《UNIX系统安全培训(共202张).pptx》由会员分享,可在线阅读,更多相关《UNIX系统安全培训(共202张).pptx(202页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、版本控制版本日期参与人员更新说明1.0.0.02009-4-20郭强拟制和创建版本控制版本控制目 录n第一章第一章 安全基础知识安全基础知识n第二章第二章 主机安全运行主机安全运行n第三章第三章 主机安全运行主机安全运行n第四章第四章 主机安全运行主机安全运行n 第五章第五章 主机安全运行主机安全运行n 第六章第六章 常见应用服务安全常见应用服务安全n 第七章第七章 异常检查异常检查第一章第一章安全基础知识安全基础知识目录文件完整性审计-原理通过函数计算得到每个文件的数字文摘通过函数计算得到每个文件的数字文摘5 5每次检查时,它重新计算文件的数字文摘并将它每次检查时,它重新计算文件的数字文摘并
2、将它与数据库中的值相比较与数据库中的值相比较不同,则文件已被修改,若相同,文件则未发生不同,则文件已被修改,若相同,文件则未发生变化。变化。 文件完整性审计-意义检测系统关键文件变化情况检测系统关键文件变化情况检测各种误操作导致的系统变化检测各种误操作导致的系统变化在事件发生后,快速恢复系统的依据在事件发生后,快速恢复系统的依据发现系统隐藏的后门发现系统隐藏的后门文件完整性审计-安全周期文件完整性审计-手段最成熟的商业文件完整性审计工具最成熟的商业文件完整性审计工具支持各种操作系统甚至网络设备支持各种操作系统甚至网络设备结构方便集中管理和配置结构方便集中管理和配置结果存放于数据库结果存放于数据
3、库5 5最通用的免费的完整性审计工具最通用的免费的完整性审计工具简单易用简单易用只能对单一文件进行审计只能对单一文件进行审计, , 支持各种操作系统支持各种操作系统文件完整性审计-部署逻辑图文件完整性审计-其他工具5$ 5 *98343c75586195319c44f3d5 *322260615d34d7d46392e21b82b195b4 *8975f7180e8f8735867e4935c3 *a365057397c1994c2d *717a6573617471041c45580 *4370896176909780c98b8712 *b007728c6e7d3e9a3784147983 *
4、5d67813238c58b01a3e6888 *文件完整性审计-其他工具网站提供网站提供5 5提交、验证页面提交、验证页面文件完整性审计-其他工具 i文件完整性审计-注意事项完整性检查的工具本身完整性检查的工具本身完整性检查的数据库完整性检查的数据库只读介质只读介质异地存储异地存储用户、弱口令审计-原理系统用户数据库系统用户数据库 加密后的用户密码加密后的用户密码5 5 s s s 5s 5s s 用户、弱口令审计-意义发现系统中无用、默认的用户发现系统中无用、默认的用户发现使用弱密码的用户发现使用弱密码的用户检查密码策略实施情况检查密码策略实施情况发现系统中的后门帐户发现系统中的后门帐户用
5、户、弱口令审计-手段手工手工直接查看系统用户数据库,人工简单判断直接查看系统用户数据库,人工简单判断最通用的密码破解软件最通用的密码破解软件有各种常见操作系统下的版本有各种常见操作系统下的版本可以破解各种常见操作系统的用户数据库可以破解各种常见操作系统的用户数据库外加软件也可以实现分布式外加软件也可以实现分布式用户、弱口令审计-手段手工检查手工检查 ( )x为用户未锁定,为用户未锁定,:为空密码,为空密码,*/*为锁定为锁定 0为为常见可登陆常见可登陆 :加密过的密码加密过的密码:系统帐号安全文件剖析文件剖析 7 7个域中的每一个由冒号隔开。个域中的每一个由冒号隔开。给用户分配的用户名。给用户
6、分配的用户名。经过加密的用户口令。如果一个系统管理员需要阻止经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录,则经常用一个星号(一个用户登录,则经常用一个星号( : : * * : :)代替。)代替。该域通常不手工编辑。该域通常不手工编辑。用户的唯一标识号。习惯上,小于用户的唯一标识号。习惯上,小于100100的是为系统帐的是为系统帐号保留的。号保留的。系统帐号安全 用户所属的基本分组。通常它将决定用户创建用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。文件的分组拥有权。 习惯上它包括用户的全名。邮件系统和这样的习惯上它包括用户的全名。邮件系统和这样的工具习惯使用该域中的信
