一、身份鉴别
测评项:
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
测评方法:
- 使用root权限的账户登录操作系统后,使用命令cat 查看/etc/shadow文件,核查第二列是否为空,为空即存在空口令账户。
- 使用命令cat查看/etc/login.defs文件,查看是否设置密码长度和定期更换要求,使用命令cat查看/etc/pam.d/system-auth文件。查看密码长度和复杂度要求,记录PASS MAX_DAYS、PASS MIN_DAYS、PASS MIN_LEN、PASS WARN_AGE。
扩展:
1./etc/shadow文件共包含9个字段,分别是用户名、加密后的用户密码、自上次修改密码后过去的天数(自1970年1月1日开始计算)、多少天后可以修改密码、多少天后必须修改密码、密码过期前多少天提醒更改密码、密码过期后多少天禁用用户账户、用户被禁用的日期(自1970年1月1日经过的天数)、预留字段以备未来使用
2./etc/shadow文件第二个字段的值为加密后的用户密码,正常情况为一长串字符串,异常情形如下:
①为空,前后两个冒号之间无内容(::),表示该账户无密码;
②为"!",即(:!:),表示该用户被锁,被锁将无法登陆,但是可能其他的登录方式是不受限制的,如ssh公钥认证的方式,su的方式;
③为"*",即(:*:),表示无法使用,和"!"效果是一样的。
④以"!"或"!!"开头,则也表示该用户被锁。
⑤为"!!",即(:!!:),表示该用户从来没设置过密码。
3.密码长度和复杂度要求建议值:
PASS_MAX_DAYS:90
PASS_MIN_DAYS:1
PASS_MIN_LEN:8
PASS_WARN_AGE:5
4.在/etc/pam.d/system-auth中添加一行:auth required pam_tally2.so onerr=fail deny=3 unlock_time=30 even_deny_root root_unlock_time=100