linux等保三级检查命令

已于 2022-12-05 23:50:07 修改
阅读量4.5k 收藏 33
点赞数 5
分类专栏: 运维那些事儿 文章标签: 安全 安全性测试 经验分享 运维
于 2022-12-02 14:18:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27817851/article/details/128147237
版权
本文详述了Linux系统在等保三级检查中的各项安全措施,包括身份鉴别(如口令策略、登录失败处理、远程管理安全)、访问控制(如用户权限、账户管理、权限分离)、安全审计(如审计功能启用、审计范围、日志保护)、入侵防范(如最小化安装、服务和端口管理、终端限制)和恶意代码防范等方面的具体操作和核查要点。
摘要由CSDN通过智能技术生成

一、身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复

杂度要求并定期更换;

1、应核查用户在登陆时是否采用了身份鉴别措施;

用户登录服务器需要使用账户+账户口令。

2、应核查用户列表确认用户身份标识是否具有唯一性;

(more /etc/passwd)

//查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。

3、应核查用户配置信息或测试验证是否不存在空口令用户;

(more /etc/shadow)

//查看命令结果,红框内的乱码表示加密以后的账户口令

//红色框内的(!*)号代表该账户已锁定、或者禁用。

4、应核查用户鉴别信息是否具有复杂度要求并定期更换。

(more /etc/login.defs)

// 查看命令结果是否有设置密码长度,复杂度。

1)PASS_MAX_DAYS=90(密码登录有效期时间)

2)PASS_MIN_DAYS=0(密码最短修改时间)

3)PASS_MIN_LEN=8(密码最小长度)

4)PASS_WARN_AGE=7(密码过期前提前多少天提醒)

4.1、服务器密码复杂的策略

(more/etc/pam.d/system-auth)

//password requisite 里面设置密码相关的策略(pam _cracklib.so策略里)

retry=5(尝试登录次数)

authtok_type= difok=3(新密码与旧密码有多少位能一样)

minlen=7(密码长度)

ucreddir=-1 (最少包含一个大写字母)

lcredit=-3 (最少有三个小写字母)

dcredit=-3 (最少有三个数字)

b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

1、应核查是否配置并启用了登录失败处理功能;

2、应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账号锁定等;

本地登录的失败处理:

(more /etc/pam.d/system-auth)

(more /etc/pam.d/login)

使用SSH远程登录的失败处理:

(more /etc/pam.d/sshd)

//文件中包含auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_d

eny_root root_unlock_time=10

deny尝试登录次数

time锁定时间(秒)

even_deny root (锁定root账户)

2.1本地登录(system-auth文件)

2.2本地登录(login文件)

2.3远程SSH文件(sshd文件)

3、应核查是否配置并启用了登录连续超时及自动退出功能。

(more /etc/profile)

//文件中包含了(TMOUT=300)

c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

1、是否运行SSHD服务。

1、是否运行SSHD服务

(systemctl status sshd.service)

或者

(service --status-all |grep sshd)

//检查命令结果显示为:

sshd.service - OpenSSH server daemon

Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled)

Active: active (running) since 三 2021-07-14 15:56:20 CST; 43min ago

Main PID: 1414 (sshd)

//running 绿色表示正在运行

2、是否打开SSHD服务对应端口22端口

(netstat -an |grep 22)

//查看22端口是否正在被SSHD监听

3、是否打开了Telnet服务

(systemctl list-unit-files |grep telnet)

//查看命令结果是否存在telen服务(应为不存在)

4、是否打开了Telnet服务的对应端口23端口

(netstat -an |grep 23)

//查看23端口是否正在被Telnet监听(应为不存在)

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别, 且其中一种鉴别技术至少应使用密码技术来实现。

1、应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别。

2、应核查其中一种鉴别技术是否使用密码技术来实现。

//询问管理员,除了输入密码登录还有什么方式能够进行身份鉴别,这个方法有没有采用密码技术。

二、访问控制

a) 应对登录的用户分配账户和权限;

1、应核查是否为用户分配了账户和权限及相关设置情况;

(umask)