7、息。工具习惯使用该域中的信息。 该域指明用户的起始目录,它是用户登录进入该域指明用户的起始目录,它是用户登录进入后的初始工作目录。后的初始工作目录。 该域指明用户登录进入后执行的命令解释器所该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个值,在的路径。注意可以为用户在该域中赋一个值,这将阻止用户登录。这将阻止用户登录。帐号安全(文件)系统帐号安全上一次修改口令的日期,以从上一次修改口令的日期,以从1970年年1月月1日开始的天数表示。日开始的天数表示。口令在两次修改间的最小天数。口令在建立后必须更改的天数。口令在两次修改间的最小天数。口令在建立后必须更改的天数。口
8、令更改之前向用户发出警告的天数。口令更改之前向用户发出警告的天数。口令终止后帐号被禁用的天数。口令终止后帐号被禁用的天数。自从自从1970年年1月月1日起帐号被禁用的天数。日起帐号被禁用的天数。保留域。保留域。系统帐号安全缺省帐号缺省帐号系统帐号安全禁用和删除帐号:禁用和删除帐号: 禁用帐号最快的方式是在或影子口令文件中用户禁用帐号最快的方式是在或影子口令文件中用户加密口令的开始加一个星号(加密口令的开始加一个星号(* *)。该用户将不能)。该用户将不能再次登录。再次登录。 # # 用户、弱口令审计-手段 一般运行一般运行 加字典、自定义策略加字典、自定义策略 查看已破解密码查看已破解密码 恢
9、复上次运行恢复上次运行用户、弱口令审计-注意事项密码文件要注意保存密码文件要注意保存有的系统用户数据库文件不是标准模式,需要手有的系统用户数据库文件不是标准模式,需要手工或脚本进行转换工或脚本进行转换不要轻易删除帐户、建议先锁定不要轻易删除帐户、建议先锁定帐户可能跟应用系统有关帐户可能跟应用系统有关安全补丁审计-原理当前系统当前系统/应用的补丁升级,绝大部分是安全方面应用的补丁升级,绝大部分是安全方面的升级的升级系统系统/应用补丁后,即可修补当前已知的安全问题应用补丁后,即可修补当前已知的安全问题定期(基本每周)会发布补丁集和包,包含所有定期(基本每周)会发布补丁集和包,包含所有补丁补丁以以
10、+ 方式提供方式提供最新为最新为14?安全补丁审计-意义得到系统得到系统/应用准确版本信息应用准确版本信息判断系统是否存在安全漏洞判断系统是否存在安全漏洞为下一步安全补丁的实施提供准确的依据为下一步安全补丁的实施提供准确的依据安全补丁审计-手段系统版本系统版本 系统本身支持补丁查看命令系统本身支持补丁查看命令 p r *应用补丁应用补丁/版本版本 安全补丁审计-手段最新补丁列表取得方式最新补丁列表取得方式安全补丁审计-手段安全补丁审计-手段安全补丁审计-注意事项补丁可能引起系统补丁可能引起系统/应用的问题应用的问题补丁时要注意文件的备份补丁时要注意文件的备份除系统补丁外,应用的补丁也很重要除系
11、统补丁外,应用的补丁也很重要端口审计-原理系统开启的网络服务,均会导致开放特定的端口系统开启的网络服务,均会导致开放特定的端口开放端口后,网络即可对此端口进行访问,如果开放端口后,网络即可对此端口进行访问,如果此端口的应用存在安全漏洞,则可能导致系统的此端口的应用存在安全漏洞,则可能导致系统的安全问题安全问题大部分的黑客留下的后门,均开放端口实现大部分的黑客留下的后门,均开放端口实现 端口审计-意义发现系统开放的不必要的服务发现系统开放的不必要的服务发现系统可能存在的后门发现系统可能存在的后门为下一步加固关闭服务提供依据为下一步加固关闭服务提供依据端口审计-手段系统本身命令系统本身命令系统外部
12、工具系统外部工具端口扫描工具端口扫描工具可以扫描开放的、端口可以扫描开放的、端口可以进行端口可以进行端口-服务识别服务识别 i :3306查看系统打开的文件查看系统打开的文件端口审计-手段 a 显示所有显示所有 端口端口n 数字显示地址和端口(不进行反向解析)数字显示地址和端口(不进行反向解析)举例举例 端口审计-手段 () 端口扫描端口扫描 端口扫描端口扫描 服务版本识别服务版本识别 指纹判断系统类型指纹判断系统类型0 不预先主机不预先主机 端口扫描范围端口扫描范围示例示例 127.0.0.1端口审计-手段 列举打开此文件的程序列举打开此文件的程序 列举所有打开列举所有打开 的程序的程序 列
