Linux 远程登录 一项一项教你测等保2.0——Linux身份鉴别
前边我们已经讲了windows系统下的身份鉴别,现在我们讲讲Linux系统下的身份鉴别,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置的方法不一样,windows系
|
一、前言 前边我们已经讲了windows系统下的身份鉴别,现在我们讲讲Linux系统下的身份鉴别,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置的方法不一样,windows系统使用的都是图形交互界面Linux 远程登录,而且我们平时使用windows系统比较多,查找起来比较方便,Linux系统是要使用命令来查看系统配置的,需要有一些Linux系统命令的基础,当然也都比较简单,现在就让我们来看看Linux系统下如何测评身份鉴别的相关测评项。 二、测评项 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 三、测评项a a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 测评项a要求1 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性 以root身份登录进入linux,使用命令more或者cat查看/etc/passwd和/etc/shadow文件中各用户状态,如下图所示:
passwd文件内容 passwd 文件内容说明: name:password:uid:gid:comment:home:shell shadow文件内容 Shadow文件内容说明: 账号名称:密码(加密过的):上次修改密码的日期:密码不可被修改天数:密码需要被更新的天数:密码变更提前几天告知:账号注销日期:账号使用期限:保留条目 所有允许登录的用户均设置密码则为符合,/etc/passwd无重复用户名且uid为0的用户只有一个视为符合。 测评项a要求2 身份鉴别信息具有复杂度要求并定期更换; 以root身份登录进入linux,查看“登录程序的配置文件”,并记录下文件内容,可参考的命令有: more /etc/login.defs
login.defs文件内容 Login.defs文件内容说明: PASS_MAX_DAYS 99999 #密码最大有效期; PASS_MIN_DAYS 0 #是否可修改密码,0可修改,非0多少天后可修改; PASS_MIN_LEN 10 #密码最小长度,对于root无效; PASS_WARN_AGE 7 #密码过期前多少天开始提示。 四、测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; 是否具有“登录失败处理功能”,查看“设置登录失败断开连接的次数”的文件。
可参考的命令有:#cat /etc/pam.d/system-auth /etc/pam.d/system-auth文件中是否存在” password requisite pam_cracklib.so retry=某数值” 查看/etc/profile 文件设置 TIMEOUT=超时时间(s)。
profile文件内容 如果有以上设置则符合该项要求。 五. 测评项c c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 在root权限下,使用命令more、cat或vi 查看是否运行了sshd服务: service --status-all | grep sshd 若未使用ssh方式进行远程管理,则查看是否使用了telnet方式进行远程管理: service --status-all | grep running
如上图所示,系统没有开启sshd服务,也没有使用telnet方式进行远程管理。 六. 测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 访谈系统管理员,询问系统有没有做加固,除口令以外有无其他身份鉴别方式,如是否使用令牌等,并对其进行验证,除口令以外有其他身份鉴别方式视为符合。 以上就是一项一项教你测等保2.0——Linux身份鉴别的所有内容,希望对大家有所帮助,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