//查看服务器的umask=0027

2、应核查是否已禁用或限制

最低0.47元/天 解锁文章
UMSA
关注
  • 5
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
等保测评linux常用命令(积累)
qq_47921662的博客
07-06 2479
cat /etc/selinux/config 关于安全标记(如果从强制模式(enforcing)、宽容模式(permissive)切换到关闭模式(disabled),或者从关闭模式切换到其他两种模式,则必须重启 Linux 系统才能生效,但是强制模式和宽容模式这两种模式互相切换不用重启 Linux 系统就可以生效。$6 表示SHA-512;tail -n 20 /var/log/wtmp 是一个二进制文件,记录每个用户的登录次数和持续时间等信息,永久记录每个用户登录、注销及 系统的启动、停机的事件。
操作系统安全:Windows与Linux安全标识符,身份鉴别和访问控制
最新发布
Innocence_0的博客
06-16 1007
作者简介」:2022年北京冬奥会网络安全中国代表队,CSDNTop100,就职奇安信多年,以实战工作为基础对安全知识体系进行总结与归纳,著作适用于快速入门的,内容涵盖系统安全、信息收集等12个知识域的一百多个知识点,持续更新。![在这里插入图片描述](https://img-标识与鉴别就是用来实现这些需求的安全机制之一。这一章节我们需要知道系统用什么标识用户,怎么验证用户身份,怎么做访问控制。
等保测评Linux测评命令
qq_50495562的博客
04-24 8116
等保测评Linux测评命令 1.cat /etc/shadow查看口令,查看账户 2.cat /etc/ssh/ssh_config permitemptypasswords 注释或者后面加no 不允许空口令远程登录 3.cat /etc/pam.d/system-auth 查看密码复杂度 grep pam_cracklib.so模块查看,centos7之后是pam_pwquality.so模块。限制root用户,添加 enforce_for_root 密码复杂度配置详解 4.cat /etc
等保测评Linux操作命令
Xiaokeo的博客
06-30 4382
等保测评Linux操作命令(含解释) 1、cat /etc/passwd      root❌0:0:root:/root:/bin/bash       1)x:表示密码,但这里不显示,已经放到shadow       2) 0:表示用户的id既UID(用户的ID、User ID),后面一个0:表示
等保测评Linux命令
zklw2016的博客
09-22 2344
等保测评Linux命令集 看了不少学习资料,以及一下大佬对等保2.0的理解,在他们的基础上整理一下这个命令集,如果你有更好的命令的话,可以留言交流一下,共同学习,共同进步! 测评命令集 cat /etc/passwd 查看普通用户、系统用户(1-499) cat /etc/shadow !!密码已过期、!账户已禁用、*账户已锁定。查看是否存在默认账户 shutdown halt adm mail 等 cat /etc/login.defs 密码时间策略 cat /etc/pam.d/system-aut
等保测评2.0_三级——【安全计算环境】Linux操作系统测评_命令
xwjjdedkdjcjej的博客
05-04 1570
#### 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。==(`高风险项、高风险项、高风险项`)> #### `a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;> #### `c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
Linux等保三级)核查指导
11-11
Linux系统在等保三级)核查中,对系统的安全性有着严格的要求,主要涉及身份鉴别、登录失败处理、远程管理安全以及多因素鉴别技术等方面。以下是对这些知识点的详细说明: 1. **身份鉴别**: - 用户登录时需进行...
07-等保三级-Ubuntu 16合规基线检查
03-25
在访问控制中,我们需要确保访问控制的粒度达到主体为用户级或进程级,客体为文件、数据库表级。我们可以执行以下命令来实现: ``` chown root:root /etc/hosts.allow chown root:root /etc/hosts.deny chmod 644 /...
信息安全等级保护测评实施Linux三级作业指导书.doc
08-11
"信息安全等级保护测评实施Linux三级作业指导书" 信息安全等级保护测评实施是指在Linux三级作业中对信息系统的安全保护进行评估和实施的指南。该实施指南涵盖了身份鉴别、访问控制、身份鉴别、口令策略、登录失败...
等保2.0测评 linux服务器加固 基本安全配置手册.docx
12-25
等保2.0测评 Linux 服务器加固基本安全配置手册 Linux 服务器加固是等保2.0测评的重要组成部分,本手册提供了基本的安全配置手册,旨在帮助管理员快速实现 Linux 服务器的加固。下面是该手册中涵盖的知识点: 一、...
测评linux命令.txt
09-18
Linux等保测评语句,信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
等级保护2.0三级-Linux测评指导书V1.0.pdf
09-11
等级保护2.0三级linux测评指导书。应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息 具有复杂度要求并定期更换; 测评方法: 1) 使用 root 权限的账户登录操作系统后, 使用命令 more查看/etc/shadow 文 件,核查第二列是否为空,为空即存在空口令账户 2) 使用命令 more 查看/etc/login. defs 文件,查看是否设置密码长度和定 期更换要求,使用命令 more查看/etc/pam.d/system-auth 文件。查看密码长 度和复杂度要求,记录 PASS MAX_DAYS 、PASS MIN_DAYS 、PASS MIN_LEN 、
等保测评linux常用命令(积累,聪明人已经收藏了
m0_54853787的博客
04-09 891
最全的Linux教程,Linux从入门到精通。
等保测评(linux
m0_52527037的博客
04-04 5656
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;网络设备、防火墙配置访问控制策略;
等保2.0 Linux主机测评
ZL_1618的博客
07-31 1390
以下结果以CentOS 7 为例,按照等保2.0标准,2021报告模板,三级系统要求进行测评。
等保篇-LINXU操作系统等保测评指南
qq_40181198的博客
02-25 2161
等级保护测评安全计算环境层面-Linux操作系统测评指南
Linux服务器(CentOS7)基础信息设置之满足等保三级测评要求
kou869929526的博客
05-18 8916
前言 公司最近在做等保三级测评,其中涉及网络交换机设置,服务器硬件情况,以及基础系统管理等方面。 恰好,我负责基础系统管理方面,便对此进行实战记录。 一、登录口令整改 要求:密码长度必须在8位以上。 操作: 首先查看当前的活动用户信息。 cat /etc/shadow 结果如下: 查看当前的密码设置规则(解释Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pw.
Web安全-等保测评
道阻且长,行则将至。
11-02 7718
等保测评 为什么要做等级保护 《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。 等级保护涉及范围 省辖市以上党政机关的重要网站和办公信息系统; 电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统; 铁路、银行、海关、税务、民航、电力...
Linux基础命令详解与实战
"这份文档是华为3Com公司内部使用的Linux操作指导专题,旨在帮助读者快速掌握Linux常用命令,包括命令行操作、文件查看/编辑方法以及网络配置和操作。" 在Linux操作系统中,命令行是核心的交互方式,熟练掌握各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

UMSA

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值