13、举此程序打开的文件列举此程序打开的文件 列举此进程打开的文件列举此进程打开的文件端口审计-注意事项启动时打开端口的服务可能的位置启动时打开端口的服务可能的位置*部分端口为系统默认必须开放部分端口为系统默认必须开放111 端口关闭,将不能运行端口关闭,将不能运行、等后门程序会隐藏开放的特定端口、等后门程序会隐藏开放的特定端口进程审计-原理服务器启动后运行的程序,均可以以查看进程的服务器启动后运行的程序,均可以以查看进程的方式看到方式看到黑客留下的后门程序,除了对系统本身文件进行黑客留下的后门程序,除了对系统本身文件进行修改的,大部分均会增添运行进程修改的,大部分均会增添运行进程进程审计-意义发现
14、系统运行的不必要服务发现系统运行的不必要服务发现黑客留下来的后门程序发现黑客留下来的后门程序为下一步加固提供依据为下一步加固提供依据进程审计-手段 列出所有用户进程列出所有用户进程列出进程的列出进程的列出进程的列出进程的, , , 列出某用户进程列出某用户进程举例:举例: 进程审计-手段 列举打开此文件的程序列举打开此文件的程序 列举所有打开列举所有打开 的程序的程序 列举此程序打开的文件列举此程序打开的文件 列举此进程打开的文件列举此进程打开的文件进程审计-手段其他相关系统命令其他相关系统命令 | 查看进程的身份(有效的和真实的用户和组)查看进程的身份(有效的和真实的用户和组) 查看进程打开
15、的文件查看进程打开的文件 | 查看进程的跟踪标志和信号状态查看进程的跟踪标志和信号状态 | 查看链接到进程上的动态链接查看链接到进程上的动态链接 | 查看进程的地址空间映射表(详细检查进程占用了多少查看进程的地址空间映射表(详细检查进程占用了多少虚拟内存)虚拟内存) 查看进程的信号查看进程的信号 | 查看进程的十六进制查看进程的十六进制/符号形式的堆栈记录符号形式的堆栈记录 . 高精度地统计进程占用的时间高精度地统计进程占用的时间 分层查看进程的所有子进程分层查看进程的所有子进程 等待指定的进程终止等待指定的进程终止 查看进程的当前工作目录查看进程的当前工作目录 系统日志审计-原理系统日志记帐
16、的两个最主要守护进程系统日志记帐的两个最主要守护进程 会监视基本会监视基本上所有的系统动作。其中主要记录一些系统内核上所有的系统动作。其中主要记录一些系统内核动作。动作。,它可以接收访问系统的日志信息并且根据配置,它可以接收访问系统的日志信息并且根据配置文件中的指令处理这些信息。任何希望生成日志文件中的指令处理这些信息。任何希望生成日志信息的程序都可向接口呼叫来生成改信息。信息的程序都可向接口呼叫来生成改信息。其他的一些日志其他的一些日志,这两个进程来进行记帐的,然后通过这个管道,这两个进程来进行记帐的,然后通过这个管道文件向这个文件写数据文件向这个文件写数据 系统日志审计-意义观察系统的运行
17、状态观察系统的运行状态发现系统运行中出现的错误报警发现系统运行中出现的错误报警观察程序的运行情况和用户的登陆情况,甚至运观察程序的运行情况和用户的登陆情况,甚至运行的命令。行的命令。发现系统被黑客攻击后残留的痕迹。发现系统被黑客攻击后残留的痕迹。系统日志审计-手段*系统核心的各种运行日志(认证、)系统核心的各种运行日志(认证、)普通用户尝试成为其它用户的纪录普通用户尝试成为其它用户的纪录 不具可读性的,记录着当前登录在主机上的不具可读性的,记录着当前登录在主机上的用户用户,用用w,等命令来看,等命令来看, 记录着所有登录过主机的用户,时间,来源记录着所有登录过主机的用户,时间,来源等内容等内容
18、,也是不具可读性的用命令来看也是不具可读性的用命令来看 一般记录事件一般记录事件 系统日志审计-手段如果使用,则可查看用户运行过的命令如果使用,则可查看用户运行过的命令额外的记帐功能额外的记帐功能需要执行目录下的文件需要执行目录下的文件 格式如下格式如下 系统日志审计-注意事项日志可能被伪造日志可能被伪造最好系统配置为网络统一接收日志最好系统配置为网络统一接收日志可以使用一些日志分析软件进行深入挖掘可以使用一些日志分析软件进行深入挖掘系统日志审计-附加网络日志网络日志发送服务器作如下配置发送服务器作如下配置* 202.*.*.*接收服务器作如下配置接收服务器作如下配置确定文件有确定文件有修改文
