|
??????验证检查:
1、桌面右键—个性化—屏幕保护程序;
2、在运行中输入gpedit.msc打开“组策略”,在计算机配置—管理模块—Windows组件—远程桌面服务—远程桌面会话主机—会话时间限制中,查看是否设置“活动但空闲的远程桌面服务会话时间的限制”。
建议整改:
(一)策略修改
1、启用屏保并勾选“在恢复时显示登录屏幕”
2、设置“活动但空闲的远程桌面服务会话时间的限制”(推荐值设置15分左右)1.1.2.?linux
身份鉴别
??????b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
??????centos/Fedora/RHEL
??????整改方法:
??????验证检查:
1、查看/etc/login.defs,访谈询问当前所设置的密码长度及更换周期;
2、查看/etc/pam.d/system-auth,确认密码复杂度要求。
密码最长有效期PASS_MAX_DAYS;
密码最短存留期PASS_MIN_DAYS;
密码长度最小值PASS_MIN_LENS;
密码有效期警告PASS_WARN_AEG;
密码须包含大写字母个数ucredit;
密码须包含小写字母个数lcredit;
密码须包含的数字字符个数dcredit;
密码须包含的特殊符号个数ocredit。
建议整改:
(一)策略修改
1、/etc/login.defs文件中进行如下变量配置:
PASS_MAX_DAYS:90;
PASS_MIN_DAYS:2;
PASS_MIN_LENS:8;
PASS_WARN_AEG:7;
2、/etc/pam.d/system-auth文件中添加下面信息:
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1ocredit=-1;
3、当前所设置的密码长度应不少于8位,具有一定的复杂度并能定期更换。
??????Ubuntu/Debian
??????整改方法:
??????验证检查:
1、查看/etc/login.defs,访谈询问当前所设置的密码长度及更换周期;
2、查看/etc/pam.d/common-password,确认密码复杂度要求。
密码最长有效期PASS_MAX_DAYS;
密码最短存留期PASS_MIN_DAYS;
密码长度最小值PASS_MIN_LENS;
密码有效期警告PASS_WARN_AEG;
密码须包含大写字母个数ucredit;
密码须包含小写字母个数lcredit;
密码须包含的数字字符个数dcredit;
密码须包含的特殊符号个数ocredit。
建议整改:
(一)策略修改
1、/etc/login.defs文件中进行如下变量配置:
PASS_MAX_DAYS:90;
PASS_MIN_DAYS:2;
PASS_MIN_LENS:8;
PASS_WARN_AEG:7;
2、/etc/pam.d/system-auth文件中添加下面信息:
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1ocredit=-1;
3、当前所设置的密码长度应不少于8位,具有一定的复杂度并能定期更换。
??????c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
??????整改方法:
??????验证检查:
1、find /lib* -iname “pam_tally2.so”或find /lib* -iname “pam_tally.so”是否有改动态库
2、是否有以下参数:auth required pam_tally2.so? onerr=fail?deny=X? unlock_time=Xeven_deny_root root_unlock_time=X(限制从终端登录)
3、/etc/pam.d/sshd文件中是否有以上相同参数(限制ssh登录)
建议整改:
1、centos:/etc/pam.d/system-auth或Ubuntu:/etc/pam.d/common-password文件中添加:auth required pam_tally2.so?onerr=fail? deny=3? unlock_time=40 even_deny_rootroot_unlock_time=30
注意添加的位置,要写在第一行,即#%PAM-1.0的下面。
以上策略表示:普通帐户和 root 的帐户登录连续 3 次失败,就统一锁定 40 秒, 40 秒后可以解锁。
如果不想限制 root 帐户,可以把? even_deny_root root_unlock_time这两个参数去掉, root_unlock_time 表示 root 帐户的 锁定时间,onerr=fail 表示连续失败,deny=3,表示 超过3 次登录失败即锁定。
2、/etc/pam.d/sshd文件中添加相同参数
(备注:以上参数根据实际情况进行设置,至少配置/etc/pam.d/sshd文件限制ssh登录)
??????f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
??????整改方法:
??????验证检查:
操作系统登录是否采用口令+令牌、USB KEY等方式进行身份鉴别。
建议整改:
(一)设备或服务部署
1、物理机房:采用双因子认证设备
2、上云服务器(如阿里云):云堡垒机
访问控制
??????a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
??????整改方法:
??????验证检查:
是否能提供用户权限对照表,设置的用户权限是否与权限表一致。
建议整改:
完善用户权限表(纸质版或电子版)
??????d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
??????整改方法:
??????验证检查:
1、重命名系统默认帐户(root);
2、修改默认帐户的口令。
建议整改:
1、根据业务需求情况对root进行重命名,其口令必须进行修改
??????f)应对重要信息资源设置敏感标记;
??????整改方法:
??????验证检查:
1、询问主机管理员是否定义了主机中的重要信息资源;
2、询问主机管理员,是否为主机内的重要信息设置敏感标记。
建议整改:
暂无
??????g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
??????整改方法:
??????验证检查:
1、询问主机管理员是否定义了敏感标记资源的访问策略;
2、查看有敏感标记的重要信息资源是否依据访问策略设置了严格的访问权限。
建议整改:
暂无
备注:linux系统分为Ubuntu、OpenSUSE、Fedora、Debian、RHEL、CentOS等,每个系统又分为不同的版本,因此在修改策略时需要在相同环境的测试机上进行验证后,在正式环境中进行修改
?
安全审计
??????a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
??????b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
??????c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
??????d)应能够根据记录数据进行分析,并生成审计报表;
??????e)应保护审计进程,避免受到未预期的中断;
??????f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
??????整体分析
??????整改方法: (编辑:宣城站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
