A 实现 PCI DSS 合规 #

此任务嵌入在有关识别、记录系统上运行的所有服务和协议并证明其合理性的要求中。需要特殊关注可能导致安全风险的服务和协议。如果使用不安全的服务或协议，必须对其进行评估，以了解它的潜在安全影响。应该禁用或去除业务运营中不必要的服务或协议。

应该仅在具体指明的情形中允许出站流量。要允许特定的流量，需手动添加出站流量的规则。

在可能的情况下，将 SSH 守护程序限制为只能通过管理接口访问，而不能通过一般的网卡访问。定义服务允许的流量来源地址。

例如，要仅允许出站 DNS 请求通过接口 eth0 发往服务器 10.0.0.1，请使用：

root # firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 23 \
    -d 10.0.0.1/32 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
root # firewall-cmd --reload

要阻止所有其他出站流量，请参见 1.2.1.c 校验是否明确拒绝所有其他入站和出站流量 。

拒绝未根据上一节中所述定义其例外情况的所有出站和入站流量。转发通常已由某个内核参数完全禁用，且不应对端点服务器启用。

中的 firewalld 默认会阻止所有入站流量。

要阻止所有出站流量，请手动添加以下规则：

root # firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
root # firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
root # firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 99 -j DROP
root # firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 99 -j DROP
root # firewall-cmd --reload

此外，还可以通过 TCP 封装程序配置文件 /etc/hosts.deny 为特定的服务配置入站流量。

下面的大多数任务涉及到检查并校验定义的入站和出站规则是否真正将所有网段（例如 DMZ 和互联网）之间及其内部的流量限制为整个系统能够正常运行所需的最小必要程度。

在 中可通过两种方式实施仿假冒措施：

firewalld 通过 iptables 启用连接跟踪。默认会丢弃与标记为外部的接口所建立的连接。只允许与已建立的连接相关联的连接。

可以定义允许哪些服务连接到外部接口。但是，这种定义必须符合常规安全策略。

请记住，防御来自互联网的恶意连接的第一道防线应该是将会处理所有流量并充当把关者的专用防火墙系统。不需要的连接应该一律不能进入 DMZ 网络。不过， 系统上的简单防火墙规则可帮助避免错误配置，充当另一道防线。

系统还可充当路由器，将来自一个接口的流量转发到另一个接口上的另一个网络。可以在外部接口上使用网络地址转换 (NAT)，这样便不会真正向外部公开内部 IP 地址。这种做法的目的是减少外部攻击者只需分析网络流量就能收集到的信息。还可以在通过特定接口连接到外部的虚拟化主机或基于容器的环境中使用 NAT。

必须评估所有系统服务的配置是否符合所需的安全标准。这包括将所用的协议限制为仅允许当前安全的版本并禁用旧版实现，以及定义访问控制和身份验证。 的默认设置已经能够提供良好的总体安全性，但还可以进一步优化。

例如，以下安全性设置可能与此相关：

可以通过使用 AutoYaST 配置文件自动执行系统安装来自定义默认设置。这样便可以发布新的 实例并自动启用已经过评估的配置。可以使用 SUSE Manager 实现此设置过程的自动化。有关详细信息，请参见 https://documentation.suse.com/suma/ 上的 SUSE Manager 文档。

默认情况下， 不会创建除 root 管理用户以外的其他帐户。/etc/passwd 中定义了一些系统帐户，但这些帐户未激活，因此不能直接使用。可以通过检查 /etc/shadow 文件中的内容来验证这一点。

在该文件中，第二列表示定义的口令：

如 PCI DSS 文档中所述，行业接受的安全强化标准的可能来源包括：

由于未明确规定 PCI DSS 要求，安全强化标准与具体要求之间没有直接的关系。不过，其他安全强化资源也可为符合这些规范提供帮助，其中包括

要帮助隔离服务，可以使用 随附的各种虚拟化和容器化方法：KVM、Xen、LXC 和 Docker。

还可以在 VMware ESX 或 Microsoft Hyper-V 等第三方虚拟化服务器上运行 来实现服务隔离。

使用 内置的选项时，请参见：

此条款与要求 1 中的某个条款直接相关：仅允许真正需要且在使用安全协议和设置的服务（1.1.6.b 识别所允许的不安全服务、协议和端口；校验是否书面记录了每项服务的安全功能）。所有相关方必须清楚使用不安全通讯存在的风险。研究、明确书面记录并传达使用不安全协议和服务所带来的风险。

使用以下 systemctl 命令启用和禁用系统服务：

要列出系统上安装的所有可用服务及其状态，请使用以下命令：

tux > systemctl list-unit-files --type=service

要对不安全的服务添加额外的安全层，请使用 VPN 隧道（例如 IPsec）。使用 VPN 隧道可以隔离此类服务的网络流量，并防范所有数据遭到内部和外部窃听。但请注意，VPN 隧道端点上的通讯仍不安全，隧道只能作为一种因应措施。

要在 内部提高安全性，请使用 SELinux 或 AppArmor。不过，这些框架的设置不在本文档的范畴内。

Linux 内核是主要系统组件。它包括一个核心映像，根据硬件和系统设计装载的内核模块会对该映像进行扩展。例如：会根据系统的网卡自动装载网卡驱动程序。可以启用文件系统模块来扩展 Linux 内核的文件系统支持。

装载的内核模块的列表通常很长，其中包含了偶尔才使用的模块。内核模块框架允许将模块加入黑名单，以及限制要装载的功能。

要阻止装载模块，请通过 /etc/modprobe.d 目录配置这些模块。例如，只有配备软盘驱动器的系统才需要内核模块 floppy。在没有软盘驱动器的系统上，可以阻止装载该模块：创建包含以下内容的配置文件 /etc/modprobe.d/00-disable-modules.conf：

install floppy /bin/true

floppy 模块通常是在初始 RAM 磁盘执行期间装载的。因此，请使用 mkinitrd 脚本将此项配置更改传播到 initrd 文件。

tux > sudo mkinitrd

去除或限制应用程序功能会更困难，因为大多数情况下，功能已编译到应用程序或库本身之中。甚至通过删除文件也不一定能够干净地去除功能：如果该文件是从某个 RPM 软件包安装的，更新该软件包后就会重新安装该文件。

加密所有管理网络访问：选择的手段应该是 SSH 以及符合安全理念的适当配置设置。

管理访问权限也可以通过网站授予。在这种情况下，必须对浏览器与服务器系统之间的完整连接链进行加密。可以通过 TLS 和 X.509 证书实现此目的。

PCI DSS 文档的指导说明对此项要求的规定如下：“全盘加密有助于在磁盘实物丢失时保护数据，因此可能适合对储存持卡人数据的便携式设备使用。”

从管理员的角度而言，使用 Linux 统一密钥设置 (LUKS)/dm-crypt 实现的块设备加密可提供一个抽象层，通过该抽象层可以像使用未加密磁盘那样使用加密磁盘。

因此，只能使用文件系统提供的一般 ACL 权限来限制访问控制。要符合此要求，所用的解密密钥不得与任何一般登录身份凭证或身份验证方法相关联。

使用 LUKS 通常可以满足此要求：引导、插入便携式设备或手动挂载磁盘时需要单独输入口令。

LUKS 已完全集成到 中，可以通过 YaST 使用它来创建新分区。

如 3.4.1.a 如果使用磁盘加密，请检查配置并观察身份验证流程，以校验对加密文件系统的逻辑访问是否是通过一种与本机操作系统身份验证机制不同的机制（例如，不使用本地用户帐户数据库或一般的网络登录身份凭证）实现的。 中所述，LUKS/dm-crypt 提供的全盘加密可以满足此项要求。用户只能通过挂载磁盘时必须输入的解密口令来访问储存的数据。

必须防范传输敏感信息的连接遭到窃听和篡改。

对于传入的客户端请求，请结合使用 HTTPS 协议与安全的 TLS 连接。使用 X.509 公共证书进行身份验证，该证书在一定程度上能够证实服务器正是客户要访问的那个端点。

随附了一组可让 HTTPS 连接受到保护的服务和工具。例如，可以直接使用 Apache HTTP Server 或通过 stunnel（充当代理来提供 TLS 加密功能）提供这种保护。

可以使用 IPsec 或其他 VPN 技术来保护通过公共网络连接的网段之间的连接。还可以使用 X.509 公共证书保护此类连接。对于内部用途，可以使用私用证书颁发机构 (CA) 来为 X.509 证书签名以及跟踪可信密钥。

