这篇博客主要介绍了Linux系统在网络安全等级保护测评S3A3标准下的配置核查,涉及访问控制、安全审计、入侵防范等方面。核查内容包括登录失败处理、限制非法登录、登录连接超时、远程管理安全、用户账户权限管理等。通过检查配置文件和系统状态,确保符合等保要求,同时也提供了部分黑客学习资源和建议。
在SSH上配置
cat /etc/ssh/sshd_config | grep ClientAliveInterval
结果记录
1)经核查,配置并启用登录失败处理功能,查看登录失败处理功能相关参数,cat /etc/pam.d/system-auth 文件中存在“auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
”;
2)经核查,配置并启用了限制非法登录功能,所有用户登录失败5次锁定600秒;
3)经核查,配置并启用登录连接超时及自动退出功能,本地登录超时时间900秒,远程登录超时时间300秒。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
符合建议项
检查远程管理方式
ps -ef | grep ssh
ps -ef | grep telnet
netstat -tuanp
先查看端口情况,看到不对劲的,立马去看看是不是开了telnet
netstat -tlnp | grep ssh
查看远程管理是否使用SSH方式进行远程管理。
结果记录
经核查,用户通过堡垒机输入账号密码通过SSH协议远程登录服务器,可以防止鉴别信息在网络传输过程中被窃听。
d)应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。
符合建议项
结果记录
经核查,用户在登录操作系统的过程中只使用了口令鉴别技术,未采用动态口令、数字证书、生物技术或设备指纹等鉴别技术对用户身份进行鉴别。
访问控制
应用指南
a)应对登录的用户分配账户和权限。
符合建议项
创建用户,三权分立
cat /etc/passwd
查看目前存在哪些帐户,询问管理员,是否启用访问控制功能,是否依据安全策略控制用户对资源的访问。
ls -l /etc/passwd /etc/shadow /etc/sudoers /etc/group /etc/gshadow /etc/profile /etc/crontab /etc/securetty /etc/ssh/ssh_config /etc/ssh/sshd_config
一、确定当前账户情况
通过查看/etc/passwd、/etc/shadow、/etc/group文件,查看可登录的普通账户有哪些,以及用户组的情况。
1.通过文件来判断:
1.1 /etc/passwd文件:
通过该文件,判断出哪些是普通用户(UID>1000,该设置值在login.defs文件中)、系统用户(UID<1000)和超级用户(UID=0)。
再判断哪些用户不可登录,如shell字段为/sbin/nologin、/bin/false的就不可登录。
通过id命令查看,用法:id [user]
包含用户id,用户组id,附加组id,若不指定用户,则默认显示当前用户基本信息
1.2 /etc/shadow文件:
用户第二字段为*或!!为锁定状态,不允许登录。
结果记录
1)经核查,为用
最低0.47元/天 解锁文章
扫一扫
925
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
