如何让主机合规分析报告评分达到90分?
|
副标题[/!--empirenews.page--]
《如何让主机合规分析报告评分达到90分?》要点: 说明:本次文档是根据某厂的主机合规分析报告内容进行整改的,整改后评分达到90分,本次试验环境为Centos6.7. ????一、账号管理 ????1.1密码锁定策略 pam_tally2和pam_faillock?PAM 模块都可以允许系统管理员锁定在指定次数内登录尝试失败的用户账户.并在尝试指定次数是进行锁定,防止暴力破解. 修改方法: 在指定的两个文件中的 account 区段中添加以下命令行: 说明: /etc/pam.d/login中配置只在本地文本终端上做限制;
测试 可人工将计数器清零: ? ? 1.2 密码生存期 密码生存期是另一个系统管理员用来保护在机构中防止不良密码的技术.密码有效期的意思就是在指定时段后(通常为 90 天),会提示用户创建新密码.它的理论基础是如果强制用户周期性修改其密码,那么破解的密码对与入侵者来说只在有限的时间内有用.密码有效期的负面影响是用户可能需要写下这些密码. 主要是修改下面三行的内容: ????1.3 密码复杂度 由于管理员给用户创建的密码暴露,所以管理员都是让用户自己修改密码,但还需要符合密码的强度,在这种场景下,管理员可能会强制用户定期更改密码,防止密码过期. 将上面的这行修改为下面的内容: ????1.4 删除无关帐号 下面的系统自带的账号应该移除或锁定.这类用户的密码列不是用*或者!!开头的. 三类用户: 超级用户:拥有对系统的最高管理权限,缺省是root用户. 普通用户:只能对自己目录下的文件进行访问和修改,具有登录系统的权限. 虚拟用户:也叫“伪”用户,这类用户最大的特点是不能登录系统,它们的存在主要是方便系统管理,满足相应的系统进程对文件属主的要求. 如果上面的这些用户没有被删除或锁定,可选用如下的三种操作: 4.2若不想将上述用户移除,也可将其进行锁定 4.3还可修改用户的shell为/bin/false 执行下面的指令将上述用户进行锁定: ????1.5 口令重复次数限制 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近五次(含五次)内已使用的口令. 将上面的这行密码控制语句改为: 注意:NIS系统无法生效,非NIS系统或NIS+系统能够生效. ????1.6 禁止管理组之外的用户su为根用户 注意:auth同sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开. (编辑:厦门网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