19、件(修改文件(“r”)修改文件,添加修改文件,添加*.* *推荐使用商业或是系统上使用的收集软件推荐使用商业或是系统上使用的收集软件文件权限文件权限的8进制表示属主属主,组组,其它分别其它分别以一个以一个8进制位进制位表示表示,其中其中:r - 4w - 2x - 1例子: “” 8进制表示为0750 040002000100004000000010 0000 0750文件权限八进制数表示文件权限八进制数表示文件权限文件权限 ( (改变权限)改变权限) ( (用户(用户(u u)、分组()、分组(g g)、)、其他(其他(0 0)) )(改变拥有权)(改变拥有权) 1 1 (改变分组)(改变分
20、组) 1 1 文件权限值值当创建了一个新文件或目录时,它基于用户的权当创建了一个新文件或目录时,它基于用户的权限屏蔽限屏蔽“”“”来确定缺省的权限设置。命令用来来确定缺省的权限设置。命令用来声明要打开的权限,而命令用来指明要禁止的声明要打开的权限,而命令用来指明要禁止的权限。权限。它用一个简单的三位数变元来声明在一个文件或它用一个简单的三位数变元来声明在一个文件或目录被创建时应该被禁止的访问权限目录被创建时应该被禁止的访问权限或被屏或被屏蔽的。蔽的。主要在系统范围及个人的登录文件或中建立。主要在系统范围及个人的登录文件或中建立。文件权限应该设置用户的为应该设置用户的为077077,这使其它用户
21、不能读写新创,这使其它用户不能读写新创建的文件。建的文件。在多数系统中,在多数系统中,u m a s ku m a s k的缺省值是的缺省值是0 2 20 2 2。和文件表示表示“设置用户设置用户”,表示,表示“设置组设置组”。当用户执行一个文。当用户执行一个文件时,用户在程序运行过程中被置为文件拥有者的用户。件时,用户在程序运行过程中被置为文件拥有者的用户。如果文件属于,那用户就成为超级用户。同样,当一个用如果文件属于,那用户就成为超级用户。同样,当一个用户执行文件时,用户的组被置为文件的组。户执行文件时,用户的组被置为文件的组。实际上有两种类型的用户。实际上有两种类型的用户。 “ ” “
22、”是在登录过程中建立的用户。是在登录过程中建立的用户。 是在登录后是在登录后的会话过程中通过和位来修改。的会话过程中通过和位来修改。 文件权限 f ( -4000 -2000) f ( -4000 -2000) 这告诉列出所有设置了(这告诉列出所有设置了(“4000”“4000”)或)或(“2000”“2000”)位的普通文件()位的普通文件(“f”“f”)。应该在每)。应该在每个本地系统中运行它。个本地系统中运行它。 使用基于的命令命令查询文件并报告当前每个登录的用命令查询文件并报告当前每个登录的用户。户。使用基于的命令w命令查询文件并显示当前系统中每个用户和他所运行命令查询文件并显示当前系
23、统中每个用户和他所运行的进程信息。的进程信息。标题栏显示当前时间、系统已运行了多长时间、当前标题栏显示当前时间、系统已运行了多长时间、当前有多少用户登录以及过去有多少用户登录以及过去1、5和和15分钟内的系统平均分钟内的系统平均负载。负载。日志子系统命令命令命令用单独一行打印出当前登录的用户,每命令用单独一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相户有不止一个登录会话,那他的用户名将显示相同的次数。同的次数。$ $ 日志子系统 命令往回搜索来显示自从文件第一次命令往回搜索来显示自从文件
24、第一次创建后登录过的用户。它还报告终端类型创建后登录过的用户。它还报告终端类型和日期。和日期。日志子系统命令根据当前文件中的登录进入和退出来报告用户连接的命令根据当前文件中的登录进入和退出来报告用户连接的时间(小时)。如果不使用标志,则报告总的时间。时间(小时)。如果不使用标志,则报告总的时间。 $ 136.25“- d”标志产生每天的总的连接时间。标志产生每天的总的连接时间。“- p”标志报告每个用户的总的连接时间标志报告每个用户的总的连接时间日志子系统命令报告以前执行的命令。不带变元时,命令报告以前执行的命令。不带变元时, 命令显命令显示当前统计文件生命周期内记录的所有命令的有示当前统计文
25、件生命周期内记录的所有命令的有关信息,包括命令名、用户、命令花费的时间关信息,包括命令名、用户、命令花费的时间和一个时间戳。和一个时间戳。第二章第二章 主机安全运行主机安全运行目录账号、口令账号账号要求内容要求内容清除或锁定系统账号:操作指南操作指南1、参考配置操作 : ($30) $1 账号、口令账号账号要求内容要求内容为用户设置合适的缺省值:操作指南操作指南1、参考配置操作 $ 0 ; 022 $ $ 444 $账号、口令口令口令要求内容要求内容中设置口令策略操作指南操作指南1、参考配置操作在文件中定义,其中有四项相关内容: 密码最长时效(天) 密码最短时效(天) 最短密码长度 密码过期前
