等保测评实施与改善

等保一级，自主保护级，一般适用于小型企业、个体企业、县级单位中一般的信息系统。

等保二级，指导保护级，系统遭到破坏会对社会秩序和公共利益造成损害，但不损害国家利益，一般适用于县级单位系统或市级单位内部一般系统。

等保三级，监督保护级，系统遭到破坏会对国家利益造成损害，一般适用于市级单位重要系统，省部委的门户网站等。

等保四级，强制保护级，系统遭到破坏会对国际安全造成严重损害，适用于国家重要部门、重要领域的重要系统，如电力、电信、铁路、银行等。

等保五级，专控保护级，系统遭到破坏会对国家利益造成特别严重的损害，适用于国家重要领域、重要部门中极端重要的系统。

一、等保测评

1. 等保之Linux测评操作步骤
2. 等保测评–计算环境之服务器设备安全（一）
3. 等保2.0 安全计算环境-服务器-Linux（三级系统）

[root@localhost ~]# service auditd status
 
[root@localhost ~]# service rsyslog status
 
====> 显示running为开启服务
1
2
3
4
5

4. HDIS:EventLog Analyzer日志管理、审计、分析服务器部署教程（Linux版本）:
   使用 service eventloganalyzer start启动服务

5. 如何启动和关闭EventLog Analyzer

6. 【译】13款入侵检测系统介绍

7. 等保2.0数据库测评之MySQL数据库测评（上）

8. MySQL入门篇（七）之Xtrabackup备份与恢复

9. 等保测评（windows服务器）

10. history修改限制条数:

echo $HISTSIZE    查询设置的条数
vim /etc/profile,修改 HISTSIZE为需要的条数
source /etc/profile //使其立即生效
1
2
3

11. 等保测评 安全计算环境 之 windows操作系统
12. 等级保护测评2.0 mysql 数据库
13. 安装密码校验插件validate_password:
    mysql自带，安装即可

二、 linux命令

Linux使用systemctl设置程序开机自启动

systemctl 可以使用的service路径：/etc/systemd/system/

查看系统服务状态（是否成功启动）

# systemctl status myapp.service -l
1

1. 将服务设置成开机自启动

# systemctl enable myapp.service
# systemctl list-unit-files|grep myapp
1
2

myapp.service enabled

取消开机启动：

# systemctl disable myapp.service
# systemctl list-unit-files|grep myapp
1
2

myapp.service disabled

查看服务的控制台日志
相当于tail -f。

# journalctl -flu myapp.service
1

查看所有的开机启动的项目：
systemctl list-unit-files |grep enabled

三、linux杀毒软件

6 款适用于 Linux 的最佳免费杀毒软件
Linux病毒扫描工具ClamAV（Clam AntiVirus）安装使用

centos 安装ClamAV 杀毒工具并安装离线病毒库
官方文档

3.1 单机不联网运行

mv ./clamd.conf.example ./clamd.conf

配置
vim ./clamd.conf
# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
LocalSocket /tmp/clamd.socket

...

# Sets the permissions on the unix socket to the specified mode.
# Default: disabled (socket is world accessible)
LocalSocketMode 660
1
2
3
4
5
6
7
8
9
10
11
12
13

启动服务
clamd

3.2 命令扫描

clamav有两个命令：clamdscan、clamscan
clamdscan命令一般用yum安装才能使用，需要启动clamd服务，执行速度快
clamscan命令通用，不依赖服务，命令参数较多，执行速度稍慢

clamdscan：

          #service clamd start

        用clamdscan扫描，需要开始服务才能使用。速度快，不用带-r，默认会递归扫描子目录

        #clamdscan /usr
1
2
3
4
5

clamscan：
用clamscan扫描，不需要开始服务就能使用。速度慢，要带-r，才会递归扫描子目录

        #clamscan -r /usr

        这个命令不仅会显示找到的病毒，正常的扫描文件也会显示出来。
1
2
3

可以用下面这个命令，只显示找到的病毒信息

        # clamscan --no-summary -ri /tmp

        -r 递归扫描子目录

        -i 只显示发现的病毒文件

        --no-summary 不显示统计信息
1
2
3
4
5
6
7

可以写个脚本，用这句命令定期扫描，有返回值即触发告警。

四、EventLog Analyzer日志管理、审计、分析服务器部署教程（Linux版本）

service eventloganalyzer start 启动服务
官方文档

五、Linux文件系统完整性检查系统:Tripwire

TRIPWIRE的安装使用
下载地址：http://sourceforge.net/projects/tripwire/files/
1.rpm -ivh tripwire-2.3.1-22.el4.i386.rpm
2.修改/etc/tripwire/twpol.txt文件，自定义需要监控的文件
如：在文件的最后加入如下内容,关于其中的属性标记可以通过man twpolicy查看

# Test Web GUI File
(
  rulename = "Test Web GUI File",
  severity = $(SIG_HI)
)
{
    /var/www/html/test       -> $(SEC_CONFIG) ;
}
1
2
3
4
5
6
7
8

3.执行/usr/sbin/tripwire-setup-keyfiles，设置site和local密码，并对配置文件和规则文件进行加密
设置site pass（用于加密twpol.txt和twcfg.txt)，在/etc/tripwire目录下产生site.key
设置local pass（用于加密指纹数据库时使用）,在/etc/tripwire目录下产生$HOSTNAME-local.key（如mail.test.com-local.key）4.tripwire--init建立指纹数据库,期间会提示输入localpass密码在/var/lib/tripwire/目录下生成$HOSTNAME.twd文件（即指纹数据库文件，如mail.test.com.twd)
5.tripwire --check --interactive
对比指纹数据库，检查系统是否进行了改动,最后会显示报告清单

六、linux双因子认证：google-authenticator-libpam