Veritas NetBackup™ Appliance 安全指南
NetBackup appliance 的操作系统 STIG 加固
安全技术实施指南 (STIG) 提供了用于提高信息系统和软件的安全性的技术指导,从而帮助防止计算机受到恶意攻击。这种安全性类型也称为加固。
从软件版本 3.1 开始,为了提高安全性,您可以启用操作系统 STIG 加固规则。这些规则基于国防信息系统局 (DISA) 的以下配置文件:
Red Hat Enterprise Linux 7 Server 的 STIG - 0.1.43 版
要启用这些规则,请使用以下命令:
Main_Menu > Settings > Security > Stig Enable,后接 maintenance 密码。
请注意有关启用 STIG 的以下几点:
启用该选项时,将显示强制执行的规则列表。命令输出还显示不强制执行的任何规则的例外情况。
此命令不支持单个规则控制。
对于高可用性 (HA) 设置中的设备(节点)中,必须在每个节点上手动启用此功能以确保转换后正常运行。
启用该选项后,需要执行恢复出厂设置才可禁用关联的规则。
如果已配置轻型目录访问协议 (LDAP),建议您先将其设置为使用传输层安全性 (TLS),然后再启用该选项。
注意:
如果在 Appliance 上启用了 STIG 功能,且需要升级 Appliance 或在该 Appliance 上安装 EEB,请勿计划在凌晨 4:00 - 4:30 时段进行此类安装。按照此最佳做法,可以避免中断 AIDE 数据库和所有受监视文件的自动更新,而中断其自动更新可能会导致 Appliance 发出多个警报消息。
下面介绍了在启用该选项后强制执行的加固规则。每个规则均由通用配置枚举器 (CCE) 标识符、简短规则描述和安全内容自动化协议 (SCAP) 扫描程序严重性级别进行标识。软件版本 3.1 可处理扫描程序严重性级别为高和中的规则。
CCE-27127-0:启用虚拟地址空间的随机布局。
扫描程序严重性级别:中
CCE-26900-1:禁止对
SUID程序进行核心转储。扫描程序严重性级别:低
CCE-27050-4:限制对内核消息缓冲区的访问。
扫描程序严重性级别:低
CCE-80258-7:禁用
kdump内核崩溃分析程序。扫描程序严重性级别:中
CCE-27220-3:构建并测试
AIDE数据库。扫描程序严重性级别:中
CCE-26952-2:配置
AIDE的定期执行。扫描程序严重性级别:中
CCE-27303-7:修改系统登录提示。
扫描程序严重性级别:中
CCE-27082-7:设置 SSH 客户端动态帐户。
扫描程序严重性级别:中
CCE-27314-4:启用 SSH 警告提示。
扫描程序严重性级别:中
CCE-27437-3:确保
auditd收集有关使用特权命令的信息。扫描程序严重性级别:中
CCE-27309:设置引导加载程序密码。
扫描程序严重性级别:高
CCE-80374-2:配置
AIDE扫描结果的通知。扫描程序安全级别:中
CCE-80375-9:将 AIDE 配置为对访问控制列表 (ACL) 进行验证。
扫描程序严重性级别:中
CCE-80376-7:将 AIDE 配置为对扩展属性进行验证。
扫描程序严重性级别:中
CCE-27375-5:配置磁盘空间不足时的
auditd_space_left_action。扫描程序严重性级别:中
CCE-27341-7:将
auditd配置为使用audispd_syslog_plugin。扫描程序安全级别:中
CCE-27353-2:记录修改系统自主访问控制的事件 (
fremovexattr)。扫描程序严重性级别:中
CCE-27410-0:记录修改系统自主访问控制的事件 (
lremovexattr)。扫描程序严重性级别:中
CCE-27367-2:记录修改系统自主访问控制的事件 (
removexattr)。扫描程序严重性级别:中
CCE-27204-7:记录修改登录和注销事件的尝试次数。
扫描程序严重性级别:中
CCE-27347-4:确保
auditd收集未经授权的文件访问尝试次数。扫描程序严重性级别:中
CCE-27447-2:确保
auditd收集有关成功导出到介质的信息。扫描程序严重性级别:中
CCE-27206-2:确保
auditd收集用户执行的文件删除事件。扫描程序严重性级别:中
CCE-27129-6:确保
auditd收集有关内核模块加载和卸载的信息。扫描程序严重性级别:中
