信息安全等级保护测评作业指导书Linux 主机(三级)版 号:第 2 版修 改 次 数:第 0 次生 效 日 期:2010 年 01 月 06 日中国电力科学讨论院信息安全实验室控制编号:SGISL/OP-SA32-10修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA32-10李鹏按公安部要求修订詹雄2024.3.8一、身份鉴别1.用户身份标识和鉴别测评项编号ADT-OS-LINUX-01对应要求应对登录操作系统的用户进行身份标识和鉴别。测评项名称用户身份标识和鉴别测评分项 1:检查并记录 R 族文件的配置,记录主机信任关系操作步骤#find / -name .rhosts #find / -name .netrc #more /etc/hosts.equiv适用版本任何版本实施风险无符合性判定假如无其它计算机和用户与主机存在信任关系,判定结果为符合;假如有其它计算机和用户与主机存在信任关系,判定结果为不符合。测评分项 2:查看系统是否存在空口令用户操作步骤# grep nullok /etc/pam.d/system-auth 查看是否有 nullok 项适用版本任何版本实施风险无符合性判定system-auth 文件无 nullok 项,表示无空密码账户,判定结果为符合;system-auth 文件有 nullok 项,表示有空密账户,判定结果为不符合。备注2.账号口令强度测评项编号ADT-OS-LINUX-02对应要求操作系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换测评项名称账号口令强度测评分项 1: 检查系统 XX 密码策略操作步骤执行以下命令:cat /etc/login.defs查看以下值:PASS_MAX_DAYS 99999PASS_MIN_DAYS 0PASS_MIN_LEN 5PASS_WARN_AGE 7适用版本任何版本实施风险无符合性判定口令策略设置合理,口令设置时,长度须满足至少8位复杂度(数字、字母、特别字符混合),密码至少满足1个月修改一次等,即:PASS_MAX_DAYS =30 //口令至少每隔30 天更改一次PASS_MIN_LEN =8 //用户口令长度不少于8 个字符判定结果为符合;口令策略设置不合理,包括口令长度不足8位,密码从不修改等情况判定结果为不符合。测评分项 2:检查系统中是否存在空口令或者是弱口令操作步骤1. 利用扫描工具进行查看2. 询问管理员系统中是否存在弱口适用版本任何版本实施风险扫描可能会造成账号被锁定符合性判定根据扫描结果和管理员回答,确定系统当前可用XX不存在空口令或弱口令(口令长度不少于 8 位,且复杂度很高),判定结果为符合;根据扫描结果和管理员回答,确定系统当前可用XX存...