26、天警告用户编辑文件,设定:900830网络与服务网络网络要求内容要求内容网络参数调整:操作指南操作指南1、参考配置操作 4 = 04 = 04 = 40964 = 1 4 = 04 = 04 = 0 0600 网络与服务网络连接访问控制网络连接访问控制要求内容要求内容网络连接访问控制的设置操作指南操作指南设置方法:1、使用或进行网络访问控制2、使用本身的访问控制机制对启动的服务进行网络访问控制;可以在其配置文件中使用和指令限制可以访问该服务的主机,的配置文件是和;具体配置方法参见。使用自带的访问控制机制控制对服务的访问# : # : ; # . = = = = = = # 172.16.0.0
27、/24 = 172.16.0.0/24# 192.168.0.159 192.168.0.159# # = 网络与服务网络连接访问控制网络连接访问控制要求内容要求内容网络连接访问控制的设置操作指南操作指南设置方法:3、使用系统中的模块提供的访问控制机制;配置文件是,该文件中提供了该文件的语法。使用进行网络访问控制在文件中添加模块(以文件为例)1.0# .# . 3 4 12 1 2 2 1 5 w 网络与服务服务服务要求内容要求内容中的服务设置 操作指南操作指南1、参考配置操作的服务主要由和*文件启动,事实上,的主要任务是为每一个指定启动文件,从而启动*文件。例如,在默认的运行级别3中系统将运
28、行3目录中所有S打头的文件。 检查当前运行级别(第一项是,第二项是当前的) 检查所有级别中启动的服务情况 3 检查某一级别(例如级别3)中启动的服务 将从启动目录中除去网络与服务服务服务要求内容要求内容中服务设置操作指南操作指南1、参考配置操作编辑中的配置文件,在不需要启动的服务配置文件中添加。建议关闭所有服务,如果管理需要,则可以打开和服务。使用编辑文件,控制服务的启动状态# : # : (1) . # a # . = = = = = 网络与服务服务服务要求内容要求内容服务设置操作指南操作指南1、参考配置操作 显示服务是否在系统启动时启动 启动|停止服务 显示本机输出的文件系统 显示本机加载
29、的文件系统(包括文件系统)网络与服务服务服务要求内容要求内容服务设置操作指南操作指南1、参考配置操作 显示服务是否在系统启动时启动 将服务从启动目录中去掉 启动|停止服务2、补充说明如果系统不需要服务,可以关闭该服务(使用命令);如果不能关闭,需要在中指定不同的 。网络与服务服务服务要求内容要求内容服务设置操作指南操作指南1、参考配置操作 显示服务是否在系统启动时启动 将服务从启动目录中去掉 启动|停止服务2、补充说明如果系统不需要服务,可以关闭该服务(使用命令);如果不能关闭,将服务升级到最新,并在其配置文件中指定不同 网络与服务()服务()服务要求内容要求内容服务设置操作指南操作指南1、参
30、考配置操作 显示服务是否在系统启动时启动 将服务从启动目录中去掉 启动|停止服务2、补充说明如果系统不需要服务,可以关闭该服务(使用命令);如果不能关闭,将服务升级到最新,并在其配置文件修改版本号 日志文件文件 要求内容要求内容 文件设置操作指南操作指南1、参考配置操作对、登录日志进行记录:# 加入以下信息,使和登陆验证有关的日志信息记录到文件中# .* 重新启动:# 日志日志系统日志系统 要求内容要求内容日志系统设置操作指南操作指南1、参考配置操作捕捉发送给 和 的消息到日志文件: . 0 .*ttt . 0 .*ttt 600 其它文件文件/目录访问许可权限目录访问许可权限 要求内容要求内
31、容设置中的可移动介质增加”选项操作指南操作指南1、参考配置操作 ($2 /.*/()$/ $3 ) $4 = (, $4) ; 0644 其它文件文件/目录访问许可权限目录访问许可权限 要求内容要求内容禁止普通用户来可移动文件系统设置操作指南操作指南1、参考配置操作 () 0600 0644 其它文件文件/目录访问许可权限目录访问许可权限 要求内容要求内容设置, , 和文件正确的许可权限 操作指南操作指南1、参考配置操作 644 400 其它系统访问系统访问, 认证和授权认证和授权 要求内容要求内容设置文件中删除支持 操作指南操作指南1、参考配置操作 * ; $ $ $ $ $ 644 $其它
