身份鉴别方面
/etc/login.defs文件
文件功能
/etc/login.defs文件定义了/etc/passwd和/etc/shadow配套的用户限制设置。这个文件是一定要存在的,缺失并不会影响系统的使用,但是会产生一些意想不到错误。
如果/etc/shadow文件里有相同的选项,以/etc/shadow为准,/etc/shadow优先级高于/etc/login.defs。
该文件修改后生效,无需重启。
文件内容
根据等保的要求,该文件需要修改口令有效期、口令最小长度。
PASS_MAX_DAYS 90 #口令有效期:建议设置为90天(考虑员工一般试用期为90天)
PASS_MIN_DAYS 0 #两次修改密码最小间隔:可以不设置,可根据需求自行设置
PASS_MIN_LEN 8 #口令最小长度:建议设置8字符
PASS_WARN_AGE 7 #口令过期前提醒时间:默认即可,可根据需求自行设置
GID_MIN 1000 #普通用户UID最小值:默认即可,可根据需求自行设置
GID_MAX 60000 #普通用户UID最大值:默认即可,可根据需求自行设置
SYS_UID_MIN 201 #系统用户ID最小值:默认即可
SYS_UID_MAX 999 #系统用户ID最大值:默认即可
GID_MIN 1000 #用户组最小ID,与用户UID是一致的:默认即可
GID_MAX 60000 #用户组最大ID,与用户UID是一致的:默认即可
SYS_GID_MIN 201 #系统组ID最小值:默认即可
SYS_GID_MAX 999 #系统组ID最大值:默认即可
CREATE_HOME yes #默认给创建的用户新建一个家目录:默认即可
UMASK 077 #默认给创建的用户新建一个家目录的权限:默认即可
ENCRYPT_METHOD SHA512 #用户口令加密方式,采用SHA512
/etc/passwd
文件功能
在Linux中/etc/passwd文件中每个用户都有一个对应的记录行,记录了用户的一些基本属性。如果最后一列为/sbin/nologin则表示不允许用户登录,在等保2.0访问控制要求禁用无用账户,如:sync、halt等。
文件内容
根据等保的要求,该文件需要禁用不使用的账户,并赋予账户所需最小权限。
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
以第一行为例
第一列:用户名为root
第二例:用户口令,使用了shadow技术,真的用户口令加密存储至/etc/shadow文件中,而此处仅存放一个占位符X
第三列:用户UID
第四列:用户组GID
第五列:注释性描述
第六列:主目录
第七列:用户shell
/etc/shadow(CentOS 6版本以前没有这个文件)
文件功能
/etc/shadow文件只有root可读,其他用户无权限,保证用户密码的安全性。
注意:如果这个文件权限发生了改变,需要注意是否恶意攻击
文件内容
根据等保的要求,不允许空口令账户
root:$6$yWyFGZy26VecnzaI$Rg42MnByStRJBqofxLJ3TJd9lTK2WlJ6OImHZ32AAKVgqganE5YnxDPx1Q3ZH8kRYfV3w9qNJPfbaSMoa1Zx3.::0:99999:7:::
bin:*:18353:0:99999:7:::
daemon:*:18353:0:99999:7:::
以第一行为例
第一列:用户名为root
第二列:加密后的用户口令
第三列:口令最后一次修改时间
第四列:口令有效期
第五列:口令需要变更前的警告天数
第六列:密码过期后的宽限天数
第七列:账号失效时间(可创建临时账户)
第八列:保留
/etc/profile
文件功能
/etc/profile可配置登录连接超时自动退出时长,即账户登录后多久账户自动退出。
文件内容
根据等保的要求,需配置登录连接超时自动退出策略
TMOUT=300