本文介绍了等保三级对Linux主机的安全要求,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复和剩余信息保护等方面的具体配置和检查方法。例如,检查Linux系统的口令策略、远程管理安全、权限设置、审计日志、服务和端口状态等,以确保系统安全合规。
本文以等保三级(S3A3)要求,CentOS 7.6 64位系统为例进行演示。
一、身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
该项需检查登录是否需用账号密码,当前密码是否在8位以上并包含字母、数字、特殊字符。
输入命令查看是否存在空口令,shadow文件第二个字段为加密后的口令,如下图标记所示,为空则为空口令(*或者!!表示用户被锁定):
more /etc/shadow
输入命令查看密码长度和定期更换设置:
cat /etc/login.defs
PASS_MAX_DAYS 99999 :登录密码有效期为99999天PASS_MIN_DAYS 0 : 登录密码最短使用时间,增加可以防止非法用户短期更改多次PASS_MIN_LEN 8 : 登录密码最短长度为8位,如果使用pam_cracklib module,那么该参数将不再有效PASS_WARN_AGE 7 :登录密码过期提前7天提示修改
输入命令查看密码复杂度配置:
cat /etc/pam.d/system-auth
minlen=8 : 新密码最短为八位,由上条可知,以此处密码位数为准dcredit=-2 : 新密码中最少包含两个数字ucredit=-1 : 新密码中最少包含一个大写字母lcredit=-1 : 新密码中最少包含一个小写字母ocredit=-1 : 新密码中最少包含一个特殊字符
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
输入以下命令看登录失败处理功能是否开启:
cat /etc/pam.d/system-auth
onerr=fail 表示定义了当出现错误时的缺省返回值;even_deny_root 表示也限制root用户;deny 表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;unlock_time 表示设定普通用户锁定后,多少时间后解锁,单位是秒;root_unlock_time 表示设定root用户锁定后,多少时间后解锁,单位是秒;
输入以下命令检查超时自动退出功能
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
