一、身份鑒別(續)
測評項:
b)應具有登錄失敗處理功能,應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。
測評方法:
1.(方法1)查看cat /etc/pam.d/system-auth文件,是否使用pam_tally.so木塊跟蹤不成功的登錄次數。查看2條配置相關鎖定策略:
auth required /lib/security/pam_tally.so onerr=fail no_magic_root和
account required /lib/security/pam_tally.so deny=10 no_magic_root reset
2.(方法2)查看cat /etc/pam.d/system-auth文件,是否使用pam_tally2.so模塊跟蹤不成功的登錄次數。查看1條配置相關鎖定策略:
auth required pam_tally2.so deny=10 onerr=fail even_deny_root unlock_time=300 root_unlock_time=100(配置在文件第二行)
3.以上方法只是限制用戶從tty登錄,而沒有限制遠程登錄,如果想限制遠程登錄,需要修改sshd文件,cat /etc/pam.d/sshd
auth required pam_tally2.so deny=10 unlock_time=300 even_deny_root root_unlock_time=100(配置在文件第二行)
4.查看系統是否配置操作超時鎖定,檢查/etc/profile設置TMOUT是否不大於900秒(若沒有TMOUT字段,需要自己加上,賦值300)
查看/etc/ssh/sshd_config的ssh登錄超時策略:
ClientAliveInterval 60
ClientAliveCountMax 3
測評項:
c)當進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。
測評方法:
應核查是否采用加密等安全方式對系統進行遠程管理,防止鑒別信息在網絡傳輸過程中被竊聽,詢問並驗證是否關閉了Telnet、FTP等服務,是否使用ssh加密協議進行遠程登錄和管理
1.telnet,ftp服務:netstat -a | grep telnet,netstat -a | grep ftp輸出為空,表示沒有開啟該服務
2.ps aux | grep telnet,ps aux | grep rlogin,ps aux | grep ftp查看是否開啟telnet、rlogin、ftp
3.輸入:rpm -aq|grep ssh,rpm -aq|grep telnet,rpm -aq|grep vsftp查看是否安裝了ssh、telnet、ftp等相應的包
4.輸入:netstat -an 或 lsof -i:21、lsof -i:22、lsof -i:23等命令查看21(FTP)、22(SSH)、23(Telnet)端口運行情況
測評項:
d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少使用密碼技術來實現
測評方法:
1.查看和詢問系統管理員在登錄操作系統的過程中使用了哪些身份鑒別方法,是否采用了兩種或兩種以上組合的鑒別技術,如口令、數字證書UKey、令牌、指紋等,是否有一種鑒別方法在鑒別過程中使用了密碼技術
2.記錄系統管理員在登錄操作系統使用的身份鑒別方法,同事記錄使用密碼的鑒別方法。