SUSE Linux主机操作系统安全加固操作规范
#vi /etc/pam.d/passwd
password required pam_unix.so remember=5 use_authtok md5 shadow
3.3.5 操作验证:
步骤 1 验证方法:
使用用户帐号修改自己的密码,设置新密码与最近几次的旧密码相同; 步骤 2 预期结果:
如果设置的新密码与最近5次的旧密码相同,系统不接受该新密码。
root使用passwd命令修改其它用户的密码时不受密码复杂度的限制。
3.4 SUSE-PWD-04-配置用户认证失败锁定策略
3.4.1 安全要求:
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
3.4.2 通用策略: 实施时根据现场需求决定业务帐号和数据库帐号是否不允许设置认证失败次数。
Pam模块根据系统版本不同,可能配置的方法也不一样,需要参考实际情况来进行配置,以下两种配置方法可以解决绝大多数系统的配置问题。需要注意的是:某些SUSE 9系统中,使用telnet错误登录一次,FAILLOG里计数器会计两次数,设置次数时需要根据实际情况进行设置。
3.4.3 风险说明:
? 如果业务帐号被锁定,帐号不能使用,可能造成业务中断。请参考产品加固策略制定实施方案,确定哪些帐号需要进行例外设置。
? 帐号可能被恶意重试导致被锁定。需要询问客户决定是否实施。
16
SUSE Linux主机操作系统安全加固操作规范
3.4.4 操作方法:
3.4.4.1 终端登录:
步骤 1 设置登录时连续认证失败6次后断开会话: 修改/etc/login.defs文件,进行如下设置: #vi /etc/login.defs LOGIN_RETRIES 6
步骤 2 设置连续登陆6次后帐号锁定: SUSE 9:
修改/etc/pam.d/login文件,添加如下两行: #vi /etc/pam.d/login
auth required pam_tally.so no_magic_root account required pam_tally.so deny=6 no_magic_root SUSE 10:
修改/etc/pam.d/login文件,添加如下两行: #vi /etc/pam.d/login
auth required pam_tally.so deny=6 account required pam_tally.so 3.4.4.2 SSH登录:
SUSE 9:
步骤 1 设置连续登陆6次后帐号锁定: 修改/etc/pam.d/sshd文件,添加如下两行: #vi /etc/pam.d/sshd
auth required pam_tally.so no_magic_root #此行的位置需要在该文件的第一行。
account required pam_tally.so deny=6 no_magic_root 步骤 2 重启sshd服务: #/etc/init.d/sshd restart SUSE 10:
17
SUSE Linux主机操作系统安全加固操作规范
步骤 1 设置登录时连续认证失败6次后断开会话: 修改/etc/ssh/sshd_config文件,进行如下设置: #vi /etc/ssh/sshd_config MaxAuthTries 6
设置连续登陆6次后帐号锁定:
修改/etc/pam.d/sshd文件,添加如下两行: #vi /etc/pam.d/sshd
auth required pam_tally.so deny=6 account required pam_tally.so 步骤 2 重启sshd服务: #/etc/init.d/sshd restart
3.4.4.3 解锁方法:
以管理员用户登录,执行如下操作: 步骤 1 查看哪些用户被锁定: #pam_tally 步骤 2 为用户解锁:
# pam_tally --user username --reset=0 3.4.4.4 操作验证:
步骤 1 验证方法:
以任一普通账号通过错误的口令进行系统登录6次以上; 步骤 2 预期结果:
帐户被锁定,需要联系系统管理员解锁
18
SUSE Linux主机操作系统安全加固操作规范
4
服务
4.1 SUSE-SVC-01-查看开放系统服务端口
4.1.1 安全要求:
设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。
4.1.2 通用策略:
此项是对操作系统本身的要求,SUSE系统均满足此项要求。
4.1.3 风险说明:
无
4.1.4 操作方法:
步骤 1 查看已使用服务列表: # chkconfig --list 步骤 2 查看开放的端口列表: # netstat -an
步骤 3 服务端口和进程对应表: # more /etc/services
4.1.5 操作验证:
步骤 1 验证方法: # chkconfig - - list # netstat -an # more /etc/services 步骤 2 预期结果: 能够列出开放的服务列表 能够列出开放的端口列表
可以看到详细的服务端口和进程对应表
19
SUSE Linux主机操作系统安全加固操作规范
4.2 SUSE-SVC-02-禁用无用inetd/xinetd服务
4.2.1 安全要求:
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。
4.2.2 通用策略:
仅关闭产品确认的可以关闭的服务。
建议关闭的服务(需要根据各产品线加固策略决定是否关闭):
chargen、chargen-udp、cups-lpd、cvs、daytime、daytime-udp、echo、echo-udp、fam、netstat、rsync、servers、services、systat、time、time-udp
请根据需要开启相应的服务
4.2.3 风险说明:
第三方系统可能需要使用这里禁用的服务。 Unix/Linux上的很多软件对系统服务具有依赖性,服务之间也具有依赖性。关闭服务可能造成软件或者服务不能正常运行。 禁用服务可能影响以后的业务升级和新业务的上线。 4.2.4 操作方法:
步骤 1 关闭inetd服务 # chkconfig 服务名 off 步骤 2 关闭xinetd服务
修改其配置文件,在其属性中修改Disable 为yes,如没有,请添加 #vi /etc/xinetd.d/服务名 disable = yes 步骤 3 重启inetd服务 # /etc/init.d/xinetd restart
4.2.5 操作验证:
步骤 1 验证方法: # chkconfig -l 步骤 2 预期结果:
仅有允许的服务处于开启状态
20