CCE-27333-4:设置最多连续重复字符数的密码规则。
扫描程序严重性级别:中
CCE-27512-3:设置相同字符类的最多连续重复字符数的密码规则。
扫描程序严重性级别:中
CCE-27214-6:设置最少数字字符数的密码强度。
扫描程序严重性级别:中
CCE-27293-0:设置最小长度的密码规则。
扫描程序严重性级别:中
CCE-27200-5:设置最少大写字符数的密码强度。
扫描程序严重性级别:中
CCE-27360-7:设置最少特殊字符数的密码强度。
扫描程序严重性级别:中
CCE-27345-8:设置最少小写字符数的密码强度。
扫描程序严重性级别:中
CCE-26631-2:设置最少不同字符数的密码强度。
扫描程序严重性级别:中
CCE-27115-5:禁止通过
modprobe加载 USB 存储驱动程序。扫描程序严重性级别:中
CCE-27350-8:设置因密码尝试失败而拒绝访问的次数。
扫描程序严重性级别:中
CCE-80353-6:为失败的密码尝试配置 root 帐户。
扫描程序严重性级别:中
CCE-27297-1:设置对失败的密码尝试进行计数的间隔。
扫描程序严重性级别:中
CCE-27002-5:设置最短密码期限。
扫描程序严重性级别:中
CCE-27051-2:设置最长密码期限。
扫描程序安全级别:中
CCE-27081-9:限制每个用户允许的并行登录会话数。
扫描程序严重性级别:低
CCE-80522-6:设置现有密码的最长使用期限(设置的密码在此时间段后将过期且必须更改)。
扫描程序严重性级别:中
CCE-80521-8:设置现有密码的最短使用期限(密码的使用时间必须达到此时间段才能更改)。
扫描程序严重性级别:中
CCE-27339-1:记录修改系统自主访问控制的事件 (chmod)。
扫描程序严重性级别:中
CCE-27364-9:记录修改系统自主访问控制的事件 (chown)。
扫描程序严重性级别:中
CCE-27393-8:记录修改系统自主访问控制的事件 (fchmod)。
扫描程序严重性级别:中
CCE-27388-8:记录修改系统自主访问控制的事件 (fchmodat)。
扫描程序严重性级别:中
CCE-27356-5:记录修改系统自主访问控制的事件 (fchown)。
扫描程序严重性级别:中
CCE-27387-0:记录修改系统自主访问控制的事件 (fchownat)。
扫描程序严重性级别:中
CCE-27389-6:记录修改系统自主访问控制的事件 (fsetxattr)。
扫描程序严重性级别:中
CCE-27083-5:记录修改系统自主访问控制的事件 (lchown)。
扫描程序严重性级别:中
CCE-27280-7:记录修改系统自主访问控制的事件 (lsetxattr)。
扫描程序严重性级别:中
CCE-27213-8:记录修改系统自主访问控制的事件 (setxattr)。
扫描程序严重性级别:中
CCE-27206-2:确保
auditd收集用户执行的文件删除事件 (rename)。扫描程序严重性级别:中
CCE-80413-8:确保
auditd收集用户执行的文件删除事件 (renameat)。扫描程序严重性级别:中
CCE-80412-0:确保
auditd收集用户执行的文件删除事件 (rmdir)。扫描程序严重性级别:中
CCE-27206-2:确保
auditd收集用户执行的文件删除事件 (unlink)。扫描程序严重性级别:中
CCE-80662-0:确保
auditd收集用户执行的文件删除事件 (unlinkat)。扫描程序严重性级别:中
CCE-80446-8:确保
auditd收集有关内核模块加载的信息 (insmod)。扫描程序严重性级别:中
CCE-80417-9:确保
auditd收集有关内核模块加载和卸载的信息 (modprobe)。扫描程序严重性级别:中
CCE-80416-1:确保
auditd收集有关内核模块卸载的信息 (rmmod)。扫描程序严重性级别:中
CCE-80384-1:记录修改登录和注销事件的尝试次数 (lastlog)。
扫描程序严重性级别:中
CCE-80382-5:记录修改登录和注销事件的尝试次数 (tallylog)。
扫描程序严重性级别:中
CCE-80398-1:确保
auditd收集有关使用特权命令的信息 (chage)。扫描程序严重性级别:中
CCE-80404-7:确保
auditd收集有关使用特权命令的信息 (chsh)。扫描程序严重性级别:中
CCE-80410-4:确保
