精品文档---下载后可任意编辑等保级问题清单修复 Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8 Corporation standardization office #QS8QHH-HHGX8Q8-GNHHJ8 等保级问题清单修复 等保二级测评问题修复文档 目录 TOC \o “1-3” \h \z \u 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; Centos 操作系统用户口令未有复杂度要求并定期更换 提升系统口令复杂度 修改登录口令 etc/ PASS_MAX_DAYS 180 PASS_MIN_DAYS 1 PASS_WARN_AGE 28 PASS_MIN_LEN 8 如下图: 提升密码复杂度 /etc/system-auth 文件中配置密码复杂度: 在后面配置参数 password requisite minlen=8 ucredit=-1 lcredit=-3dcredit=-3ocredit=-1 说明:密码最少 minlen =8 位,ucredit=-1 密码中至少有 1 个大写字母,icredit=-3 密码中至少有 3 个小写字母,dredit=3 密码中至少有 3 个数字,oredit=-1 密码中至少有 1 个其它字符 如下图: Windows(跳板机)操作系统未根据安全策略配置口令的复杂度和更换周期 修改口令复杂度和更换周期如下: 数据库系统用户口令未定期更换 ALTER USER 用户名 PASSWORD EXPIRE INTERVAL 180 DAY; 应启用登录失败处理功能,可实行结束会话、限制非法登录次数和自动退出等措施; Centos 操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间 修改远程登录用户 修改为登录三次锁定用户,锁定时间为:一般用户 5 分钟,超级用户锁定 10 分钟配置如下: 修改/etc/sshd(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的):精品文档---下载后可任意编辑 auth required deny=3 unlock_time=300 even_deny_root root_unlock_time=600 如下图: 修改客户端登录用户 修改/etc/login(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的): auth required deny=3 unlock_time=300 even_deny_root root_unlock_time=600 如下图: Windows 操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间 账户锁定策略:复位帐户锁定计数器->3 分钟 帐户锁定时间->5 分钟 帐户锁定阀值->5 次无效登录,设置设备登录失败超时时间(不大于 10 分钟) 数据库系统登录失败处理功能配置不满足要求,登录失败次数为 100 次,未...