基线要求:
安全类别 | 检查项 | 检查要求 | 检查步骤 | 备注 |
账户及口令安全 | 1.1 检查是否设置口令生存周期 | 应配置口令生存周期,密码最长使用期限应小于等于90天,密码最短使用期限应非0。 | 执行:cat /etc/login.defs,检查是否配置了以下参数。 | 针对程序帐号之类的不能完全使用上述策略的帐号口令应予以原因说明。 |
1.2 检查是否设置口令复杂度策略 | 最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种: | 1、执行:cat /etc/login.defs,检查是否配置了以下参数。 | 针对程序帐号之类的不能完全使用上述策略的帐号口令应予以原因说明。 | |
1.3 检查是否设置口令失效提示 | 应设置口令在失效前7天进行提示。 | 执行:cat /etc/login.defs,检查是否配置了以下参数。 | 针对程序帐号之类的不能完全使用上述策略的帐号口令应予以原因说明。 | |
1.4 检查是否设置口令重复使用次数 | 不能复用近期使用过的5个密码 | 执行:cat /etc/pam.d/system-auth以及cat /etc/pam.d/passwd,检查是否配置了以下参数。 |
| |
1.5 检查是否存在空口令账号 | 应不存在空口令的账号。 | 执行:awk -F: '($2 == "") { print $1 }' /etc/shadow,检查是否有输出账号,若有输出则该账号为空口令账号。 |
| |
1.6 检查除root账户以外是否存在uid为0的账户 | uid为0的账户应只有root。 | 执行:awk -F: '($3 == 0) { print $1 }' /etc/passwd,检查是否输出条目是否只有root。 |
| |
1.7 检查是否删除或锁定无用账户 | 应删除或锁定与设备运行、维护等工作无关的账号。需锁定daemon、bin、sys、nuucp、lpd、imnadm、ipsec、ldap、nobody、snapp、invscout、Adm、lp、sync、shutdown、halt、news、uucp、operator、games等系统默认账户 | 1、执行:cat /etc/shadow,检查无用账户。 | 若需系统默认账号登录系统,需管理员提供设置密码的原因。 | |
1.8 检查是否有登录失败处理功能 | 应启用登录失败处理功能,在登录失败5次后,锁定账户10分钟,包括root账户。 | 1、执行:cat /etc/pam.d/system-auth以及cat /etc/pam.d/sshd,检查第一行是否配置了以下参数。 |
| |
1.9 检查是否禁用root用户远程ssh登录 |