Linux 系统安全配置基线第 1 页 共 12 页第1章 帐号管理、认证授权1.1 帐号1.1.1 用户口令设置安全基线项目名称安全基线编号安全基线项说明检测操作步骤操作系统 Linux 用户口令设置安全基线要求项SBL-Linux-02-01-01对于采用静态口令认证技术的设备,帐户口令的生存期不长于90 天。1、询问管理员是否存在如下类似的简单用户密码配置,比如:root/root, test/test, root/root12342、执行:more /etc/login.defs,检查 PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE参数3、执行:awk -F: '($2 == "") { print $1 }' /etc/shadow, 检查是否存在空口令帐号基线符合性判定依据建议在/etc/login.defs 文件中配置:PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数不存在空口令帐号备注1.1.2 用户口令强度要求安全基线项目名称安全基线编号操作系统 Linux 用户口令强度安全基线要求项SBL-Linux-02-01-02第 2 页 共 12 页安全基线项说明检测操作步骤基线符合性判定依据对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。/etc/pam.d/system-auth 文件中是否对 pam_cracklib.so 的参数进行了正确设置。建议在/etc/pam.d/system-auth 文件中配置:passwordrequisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1dcredit=1至少 8 位,包含一位大写字母,一位小写字母和一位数字备注1.1.3 用户锁定策略安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据操作系统 Linux 用户口令锁定策略安全基线要求项SBL-Linux-02-01-03对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 10次,锁定该用户使用的帐号。/etc/pam.d/system-auth 文件中是否对 pam_tally.so的参数进行了正确设置。设置连续输错 10 次密码,帐号锁定 5 分钟,使用命令“vi /etc/pam.d/ system-auth”修改配置文件,添加auth required pam_tally.so onerr=fail deny=10 unlock_time=300注:解锁用户 faillog-u<用户名>-r备注1.1.4 root 用户远程登录限制安全基线项目名称安全基线编号安全基线项说明操作系统 Linux 远程登录安全基线要求项SBL-Linux-02-01-04帐号与口令-root 用户远程登录限制第 3 页 共 1...
