下载后可任意编辑如某项主机安全要求涉及到系统配置和服务状态的更改,则需要依次执行如下操作1)查看和记录相关服务的初始状态2)备份相关的系统配置3)更改系统配置和服务状态4)生成恢复系统配置和服务状态的命令或 shell 脚本。操作之前先备份系统的如下文件:/etc/login.defs/etc/passwd/etc/shadow/etc/pam.d/system-auth/etc/ssh/sshd_config1.1 身份鉴别1.1.1a) 是否对登录操作系统和数据库系统的用户进行身份标识和鉴别登录操作系统和数据库系统,均需要通过用户名和密码进行验证1.1.2b) 操作系统和数据库系统管理用户身份标识是否具有不易被冒用的特点,口令是否有复杂度要求并定期更换1. 口令复杂度口令必须具备采纳 3 种以上字符、长度不少于 8 位并定期更换;#vi /etc/pam.d/system_authpassword requisite pam_cracklib.so minlen=8 ucredit=1 lcredit=1 dcredit=1 ocredit=1意思为最少有 1 个大写字母,1 个小写字符,1 个数字, 1 个符号2. 口令有效期# vi /etc/login.defsPASS_MAX_DAYS 601.1.3c) 是否启用登录失败处理功能,可实行结束会话、限制非法登录次数和自动退出等措施设置 6 次登陆失败后锁定帐户,锁定时间 3000 秒# vi /etc/pam.d/system-auth auth required pam_tally.so onerr=fail deny=6 unlock_time=3000( 放 在 system-auth 文 件 的 第 一 行 , 若 对 root 用 户 起 作 用 , 加 上 even_deny_root root_unlock_time=3000)解锁用户 faillog -u <用户名》 -r1.1.4d) 当对服务器进行远程管理时,是否实行必要措施,防止鉴别信息在网络传输过程中被窃听下载后可任意编辑远程管理时应启用 SSH 等管理方式,加密管理数据,防止被网络窃听。查看 sshd 服务状态:# service sshd status1.1.5e) 是否为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性操作系统的管理员用户为 rootOracle 数据库系统的用户为 oracle,Oracle grid 用户为 grid1.2 访问控制1.2.1a) 是否启用访问控制功能,依据安全策略控制用户对资源的访问制定严格的访问控制安全策略,根据策略控制用户对应用系统的访问,特别是文件操作、数据库访问等,控制粒度主体为用户级、客体为文件或数据库表级。1.2.2b)是否根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限操作系统的管理员用户为 root(组...