auditd收集有关使用特权命令的信息 (crontab)。扫描程序严重性级别:中
CCE-80397-3:确保
auditd收集有关使用特权命令的信息 (gpasswd)。扫描程序严重性级别:中
CCE-80403-9:确保
auditd收集有关使用特权命令的信息 (newgrp)。扫描程序严重性级别:中
CCE-80411-2:确保
auditd收集有关使用特权命令的信息 (pam_timestamp_check)。扫描程序严重性级别:中
CCE-80395-7:确保
auditd收集有关使用特权命令的信息 (passwd)。扫描程序严重性级别:中
CCE-80406-2:确保
auditd收集有关使用特权命令的信息 (postdrop)。扫描程序严重性级别:中
CCE-80407-0:确保
auditd收集有关使用特权命令的信息 (postqueue)。扫描程序严重性级别:中
CCE-80408-8:确保
auditd收集有关使用特权命令的信息 (ssh-keysign)。扫描程序严重性级别:中
CCE-80400-5:确保
auditd收集有关使用特权命令的信息 (su)。扫描程序严重性级别:中
CCE-80401-3:确保
auditd收集有关使用特权命令的信息 (sudo)。扫描程序严重性级别:中
CCE-80405-4:确保
auditd收集有关使用特权命令的信息 (umount)。扫描程序严重性级别:中
CCE-80396-5:确保
auditd收集有关使用特权命令的信息 (unix_chkpwd)。扫描程序严重性级别:中
CCE-80399-9:确保
auditd收集有关使用特权命令的信息 (userhelper)。扫描程序严重性级别:中
CCE-27461-3:确保
auditd收集系统管理员操作。扫描程序严重性级别:中
CCE-80433-6:记录修改用户/组信息的事件 (
/etc/group)。扫描程序严重性级别:中
CCE-80432-8:记录修改用户/组信息的事件 (
/etc/gshadow)。扫描程序严重性级别:中
CCE-80430-2:记录修改用户/组信息的事件 (
/etc/security/opasswd)。扫描程序严重性级别:中
CCE-80435-1:记录修改用户/组信息的事件 (
/etc/passwd)。扫描程序严重性级别:中
CCE-80431-0:记录修改用户/组信息的事件 (
/etc/shadow)。扫描程序严重性级别:中
CCE-27309-4:在 grub2 中设置引导加载程序密码。
扫描程序严重性级别:高
CCE-80377-5:将 AIDE 配置为使用 FIPS 140-2 验证哈希。
扫描程序严重性级别:中
以下规则始终强制执行,无法禁用。这些规则的加固符合“NIST 专刊 800-123”中所述的规范。有关更多信息,请参考以下内容:
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-123.pdf
CCE-80165-4:配置用于忽略 ICMP 广播回显请求的内核参数。
扫描程序严重性级别:中
CCE-80156-3:禁用默认情况下用于发送 ICMP 重定向的内核参数。
扫描程序严重性级别:中
CCE-80156-3:禁用用于发送所有接口的 ICMP 重定向的内核参数。
扫描程序严重性级别:中
CCE-27212-0:为在审核后台驻留程序之前启动的进程启用审核。
扫描程序严重性级别:中
CCE-26957-1:确保已安装 Red Hat GPG 密钥。
扫描程序严重性级别:高
CCE-27096-7:确保已安装
AIDE软件包。扫描程序严重性级别:中
CCE-27351-6:安装
screen软件包。扫描程序严重性级别:中
CCE-27268-2:限制串行端口以 root 身份登录。
扫描程序严重性级别:低
CCE-27318-5:限制虚拟控制台以 root 身份登录。
扫描程序严重性级别:中
CCE-27401-9:禁用
telnet服务扫描程序严重性级别:高
CCE-27471-2:禁止在没有密码的情况下进行 SSH 访问。
扫描程序严重性级别:高
CCE-27286-4:防止在没有密码的情况下登录到帐户。
扫描程序严重性级别:高
CCE-27511-5:禁用 Ctrl-Alt-Del 重新启动激活。
扫描程序严重性级别:高
CCE-27320-1:仅允许 SSH 协议版本 2。
扫描程序严重性级别:高
CCE-27294-8:不允许直接以 root 身份登录。
扫描程序严重性级别:中
