等保級問題清單修復-20210324162529x

Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8

Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8

等保級問題清單修復

等保二級測評問題修復文檔

目錄

TOC \o "1-3" \h \z \u

操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；

Centos操作系統用戶口令未有復雜度要求并定期更換

提升系統口令復雜度

修改登錄口令etc/

PASS_MAX_DAYS 180

PASS_MIN_DAYS 1

PASS_WARN_AGE 28

PASS_MIN_LEN 8

如下圖：

提升密碼復雜度

/etc/system-auth文件中配置密碼復雜度：

在后面配置參數

password requisite minlen=8 ucredit=-1 lcredit=-3 dcredit=-3 ocredit=-1

說明：密碼最少minlen =8位，ucredit=-1密碼中至少有1個大寫字母，icredit=-3密碼中至少有3個小寫字母，dredit=3密碼中至少有3個數字，oredit=-1密碼中至少有1個其它字符

如下圖：

Windows（跳板機）操作系統未根據安全策略配置口令的復雜度和更換周期

修改口令復雜度和更換周期如下：

數據庫系統用戶口令未定期更換

ALTER USER 用戶名 PASSWORD EXPIRE INTERVAL 180 DAY;

應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；

Centos操作系統未設置合理的登陸失敗處理功能，未設置設備登錄失敗超時時間

修改遠程登錄用戶

修改為登錄三次鎖定用戶，鎖定時間為：一般用戶5分鐘,超級用戶鎖定10分鐘配置如下：

修改/etc/sshd(一定要放在第一行，否則即使輸入次數超過三次，再輸入密碼也是可以進去的)：

auth required deny=3 unlock_time=300 even_deny_root root_unlock_time=600

如下圖：

修改客戶端登錄用戶

修改/etc/login(一定要放在第一行，否則即使輸入次數超過三次，再輸入密碼也是可以進去的)：

auth required deny=3 unlock_time=300 even_deny_root root_unlock_time=600

如下圖：

Windows操作系統未設置合理的登陸失敗處理功能，未設置設備登錄失敗超時時間

賬戶鎖定策略:復位帳戶鎖定計數器->3分鐘 帳戶鎖定時間->5分鐘 帳戶鎖定閥值->5次無效登錄，設置設備登錄失敗超時時間（不大于10分鐘）

數據庫系統登錄失敗處理功能配置不滿足要求，登錄失敗次數為100次，未設置非法登錄鎖定措施

當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；這個對應那條

這個對應那條

應為操作系統和數據庫系統的不同用戶分配不同的用戶名，確保用戶名具有唯一性。

已刪除數據庫root賬號，數據庫中每個需要連接的主機對應一個賬號

Windows（跳板機）應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；

禁用Print Spooler，禁用默認共享路徑：C$

如下圖：

應實現操作系統和數據庫系統特權用戶的權限分離

Centos操作系統未實現特權用戶的權限分離，如可分為：系統管理員、安全管理員、安全審計員等

在系統下分別添加不同較色的管理員：系統管理員、安全管理員、安全審計員

添加不同角色的人員

Useradd sysadmin

Useradd safeadmin

Useradd safecheck

為sysadmin添加sudo權限

chmod 740 /etc/sudoers

vi /etc/sudoers

sysadmin ALL=(ALL) ALL

chmod 440 /etc/sudoers

Window操作系統未實現特權用戶的權限分離，如可分為：系統管理員、安全管理員、安全審計員等

添加：系統管理員、安全管理員和安全審計員

權限分配：

數據庫賬戶和系統管理員賬戶的權限一致

數據庫root賬號已刪除，數據庫管理員賬號為hqwnm和manager

應限制默認賬戶的訪問權限，重命名系統默認賬戶，修改這些賬戶的默認口令

Centos操作系統未限制默認賬戶的訪問權限，未重命名默認賬戶

刪除多余的賬號，只保留root默認賬號不確定是否正確，可以問下等保的人

不確定是否正確，可以問下等保的人

Windows操作系統未限制默認賬戶的訪問權限，未重命名默認賬戶

重命名administrator和guest默認用戶名

如下圖：

數據庫系統未限制默認賬戶的訪問權限，未重命名默認賬戶

已刪除root賬號。無其他默認賬號

應及時刪除多余的、過期的帳戶，避免共享帳戶的存在

Centos操作系統未限制默認賬戶的訪問權限，未刪除多余、過期的賬戶（adm、 lp、sync、 shutdown、 halt、mail、operator、games ）