32、系统访问系统访问, 认证和授权认证和授权 要求内容要求内容文件限制访问权限 操作指南操作指南1、参考配置操作 400 .* .*其它系统访问系统访问, 认证和授权认证和授权 要求内容要求内容限制登录到系统控制台 操作指南操作指南1、参考配置操作 400 其它系统的环境变量系统的环境变量 要求内容要求内容系统环境变量设置操作指南操作指南1、参考配置操作系统的环境变量在下列文件中设置:或 查看用户的环境变量检查环境变量,确保其中不包含本地目录(.)。其它系统补丁系统补丁要求内容要求内容补丁安装 操作指南操作指南1、参考配置操作 查看系统当前安装的包 1 安装包 1 升级包 1 升级包(如果原先没有
33、安装,则不安装) 第三章第三章主机安全运行主机安全运行目录帐号管理、认证授权-帐号帐号帐号-安全要求安全要求-设备配置设备配置-1要求内容要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。操作指南操作指南1、参考配置操作、参考配置操作为用户创建账号:为用户创建账号: #创建账号创建账号 #设置密码设置密码修改权限:修改权限: 750 #其中其中755为设置的权限,可根据实际情况设置相应的权限,是要为设置的权限,可根据实际情况设置相应的权限,是要更改权限的目录更改权限的目录)使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信使用该命
34、令为不同的用户分配不同的账号,设置不同的口令及权限信息等。息等。检测方法检测方法1、判定条件、判定条件能够登录成功并且可以进行常用操作;能够登录成功并且可以进行常用操作;2、检测操作、检测操作使用不同的账号进行登录并进行一些常用操作;使用不同的账号进行登录并进行一些常用操作;帐号管理、认证授权帐号帐号-安全要求安全要求-设备配置设备配置-2要求内容要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号,包括等。操作指南操作指南1、参考配置操作、参考配置操作删除用户:删除用户: ; 锁定用户:锁定用户:1)修改文件,用户名后加修改文件,用户名后加*2)将文件中的域设置
35、成将文件中的域设置成3) 只有具备超级用户权限的使用者方可使用,只有具备超级用户权限的使用者方可使用, 锁定用户锁定用户,用用 d 解锁后原解锁后原有密码失效,登录需输入新密码,修改能保留原有密码。有密码失效,登录需输入新密码,修改能保留原有密码。2、补充操作说明、补充操作说明需要锁定的用户:需要锁定的用户:4、。、。检测方法检测方法1、判定条件、判定条件被删除或锁定的账号无法登录成功;被删除或锁定的账号无法登录成功;2、检测操作、检测操作使用删除或锁定的与工作无关的账号登录系统;使用删除或锁定的与工作无关的账号登录系统;3、补充说明、补充说明需要锁定的用户:需要锁定的用户:4、。、。帐号管理
36、、认证授权帐号帐号-安全要求安全要求-设备配置设备配置-3要求内容要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。操作指南操作指南1.参考配置操作参考配置操作2.编辑,加上:编辑,加上:3. # , .4.此项只能限制用户远程使用登录。用登录,修改此项不会看到效果的此项只能限制用户远程使用登录。用登录,修改此项不会看到效果的5.2、补充操作说明、补充操作说明6.如果限制从远程登录,修改文件,将如果限制从远程登录,修改文件,将 改为改为 ,重启服务。,重启服务。7. 8上没有该路径上没有该路径8.下有该
37、文件下有该文件9. 9上有该路径上有该路径/文件文件检测方法检测方法1、判定条件、判定条件远程登录不成功,提示远程登录不成功,提示“ ”;普通用户可以登录成功,而且可以切换到用户;普通用户可以登录成功,而且可以切换到用户;2、检测操作、检测操作从远程使用登录;从远程使用登录;普通用户从远程使用登录;普通用户从远程使用登录;从远程使用登录;从远程使用登录;普通用户从远程使用登录;普通用户从远程使用登录;3、补充说明、补充说明限制从远程登录,修改文件,将限制从远程登录,修改文件,将 改为改为 ,重启服务。,重启服务。帐号管理、认证授权帐号帐号-安全要求安全要求-设备配置设备配置-4要求内容要求内容
