如何让主机合规分析报告评分达到90分？

《如何让主机合规分析报告评分达到90分？》要点：
本文介绍了如何让主机合规分析报告评分达到90分？，希望对您有用。如果有疑问，可以联系我们。

说明：本次文档是根据某厂的主机合规分析报告内容进行整改的,整改后评分达到90分,本次试验环境为Centos6.7.

????一、账号管理

????1.1密码锁定策略

pam_tally2和pam_faillock?PAM 模块都可以允许系统管理员锁定在指定次数内登录尝试失败的用户账户.并在尝试指定次数是进行锁定,防止暴力破解.
检查方法：
查看/etc/pam.d/system-auth和/etc/pam.d/password-auth是否包含下面选项auth ? ? ? ?required ? ? ?pam_tally2.so ?deny=3 onerr=fail no_magic_root unlock_time=180 even_deny_root root_unlock_time=10

修改方法：
修改/etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的 auth

在指定的两个文件中的 account 区段中添加以下命令行：

说明:

/etc/pam.d/login中配置只在本地文本终端上做限制；
/etc/pam.d/kde在配置时在kde图形界面调用时限制；
/etc/pam.d/sshd中配置时在通过ssh连接时做限制；
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效.

• deny 指定最大认证错误次数,如果超出此次数,将执行后面的策略.如锁定N秒,如果后面没有其他策略指定时,默认永远锁定,除非手动解锁.
• lock_time 锁定时长,按秒为单位；
• unlock_time 指定认证被锁后,多长时间自动解锁用户；
• magic_root 如果用户uid＝0(即root账户或相当于root的帐户)在帐户认证时调用该模块发现失败时,不计入统计；
• no_lock_time 不使用.fail_locktime项在/var/log/faillog 中记录用户 －－－按英文直译不太明白,个人理解即不进行用户锁定；
• even_deny_root root用户在认证出错时,一样被锁定(该功能慎用,搞不好就要单用户时解锁了)
• root_unlock_time root用户在失败时,锁定多长时间.该选项一般是配合even_deny_root 一起使用的.

测试

可人工将计数器清零：

? ? 1.2 密码生存期

密码生存期是另一个系统管理员用来保护在机构中防止不良密码的技术.密码有效期的意思就是在指定时段后(通常为 90 天),会提示用户创建新密码.它的理论基础是如果强制用户周期性修改其密码,那么破解的密码对与入侵者来说只在有限的时间内有用.密码有效期的负面影响是用户可能需要写下这些密码.

主要是修改下面三行的内容：

????1.3 密码复杂度

由于管理员给用户创建的密码暴露,所以管理员都是让用户自己修改密码,但还需要符合密码的强度,在这种场景下,管理员可能会强制用户定期更改密码,防止密码过期.
当用户需要更改密码时,为符合密码强度,可使用pam_cracklib.so 这个PAM模块来检测用户设置的密码是否符合要求.

将上面的这行修改为下面的内容：

????1.4 删除无关帐号

下面的系统自带的账号应该移除或锁定.这类用户的密码列不是用*或者!!开头的.

三类用户：

超级用户：拥有对系统的最高管理权限,缺省是root用户.

普通用户：只能对自己目录下的文件进行访问和修改,具有登录系统的权限.

虚拟用户：也叫“伪”用户,这类用户最大的特点是不能登录系统,它们的存在主要是方便系统管理,满足相应的系统进程对文件属主的要求.

如果上面的这些用户没有被删除或锁定,可选用如下的三种操作：
4.1直接将用户移除掉

4.2若不想将上述用户移除,也可将其进行锁定

4.3还可修改用户的shell为/bin/false

执行下面的指令将上述用户进行锁定：

????1.5 口令重复次数限制

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近五次(含五次)内已使用的口令.

将上面的这行密码控制语句改为：

注意：NIS系统无法生效,非NIS系统或NIS+系统能够生效.

????1.6 禁止管理组之外的用户su为根用户

注意：auth同sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开.

（编辑：ASP站长网）