等保级问题清单修复-20210324162529x

Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8

等保级问题清单修复

等保二级测评问题修复文档

TOC \o "1-3" \h \z \u

操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

Centos操作系统用户口令未有复杂度要求并定期更换

提升系统口令复杂度

修改登录口令etc/

PASS_MAX_DAYS 180

PASS_MIN_DAYS 1

PASS_WARN_AGE 28

PASS_MIN_LEN 8

如下图：

提升密码复杂度

/etc/system-auth文件中配置密码复杂度：

在后面配置参数

password requisite minlen=8 ucredit=-1 lcredit=-3 dcredit=-3 ocredit=-1

说明：密码最少minlen =8位，ucredit=-1密码中至少有1个大写字母，icredit=-3密码中至少有3个小写字母，dredit=3密码中至少有3个数字，oredit=-1密码中至少有1个其它字符

如下图：

Windows（跳板机）操作系统未根据安全策略配置口令的复杂度和更换周期

修改口令复杂度和更换周期如下：

数据库系统用户口令未定期更换

ALTER USER 用户名 PASSWORD EXPIRE INTERVAL 180 DAY;

应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

Centos操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间

修改远程登录用户

修改为登录三次锁定用户，锁定时间为：一般用户5分钟,超级用户锁定10分钟配置如下：

修改/etc/sshd(一定要放在第一行，否则即使输入次数超过三次，再输入密码也是可以进去的)：

auth required deny=3 unlock_time=300 even_deny_root root_unlock_time=600

如下图：

修改客户端登录用户

修改/etc/login(一定要放在第一行，否则即使输入次数超过三次，再输入密码也是可以进去的)：

auth required deny=3 unlock_time=300 even_deny_root root_unlock_time=600

如下图：

Windows操作系统未设置合理的登陆失败处理功能，未设置设备登录失败超时时间

账户锁定策略:复位帐户锁定计数器->3分钟帐户锁定时间->5分钟帐户锁定阀值->5次无效登录，设置设备登录失败超时时间（不大于10分钟）

数据库系统登录失败处理功能配置不满足要求，登录失败次数为100次，未设置非法登录锁定措施

当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；这个对应那条

这个对应那条

应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。

已删除数据库root账号，数据库中每个需要连接的主机对应一个账号

Windows（跳板机）应启用访问控制功能，依据安全策略控制用户对资源的访问；

禁用Print Spooler，禁用默认共享路径：C$

如下图：

应实现操作系统和数据库系统特权用户的权限分离

Centos操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等

在系统下分别添加不同较色的管理员：系统管理员、安全管理员、安全审计员

添加不同角色的人员

Useradd sysadmin

Useradd safeadmin

Useradd safecheck

为sysadmin添加sudo权限

chmod 740 /etc/sudoers

vi /etc/sudoers

sysadmin ALL=(ALL) ALL

chmod 440 /etc/sudoers

Window操作系统未实现特权用户的权限分离，如可分为：系统管理员、安全管理员、安全审计员等

添加：系统管理员、安全管理员和安全审计员

权限分配：

数据库账户和系统管理员账户的权限一致

数据库root账号已删除，数据库管理员账号为hqwnm和manager

应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令

Centos操作系统未限制默认账户的访问权限，未重命名默认账户

删除多余的账号，只保留root默认账号不确定是否正确，可以问下等保的人

不确定是否正确，可以问下等保的人

Windows操作系统未限制默认账户的访问权限，未重命名默认账户

重命名administrator和guest默认用户名

如下图：

数据库系统未限制默认账户的访问权限，未重命名默认账户

已删除root账号。无其他默认账号

应及时删除多余的、过期的帐户，避免共享帐户的存在

Centos操作系统未限制默认账户的访问权限，未删除多余、过期的账户（adm、 lp、sync、 shutdown、 halt、mail、operator、games ）

