身份鉴别a
要求项
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
结果记录
1、登录用户需要输入用户名和口令进行身份鉴别;
2、所有用户的用户名和UID均唯一;
3、查看etc/login.defs有如下配置:PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 ;4、未设置口令复杂度策略;5、当前用户口令均为复杂口令,包括大小写字母、数字和字符,未定期更换口令。
整改步骤
- 修改/etc/login.defs,配置以下参数
PASS_MAX_DAYS 90 # 口令最长使用期限为90天
PASS_MIN_DAYS 1 # 口令最短使用期限为1天
PASS_MIN_LEN 8 # 口令最小长度为8位
PASS_WARN_AGE 7 # 口令过期警告天数
密码有效期
vim /etc/login.defs
- 修改/etc/pam.d/system-auth,在原来的password requisite下面添加一行配置以下参数
password requisite pam_cracklib.so minlen=8 ucredit= -1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
密码复杂度配置
vim /etc/security/pwquality.conf
验证有效的方法
输入命令
passwd 用户名
身份鉴别b
要求项
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
结果记录
1、经查看登录失败处理功能相关参数:文件中存在“auth required pam_env.so
auth required pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=60”;
2、未设置登录超时退出时间。
整改步骤
-
修改/etc/pam.d/system-auth,找到password required新增
#连续登录失败5次锁定5分钟(root用户锁定5分钟)
password required pam_tally2.so deny=5 unlock_time=300 even_dney_root root_unlock_time=300
-
修改/etc/profile,在原来的文件末尾加一行配置以下参数
#登录连接超时5分钟自动退出
export TMOUT=30
验证有效的方法
新建会话,等待/操作即可验证
访问控制a
要求项
d) 应授予管理用户所需的最小权限,实现
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
