linux 身份鉴别

1.操作系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换

口令复杂度
centos cat /etc/pam.d/system-auth

pam_cracklib.so后面是否存在参数
password requisite pam_cracklib.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1

ubuntu  /etc/pam.d/common-password

password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

口令定期更换
cat /etc/login.defs
参数配置
PASS_MAX_DAYS 30
PASS_MIN_DAYS 7
PASS_MIN_LEN 8
PASS_WARN_AGE 15

2.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施

登录失败措施检查
cat /etc/pam.d/system-auth
文件中是否有如下两行:
auth required /lib/security/pam_tally.so onerr=fail no_magic_root account required /lib/security/pam_tally.so deny=3 no_magic_root reset

限制root只能在系统控制台登陆
cat /etc/securetty
是否仅包含console、vc/*和tty*(这里*代表数字)
/etc/securetty的所有者和权限是否分别为root和400

3.当对服务器进行远程管理时,应采取必要措施,防止鉴别信息

远程管理服务数据传输安全
telnet 执行telnet执行,是否启用telnet服务
ssh 查看ssh版本,是否为最新,ssh1存在安全漏洞

4.应为操作系统不同用户分配不同的用户名,确保用户名具有唯一性

非法账户
grep ^+: /etc/passwd
grep ^+: /etc/shadow
grep ^+: /etc/group
如:
grep ^adm: /etc/group
是否存在黑客可利用的“+”的条目

5.应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限

重要文件权限检查
find / -perm -02000
查看除以下文件为是否还存在自定义的二进制脚本
/usr/libexec/utempter/utempter
/usr/lib/vte/gnome-pty-helper
/usr/sbin/lockdev
/usr/sbin/sendmail.sendmail
/usr/bin/screen
/usr/bin/crontab
/usr/bin/lockfile
/usr/bin/ssh-agent
/usr/bin/locate
/usr/bin/write
/usr/bin/wall
/proc/3713/task/3713/fd/4
/proc/3713/fd/4
/sbin/netreport
/usr/bin/at
/usr/bin/Xorg
/usr/bin/newgrp
/usr/bin/passwd
/usr/bin/rlogin
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/rcp
/usr/bin/sudo
/usr/kerberos/bin/ksu
/lib/dbus-1/dbus-daemon-launch-helper
/proc/3757/task/3757/fd/4
/proc/3757/fd/4
/sbin/mount.nfs
/sbin/unix_chkpwd
/sbin/umount.nfs4
/sbin/umount.nfs
/sbin/pam_timestamp_check
/sbin/mount.nfs4
/bin/umount
/bin/ping6/bin/su
/bin/ping
/bin/mount

移动设备挂载
cat /etc/security/console.perms
各移动设备的行是否被注释
#<console> ……

未鉴别设备不可用
cat /etc/fstab
是否增加了‘nodev’选项

移动媒体挂载
cat /etc/fstab
移动媒体是否增加了nosuid和nodev选项

关键账号文件保护
检查passwd、shadow和group文件的权限检查passwd shadow group文件的归属是否属于root;passwd和group的权限是否为644;group的权限是否为400

6.应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令
7.应及时删除多余的、过期的账户、避免共享账户的存在

默认账户口令、权限
cat /etc/passwd
系统默认的账号,把不需要的账号进行删除

不存在无用账户以及过期账号
more /etc/passwd
记录所有用户账号、查看可能无用的账号
adm /
lp /
sync /
shutdown /
halt /
news /
uucp /
operator /
games /
gopher
是否被注释掉