地址。限制用户%类型的无限制连接

　应根据安全策略设置登录终端的操作超时锁定

　Centos操作系统未根据安全策略设置登录终端的操作超时锁定

　修改ssh终端用户

　添加：/etc/ssh/sshd_conf内容：

　ClientAliveInterval600//超过10分钟后退出

　ClientAliveCountMax0

　如下：

　[root@iZ886zdnu5gZ~]#cat/etc/ssh/sshd_config|grepClientA

　ClientAliveInterval600

　ClientAliveCountMax0

　修改系统用户

　在/etc/profile中添加如下内容：

　TMOUT=600

　如下：

　[root@iZ886zdnu5gZ~]#cat/etc/profile|grepTMOUT

　TMOUT=600

　windows操作系统未根据安全策略设置登录终端的操作超时锁定和屏幕保护时间

　为断开的会话设置时间限制:10分钟

　屏幕保护

　数据库系统未根据安全策略设置终端的操作超时锁定

　已设置超时时间10分钟

　setglobalwait_timeout=600;

　setglobalinteractive_timeout=600;

　应限制单个用户对系统资源的最大或最小使用限度

　已限制单个用户的最大连接数和查询

　应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用荣辉提供复杂度

　荣辉提供复杂度

　应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

　已在单点登录上配置失败3次处理锁定3分钟

　应由授权主体配置访问控制策略，并严格限制默认账户的访问权限；

　有已删除多余的应用测试账号admin

　应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；

　应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计

　应用系统未启用审计功能

　已启用应用系统的审计日志功能

　中间件已提供覆盖到抽查用户的安全审计功能，未对增加用户、删除用户、修改用户权限、系统资源异常等操作进行记录

　应采用校验码技术保证通信过程中数据的完整性。

　启用https。由于申请的公网IP的443端口未开通，测试时使用80端口作为https端口

　中间件未提供登录超时退出功能，空闲20分钟，自动退出系统

　已设置，在anyonedev.cfg中配置sessionTimeout.空闲20分钟退出

　应用系统未对系统的最大并发会话连接数进行限制

　已设置，在anyonedev.cfg中配置maxConcurrentCount属性

　中间件未对系统的最大并发会话连接数进行限制

　已设置，在anyonedev.cfg中配置maxSessionCount属性

　应用系统同一台机器未对系统单个账号的多重并发会话进行限制，不同机器未对系统单个账号的多重并发会话进行限制

　在nginx中启用连接会话限制。每个IP只能有20个连接，

　系统通过SSH1、VPN和HTTP方式进行数据传输，部分管理数据、鉴别数据、重要业务数据在传输过程中未能检测到完整性遭到破坏，未能够对数据在遭到传输完整性破

　数据库启用SSL

　建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性

　数据库启用SSL

　建议系统提供每天至少一次的数据完全备份，并对备份介质进行场外存放

　建议提供数据库系统硬件冗余，保证系统的高可用性

　s数据库集群或热备