中国室内设计网站西安管控最新消息
| 检查账户认证失败次数限制 | ||
| 修复建议: 配置SSH方式账户认证失败次数限制 编辑/etc/pam.d/sshd文件 在auth行下方添加: auth required pam_tally.so deny=5 unlock_time=600 no_lock_time 在account行下方添加: account required pam_tally.so 参数说明: deny #连续认证失败次数超过的次数 unlock_time #锁定的时间,单位为秒 否配置账户认证失败次数限制 Redhat: 编辑/etc/pam.d/system-auth文件 配置: auth required pam_tally.so deny=5 unlock_time=600 account required pam_tally.so 编辑/etc/pam.d/common-account文件 配置:account required pam_tally.so 参数说明: deny #连续认证失败次数超过的次数 unlock_time #锁定的时间,单位为秒 | 检测方法: 检查是否配置SSH方式账户认证失败次数限制 查看/etc/pam.d/sshd文件 是否在auth行下方添加: auth required pam_tally.so deny=5 unlock_time=600 no_lock_time 是否在account行下方添加: account required pam_tally.so 参数说明: deny #连续认证失败次数超过的次数 unlock_time #锁定的时间,单位为秒 检查是否配置账户认证失败次数限制 Redhat: 查看/etc/pam.d/system-auth文件 是否配置: auth required pam_tally.so deny=5 unlock_time=600 account required pam_tally.so 查看/etc/pam.d/common-account文件是否配置: account required pam_tally.so 参数说明: deny #连续认证失败次数超过的次数 unlock_time #锁定的时间,单位为秒 | 检测参数: 账户认证失败次数限制 [5] 连续认证失败锁定时间(单位:秒) [600] |
| 检查密码重复使用次数限制 | ||
| 修复建议: 设置密码重复使用次数限制 Redhat:编辑/etc/pam.d/system-auth文件, 修改设置如下 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5 补充操作说明 只需在password sufficient这一行加上remember=5即可 | 检测方法: 检查密码重复使用次数限制 Redhat:查看/etc/pam.d/system-auth文件, 查看password sufficient这一行是否加上remember,且remember的值是否为标准值 | 检测参数: 密码重复使用次数限制 [5]
|
| 账号口令 | ||
| 检查设备密码复杂度策略 | ||
| 修复建议: 复杂度策略设置 Redhat系统:修改/etc/pam.d/system-auth文件, , 在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 选3种,追加到password requisite pam_cracklib.so后面,添加到配置文件中。 例如:password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数 | 检测方法: 复杂度策略检查 Redhat系统:检查/etc/pam.d/system-auth文件, password requisite pam_cracklib.so后面是否追加了ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1中的三种及以上。 | 检测参数:
|
| 检查是否设置口令更改最小间隔天数 | ||
| 修复建议: 设置口令更改最小间隔天数 在文件/etc/login.defs中设置 PASS_MIN_DAYS 不小于标准值6,如果该文件不存在,则创建并按照要求进行编辑 | 检测方法: 检查口令更改最小间隔天数 在文件/etc/login.defs中设置 PASS_MIN_DAYS 不小于标准值 | 检测参数: 口令更改最小间隔天数 [6] |
| 检查是否设置口令过期前警告天数 | ||
| 修复建议: 设置口令过期前警告天数 在文件/etc/login.defs中设置 PASS_WARN_AGE 不小于标准值30
| 检测方法: 检查口令过期前警告天数 检查文件/etc/login.defs中PASS_WARN_AGE 不小于标准值30 | 检测参数: 口令过期前最低警告天数 [30] |