linux安全配置规范_linux系统安全配置规范

序号

配置类别

配置项名称

实施策略

1

身份鉴别

口令复杂度策略

合规

2

身份鉴别

登录失败账户锁定策略

合规

3

身份鉴别

口令最长生存期策略

合规

4

身份鉴别

SSH 登录配置

合规

5

访问控制

多余账户锁定策略

合规

6

访问控制

共享账号检查

合规

7

访问控制

系统关键目录权限控制

合规

8

访问控制

用户缺省权限控制

合规

9

访问控制

禁止Control-Alt-Delete键盘关闭命令

10

安全审计

是否开启日志审计

11

安全审计

安全日志完备性要求

合规

12

安全审计

统一远程日志服务器配置

合规

13

安全审计

日志文件权限控制

不合规 rwrwx-r

15

资源控制

字符操作界面账户定时退出

合规

16

资源控制

root 账户远程登录账户限制

不合规

17

入侵防范

关闭不必要的服务

合规

安全配置编号

操作系统—LINUX—配置-1

安全配置名称

操作系统口令复杂度策略

配置要求内容

口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

配置要求依据

1、《信息系统等级保护基本要求》

主机安全---身份鉴别

b) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；

c) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，系统的静态口令应在8位以上并由字母、数字、符号等混合组成并每三个月更换口令。

涉及的系统配置项

涉及系统文件：/etc/pam.d/passwd

涉及参数：

Minlen //密码最小长度要求；

Lcredit //小写字符数量

Ocredit //特殊字符数量

安全配置方法

以root账户登录系统

修改/etc/pam.d/passwd文件：

#vi /etc/pam.d/passwd

确保下面行未被注释，如没有，请添加：

password required /lib64/security/pam_cracklib.so retry=5 minlen=8 difok=1 | credit=1 ucredit =1 dcredit =1 ocredit=1 reject_username

检查方法

以root账户登录系统

查看/etc/pam.d/passwd文件中是否存在口令复杂度策略配置

# cat /etc/pam.d/passwd //检查口令策略文件

//minlen=8 最小长度为8位

//lcredit=2 口令中最少应包含的字母字符数量为2个

//ocredit=1 口令中最少应包含的非字母数字字符数量为1个

安全配置编号

操作系统—LINUX—配置-2

安全配置名称

多次登录失败锁定策略

配置要求内容

系统应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号，root 用户不适用该项配置。