注释掉不需要的用户

修改：/etc/passwd如下：

adm、 lp、sync、 shutdown、 halt、mail、operator、games 分别注释掉

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

#adm:x:3:4:adm:/var/adm:/sbin/nologin

#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

#sync:x:5:0:sync:/sbin:/bin/sync

#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

#halt:x:7:0:halt:/sbin:/sbin/halt

#mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

#operator:x:11:0:operator:/root:/sbin/nologin

#games:x:12:100:games:/usr/games:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin

polkitd:x:999:998:User for polkitd:/:/sbin/nologin

avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin

avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin

libstoragemgmt:x:998:997:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin

ntp:x:38:38::/etc/ntp:/sbin/nologin

abrt:x:173:173::/etc/abrt:/sbin/nologin

postfix:x:89:89::/var/spool/postfix:/sbin/nologin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

chrony:x:997:996::/var/lib/chrony:/sbin/nologin

nscd:x:28:28:NSCD Daemon:/:/sbin/nologin

tcpdump:x:72:72::/:/sbin/nologin

nginx:x:996:995:nginx user:/var/cache/nginx:/sbin/nologin

sysadmin:x:1000:1000::/home/sysadmin:/bin/bash

safeadmin:x:1001:1001::/home/safeadmin:/bin/bash

safecheck:x:1002:1002::/home/safecheck:/bin/bash

如下图：

注释掉不需要的组

[root@iZ886zdnu5gZ ~]# cat /etc/group

root:x:0:

bin:x:1:

daemon:x:2:

sys:x:3:

#adm:x:4:

tty:x:5:

disk:x:6:

#lp:x:7:

mem:x:8:

kmem:x:9:

wheel:x:10:

cdrom:x:11:

#mail:x:12:postfix

man:x:15:

dialout:x:18:

floppy:x:19:

#games:x:20:

tape:x:30:

video:x:39:

ftp:x:50:

lock:x:54:

audio:x:63:

nobody:x:99:

users:x:100:

utmp:x:22:

utempter:x:35:

ssh_keys:x:999:

systemd-journal:x:190:

dbus:x:81:

polkitd:x:998:

avahi:x:70:

avahi-autoipd:x:170:

libstoragemgmt:x:997:

ntp:x:38:

dip:x:40:

abrt:x:173:

stapusr:x:156:

stapsys:x:157:

stapdev:x:158:

slocate:x:21:

postdrop:x:90:

postfix:x:89:

sshd:x:74:

chrony:x:996:

nscd:x:28:

tcpdump:x:72:

nginx:x:995:

sysadmin:x:1000:

safeadmin:x:1001:

safecheck:x:1002:

