目录
在测评过程中最为常见的是三级系统,所以本文按照三级等保标准进行测评。
本文中出现的测评截图均为博主搭建的测试环境。(请勿泄露客户的生产环境信息)
基础信息收集
记录基本的资产信息,方便后续统计。
# 查看系统版本
uname -a
cat /etc/redhat-release
cat /etc/issue
# 查看本机IP
ifconifg
(一)身份鉴别
1.1 控制项:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
测评方法:
1)访谈系统管理员系统用户是否已设置密码,并查看登录过程中系统帐户是否使用了密码进行验证登录;
2)以有权限的帐户身份登录操作系统后,使用命令more /etc/shadow文件,核查系统是否存在空口令帐户和同名帐户;
3)使用命令more /etc/login.defs文件,查看是否设置密码长度和定期更换要求;
使用命令more /etc/pam.d/system-auth,查看密码长度和复杂度要求。
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
ucredit: upper-case 大写字母
lcredit: lower-case 小写字母
dcredit: digit-case 数字
ocredit: other-case 其他特殊字符
✏️最小长度策略,system-auth生效优先级高于login.def
1.2 控制项:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
测评方法:
1)系统配置并启用了登录失败处理功能,查看文件内容:
本地登录配置:more /etc/pam.d/system-auth
添加auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600(见上图);
✏️保证pam_tally2.so在pam_unix.so上面即可(不一定非要在第一行)
远程ssh登录则配置此文件:more /etc/pam.d/sshd
2)查看/etc/profile中的TIMEOUT环境变量,是否配置超时锁定参数;
以秒为单位,此处为30分钟
3)SSH登录,查看/etc/ssh/sshd_config;
此处为每600秒检测一次,检测到3次不活动就断开
1.3 控制项:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
测评方法:
1)访谈系统管理员,进行远程管理的方式。
以root身份登录进入:
查看是否运行了sshd服务(应该启用): ps -ef | grep sshd ;
查看是否运行了telnet服务(应该禁用):ps -ef | grep telnet;
2)如果本地管理,本条判定为符合。
1.4 控制项:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
测评方法:
访谈和核查系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术。