linux 系统命令被后门修改_一项一项教你测等保2.0——Linux身份鉴别

一、前言

前边我们已经讲了windows系统下的身份鉴别，现在我们讲讲Linux系统下的身份鉴别，其实两个系统下的测评项都是一样的，不一样的就是不同的系统查看系统配置的方法不一样，windows系统使用的都是图形交互界面，而且我们平时使用windows系统比较多，查找起来比较方便，Linux系统是要使用命令来查看系统配置的，需要有一些Linux系统命令的基础，当然也都比较简单，现在就让我们来看看Linux系统下如何测评身份鉴别的相关测评项。

二、测评项

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

三、测评项a

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

测评项a要求1

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性

以root身份登录进入linux，使用命令more或者cat查看/etc/passwd和/etc/shadow文件中各用户状态，如下图所示：

passwd文件内容

passwd 文件内容说明：

name:password:uid:gid:comment:home:shell

shadow文件内容

Shadow文件内容说明：

账号名称：密码(加密过的)：上次修改密码的日期：密码不可被修改天数：密码需要被更新的天数：密码变更提前几天告知：账号注销日期：账号使用期限：保留条目

所有允许登录的用户均设置密码则为符合，/etc/passwd无重复用户名且uid为0的用户只有一个视为符合。

测评项a要求2

身份鉴别信息具有复杂度要求并定期更换；

以root身份登录进入linux，查看“登录程序的配置文件”，并记录下文件内容，可参考的命令有：

more /etc/login.defs

login.defs文件内容

Login.defs文件内容说明:

PASS_MAX_DAYS 99999 #密码最大有效期；

PASS_MIN_DAYS 0 #是否可修改密码,0可修改,非0多少天后可修改；

PASS_MIN_LEN 10 #密码最小长度，对于root无效；

PASS_WARN_AGE 7 #密码过期前多少天开始提示。

四、测评项b

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

是否具有“登录失败处理功能”，查看“设置登录失败断开连接的次数”的文件。

可参考的命令有：#cat /etc/pam.d/system-auth

/etc/pam.d/system-auth文件中是否存在” password requisite pam_cracklib.so retry=某数值”

查看/etc/profile 文件设置 TIMEOUT=超时时间(s)。

profile文件内容

如果有以上设置则符合该项要求。

五. 测评项c

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

在root权限下，使用命令more、cat或vi 查看是否运行了sshd服务：

service --status-all | grep sshd

若未使用ssh方式进行远程管理,则查看是否使用了telnet方式进行远程管理：

service --status-all | grep running

如上图所示，系统没有开启sshd服务，也没有使用telnet方式进行远程管理。

六. 测评项d

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

访谈系统管理员，询问系统有没有做加固，除口令以外有无其他身份鉴别方式，如是否使用令牌等，并对其进行验证，除口令以外有其他身份鉴别方式视为符合。

以上就是一项一项教你测等保2.0——Linux身份鉴别的所有内容，希望对大家有所帮助，欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。