在 中，可以直接通过 strongSwan（一个基于 IPsec 的 VPN 解决方案）或通过 OpenVPN（使用自定义安全协议）来确保做到这一点。

要管理操作系统，请使用 SSH。有关配置 SSH 以提供更高安全性的信息，请参见第 A.3.1 节 “要求 1：安装并维护防火墙配置以保护持卡人数据”和第 A.3.2 节 “要求 2：不要使用供应商为系统口令和其他安全参数提供的默认值”。

要识别需要安装以保护系统安全的补丁，请执行以下操作：

首先刷新所有软件储存库，以获得最新信息：

tux > sudo zypper refresh

然后使用 Zypper 的补丁相关命令：

要自动执行更新，可以使用所有 Zypper 子命令都支持的 --non-interactive 参数。

有关 Zypper 的详细信息，请参见

标准 Unix 权限允许为用户和组 ID 设置 Read、Write 和 Execution 标志。名为 others 或 world 的常规组定义了不适合加入前两个组的用户的访问权限。这提供了一种简单直接的方法来授予或拒绝对文件系统资源的访问权限。

ACL 提供了额外的限制级别。使用它可为一个用户 ID 设置读写访问权限，并仅为另一个用户 ID 设置读取访问权限。对于组 ID 也可以采用这样的设置。

使用 getfacl 和 setfacl 命令（随附在 的 acl软件包中）可以直接修改文件系统资源。例如，要针对用户 wilber 检查和设置 /tmp/test.txt 文件的 ACL 限制，请执行以下命令：

tux > getfacl /tmp/test.txt
# file: /tmp/test.txt
# owner: tux
# group: users
user::r--
group::r--
other::r--

tux > setfacl -m "u:wilber:rw" /tmp/test.txt

tux > getfacl /tmp/test.txt
# file: /tmp/test.txt
# owner: tux
# group: users
user::rw-
user:wilber:r--
group::r--
mask::r--
other::r--

标准 Unix 权限包括所谓的粘滞位。这允许使用比正在执行特定程序的用户更高的特权来执行这些程序。此功能最典型的示例是 passwd 工具，它需要修改 /etc/shadow 才能更改用户口令。

要以更循序渐进的方式显式允许对二进制文件的特定操作或行为，请使用扩展功能。一个默认使用扩展功能的命令的示例是 ping（包含在软件包 iputils中）。

ping 通过网卡发送 ICMP IP 包。为此，它需要 CAP_NET_RAW 功能有效且受到允许 (+ep)：

root # sudo getcap /usr/bin/ping
/usr/bin/ping = cap_net_raw+ep

可以使用可插入身份验证模块 (PAM) 来管理系统的登录访问控制。 中提供了多个模块，允许记录登录时间、多个身份验证机制以及中心数据库（例如 NIS、LDAP 或 Active Directory）等设置。

有关管理权限的详细信息，请参见

在此环境中，对用户帐户使用集中式基础结构（例如 NIS、LDAP 或 Active Directory）会带来许多优势：

不过，如果您使用的是本地帐户，可以在用户登录时检查它们是否为非活动帐户。此模块会检查 /var/log/lastlog 中记录的上次登录时间，并计算该时间距离此时的天数。默认情况下，当非活动天数达到 90 天时，将会拒绝访问。

要列出本地帐户的上次登录时间，请使用 lastlog 命令。

如 8.1.4 去除/禁用在 90 天内处于非活动状态的用户帐户。 中所述，集中式帐户基础结构可提供此功能。在 系统上，可以使用 pam_tally2 PAM 模块检查和限制访问尝试。该模块将在登录时执行，会检查自上次成功登录以来所记录的失败尝试。要检查和重设置帐户状态，请使用 pam_tally2 工具。

8.1.6 通过在用户 ID 尝试访问最多六次后锁定该 ID 来限制重复的访问尝试。 中所述的 PAM 模块 pam_tally2 可用于在登录尝试失败后，将帐户锁定一段指定的时间。必须在 PAM 配置中指定 unlock_time=1800 参数。默认情况下，只有管理员能够重新激活锁定的帐户。

要使用多重验证机制验证进行管理访问的用户的身份，请使用以下方法：

有关详细信息，请参见 8.3.1 针对进行管理访问的人员，将用于所有非控制台访问的多重身份验证纳入 CDE 中。 。