Nginx
*排查有無Nginx中間件,可使用以下命令:
ps -ef | grep nginx、netstat -nutlp?
*確認Nginx中間件有運行,查看其目錄:
find / -name nginx.conf、ps -ef | grep Nginx
*確認好目錄后,查看版本:
nginx -v、nginx -V
#####################################################
安全審計模塊:
a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
此項主要考察是否Nginx中間件是否有開啟日志審計功能,其安裝目錄下是否存在日志文件。常用方法:find / -name access.log和find / -name error.log進行查看。
亦可進入其配置文件nginx.conf查看日志是否開啟,查用命令,cat nginx.conf | grep access.log、cat nginx.conf | grep error.log,主要查看access.log和error.log是否設置相關參數并取消注釋。
b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
此項主要查看Nginx中間件的日志文件是否包含操作人、操作IP、操作時間、操作內容、操作狀態、操作結果等信息,一般需進入logs目錄,查看access.log和error.log日志文件。若Nginx中間件未開啟日志審計功能,則該項不符合。
c)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
此項主要查看Nginx中間件的日志文件信息是否可追溯至6個月前的記錄以及是否有對Nginx中間件的日志文件進行定期備份,常用方法:進入logs目錄,使用tail -10 access.log、tail -10 error.log和head -10 access.log、tail -10 error.log進行查看。至于備份,則需詢問業主單位是否有制定相關策略對中間件日志信息進行備份。若未開啟日志審計功能,則該項不符合。
d)應對審計進程進行保護,防止未經授權的中斷。
若Nginx中間件已開啟日志審計功能,則該項直接給符合,因為默認情況下,Nginx中間件的日志審計進程由root管理員進行配置管理,其他非授權人員不得隨意更改。若Nginx中間件未開啟日志審計功能,該項可給不符合。
入侵防范模塊:
a)應遵循最小安裝的原則,僅安裝需要的組件和應用程序;
直接給不適用即可。
b)應關閉不需要的系統服務、默認共享和高危端口;
直接給不適用即可。
c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制;
直接給不適用即可。
d)應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求;
直接給不適用即可。
e)應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞;
適用性:該項可結合漏洞工具進行查看,檢查是否包含高風險漏洞信息。
不適用性:直接給不適用。
f)應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警。
直接給不適用即可。
可信驗證模塊:
a)可基于可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證,并在應用程序的關鍵執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心。
直接給不適用即可。
數據完整性模塊:
a)應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性,包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等;
針對Nginx中間件,此項主要考察重要數據一般為:鑒別數據、審計數據和配置數據。
因Nginx中間件無獨立控制臺,不涉及用戶身份認證,故無鑒別數據,且因該中間件中審計數據和配置數據均為本地運行,不涉及遠程管理傳輸,綜合以上,一般給不適用。
b)應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性,包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。
此項主要考察Nginx中間件中是否有對審計數據和配置數據進行加密存儲,在實際業務情況下,一般都不會進行加密存儲,故在此一般給不符合。
數據保密性模塊:
a)應采用密碼技術保證重要數據在傳輸過程中的保密性,包括但不限于鑒別數據、重要業務數據和重要個人信息等;
此項同數據完整性模塊a項不同,在此主要考察的重要數據為:鑒別數據。
因Nginx中間件無獨立控制臺,不涉及用戶身份認證,故無鑒別數據,且僅為本地配置管理,故在此一般為不適用。
b)應采用密碼技術保證重要數據在存儲過程中的保密性,包括但不限于鑒別數據、重要業務數據和重要個人信息等。
借鑒上述描述,直接給不適用即可,無鑒別數據、業務數據和個人信息。
數據備份恢復模塊:
a)應提供重要數據的本地數據備份與恢復功能;
此項主要考察兩點:1、是否有對Nginx中間件重要數據進行備份,Nginx中間件重要數據一般為配置數據。2、是否有對已備份的Nginx中間件重要數據進行恢復測試。
該項需詢問業主單位是否有制定備份策略及進行恢復性測試,有做備份,未作恢復性測試,則給部分符合;若未做備份和恢復性測試,則給不符合即可。
b)應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地;
該項需詢問業主單位是否有做異地實時備份策略。
c)應提供重要數據處理系統的熱冗余,保證系統的高可用性。
該項主要考察中間件是否有做主備冗余或集群方式部署,一般可觀察調研表或詢問業主單位即可。
——JWT)
)
】接口)