西城区突发公共卫生事件应急指挥系统-安全测评问题及整改建议（全）_修改方法.docVIP

北京软件产品质量检测检验中心 项目编号：/ 安全测评问题风险等级及整改建议 第 PAGE 7页 共2页 中国金融电子化公司 需求规格说明书 TCBS _ SRS_V1. 0 密级：内部机密 第 PAGE 1页 北京市食品安全标准管理系统 安全测评问题风险等级及整改建议 主机安全 应用服务器2（54）CentOS release 6.5(Final) 问题 编号 检查项目 问题描述 风险等级 整改建议 身份鉴别 未设置密码复杂度策略，口令未定期更换。 高 以root权限修改/etc /pam.d/system-auth；找到password requisite pam_cracklib.so在后面可以加 retry=3 difok=x（要x个不同字符） minlen=8（最小密码长度8位） ucredit=-x（最少x个大写字母） lcredit=-x（最少x个小写字母） dcredit=-x （最少x个数字）ocredit =-x （最少x个特殊字符）； 打开/etc/login.defs文件，修改参数PASS_MAX_DAYS 90 PASS_KIN_LEN 8 未限制远程和本地登录失败处理次数和登录失败处理措施。 高 通过设置/etc/pam.d/sshd和/etc/pam.d/login限制远程和本地的登录失败处理次数和处理措施。 安全审计 服务器未开启audit审计服务；未设置审计规则。 中 开启服务器audit审计服务，并对重要文件通过auditctl命令设置访问权限。 root用户对messages和secure文件有读写执行等权限，其它用户对messages和secure文件有写和执行权限；审计记录本地保存，审计记录可能受到未预期的删除、修改或覆盖等。 高 messages和secure文件仅对root用户有读和写的权限。（600） 入侵防范 操作系统补丁未及时更新。存在OPenSSH漏洞，见附件。 中 使用离线文件更新操作系统补丁。 恶意代码防范 主机未安装防恶意代码软件。 低 安装恶意代码软件。 未安装防恶意代码软件，无法实现恶意代码的统一管理。 低 安装防恶意代码软件，实现恶意代码的统一管理。 资源控制 未禁止root用户远程登录； 未限制访问终端的地址范围。 高 通过修改/etc/ssh/sshd_config文件，将其中的PermitRootLogin改成no，然后重新启动ssh服务就 可以了。/etc/rc.d/sshd restart 通过网络设备或堡垒机限制终端的访问。 未设置操作系统的登录操作超时锁定。 高 通过修改/etc/profile文件，添加TMOUT=600 未限制用户对系统资源的最大或最小使用限度。 低 根据实际需要限制用户对系统资源的最大或最小使用限度。 修改方法： 文件/etc /pam.d/system-auth增加以下红色部分： password requisite pam_cracklib.so try_first_pass retry=3 difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 type= 文件/etc/login.defs修改以下红色部分： PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 PASS_MIN_LEN 8 PASS_WARN_AGE 7 修改后的文件参考如下： 修改方法： 通过设置/etc/pam.d/sshd和/etc/pam.d/login限制远程和本地的登录失败处理次数和处理措施 注意：对pam文件的修改应仔细检查，必须在修改前备份文件和多终端登录，一旦出现错误会导致无法登陆，可以通过其他终端还原； 本地和远程都登录到后台，本地登录设置失败时，可以通过远程登录进行还原，远程登录设置失败时可以通过本地登录还原。 首先确认pam_tally2.so工作要正常，命令“pam_tally2 -u root”可以查看root用户已经登录失败的次数。下面是不正常的输出，一定要能正确输出才能继续，否则容易进不去系统。 [root@localhost pam.d]# pam_tally2 -u root pam_tally2: /var/log/tallylog is either world writable or not a normal file pam_tally2: Authentication error 修改方法是将tallylog的权限修改成与login一样： [root@localhost pam.d]# ll /etc/pam.d/login -rw-r--r--. 1 ro