Linux系统配置核查-【等保测评】网络安全等级保护测评 S3A3 计算环境操作系统(1)

最新推荐文章于 2024-06-12 10:23:54 发布
最新推荐文章于 2024-06-12 10:23:54 发布
阅读量602 收藏 9
点赞数 12
分类专栏: 2024年程序员学习 文章标签: linux web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84181125/article/details/137574870
版权

修改配置文件sshd文件:

在/etc/pam.d/sshd文件(注意添加位置,和pam.d模块判定方式有关):

auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300

连续登录失败5次后,锁定该账户300S。立即生效,无需重启服务。

1.2 限制从终端(本地登录)的登录失败处理功能

修改system-auth文件:

在/etc/pam.d/system-auth文件下添加上述对应参数即可生效。

auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300

在SSH配置文件

cat /etc/ssh/sshd_config | grep MaxAuthTries

2、查看是否配置登录会话超时策略:

cat /etc/profile

是否存在

export TMOUT=900
readonly TMOUT

echo $TIMEOUT
echo $TMOUT

2.操作超时自动退出功能

2.1 全局配置TMOUT值

在/etc/profile文件下添加:TMOUT=600

对所有登录方式生效。

记得刷新 source /etc/profile

(ps:对FTP登录方式无效)

一般应该是在/etc/profile这个文件中对所有用户进行设置,可能有极个别的会单独为每个用户配置超时时间。

所以直接查看/etc/profile文件内容,然后再用echo $TMOUT语句看看运行环境中的TMOUT变量到底是多少。

在SSH上配置

cat /etc/ssh/sshd_config | grep ClientAliveInterval

结果记录

1)经核查,配置并启用登录失败处理功能,查看登录失败处理功能相关参数,cat /etc/pam.d/system-auth 文件中存在“auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
”;
2)经核查,配置并启用了限制非法登录功能,所有用户登录失败5次锁定600秒;
3)经核查,配置并启用登录连接超时及自动退出功能,本地登录超时时间900秒,远程登录超时时间300秒。

