知识宝库在此藏,一键关注获宝藏
注:本文实验版本均为 银河麒麟V10 SP1(Tercel)版本,相应的安全配置仅供参考,版本不同配置可能有所差别
命令行界面查看:
一、身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1. 当前实际情况
2. 操作系统强制策略
① 口令复杂度
debug:将调试信息写入日志(不懂,不会测试)
type=xxx:当添加/修改密码时,系统给出的省缺提示符是“New UNIX password”以及“Retype UNIX password”,使用该参数可以自定义输入的密码提示符。(如password requisite pam_cracklib.so type=1111111)
retry=N:修改密码可重试的次数,返回密码修改错误
difok=N:新密码必需与旧密码不同的位数
dcredit=N:N >0密码中最多有多少个数字长度加1;
N<0密码中最少有多少个数字
lcredit=N:小写字母的个数
ucredit=N:大写字母的个数
ocredit=N:特殊字母的个数
minclass=N:密码组成(大/小字母,数字,特殊字符)
minlen=N:密码最小长度
② 新建用户口令最长过期时间
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
1. 登录失败处理功能
查看sshd文件,第一行可以理解为引用(或者说包含)了名为 password-auth 的PAM文件,就是告诉系统在进行身份认证时需要使用 password-auth 文件中定义的认证模块。所以针对SSH 远程登录失败也生效。
原文始发于微信公众号(等保不好做啊):等保2.0测评 — 银河麒麟操作系统
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论