如某项主机安全要求涉及到系统配置和服务状态的更改,则需要依次执行如下操作
1)查看和记录相关服务的初始状态
2)备份相关的系统配置
3)更改系统配置和服务状态
4)生成恢复系统配置和服务状态的命令或 shell 脚本。
操作之前先备份系统的如下文件:
/etc/login.defs
/etc/passwd
/etc/shadow
/etc/pam.d/system-auth
/etc/ssh/sshd_config
1.1 身份鉴别
1.1.1 a) 是否对登录操作系统和数据库系统的用户进行身份标识和鉴别
登录操作系统和数据库系统,均需要通过用户名和密码进行验证
1.1.2 b) 操作系统和数据库系统管理用户身份标识是否具有不易被冒用的特点,口令是否
有复杂度要求并定期更换
1. 口令复杂度
口令必须具备采用 3 种以上字符、长度不少于 8 位并定期更换;
#vi /etc/pam.d/system_auth
password requisite pam_cracklib.so minlen=8 ucredit=1 lcredit=1 dcredit=1 ocredit=1
意思为最少有 1 个大写字母,1 个小写字符,1 个数字, 1 个符号
2. 口令有效期
# vi /etc/login.defs
PASS_MAX_DAYS 60
1.1.3 c) 是否启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等
措施
设置 6 次登陆失败后锁定帐户,锁定时间 3000 秒
# vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=3000
( 放 在 system-auth 文 件 的 第 一 行 , 若 对 root 用 户 起 作 用 , 加 上 even_deny_root
root_unlock_time=3000)
解锁用户 faillog -u <用户名》 -r
1.1.4 d) 当对服务器进行远程管理时,是否采取必要措施,防止鉴别信息在网络传输过程
中被窃听
远程管理时应启用 SSH 等管理方式,加密管理数据,防止被网络窃听。