Linux主机测评培训.pptxVIP

Linux主机测评培训江苏网擎信息技术有限公司2020年2月身份鉴别基本要求：a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；检测方法：测试进行远程访问或本地登录时，是否需要口令；cat/etc/passwd，是否存在同样的用户名和UID；cat/etc/shadow,用户口令栏第二列是否不为空，，查看文件中各用户名状态;cat/etc/login.defs，检查口令策略;cat/etc/pam.d/system-auth,/etc/security/pwquality.conf检查口令复杂度策略；密码有效期策略（/etc/login.defs）PASS_MAX_DAYS90（密码设置最长有效期90天）PASS_MIN_DAYS7（密码设置最短有效期7天）PASS_MIN_LEN8（设置密码最小长度8位）PASS_WARN_AGE7（提前7天警告用户密码即将过期）密码复杂度策略（/etc/pam.d/system-auth,/etc/security/pwquality.conf）passwordrequisitepam_cracklib.soretry=3difok=3minlen=8ucredit=-1lcredit=-2dcredit=-1ocredit=-1dictpath=/usr/share/cracklib/pw_dict备注：difok=3（允许的新、旧密码相同字符的个数为3个），retry=3（最少不同字符为3个）minlen=8（密码最小密码长度为8）ucredit=-1（至少包含1个大写字母）lcredit=-2（至少包含2个小写字母）dcredit=-1（至少包含1个数字）ocredit=-1（至少包含1个特殊字符）dictpath=XXX（密码字典路径）能力验证预置问题身份鉴别b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；检测方法新建测试用户，用此用户登录时多次输入错误密码，核查登录失败处理功能是否成功启用；cat/etc/pam.d/system-auth（或#cat/etc/pam.d/sshd）,配置策略authrequiredpam_tally2.sodeny=3unlock_time=600even_deny_rootroot_unlock_time=600，需要对root用户生效；cat/etc/profile,exportTMOUT=180已设置超时锁定时间为180秒；登录后测试长时间不超时，是否自动退出；参数解释:deny?指定最大几次认证错误，如果超出此错误，将执行后面的策略。如锁定N秒，如果后面没有其他策略指定时，默认永远锁定，除非手动解锁。lock_time普通账户锁定多长时间，按秒为单位；unlock_time普通账户被锁后，多长时间自动解锁用户；magic_root如果用户uid＝0（即root账户或相当于root的帐户）在帐户认证时调用该模块发现失败时，不计入统计；no_lock_time不使用.fail_locktime项在/var/log/faillog中记录用户，个人理解即不进行用户锁定；even_deny_rootroot用户在认证出错时，一样被锁定（该功能慎用，搞不好就要单用户时解锁了）root_unlock_timeroot用户在失败时，锁定多长时间。该选项一般是配合even_deny_root一起使用的。查看用户登录失败的次数pam_tally2--userroot解锁指定用户pam_tally2-r-urootLinux登陆失败处理功能Linux有一个pam_tally2.so的PAM模块，来限定用户的登录失败次数，如果次数达到设置的阈值，则锁定用户。/etc/pam.d/login中配置只在本地文本终端上做限制；/etc/pam.d/kde在配置时在kde图形界面调用时限制；/etc/pam.d/sshd中配置时在通过ssh连接时做限制；/etc/pam.d/system-auth中配置凡是调用system-auth文件的服务，都会生效。本地字符终端登录限制方法（不常用），在/etc/pam.d/login中添加authrequiredpam_tally2.sodeny=5lock_time=300even_deny_rootroot_unlock_time=10能力验证预置问题Linux登陆超时自动退出安全属性设置：/etc/profile配置文件添加TMOUT=180exportT