Windows操作系统未限制默认账户的访问权限

对重要文件夹进行访问限制，没有权限的系统默认账号是无法访问的，例如：

数据库系统未限制默认账户的访问权限，未删除多余、过期和共享的账户

数据库已限制用户的访问，每个IP对应一个用户名

审计范围应覆盖到服务器上的每个操作系统用户和数据库用户

Centos操作系统未开启日志审计功能，审计范围未覆盖到每个用户，未使用第三方安全审计产品实现审计要求

开启日志日记进程（audit）,审计覆盖到每个用户

Windows操作系统审计日志未覆盖到用户所有重要操作

开启系统审计日志，如下图：

数据库系统未开启审计进程；未使用第三方审计系统对系统进行操作审计，审计范围未覆盖到抽查的用户

数据库安装了第三方的审计插件。macfee公司基于percona开发的mysqlaudit插件

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

Centos审计内容未包括重要用户行为，系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

修改，使审计内容包括：用户重要行为、系统资源调用、文件访问和用户登录等

-w /var/log/audit/ -k LOG_audit

-w /etc/audit/ -p wa -k CFG_audit

-w /etc/sysconfig/auditd -p wa -k

-w /etc/ -p wa -k

-w /etc/audisp/ -p wa -k CFG_audisp

-w /etc/cups/ -p wa -k CFG_cups

-w /etc/cups -p wa -k CFG_initd_cups

-w /etc/ -p wa -k

-w /etc/selinux/mls/ -p wa -k CFG_MAC_policy

-w /usr/share/selinux/mls/ -p wa -k CFG_MAC_policy

-w /etc/selinux/ -p wa -k CFG_MAC_policy

-w /usr/sbin/stunnel -p x

-w /etc/security/ -p wa -k CFG_RBAC_self_test

-w /etc/ -p wa -k

-w /etc/crontab -p wa -k CFG_crontab

-w /var/spool/cron/root -k CFG_crontab_root

-w /etc/group -p wa -k CFG_group

-w /etc/passwd -p wa -k CFG_passwd

-w /etc/gshadow -k CFG_gshadow

-w /etc/shadow -k CFG_shadow

-w /etc/security/opasswd -k CFG_opasswd

-w /etc/ -p wa -k

-w /etc/securetty -p wa -k CFG_securetty

-w /var/log/faillog -p wa -k LOG_faillog

-w /var/log/lastlog -p wa -k LOG_lastlog

-w /var/log/tallylog -p wa -k LOG_tallylog

-w /etc/hosts -p wa -k CFG_hosts

-w /etc/sysconfig/network-scripts/ -p wa -k CFG_network

-w /etc/inittab -p wa -k CFG_inittab

-w /etc/ -p wa -k CFG_initscripts

-w /etc/localtime -p wa -k CFG_localtime

-w /etc/ -p wa -k

-w /etc/ -p wa -k CFG_pam

-w /etc/security/ -p wa -k CFG_pam

-w /etc/aliases -p wa -k CFG_aliases

-w /etc/postfix/ -p wa -k CFG_postfix

-w /etc/ssh/sshd_config -k CFG_sshd_config

-w /etc/ -k

-a exit,always -F arch=b32 -S sethostname

-w /etc/issue -p wa -k CFG_issue

-w /etc/ -p wa -k 如：用户登录信息：

用户重要行为信息：

Windows审计内容未包括系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

修改如下图：

数据库系统的审计内容未包括：重要用户行为、系统资源的异常使用和重要系统命令的使用等

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等

Centos审计记录未包括事件的日期、事件、类型、主体标识、客体标识和结果等

开启日志监控：

Audit

数据库系统审计记录未包括事件的日期、时间、类型、主体标识、客体标识和结果等

应保护审计记录，避免受到未预期的删除、修改或覆盖等

Centos审计记录未受到保护，未能避免受到未预期的删除、修改或覆盖等

在系统下修改日志保存文件/etc/ 文件如下：

#keep 10 weeks worth of backlogs

rotate 10

保存日志文件10周

数据库系统未对审计记录进行保护

数据库审计日志存储在/var/lib/mysql/

定期1个月人工将该文件备份

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新

Centos操作系统未及时更新系统补丁，未禁用多余服务端口：123

已关闭123端口对应的服务ntpd。启用firewalld。各主机只开放对应端口。包括80,7008,9200,9300及3306

更新openssl

[root@iZ886zdnu5gZ ~]# openssl version

更新后的版本为：

更新openssh

[root@iZ886zdnu5gZ ~]# ssh -V

更新后的版本为：

[root@iZ886zdnu5gZ ]# ssh -V

Windows操作系统未遵循最小安装原则，存在多余软件：谷歌浏览器、notepad++，未及时更新系统补丁，未禁用多余服务：Print Spooler，未禁用多余端口：135、137、139、445、123

删除多余的软件：如谷歌浏览器、notepad++、禁止多余服务：PrintSpooler

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库

Centos

由阿里云盾提供保护

Windows

由阿里云提供：

应支持防恶意代码软件的统一管理

Centos

由阿里云盾提供

Windows

由阿里云提供：

应通过设定终端接入方式、网络地址范围等条件限制终端登录

Centos作系统未设定终端接入方式、网络地址范围等条件限制终端登录

在系统的/etc/和/etc/添加网络拒绝和允许地址

在/etc/中禁止TCP类型所有联系

数据库系统未通过设定终端接入方式、网络地址范围等条件限制终端登录

每个账号对应一个IP地址。限制用户%类型的无限制连接

应根据安全策略设置登录终端的操作超时锁定

Centos操作系统未根据安全策略设置登录终端的操作超时锁定

修改ssh终端用户

添加：/etc/ssh/sshd_conf 内容：

ClientAliveInterval 600 荣辉提供复杂度闲20分钟退出

荣辉提供复杂度

应用系统未对系统的最大并发会话连接数进行限制

已设置，在中配置maxConcurrentCount属性

中间件未对系统的最大并发会话连接数进行限制

已设置，在中配置maxSessionCount属性

应用系统同一台机器未对系统单个账号的多重并发会话进行限制，不同机器未对系统单个账号的多重并发会话进行限制

在nginx中启用连接会话限制。每个IP只能有20个连接，

系统通过SSH1、VPN和HTTP方式进行数据传输，部分管理数据、鉴别数据、重要业务数据在传输过程中未能检测到完整性遭到破坏，未能够对数据在遭到传输完整性破

数据库启用SSL

建议系统采用通信加密或者其他措施实现管理数据、鉴别数据、重要业务数据的存储保密性

数据库启用SSL

建议系统提供每天至少一次的数据完全备份，并对备份介质进行场外存放

建议提供数据库系统硬件冗余，保证系统的高可用性