38、根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组 操作指南操作指南1、参考配置操作、参考配置操作创建帐户组:创建帐户组: g #创建一个组,并为其设置号,若不设,系统会自动为该组分配一创建一个组,并为其设置号,若不设,系统会自动为该组分配一个号;个号; g #将用户分配到组中。将用户分配到组中。查询被分配到的组的:查询被分配到的组的: 可以根据实际需求使用如上命令进行设置。可以根据实际需求使用如上命令进行设置。2、补充操作说明、补充操作说明可以使用可以使用 选项设定新组的选项设定新组的 。0 到到 499 之间的值留给之间的值留给 、 这样的系统这样的系统账号,因此最好
39、指定该值大于账号,因此最好指定该值大于 499。如果新组名或者。如果新组名或者 已经存在,已经存在,则返回错误信息。则返回错误信息。当字段长度大于八个字符,命令会执行失败;当字段长度大于八个字符,命令会执行失败;当用户希望以其他用户组成员身份出现时,需要使用命令进行更改,当用户希望以其他用户组成员身份出现时,需要使用命令进行更改,如如 即把当前用户以组身份运行;即把当前用户以组身份运行; 检测方法检测方法1、判定条件、判定条件可以查看到用户账号分配到相应的帐户组中;可以查看到用户账号分配到相应的帐户组中;或都通过命令检查账号是否属于应有的组:或都通过命令检查账号是否属于应有的组: 2、检测操作
40、、检测操作查看组文件:查看组文件: 帐号管理、认证授权帐号帐号-安全要求安全要求-设备配置设备配置-5要求内容要求内容对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务,应删除这些账号 操作指南操作指南1、参考配置操作、参考配置操作禁止账号交互式登录:禁止账号交互式登录:修改文件,用户名后密码列为;修改文件,用户名后密码列为;删除账号:删除账号: ;2、补充操作说明、补充操作说明禁止交互登录的系统账号,比如、等等禁止交互登录的系统账号,比如、等等 检测方法检测方法1、判定条件、判定条件被禁止账号交互式登录的帐户远程登录不成功
41、;被禁止账号交互式登录的帐户远程登录不成功;2、检测操作、检测操作用登录后,新建一账号,密码不设,从远程用此帐户登录,登录会显用登录后,新建一账号,密码不设,从远程用此帐户登录,登录会显示示 ,如果用户没设密码没有任何提示信息直接退出;,如果用户没设密码没有任何提示信息直接退出;帐号管理、认证授权-口令口令口令-安全要求安全要求-设备配置设备配置-1要求内容要求内容对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类 操作指南操作指南1、参考配置操作、参考配置操作 ,修改设置如下,修改设置如下 = 6 #设定最小用户密码长度为设定最小用户密码
42、长度为6位位2;1 #表示至少包括两个字母和一个非字母;具体设置可以参看补充说明。表示至少包括两个字母和一个非字母;具体设置可以参看补充说明。当用帐户给用户设定口令的时候不受任何限制,只要不超长。当用帐户给用户设定口令的时候不受任何限制,只要不超长。2、补充操作说明、补充操作说明10默认如下各行都被注释掉,并且数值设置和解释如下:默认如下各行都被注释掉,并且数值设置和解释如下:3 # a .2 # .1 # ( ) .0 # .0 # .0 # .0 # ( ) .0 # .8默认没有这部分的数值设置需要手工添加默认没有这部分的数值设置需要手工添加系统无法生效,非系统或系统能够生效。系统无法生
43、效,非系统或系统能够生效。 帐号管理、认证授权-口令口令口令-安全要求安全要求-设备配置设备配置-2检测方法检测方法1、判定条件、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;符合密码强度的时候,可以成功设置;2、检测操作、检测操作1、检查口令强度配置选项是否可以进行如下配置:、检查口令强度配置选项是否可以进行如下配置:配置口令的最小长度;配置口令的最小长度;将口令配置为强口令。将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符、创建一个普通账号,为用户配置与用户名相
44、同的口令、只包含字符或数字的简单口令以及长度短于或数字的简单口令以及长度短于6位的口令,查看系统是否对口位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。口令,查看系统是否可以成功设置。3、补充说明、补充说明对于对于 8以前的版本,对应等,需根据文件说明确定。以前的版本,对应等,需根据文件说明确定。系统无法生效,非系统或系统能够生效。系统无法生效,非系统或系统能够生效。 帐号管理、认证授权-口令口令口令-安全要求安全要求-设备配置设备配置-3要求内容要求内容对于采用静态口令认