注釋掉不需要的用戶

修改：/etc/passwd如下：

adm、 lp、sync、 shutdown、 halt、mail、operator、games 分別注釋掉

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

#adm:x:3:4:adm:/var/adm:/sbin/nologin

#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

#sync:x:5:0:sync:/sbin:/bin/sync

#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

#halt:x:7:0:halt:/sbin:/sbin/halt

#mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

#operator:x:11:0:operator:/root:/sbin/nologin

#games:x:12:100:games:/usr/games:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin

polkitd:x:999:998:User for polkitd:/:/sbin/nologin

avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin

avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin

libstoragemgmt:x:998:997:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin

ntp:x:38:38::/etc/ntp:/sbin/nologin

abrt:x:173:173::/etc/abrt:/sbin/nologin

postfix:x:89:89::/var/spool/postfix:/sbin/nologin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

chrony:x:997:996::/var/lib/chrony:/sbin/nologin

nscd:x:28:28:NSCD Daemon:/:/sbin/nologin

tcpdump:x:72:72::/:/sbin/nologin

nginx:x:996:995:nginx user:/var/cache/nginx:/sbin/nologin

sysadmin:x:1000:1000::/home/sysadmin:/bin/bash

safeadmin:x:1001:1001::/home/safeadmin:/bin/bash

safecheck:x:1002:1002::/home/safecheck:/bin/bash

如下圖：

注釋掉不需要的組

[root@iZ886zdnu5gZ ~]# cat /etc/group

root:x:0:

bin:x:1:

daemon:x:2:

sys:x:3:

#adm:x:4:

tty:x:5:

disk:x:6:

#lp:x:7:

mem:x:8:

kmem:x:9:

wheel:x:10:

cdrom:x:11:

#mail:x:12:postfix

man:x:15:

dialout:x:18:

floppy:x:19:

#games:x:20:

tape:x:30:

video:x:39:

ftp:x:50:

lock:x:54:

audio:x:63:

nobody:x:99:

users:x:100:

utmp:x:22:

utempter:x:35:

ssh_keys:x:999:

systemd-journal:x:190:

dbus:x:81:

polkitd:x:998:

avahi:x:70:

avahi-autoipd:x:170:

libstoragemgmt:x:997:

ntp:x:38:

dip:x:40:

abrt:x:173:

stapusr:x:156:

stapsys:x:157:

stapdev:x:158:

slocate:x:21:

postdrop:x:90:

postfix:x:89:

sshd:x:74:

chrony:x:996:

nscd:x:28:

tcpdump:x:72:

nginx:x:995:

sysadmin:x:1000:

safeadmin:x:1001:

safecheck:x:1002:

