信息系统安全等级测评作业指导书
操作系统(三级)
Linux
计算机测评中心
目 录
《GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求》
依据相关标准的要求,包括Linux操作系统的身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制共7部分。
信息系统安全等级测评(三级)涉及到Linux操作系统的内容主要包含以下七部分。
测评范围 |
测评内容 |
等级保护三级测评 |
身份鉴别 |
访问控制 |
|
安全审计 |
|
剩余信息保护 |
|
入侵防范 |
|
恶意代码防范 |
|
资源控制 |
- 应对登录操作系统的用户进行身份标识和鉴别;
- 操作系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
- 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
- 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
- 应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性;
- 应采取两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
- 测评方法
- 询问操作系统管理员鉴别方式有哪些,观察服务器登录是否需要密码及密码的长度、组成。
执行cat /etc/shadow,查看用户名后无“*”号和“!”号的可登录账户有哪些,可登录账户用户名后的密码字段是否为空(“*”表示该账户未启用;“!!”表示该账户暂未进行密码设置或该账户已锁定,同样不能登录系统)。
预期结果:对操作系统的用户进行了身份标识和鉴别,管理员账户密码字段不为空。
- 询问操作系统管理员是否具有口令复杂度和更换频率的相关规定,询问各可登录账户目前口令组成情况及是否定期更换。
查看口令策略设置,执行cat /etc/login.defs,查看以下参数配置:
PASS_MIN_DAYS(密码有效期的最小天数,默认值0)
PASS_MAX_DAYS(密码有效期的最大天数,默认值99999)
PASS_WARN_AGE(提前多少天警告用户口令将过期,默认值7)
PASS_MIN_LEN(口令最小长度,默认值5)
其中有“#”注释掉的不起作用,前三项设置也可以通过shadow文件的第4、5、6字段体现出来;由于login.defs对root账户无效,因此如果仅以root账户进行管理,应记录/etc/shadow的设置,即shadow的配置优先级高于login.defs。
查看口令复杂度设置,执行cat /etc/pam.d/system-auth,是否在“password requisite pam_cracklib.so”之后设置了以下参数: