2、检测操作 1、检查口令强度配置选项是否可以进行如下配置: i. 配置口令的最小长度; ii. 将口令配置为强口令。 2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。 3、补充说明 pam_cracklib主要参数说明: ??? tretry=N:重试多少次后返回密码修改错误 ??? difok=N:新密码必需与旧密码不同的位数 ??? dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字. ??? lcredit=N:小宝字母的个数 ??? ucredit=N大宝字母的个数 ??? credit=N:特殊字母的个数 ??? minclass=N:密码组成(大/小字母,数字,特殊字符) pam_passwdqc主要参数说明: mix:设置口令字最小长度,默认值是mix=disabled。 max:设置口令字的最大长度,默认值是max=40。 passphrase:设置口令短语中单词的最少个数,默认值是passphrase=3,如果为0则禁用口令短语。 atch:设置密码串的常见程序,默认值是match=4。 similar:设置当我们重设口令时,重新设置的新口令能否与旧口令相似,它可以是similar=permit允许相似或similar=deny不允许相似。 random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。 enforce:设置约束范围,enforce=none表示只警告弱口令字,但不禁止它们使用;enforce=users将对系统上的全体非根用户实行这一限制;enforce=everyone将对包括根用户在内的全体用户实行这一限制。 non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息。 retry:设置用户输入口令字时允许重试的次数,默认值是retry=3。 密码复杂度通过/etc/system-auth实施 编号: 2
要求内容 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。 操作指南 1、参考配置操作 vi /etc/ PASS_MAX_DAYS=90 #设定口令的生存期不长于90天 检测方法 1、判定条件 登录不成功; 2、检测操作 使用超过90天的帐户口令登录; 3、补充说明 测试时可以将90天的设置缩短来做测试; 文件及目录权限 编号:1
要求内容 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 操作指南 1、参考配置操作 通过chmod命令对目录的权限进行实际设置。 2、补充操作说明 /etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 须所有用户都可读,root用户可写 –rw-r—r— 使用如下命令设置: chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外) 执行命令#chmod -R go-w /etc 检测方法 1、判定条件 1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行; 2、记录能够配置的权限选项内容; 3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。 2、检测操作 1、利用管理员账号登录系统,并创建2个不同的用户; 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项; 3、为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现; 4、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。 3、补充说明 编号: 2
要求内容 控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 操作指南 1、 参考配置操作 设置默认权限: Vi /etc/ 在末尾增加umask 027,将缺省访问权限设置为750 修改文件或目录的权限,操作举例如下: #chmod 444 dir ; #修改目录dir的权限为所有人都为只读。 根据实际情况设置权限; 2、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。