LC-CS-41Linux系统等级保护测评指导书（二级）.pdf

Linux系统等级保护测评指导书（二级）中涵盖了一系列关键知识点，主要是关于Linux系统在信息安全等级保护二级要求下的实施标准和操作步骤。以下是根据文档【部分内容】提炼出的知识点： 1. 用户身份鉴别和管理 在Linux系统中，必须实现严格的身份鉴别机制，以确保只有授权用户才能访问系统。这包括对系统登录操作和数据库系统的用户进行身份标识与鉴别。具体措施应包括：不得使用默认用户和默认口令，口令应由数字、大小写字母和符号混排组成，以提供高复杂度。口令长度至少为8位，每季度更换一次，并且新口令在5次内不能重复使用之前的口令。 2. 口令策略配置 口令策略的配置是防止口令被轻易破解的重要措施。在/etc/login.defs文件中应配置有密码策略相关参数，如PASS_MAX_DAYS（密码有效期）、PASS_MIN_DAYS（密码最短修改时间）、PASS_MIN_LEN（密码最小长度）以及PASS_WARN_AGE（密码过期提前提示天数）。同时，应检查/etc/pam.d/system-auth配置文件中是否包含pam_cracklib.so模块的相关配置参数。 3. 创建用户和口令强度要求 创建用户时，应检查系统是否对口令强度有相应提示，这包括对简单口令（如与用户名相同、只包含字符或数字、长度短于6位的口令）是否拒绝设置，并且对复杂口令（包含特殊符号）是否允许设置。此外，还需使用暴力密码枚举工具验证系统对密码强度的检测能力。 4. 登录失败处理功能 应启用登录失败处理功能，例如限制非法登录尝试次数、超尝试次数自动退出、设置网络连接超时自动退出等措施。这通常在/etc/pam.d/system-auth配置文件中通过pam_cracklib.so模块和pam_pwquality.so模块来实现。 5. 远程管理时的安全措施 在远程管理服务器时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。通常需要启用SSH服务进行远程连接，并且确保telnet服务已停用。SSH服务应支持传输过程的加密功能，以防止鉴别信息被截获。 6. 禁止空口令账户 系统应定期检查/etc/shadow和/etc/passwd文件，确认没有空口令账户的存在。空口令账户是指那些用户状态标识为"!!"的账户。 以上知识点详细阐述了在等级保护测评中针对Linux系统的身份鉴别、口令策略配置、用户管理、登录失败处理、远程管理安全以及禁止空口令账户等关键方面的测评步骤和预期结果，以确保系统达到等级保护二级标准的安全性。