序号检查项检查方法1端口监听检查 不跨VM访问的端口不能监听在业务IP，以及0.0.0.0上，一般只能在127.0.0.1上

1、使用netstat -an |grep tcp命令检查所有TCP端口

2、根据组网及模块间通信来确保是否跨VM通信.(R2C10为双机)

跨VM访问的端口列表：

不跨VM访问的端口列表：

暂不处理的端口列表：

2端口列表检查 通讯矩阵验证高优先级重视，要与局点针对通讯矩阵达成理解一致

1、通过nmap扫描后，查看是否有通讯矩阵中不存在的端口；

2、检查对应端口的描述是否正确。

3组（域）访问最小原则  比如两个不同ELB之间的虚拟机不能访问4跨域访问协议审视   跨域访问需要HTTPS,SNMP V3等安全协议要求5xx业务域主动访问管理域 需要有明确的原因，并通过SE,PM，测试评估达成一致意见

需要明确业务域与管理域分别是什么。vodaplex业务域访问管理域的场景有：

metadata虚拟机

6各VM最小服务集与客户明确最小集服务，保证C3的最小化安装7管理端口协议认证机制管理端口需要认证的有：Apiserver、Omserver、Cloudservice、IEE、ICC、IAM、ILB、ICS、Hbase8后门检查  固定密码、隐藏帐户、隐藏命令、隐藏参数、隐藏软参，隐藏接口、调试端口/命令检查，可与开发沟通9不安全协议审视   不安全服务（Telnet、FTP、NFS、Samba、RPC、TFTP、r 服务、Netbios、X-Windows、Snmp V1.0/V2.0 ）。

1、使用chkconfig检查服务是否存在，默认状态应为关闭

2、如果必须使用该服务，必须支持对应安全服务；

3、如果使用到不安全服务，需要提供安全的策略保证使用。

10口令不能明文在日志中1、梳理口令应用场景，

2、检查是否写将密码打印在日志中

11口令不能明文在配置文件扫描/查看所有配置文件即可12口令不能明文在脚本扫描脚本代码13口令不能明文在数据库1、明确口令入库的场景2、扫描数据库14xxx使用口令复杂度检查1、明确口令种类，检查复杂度15加密算法核查收集自己模块使用的加密算法，核实是否为不安全或私有。禁止DES、RC2、MD5、SHA1、HMAC-MD5、HMAC-SHA1等（非AES128的需要关注）16目录文件权限审视  目录文件权限规定如下：17管理日志审查重启   对xx系统有影响的操作，需要记录日志（重启xx各个服务）18管理日志审查修改   对xx系统有影响的操作，需要记录日志（修改日志级别、配置文件等）19管理日志审查删除   对xx系统有影响的操作，需要记录日志（删除重要资源、配置项）20系统安全加固1、检查项、加固项、加固列表要求统一；

2、加固完成后，不通过的项为0,；

3、加固完成后，检查系统，不通过项为0；

4、加固完成后，根据加固列表中加固项检查系统是否真实的完成加固。

21数据库加固1、检查项、加固项、加固列表要求统一；

2、加固完成后，不通过的项为0,；

3、加固完成后，检查系统，不通过项为0；

4、加固完成后，根据加固列表中加固项检查系统是否真实的完成加固。

22防暴力破解xxx防暴力破解包含：xxx/系统/数据库23数据库敏感文件权限oracle的敏感文件检查Oracle数据库的init.ora、listener.ora等

以下命令检查为空表示没有问题：

find -L $ORACLE_HOME/network/admin/*.ora ! −useroracle−a−groupdba−useroracle−a−groupdba -ls

find -L $ORACLE_HOME/network/admin/*.ora −perm−u=x−o−perm−g=w−o−perm−g=x−o−perm−o=r−o−perm−o=w−o−perm−o=x−perm−u=x−o−perm−g=w−o−perm−g=x−o−perm−o=r−o−perm−o=w−o−perm−o=x -ls

24畸形报文攻击APIserver使用xdefend攻击API，并检查API是否出现异常。25畸形报文攻击Omserver使用xdefend攻击Omserver，并检查API是否出现异常。26更新部分代码的扫描使用fortify扫描更新部分的代码，要求没有高级别漏洞

作者：带头大哥HACK
链接：https://www.jianshu.com/p/1e99e8f3ceec