发布时间 : 星期六 文章LINUX - 操作系统安全测评指导书(三级)v1.0更新完毕开始阅读
操作系统安全测评指导书
LINUX
1概述
1.1 适用范围
本测评指导书适用于信息系统等级为三级的主机Linux操作系统测评。
1.2 说明
本测评指导书基于《信息系统安全等级保护基本要求》的基础上进行设计。
本测评指导书是主机安全对于Linux操作系统身份鉴别、访问控制、安全审计、剩余信息保护、备份与恢复安全配置要求,对Linux操作系统主机的安全配置审计作起到指导性作用。
1.4 保障条件
1) 需要相关技术人员(系统管理员)的积极配合 2) 需要测评主机的管理员帐户和口令 3) 提前备份系统及配置文件
第 2 页/共 10页
序号 测评指标 测评项 a) 应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性。 操作步骤 查看用户名与UID cat /etc/passwd、 cat /etc/shadow 查看登录是否需要密码 cat /etc/passwd、 cat /etc/shadow 预期记录 分别查看用户名(第1列)与UID(第3列)是否有重复项 所有用户具有身份标识和鉴别,用户密码栏项(第2项)带有X,表示登陆都需要密码验证。若留空则表示空密码。 实际情况记录 1 身份鉴别(S3) b) 应对登录操作系统的用户进行身份标识和鉴别。 第 1 页/共 7 页
序号 测评指标 测评项 操作步骤 预期记录 ①登录相关配置内容: PASS_MAX_DAYS=90 #登陆密码有效期90天 PASS_MIN_DAYS=2 #登陆密码最短修改时间,增加可以防止非法用户短期更改多次 PASS_MIN_LEN=7 #登陆密码最小长度7位 PASS_WARN_AGE=10 #登陆密码过期提前10天提示修改 ②密码策略相关配置 password requisite pam_cracklib.so retry=3 minlen=7 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 #“minlen=7”表示最小密码长度为7 # “difok=3”启用3种类型符号 #“ucredit=-1”至少1个大写字符 # “lcredit=-1”至少1个小写字符 #“dcredit=-1”至少1个数字字符 #“ucredit=-1”至少1个标点字符 实际情况记录 c) 操作系统管理用户身份标识应具有不易被冒用的特点,系统的静态口令应在8位以上并由字母、数字和符号等混合组成并每三个月更换口令。 ①查看登录配置文件 cat /etc/login.defs ②查看密码策略配置文件 (CentOS、Fedora、RHEL 系统) cat /etc/pam.d/system-auth (Debian、Ubuntu 或 Linux Mint 系统) cat /etc/pam.d/common-password 第 2 页/共 10页