等级保护2.0之Linux安全系列

Posted Robin_王

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了等级保护2.0之Linux安全系列相关的知识,希望对你有一定的参考价值。

一、身份鉴别

测评项:a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

测评方法:

  1. 使用root权限的账户登录操作系统后,使用命令cat 查看/etc/shadow文件,核查第二列是否为空,为空即存在空口令账户。
  2. 使用命令cat查看/etc/login.defs文件,查看是否设置密码长度和定期更换要求,使用命令cat查看/etc/pam.d/system-auth文件。查看密码长度和复杂度要求,记录PASS MAX_DAYS、PASS MIN_DAYS、PASS MIN_LEN、PASS WARN_AGE。

扩展:

  1./etc/shadow文件共包含9个字段,分别是用户名、加密后的用户密码、自上次修改密码后过去的天数(自1970年1月1日开始计算)、多少天后可以修改密码、多少天后必须修改密码、密码过期前多少天提醒更改密码、密码过期后多少天禁用用户账户、用户被禁用的日期(自1970年1月1日经过的天数)、预留字段以备未来使用

  2./etc/shadow文件第二个字段的值为加密后的用户密码,正常情况为一长串字符串,异常情形如下:

    ①为空,前后两个冒号之间无内容(::),表示该账户无密码;

    ②为"!",即(:!:),表示该用户被锁,被锁将无法登陆,但是可能其他的登录方式是不受限制的,如ssh公钥认证的方式,su的方式;

    ③为"*",即(:*:),表示无法使用,和"!"效果是一样的。

    ④以"!"或"!!"开头,则也表示该用户被锁。

    ⑤为"!!",即(:!!:),表示该用户从来没设置过密码。

  3.密码长度和复杂度要求建议值:

    PASS_MAX_DAYS:90

    PASS_MIN_DAYS:1

    PASS_MIN_LEN:8

    PASS_WARN_AGE:5

  4.在/etc/pam.d/system-auth中添加一行:auth required pam_tally2.so onerr=fail deny=3 unlock_time=30 even_deny_root root_unlock_time=100

以上是关于等级保护2.0之Linux安全系列的主要内容,如果未能解决你的问题,请参考以下文章

等级保护2.0之Linux安全系列

等级保护2.0之Linux安全系列

等保2.0 | 网站信息系统安全等级保护需要哪些步骤?

等保2.0 | 网站信息系统安全等级保护需要哪些步骤?

网络安全等级保护2.0标准解析

新版网络安全等级保护测评报告模板包含哪些内容?哪里可以找到?