Windows操作系統未限制默認賬戶的訪問權限

對重要文件夾進行訪問限制，沒有權限的系統默認賬號是無法訪問的，例如：

數據庫系統未限制默認賬戶的訪問權限，未刪除多余、過期和共享的賬戶

數據庫已限制用戶的訪問，每個IP對應一個用戶名

審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶

Centos操作系統未開啟日志審計功能，審計范圍未覆蓋到每個用戶，未使用第三方安全審計產品實現審計要求

開啟日志日記進程（audit）,審計覆蓋到每個用戶

Windows操作系統審計日志未覆蓋到用戶所有重要操作

開啟系統審計日志，如下圖：

數據庫系統未開啟審計進程；未使用第三方審計系統對系統進行操作審計，審計范圍未覆蓋到抽查的用戶

數據庫安裝了第三方的審計插件。macfee公司基于percona開發的mysqlaudit插件

審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件

Centos審計內容未包括重要用戶行為，系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件

修改，使審計內容包括：用戶重要行為、系統資源調用、文件訪問和用戶登錄等

-w /var/log/audit/ -k LOG_audit

-w /etc/audit/ -p wa -k CFG_audit

-w /etc/sysconfig/auditd -p wa -k

-w /etc/ -p wa -k

-w /etc/audisp/ -p wa -k CFG_audisp

-w /etc/cups/ -p wa -k CFG_cups

-w /etc/cups -p wa -k CFG_initd_cups

-w /etc/ -p wa -k

-w /etc/selinux/mls/ -p wa -k CFG_MAC_policy

-w /usr/share/selinux/mls/ -p wa -k CFG_MAC_policy

-w /etc/selinux/ -p wa -k CFG_MAC_policy

-w /usr/sbin/stunnel -p x

-w /etc/security/ -p wa -k CFG_RBAC_self_test

-w /etc/ -p wa -k

-w /etc/ -p wa -k

-w /etc/ -p wa -k

-w /etc/ -p wa -k

-w /etc/ -p wa -k

-w /etc/ -p wa -k

-w /etc/ -p wa -k

-w /etc/ -p wa -k

-w /etc/crontab -p wa -k CFG_crontab

-w /var/spool/cron/root -k CFG_crontab_root

-w /etc/group -p wa -k CFG_group

-w /etc/passwd -p wa -k CFG_passwd

-w /etc/gshadow -k CFG_gshadow

-w /etc/shadow -k CFG_shadow

-w /etc/security/opasswd -k CFG_opasswd

-w /etc/ -p wa -k

-w /etc/securetty -p wa -k CFG_securetty

-w /var/log/faillog -p wa -k LOG_faillog

-w /var/log/lastlog -p wa -k LOG_lastlog

-w /var/log/tallylog -p wa -k LOG_tallylog

-w /etc/hosts -p wa -k CFG_hosts

-w /etc/sysconfig/network-scripts/ -p wa -k CFG_network

-w /etc/inittab -p wa -k CFG_inittab

-w /etc/ -p wa -k CFG_initscripts

-w /etc/localtime -p wa -k CFG_localtime

-w /etc/ -p wa -k

-w /etc/ -p wa -k

-w /etc/ -p wa -k CFG_pam

-w /etc/security/ -p wa -k CFG_pam

-w /etc/security/ -p wa -k CFG_pam

-w /etc/security/ -p wa -k CFG_pam

-w /etc/security/ -p wa -k CFG_pam

-w /etc/aliases -p wa -k CFG_aliases

-w /etc/postfix/ -p wa -k CFG_postfix

-w /etc/ssh/sshd_config -k CFG_sshd_config

-w /etc/ -k

-a exit,always -F arch=b32 -S sethostname

-w /etc/issue -p wa -k CFG_issue

-w /etc/ -p wa -k 如：用戶登錄信息：

用戶重要行為信息：

Windows審計內容未包括系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件

修改如下圖：

數據庫系統的審計內容未包括：重要用戶行為、系統資源的異常使用和重要系統命令的使用等

審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等

Centos審計記錄未包括事件的日期、事件、類型、主體標識、客體標識和結果等

開啟日志監控：

Audit

數據庫系統審計記錄未包括事件的日期、時間、類型、主體標識、客體標識和結果等

應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等

Centos審計記錄未受到保護，未能避免受到未預期的刪除、修改或覆蓋等

在系統下修改日志保存文件/etc/ 文件如下：

#keep 10 weeks worth of backlogs

rotate 10

保存日志文件10周

數據庫系統未對審計記錄進行保護

數據庫審計日志存儲在/var/lib/mysql/

定期1個月人工將該文件備份

操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新

Centos操作系統未及時更新系統補丁，未禁用多余服務端口：123

已關閉123端口對應的服務ntpd。啟用firewalld。各主機只開放對應端口。包括80,7008,9200,9300及3306

更新openssl

[root@iZ886zdnu5gZ ~]# openssl version

更新后的版本為：

更新openssh

[root@iZ886zdnu5gZ ~]# ssh -V

更新后的版本為：

[root@iZ886zdnu5gZ ]# ssh -V

Windows操作系統未遵循最小安裝原則，存在多余軟件：谷歌瀏覽器、notepad++，未及時更新系統補丁，未禁用多余服務：Print Spooler，未禁用多余端口：135、137、139、445、123

刪除多余的軟件：如谷歌瀏覽器、notepad++、禁止多余服務：PrintSpooler

應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫

Centos

由阿里云盾提供保護

Windows

由阿里云提供：

應支持防惡意代碼軟件的統一管理

Centos

由阿里云盾提供

Windows

由阿里云提供：

應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄

Centos作系統未設定終端接入方式、網絡地址范圍等條件限制終端登錄

在系統的/etc/和/etc/添加網絡拒絕和允許地址

在/etc/中禁止TCP類型所有聯系

數據庫系統未通過設定終端接入方式、網絡地址范圍等條件限制終端登錄

每個賬號對應一個IP地址。限制用戶%類型的無限制連接

應根據安全策略設置登錄終端的操作超時鎖定

Centos操作系統未根據安全策略設置登錄終端的操作超時鎖定

修改ssh終端用戶

添加：/etc/ssh/sshd_conf 內容：

ClientAliveInterval 600 榮輝提供復雜度閑20分鐘退出

榮輝提供復雜度

應用系統未對系統的最大并發會話連接數進行限制

已設置，在中配置maxConcurrentCount屬性

中間件未對系統的最大并發會話連接數進行限制

已設置，在中配置maxSessionCount屬性

應用系統同一臺機器未對系統單個賬號的多重并發會話進行限制，不同機器未對系統單個賬號的多重并發會話進行限制

在nginx中啟用連接會話限制。每個IP只能有20個連接，

系統通過SSH1、VPN和HTTP方式進行數據傳輸，部分管理數據、鑒別數據、重要業務數據在傳輸過程中未能檢測到完整性遭到破壞，未能夠對數據在遭到傳輸完整性破

數據庫啟用SSL

建議系統采用通信加密或者其他措施實現管理數據、鑒別數據、重要業務數據的存儲保密性

數據庫啟用SSL

建議系統提供每天至少一次的數據完全備份，并對備份介質進行場外存放

建議提供數據庫系統硬件冗余，保證系統的高可用性

s數據庫集群或熱備