CCE-80157-1:禁用用于 IP 转发的内核参数。
扫描程序严重性级别:中
CCE-80158-9:配置用于接受所有接口的 ICMP 重定向的内核参数。
扫描程序严重性级别:中
CCE-80163-9:配置默认情况下用于接受 ICMP 重定向的内核参数。
扫描程序严重性级别:中
CCE-27327-6:禁用蓝牙内核模块。
扫描程序严重性级别:中
CCE-80179-5:配置用于接受所有接口的源路由数据包的内核参数。
扫描程序严重性级别:中
CCE-80220-7:禁用 GSSAPI 身份验证。
扫描程序严重性级别:中
CCE-80221-5:禁用 Kerberos 身份验证。
扫描程序严重性级别:中
CCE-80222-3:启用严格模式检查。
扫描程序严重性级别:中
CCE-80224-9:禁用压缩或将压缩设置为延迟。
扫描程序严重性级别:中
CCE-27455-5:只使用 FIPS 批准的 MAC。
扫描程序严重性级别:中
CCE-80378-3:验证拥有
/etc/cron.allow的用户。扫描程序严重性级别:中
CCE-80379-1:验证拥有
/etc/cron.allow的组。扫描程序严重性级别:中
CCE-80372-6:禁用对用户已知主机的 SSH 支持。
扫描程序严重性级别:中
CCE-80373-4:禁用对
rhostsRSA 身份验证的 SSH 支持。扫描程序严重性级别:中
CCE-27363-1:不允许使用 SSH 环境选项。
扫描程序严重性级别:中
CCE-26989-4:确保 gpgcheck 已全局激活。
扫描程序严重性级别:高
CCE-80349-4:确保安装的操作系统已经过认证。
扫描程序严重性级别:高
CCE-27175-9:无零以外的 UID。
扫描程序严重性级别:高
CCE-27498-5:禁用自动装入程序。
扫描程序严重性级别:中
CCE-80134-0:用户拥有所有文件。
扫描程序严重性级别:中
CCE-80135-7:组拥有所有文件权限。
扫描程序严重性级别:中
CCE-27211-2:
sysctl_kernal_exec_shield。扫描程序严重性级别:中
CCE-27352-4:验证是否隐藏所有帐户密码哈希。
扫描程序严重性级别:中
CCE-27104-9:设置密码哈希算法
systemauth。扫描程序严重性级别:中
CCE-27124-7:设置密码哈希算法
logindefs。扫描程序严重性级别:中
CCE-27053-8:设置密码哈希算法
libusercon。扫描程序严重性级别:中
CCE-27078-5:禁用预链接软件。
扫描程序严重性级别:低
CCE-27116-3:在支持的 32 位 x86 系统上安装 PAE 内核。
扫描程序严重性级别:低
CCE-27503-2:
/etc/password中引用的所有 GID 必须在/etc/group中进行定义。扫描程序严重性级别:低
CCE-27160-1:密码 pam retry。
扫描程序严重性级别:低
CCE-27275-7:显示登录尝试次数。
扫描程序严重性级别:低
CCE-80350-2:在
sudo上删除no_authenticate。扫描程序严重性级别:中
CCE-26961-3:确保
/etc/default/grub中未禁用 SELinux。扫描程序严重性级别:中
CCE-80245-4:卸载
vsftpd软件包。扫描程序严重性级别:高
CCE-80216-5:启用 OpenSSH 服务。
扫描程序严重性级别:中
CCE-27407-6:启用
auditd服务。扫描程序严重性级别:中
CCE-27361-5:验证是否已启用 firewalld。
扫描程序严重性级别:中
CCE-80544-0:确保用户无法更改 GNOME3 会话空闲设置。
扫描程序严重性级别:中
CCE-80371-8:确保用户无法更改 GNOME3 屏幕保护程序设置。
扫描程序严重性级别:中
CCE-80563-0:确保在过了空闲期限后用户无法更改 GNOME3 屏幕保护程序锁。
扫描程序严重性级别:中
CCE-80112-6:在过了空闲期限后启用 GNOME3 屏幕保护程序锁。
扫描程序严重性级别:中
CCE-80370-0:在过了激活期限后设置 GNOME3 屏幕保护程序锁延迟。
扫描程序严重性级别:中
CCE-80110-0:设置 GNOME3 屏幕保护程序不活动超时。
扫描程序严重性级别:中
CCE-80564-8:确保用户无法更改 GNOME3 屏幕保护程序空闲激活。
