等保2.0服务器测评-身份鉴别-02登录失败处理
声明:
测评要求参考《信息安全技术 网络安全等级保护测评要求GB/T 28448一2019》
测评方法以及配置整改为个人工总结,仅供参考不适用全部操作系统,有不合理的地方大家多多指出,欢迎交流。
测评项
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
测评项b)
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动
退出等相关措施
预期结果
a)账户锁定时间:不为不适用
b)账户锁定阈值:不为不适用
2)启用了远程登录连接超时并自动退出功能
3)本地操作超时时间
测评方法:
1、windows服务器
上机检查:
1) 查看“运行gpedit.msc打开组策略编辑器-windows设置-安全设置-账户锁定策略”,
记录账户锁定阀值、账户锁定时间 等2项
2) 本地超时:控制面板→显示→更改屏幕保护程序。
3)远程操作超时:查看“运行gpedit.msc打开组策略编辑器-->计算机设置-->管理模板-->windows组件-->远程桌面服务-->远程桌面会话主机-->会话时间限制-->设置活动但空闲的远程桌面服务会话的时间限制设置-->管理模板-->windows组件-->远程桌面服务-->会话时间限制-->设置活动但空闲的远程桌面服务会话的时间限制。
- 查看“运行gpedit.msc打开组策略编辑器-windows设置-安全设置-账户锁定策略”,
记录账户锁定阀值、账户锁定时间 等2项。
- 本地超时:控制面板→显示→更改屏幕保护程序。
3)远程操作超时:查看“运行gpedit.msc打开组策略编辑器–>计算机设置–>管理模板–>windows组件–>远程桌面服务–>远程桌面会话主机–>会话时间限制–>设置活动但空闲的远程桌面服务会话的时间限制设置–>管理模板–>windows组件–>远程桌面服务–>会话时间限制–>设置活动但空闲的远程桌面服务会话的时间限制。
2、Linux服务器(CentOS为例)
Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。
上机检查:
1)system-auth登录失败锁定
注:配置的地方不唯一,具体请访谈
使用命令如下:
cat /etc/pam.d/system-auth
预期结果应该包含一下内容:
[root@hecs-3 pam.d]# cat system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
参数解释
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
注意:
在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!
2)(ssh远程连接登录)登录失败锁定
cat /etc/pam.d/sshd
#%PAM-1.0
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
# Used with polkit to reauthorize users in remote sessions
-auth optional pam_reauthorize.so prepare
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
# Used with polkit to reauthorize users in remote sessions
-session optional pam_reauthorize.so prepare
[root@hecs-357431 pam.d]#
3)操作超时锁定
在/etc/profile、~/.bashrc、~/.bash_profile
等文件的最后加入export TMOUT=900语句即可
(单位是秒),然后想要不重新登录就起效就,还需要
用source命令解析上述文件。
上述文件中,/etc/profile针对所有用户其效果,而
~/.bashrc、~/.bash_profile则只对当前用户其
效果,实际上从文件位置就能看出来。
3.1)具体查询方式
理论上可以在好几个地方对TMOUT进行配置,不过一般应该是在/etc/profile这个文件中对所有用户进行设置,可能有极个别的会单独为每个用户配置超时时间。
所以直接查看/etc/profile文件内容,然后再用echo $TMOUT语句看看运行环境中的TMOUT变量到底是多少。
[root@hecs-357431 ~]# vi /etc/profile
[root@hecs-357431 ~]# echo $TMOUT
[root@hecs-357431 ~]# source /etc/profile
[root@hecs-357431 ~]# echo $TMOUT
900
[root@hecs-357431 ~]#
注意:
配置文件里写了不代表就起效了,比如/etc/profile修改后需要用source命令才能起效。另外,配置文件中的配置即使起效了,但未必就等同于现在实际执行的规则。
测评项c)
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
测评方法:
1、windows服务器
1)本地或KVM,默认符合
2)远程运维,采取开启了SSL安全层的RDP协议,加密级别为高
windows2012以上默认符合
wireshark直接抓3389登录包有SSL证书即可。
在命令行输入”gpedit.msc“弹出“本地组策略编辑器”窗口,查着“本地计算机策略一》计算机配置一>管理模板一>Windows组件一选程桌面服务>远程桌面会话主机-安全”中的相关项目。
2、Linux服务器(CentOS为例)
1)本地或KVM,默认符合
2)远程运维,采取SSH协议默认符合
同时要关闭Telnet等明文协议的连接方式
测评项d)
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
这一项据我所了解的,一般常用的的做法就是,通过堡垒机来管理服务器。 同时,堡垒机使用双因素认证,从而间接的达到了服务器的双因素认证。
1128
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
