业务安全 SUSE Linux 主机安全加固(3)

业务安全 SUSE Linux 主机安全加固通用操作指导书

3.1.3 SEC-SUSE-ACCT-03-用户帐号分组

要求内容：

根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。

通用策略：

1. 主要区分数据库用户组、业务维护帐号组、业务运行帐号和业务维

护帐号。 2. 实施时根据业务加固策略判断是否需要创建用户组，并且帐号修改

为对应组。

风险说明：

1. 尽量避免一个帐号属于多个组，避免额外授权造成安全隐患。 2. 更改业务安装运行帐号组可能造成业务不可用。请参考产品加固策

略制定实施方案，确定哪些帐号需要进行例外设置。

操作方法：

步骤 1 创建帐户组：

#groupadd –g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；

#usermod –g groupname username #改变用户的组id为groupname #groupmod –A username groupname #将用户username分配到groupname组中。

查询被分配到的组的GID：#id username 可以根据实际需求使用如上命令进行设置。

步骤 2 可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、

mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。

当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；

操作验证:

1. 验证方法：

查看组文件：#cat /etc/group 2. 预期结果：

第11页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

可以查看到用户账号分配到相应的帐户组中； 或都通过命令检查账号是否属于应有的组： #id username

3.2 口令

3.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度

安全要求：

对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

通用策略：

该操作立即生效，对所有修改密码的命令有效。可根据现场需求设置密码复杂度，一般设置为最短长度6个字符，至少包含两个字母，一个特殊字符。

风险说明：

对于存在密码关联的用户，修改密码时须注意同步修改业务相关配置文件，否则会造成业务不可用。

操作方法：

设置密码规则：至少各有一个字符来自这些字符集a-z、A-Z、标点符号、0-9

步骤 1 修改/etc/security/pam_pwcheck.conf 文件：

#vi /etc/security/pam_pwcheck.conf 确保下面行未被注释，如没有，请添加： password: nullok use_cracklib

步骤 2 修改/etc/pam.d/passwd文件：

#vi /etc/pam.d/passwd

确保下面行未被注释，如没有，请添加： auth required pam_unix2.so nullok account required pam_unix2.so

password required pam_pwcheck.so nullok

password requisite pam_cracklib.so minlen=6 lcredit=-2 ocredit=-1 use_authtok

password required pam_unix2.so nullok use_first_pass use_authtok session required pam_unix2.so

第12页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

操作验证：

1. 验证方法：

创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

root使用passwd命令修改其它用户的密码时不受密码复杂度的限制。

2. 预期结果：

不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置

3.2.2 SEC-SUSE-PWD-02-配置用户口令期限

安全要求：

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。

通用策略：

一般对维护帐号和系统帐号启用口令过期策略，实施时根据业务加固策略决定业务帐号和数据库帐号是否能够配置口令期限。

风险说明：

1. 如果口令在过期前不及时修改，密码会失效锁定，帐号不能使用，

可能造成业务中断。请参考产品加固策略制定实施方案，确定哪些帐号需要进行例外设置。 2. 如果存在关联密码的情况，在修改密码时没同步修改业务相关配置

文件，会导致业务不可用。 3. 有些openssh版本不能正确提示密码即将到期，可能错过更改密码的

时机，导致用户被锁定。

操作方法：

1. 设置密码最大有效期限为90天 修改/etc/login.defs，添加或修改如下内容： #vi /etc/login.defs PASS_MAX_DAYS 90

第13页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

对系统已经存在帐号进行设置： # passwd –x 90 account

2. 设置在密码过期之前7天内发出报警信息。 修改/etc/login.defs，添加或修改如下内容： #vi /etc/login.defs PASS_WARN_AGE 7

对系统已经存在帐号进行设置： # passwd –w 7 account

3. 设置密码过期7天未修改则锁定帐号： 编辑文件/etc/default/useradd #vi /etc/default/useradd 添加或修改行： INACTIVE=7

对系统已经存在帐号进行设置： # passwd –i 7 account

4. 查看帐号密码策略： #passwd -aS

操作验证：

1. 验证方法：

使用密码过期的帐户尝试登录系统； 使用密码即将到期的账号尝试登陆系统； 使用密码过期7天以上的账号尝试登陆系统。 2. 预期结果： 登录不成功； 系统提示修改密码；

系统不再提示修改密码，直接拒绝登陆。

第14页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

3.2.3 SEC-SUSE-PWD-03-配置用户口令重复使用次数

安全要求：

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

通用策略：

实施时根据业务加固策略决定是否允许设置此项。

风险说明：

无

操作方法：

禁止使用最近5次使用的密码 修改/etc/pam.d/passwd，添加如下内容 #vi /etc/pam.d/passwd

password required pam_unix.so remember=5 use_authtok md5 shadow

操作验证：

1. 验证方法：

使用用户帐号修改自己的密码，设置新密码与最近几次的旧密码相同； 2. 预期结果：

如果设置的新密码与最近5次的旧密码相同，系统不接受该新密码。

root使用passwd命令修改其它用户的密码时不受密码复杂度的限制。

3.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略

安全要求：

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

第15页, 共60页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库业务安全 SUSE Linux 主机安全加固(3)在线全文阅读。