45、证技术的设备,帐户口令的生存期不长于90天 操作指南操作指南1、参考配置操作、参考配置操作 文件:文件:13密码的最大生存周期为密码的最大生存周期为13周;(周;( 8&10) 90 #密码的最大生存周期;(密码的最大生存周期;( 其它版本)其它版本)2、补充操作说明、补充操作说明对于对于 8以前的版本,对应对应等,需根据文件说明确定。以前的版本,对应对应等,需根据文件说明确定。系统无法生效,非系统或系统能够生效。系统无法生效,非系统或系统能够生效。 检测方法检测方法1、判定条件、判定条件登录不成功;登录不成功;2、检测操作、检测操作使用超过使用超过90天的帐户口令登录;天的帐户口令登录;3、
46、补充说明、补充说明测试时可以将测试时可以将90天的设置缩短来做测试;天的设置缩短来做测试;系统无法生效,非系统或系统能够生效。系统无法生效,非系统或系统能够生效。 帐号管理、认证授权-口令口令口令-安全要求安全要求-设备配置设备配置-4要求内容要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令 操作指南操作指南1、参考配置操作、参考配置操作 ,修改设置如下,修改设置如下52、补充操作说明、补充操作说明 # a . # (0), # # . # .# 26.系统无法生效,非系统或系统能够生效系统无法生效,非系统或系统能够生效 检测方法检测方法1
47、、判定条件、判定条件设置密码不成功设置密码不成功2、检测操作、检测操作 ,设置如下,设置如下53、补充说明、补充说明默认没有的标记,即不记录以前的密码默认没有的标记,即不记录以前的密码系统无法生效,非系统或系统能够生效。系统无法生效,非系统或系统能够生效。 帐号管理、认证授权-口令口令口令-安全要求安全要求-设备配置设备配置-5要求内容要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。操作指南操作指南1、参考配置操作、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:指定当本地用户登陆失败次数等于或者大于
48、允许的重试次数则账号被锁定: 设置设置设置重试的次数:设置重试的次数: 在文件中将行前的在文件中将行前的#去掉,并将其值修改为去掉,并将其值修改为7。保存文件退出。保存文件退出。2、补充操作说明、补充操作说明默认值为:默认值为: 5,即等于或大于,即等于或大于5次时被锁定。次时被锁定。账号也在锁定的限制范围内,一旦被锁定,就需要光盘引导,因此该配置要慎用。账号也在锁定的限制范围内,一旦被锁定,就需要光盘引导,因此该配置要慎用。系统无法生效,非系统或系统能够生效。系统无法生效,非系统或系统能够生效。 检测方法检测方法1、判定条件、判定条件帐户被锁定,不再提示让再次登录;帐户被锁定,不再提示让再次
49、登录;2、检测操作、检测操作创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录系统登录6次以上(不含次以上(不含6次);次);帐号管理、认证授权-授权授权授权-安全要求安全要求-设备配置设备配置-1要求内容要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 操作指南操作指南1、参考配置操作、参考配置操作通过命令对目录的权限进行实际设置。通过命令对目录的权限进行实际设置。2、补充操作说明、补充操作说明 必须所有用户都可读,用户可写必须所有用户都可读,用户可写 r 只有可读只有可
50、读 必须所有用户都可读,用户可写必须所有用户都可读,用户可写 r使用如下命令设置:使用如下命令设置: 644 600 644 如果是有写权限,就需移去组及其它用户对的写权限(特殊情况除外)如果是有写权限,就需移去组及其它用户对的写权限(特殊情况除外)执行命令执行命令 检测方法检测方法1、判定条件、判定条件1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;行;2、记录能够配置的权限选项内容;、记录能够配置的权限选项内容;3、所配置的权限规则应能够正确应用,即用户无法访问授权