Linux测评指导书材料.xlsxVIP

测评指标 控制项 检查对象 检查内容 结果记录 备注

身份鉴别 a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； Linux 1）检查系统管理员账号是否设置密码并且以密码进行验证登录，如未设置密码则不符合要求。

2）查看/etc/passwd，并注意第三个“：”间uid为0的用户；注意第二个“：”间为空的无密码用户。

查看/etc/shadow现有用户密码信息，并注意有空密码的用户“空密码=::。

3）find/–name“.rhosts”，查看各个.rhosts文件，查看是否删除.rhosts中的不必要用户或主机。

4）查看/etc/hosts.equiv，查看是否删除/etc/hosts.equiv中的不必要用户或主机。

5)查看/etc/login.defs，检查当前所设置的密码长度及更换周期；查看/etc/pam.d/system-auth，确认密码复杂度要求。

【说明】

1、无配置或无“.rhosts”、“/etc/hosts.equiv”文件可判定此部分为符合。

2、可能.rhosts和/etc/hosts.equiv中存在用户或主机，如果确认这些主机都是需要的，可以判定为符合。

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； Linux 1）采用pam_tally的方法

cat/etc/pam.d/system-auth文件，查看2条配置相关锁定策略

authrequired/lib/security/pam_tally.soonerr=failno_magic_root

accountrequired/lib/security/pam_tally.sodeny=10no_magic_rootreset

2）采用pam_tally2的方法

cat/etc/pam.d/system-auth文件，查看1条配置相关锁定策略

#%PAM-1.0（一定要在此后面配置）

authrequiredpam_tally2.sodeny=10onerr=faileven_deny_rootunlock_time=600root_unlock_time=100

【说明】

以上方法部分情况只是限制了用户从tty登录，而没有限制远程登录，如果想限制远程登录，需要改sshd文件。

vim/etc/pam.d/sshd

#%PAM-1.0（同样是增加在第2行）

authrequiredpam_tally2.sodeny=10unlock_time=600even_deny_rootroot_unlock_time=60

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； Linux 1）询问并验证Linux是否关闭了Telnet、FTP等服务，是否使用SSH加密协议进行远程登录和管理（telnet服务查看/etc/xinetd/krb5-telnet文件，ps：较低版本为inetd；rpm-aq|grepssh查看是否安装了SSH相应的包）；

2）输入netstat-an或lsof-i:21、lsof-i:22、lsof-i:23等命令查看21（FTP）、22（SSH）、23（Telnet）端口的运行情况；

3）对远程链接时的管理数据包进行嗅探，查看传输数据是否及进行了加密。。

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 Linux 1）检查是否使用两种组合的认证方式，如：用户名密码+生物技术；用户名密码+短信、令牌等。

2）部署如堡垒机使用堡垒机实现双因子登录可判定符合。

访问控制 a)应对登录的用户分配账户和权限； Linux 1）制定有权限分配表，明确创建用户时应该赋予哪些权限。

2）测试用户权限是否按照权限分配表进行分配的。

b)应重命名或删除默认账户，修改默认账户的默认口令； Linux

1）检查/etc/passwd和/etc/shadow等文件，查看是否启用默认账户，检查/etc/passwd文件内对不启用的用户是否nologin或以#号标注。

2）测试默认账户是否为空密码，查看/etc/passwd文件中各用户的第二字段处是否不为空。查看/etc/shadow文件中，密码字段处是否不为空。

3）重命名默认用户名，例如root。用户口令满足复杂度要求。

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在 Linux

1）输入more/etc/passwd是否禁用以下用