扫描程序严重性级别:中
CCE-80162-1:配置默认情况下用于接受源路由数据包的内核参数。
扫描程序严重性级别:中
CCE-80111-8:启用 GNOME3 屏幕保护程序空闲激活。
扫描程序严重性级别:中
CCE-80105-0:禁用 GDM 访客登录。
扫描程序严重性级别:高
CCE-80104-3:禁用 GDM 自动登录。
扫描程序严重性级别:高
CCE-80108-4:启用 GNOME3 登录智能卡身份验证。
扫描程序严重性级别:中
CCE-27279-9:配置 SELinux 策略。
扫描程序严重性级别:高
CCE-80148-0:将
nosuid选项添加到可移动介质分区。扫描程序严重性级别:低
CCE-80136-5:确保所有全局可写目录都归系统帐户所有。
扫描程序严重性级别:低
CCE-80174-6:确保系统未用作网络探查器。
扫描程序严重性级别:中
CCE-80438-5:在
/etc/resolv.conf中配置多个 DNS 服务器。扫描程序严重性级别:低
CCE-27358-1:停用无线网络接口。
扫描程序严重性级别:中
CCE-27287-2:单用户模式下需要进行身份验证。
扫描程序严重性级别:中
CCE-27434-0:配置用于接受所有接口的 IPv4 源路由数据包的内核参数。
扫描程序严重性级别:中
CCE-80447-6:配置 Firewalld 端口。
扫描程序严重性级别:中
CCE-80380-9:确保
cron能够记录到 Rsyslog。扫描程序严重性级别:中
CCE-80354-4:设置 UEFI 引导加载程序密码。
扫描程序严重性级别:中
CCE-80517-6:可移动介质上未安装引导加载程序。
扫描程序严重性级别:中
CCE-27394-6:配置磁盘空间不足时的
auditdmail_acct action。扫描程序严重性级别:中
CCE-80434-4:确保为新用户创建主目录。
扫描程序严重性级别:中
CCE-80536-6:确保为交互用户正确设置默认 umask。
扫描程序严重性级别:中
CCE-26923-3:限制密码重用。
扫描程序严重性级别:中
CCE-26892-0:设置 GNOME3 登录警告提示文本。
扫描程序严重性级别:中
CCE-26970-4:启用 GNOME3 登录警告提示。
扫描程序严重性级别:中
CCE-27218-7:删除 X Windows 软件包组。
扫描程序严重性级别:中
CCE-80215-7:安装 OpenSSH 服务器软件包。
扫描程序严重性级别:中
CCE-27311-0:验证 SSH 服务器 *.pub 公钥文件上的权限。
扫描程序严重性级别:中
CCE-27485-2:验证 SSH 服务器 *_key 私钥文件上的权限。
扫描程序严重性级别:中
CCE-80223-1:启用特权分离。
扫描程序严重性级别:中
CCE-27295-5:仅使用已通过 FIPS 140-2 验证的密码。
扫描程序严重性级别:中
CCE-80225-6:启用 SSH 打印最近的日志。
扫描程序严重性级别:中
CCE-27445-6:禁止 SSH 以 root 身份登录。
扫描程序严重性级别:中
CCE-27377-1:禁用对 .rhosts 文件的 SSH 支持。
扫描程序严重性级别:中
CCE-27413-4:禁用基于主机的身份验证。
扫描程序严重性级别:中
CCE-27458-9:使用 Kerberos 安全性装入远程文件系统。
扫描程序严重性级别:中
CCE-80214-0:确保 tftp 后台驻留程序使用安全模式。
扫描程序严重性级别:中
CCE-80213-2:卸载 tftp-server 软件包。
扫描程序严重性级别:高
CCE-27165-0:卸载 telnet-server 软件包。
扫描程序严重性级别:高
CCE-27342-5:卸载 rsh-server 软件包。
扫描程序严重性级别:高
CCE-80514-3:删除基于用户主机的身份验证文件。
扫描程序严重性级别:高
CCE-80513-5:删除基于主机的身份验证文件。
扫描程序严重性级别:高
CCE-27399-5:卸载
ypserv软件包。扫描程序严重性级别:高
CCE-80240-5:使用
nosuid装入远程文件系统。扫描程序严重性级别:中
CCE-80436-9:使用
noexec装入远程文件系统。扫描程序严重性级别:中
CCE-80205-8:确保在
login.defs中正确设置默认 umask。扫描程序严重性级别:中
请参见非强制 STIG 加固规则。