等保2.0测评:Linux主机安全

本文以等保三级(S3A3)要求,CentOS 7.6 64位系统为例进行演示。


一、身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

该项需检查登录是否需用账号密码,当前密码是否在8位以上并包含字母、数字、特殊字符。

输入命令查看是否存在空口令,shadow文件第二个字段为加密后的口令,如下图标记所示,为空则为空口令(*或者!!表示用户被锁定):

more /etc/shadow

等保2.0测评:Linux主机安全_第1张图片

输入命令查看密码长度和定期更换设置:

cat /etc/login.defs

等保2.0测评:Linux主机安全_第2张图片

PASS_MAX_DAYS 99999 :登录密码有效期为99999天PASS_MIN_DAYS 0 : 登录密码最短使用时间,增加可以防止非法用户短期更改多次PASS_MIN_LEN  8 : 登录密码最短长度为8位,如果使用pam_cracklib module,那么该参数将不再有效PASS_WARN_AGE 7 :登录密码过期提前7天提示修改

输入命令查看密码复杂度配置:

cat /etc/pam.d/system-auth

等保2.0测评:Linux主机安全_第3张图片

minlen=8 : 新密码最短为八位,由上条可知,以此处密码位数为准dcredit=-2 : 新密码中最少包含两个数字ucredit=-1 : 新密码中最少包含一个大写字母lcredit=-1 : 新密码中最少包含一个小写字母ocredit=-1 : 新密码中最少包含一个特殊字符

b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

输入以下命令看登录失败处理功能是否开启:

cat /etc/pam.d/system-auth

等保2.0测评:Linux主机安全_第4张图片

onerr=fail 表示定义了当出现错误时的缺省返回值;even_deny_root 表示也限制root用户;deny 表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;unlock_time 表示设定普通用户锁定后,多少时间后解锁,单位是秒;root_unlock_time 表示设定root用户锁定后,多少时间后解锁,单位是秒;

输入以下命令检查超时自动退出功能:

你可能感兴趣的:(服务器,linux,数据库)