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

符合建议项

检查远程管理方式

ps -ef | grep ssh
ps -ef | grep telnet

netstat -tuanp

先查看端口情况,看到不对劲的,立马去看看是不是开了telnet

netstat -tlnp | grep ssh

查看远程管理是否使用SSH方式进行远程管理。

结果记录

经核查,用户通过堡垒机输入账号密码通过SSH协议远程登录服务器,可以防止鉴别信息在网络传输过程中被窃听。

d)应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。

符合建议项

结果记录

经核查,用户在登录操作系统的过程中只使用了口令鉴别技术,未采用动态口令、数字证书、生物技术或设备指纹等鉴别技术对用户身份进行鉴别。

访问控制

应用指南

最低0.47元/天 解锁文章
2401_84181125
关注
  • 12
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
等保篇-LINXU操作系统等保测评指南_等保测评linux命令
m0_57539910的博客
04-29 265
一、使用 lsb_release命令:该命令会显示完整的系统版本信息,包括发行版名称、版本号和发行日期。二、使用 cat命令查看 /etc/*-release文件:该命令会显示包含系统版本信息的文件内容。在大多数Linux发行版中,/etc/*-release文件包含了系统版本的详细信息。三、使用 uname命令:uname -a该命令会显示包括内核版本在内的系统信息。内核版本可以提供有关系统版本的一些线索。
PostgreSQL 为适配等保测评要求的安全性配置方法汇总(Linux&Windows)
long15415590的专栏
03-21 1516
针对以上几条要求,从网上查找资料以及自己的尝试,基本解决了问题。(1)登陆navicat,创建查询,建立一个其他超级用户postgres1(2)用postgres1登陆navicat,创建查询,修改postgres名称用以下语句生成自动延期90天的修改语句(3)删除postgres1。
Linux安全加固之身份鉴别+访问控制篇
派大星的不眠博客
09-13 852
linux安全加固之身份鉴别+访问控制
linux 设置登录失败次数限制
ajax_beijing_java的博客
10-20 1805
如果不想限制root帐户,可以把even_deny_root root_unlock_time这两个参数去掉,root_unlock_time表示root帐户的锁定时间,onerr=fail表示连续失败,deny=3,表示超过3次登录失败即锁定。用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。普通帐户和root的帐户登录连续3次失败,就统一锁定40秒,40秒后可以解锁。(2)ssh远程登录。
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
热门推荐
hjxloveqsx的博客
02-13 1万+
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
身份鉴别——Linux配置登录失败处理功能
lucycat的博客
03-02 1万+
Linux配置登录失败处理功能RHEL(Red Hat Enterprise Linux)配置测试本地登录:远程登录:Ubuntu配置测试本地登录远程登录     对于一台服务器而言,有两种登录方式:本地登录和远程登录,登录失败处理功能的配置也从这两个方面来配置。由于RedHat系(例如Red Hat Enterprise Linux和CentOS)和Debian系(例如Ubuntu)在配置上稍有不同,所以分开来说。 RHEL(Red Hat Enterprise Linux) 配置     红帽的登录失败
等保2.0测评 linux服务器加固 基本安全配置手册.docx
12-25
等保2.0测评 linux服务器加固 基本安全配置手册
网络安全等级保护“能力验证”:配置核查Linux系统)
11-11
之前的线上会议也表明了对测评机构能力建设方面的意见,在会议中说到机构的最高水平不代表机构的真实测评水平,因为机构派来参加能力验证的一般都是经验老道的测评师,所以表面上看起来没啥问题,真实测评中可能会...
网络安全等级保护2.0-测评实施.pdf
09-14
测评方法包括安全配置核查、网络抓包与分析、漏洞扫描与验证、渗透测试/验证等。测评工具包括扫描检测工具、攻击工具、渗透工具等。 测评对象包括物理机房、系统软件、应用软件、管理等。测评内容包括物理机房的...
中间件+数据库+系统+设备+网络的网络安全基线核查
07-16
cisco防火墙PIX&ASA基线检查 cisco路由交换基线检查表 esxi基线检查 H3C路由交换基线检查 linux基线check oracle数据库基线检查 solaris基线检查 sqlserver基线检查 ...Linux基线核查 MySql基线核查 等等
cisco思科路由器信息安全等级保护等保2.0安全配置及策略检查表.pdf
07-12
cisco思科路由器信息安全等级保护等保2.0安全配置及策略检查表.pdfcisco思科路由器信息安全等级保护等保2.0安全配置及策略检查表.pdfcisco思科路由器信息安全等级保护等保2.0安全配置及策略检查表.pdfcisco思科...
等保三级主机整改建议(linux版)
m0_64546445的博客
12-29 1471
身份鉴别本文章针对于等级保护主机三级整改建议,仅作为参考使用身份鉴别我们使用以下命令进入login.defs这个文件,然后修改25-28行,其中PASS_MAX_DAYS代表密码最大有效期,PASS_MIN_DAYS代表密码最小长度,PASS_MIN_LEN代表密码最短天数;一般设置密码有效期在90天内,长度最小为8位;密码复杂度则需要进入到pwquality.conf文件去修改其中minlen 代表密码最小长度;
linux5登录失败锁定账号策略,Linux未配置账户登录失败锁定策略
weixin_39682944的博客
05-16 2410
简单介绍:设置连续输错5次口令,帐号锁定5分钟。 在进行此项安全加固工作前,请先检查PAM模块版本,搜索pam_tally2是否存在,如果pam_tally2存在,修改配置文件。【注意: 各系统配置不一,请根据当前系统进行适当配置,并仔细评估对系统的影响】 修复方案(仅供参考,请勿直接配置): centos 修改配置/etc/pam.d/password-auth(将配置添加到合适的位置): au...
linux登录失败锁定账号策略,针对对RedhatLinux系统维护账号登录失败进行锁定
weixin_32319177的博客
05-13 2463
针对对RedhatLinux系统维护账号登录失败进行锁定TR1:RHEL6、RHEL5版本均可以实现登录次数、超时时间、解锁时间;TR2.RHEL4版本无法实现,只能支持root用户解锁;实现原理:主要使用Linux的PAM模块实现,pam_tally.so[RHEL4内置]/pam_tally2.so[RHEL5、RHEL6内置]模块可以控制限制用户密码认证失败的次数上限;由于pam_tally...
Centos7登录失败的用户锁定策略配置
beeworkshop的博客
01-20 1万+
在实际工作中为了防止攻击者暴力破解SSH登陆密码,有必要配置登录失败用户锁定策略。 操作系统:Centos7 主机1:192.168.74.205 主机2:192.168.74.129 编辑“主机2”的 /etc/pam.d/sshd配置文件。 并添加一行: #%PAM-1.0 # 添加下边一行策略------------------------------ auth required pam...
linux用户登陆被锁定查看与解锁(后续补充策略)
qq_45566117的博客
12-28 2846
linux用户登陆被锁定查看与解锁(后续补充策略)
Linux fallocate工具用于预分配或释放文件空间的块
不积跬步,无以至千里;不积小流,无以成江海。
06-09 305
命令,您需要在具有适当权限的环境中运行它,例如通过SSH登录到Linux服务器或在Linux终端中运行。请确保指定的路径存在且可写。文件中未使用的磁盘空间。请注意,这不会改变文件的大小,只是释放了未使用的磁盘空间。之前,建议了解文件系统和存储设备的特性,以避免潜在的性能问题。是一个Linux命令行工具,用于预分配或释放文件空间的块。文件的大小截断为5MB。大于5MB的部分将被删除。文件的10MB偏移量处开始预分配5MB的磁盘空间。文件的10MB偏移量处开始的5MB磁盘空间。文件预分配10MB的磁盘空间。
解决 LinuxJava 1.8 中上传中文名称图片报错问题
appearappear的博客
06-12 256
Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
linux操作系统基线核查
最新发布
06-13
Linux操作系统基线核查是一种系统管理实践,用于确保系统的配置和状态符合预定的安全、性能或合规标准。基线核查通常包括以下几个方面: 1. **政策和标准遵循**:检查系统是否安装了必要的软件包,是否遵循组织的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值