一、身份鉴别(续)
测评项:
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
测评方法:
1.(方法1)查看cat /etc/pam.d/system-auth文件,是否使用pam_tally.so木块跟踪不成功的登录次数。查看2条配置相关锁定策略:
auth required /lib/security/pam_tally.so onerr=fail no_magic_root和
account required /lib/security/pam_tally.so deny=10 no_magic_root reset
2.(方法2)查看cat /etc/pam.d/system-auth文件,是否使用pam_tally2.so模块跟踪不成功的登录次数。查看1条配置相关锁定策略:
auth required pam_tally2.so deny=10 onerr=fail even_deny_root unlock_time=300 root_unlock_time=100(配置在文件第二行)
3.以上方法只是限制用户从tty登录,而没有限制远程登录,如果想限制远程登录,需要修改sshd文件,cat /etc/pam.d/sshd
auth required pam_tally2.so deny=10 unlock_time=300 even_deny_root root_unlock_time=100(配置在文件第二行)
4.查看系统是否配置操作超时锁定,检查/etc/profile设置TMOUT是否不大于900秒(若没有TMOUT字段,需要自己加上,赋值300)
查看/etc/ssh/sshd_config的ssh登录超时策略:
ClientAliveInterval 60
ClientAliveCountMax 3
测评项:
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
测评方法:
应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听,询问并验证是否关闭了Telnet、FTP等服务,是否使用ssh加密协议进行远程登录和管理
1.telnet,ftp服务:netstat -a | grep telnet,netstat -a | grep ftp输出为空,表示没有开启该服务
2.ps aux | grep telnet,ps aux | grep rlogin,ps aux | grep ftp查看是否开启telnet、rlogin、ftp
3.输入:rpm -aq|grep ssh,rpm -aq|grep telnet,rpm -aq|grep vsftp查看是否安装了ssh、telnet、ftp等相应的包
4.输入:netstat -an 或 lsof -i:21、lsof -i:22、lsof -i:23等命令查看21(FTP)、22(SSH)、23(Telnet)端口运行情况
测评项:
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少使用密码技术来实现
测评方法:
1.查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、数字证书UKey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术
2.记录系统管理员在登录操作系统使用的身份鉴别方法,同事记录使用密码的鉴别方法。