等保2.0测评：Linux主机安全

本文以等保三级（S3A3）要求，CentOS 7.6 64位系统为例进行演示。

---

一、身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

该项需检查登录是否需用账号密码，当前密码是否在8位以上并包含字母、数字、特殊字符。

输入命令查看是否存在空口令，shadow文件第二个字段为加密后的口令，如下图标记所示，为空则为空口令（*或者！！表示用户被锁定）：

more /etc/shadow

输入命令查看密码长度和定期更换设置：

cat /etc/login.defs

PASS_MAX_DAYS 99999 ：登录密码有效期为99999天PASS_MIN_DAYS 0 : 登录密码最短使用时间，增加可以防止非法用户短期更改多次PASS_MIN_LEN  8 : 登录密码最短长度为8位，如果使用pam_cracklib module,那么该参数将不再有效PASS_WARN_AGE 7 ：登录密码过期提前7天提示修改

输入命令查看密码复杂度配置：

cat /etc/pam.d/system-auth

minlen=8 : 新密码最短为八位，由上条可知，以此处密码位数为准dcredit=-2 : 新密码中最少包含两个数字ucredit=-1 : 新密码中最少包含一个大写字母lcredit=-1 : 新密码中最少包含一个小写字母ocredit=-1 : 新密码中最少包含一个特殊字符

b) 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

输入以下命令看登录失败处理功能是否开启：

cat /etc/pam.d/system-auth

onerr=fail 表示定义了当出现错误时的缺省返回值；even_deny_root 表示也限制root用户；deny 表示设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户；unlock_time 表示设定普通用户锁定后，多少时间后解锁，单位是秒；root_unlock_time 表示设定root用户锁定后，多少时间后解锁，单位是秒；

输入以下命令检查超时自动退出功能：