等保20[等保2级问题清单-修复文档-(1)]
等保二级测评问题修复文档
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
Centos操作系统用户口令未有复杂度要求并定期更换
提升系统口令复杂度
修改登录口令etc/login.defs
PASS_MAX_DAYS180
威廉王子大婚PASS_MIN_DAYS1
PASS_WARN_AGE28
小学三年级英语课件PASS_MIN_LEN8
如下图:
提升密码复杂度
ek过去式/etc/pam.d/system-auth文件中配置密码复杂度:
在pam_cracklib.so后面配置参数
passwordrequisitepam_cracklib.sominlen=8ucredit=-1lcredit=-3dcredit=-3ocredit=-1
说明:密码最少minlen=8位,ucredit=-1密码中至少有1个大写字母,icredit=-3密码中至少有3个小写字母,dredit=3密码中至少有3个数字,oredit=-1密码中至少有1个其它字符
如下图:
Windows(跳板机)操作系统未根据安全策略配置口令的复杂度和更换周期
修改口令复杂度和更换周期如下:
数据库系统用户口令未定期更换
ALTERUSER用户名PASSWORDEXPIREINTERVAL180DAY;
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
Centos操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间
修改远程登录用户
修改为登录三次锁定用户,锁定时间为:一般用户5分钟,超级用户锁定10分钟配置如下:
修改/etc/pam.d/sshd(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的):
如下图:
修改客户端登录用户
修改/etc/pam.d/login(一定要放在第一行,否则即使输入次数超过三次,再输入密码也是可以进去的):
如下图:
Windows操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间
账户锁定策略:复位帐户锁定计数器->3分钟帐户锁定时间->5分钟帐户锁定阀值->5次无效登录,设置设备登录失败超时时间(不大于10分钟)
数据库系统登录失败处理功能配置不满足要求,登录失败次数为100次,未设置非法登录锁定措施
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;这个对应那条
这个对应那条
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
已删除数据库root账号,数据库中每个需要连接的主机对应一个账号
Windows(跳板机)应启用访问控制功能,依据安全策略控制用户对资源的访问;
禁用PrintSpooler,禁用默认共享路径:C$
如下图:
应实现操作系统和数据库系统特权用户的权限分离
Centos操作系统未实现特权用户的权限分离,如可分为:系统管理员、安全管理员、安全审计员等
在系统下分别添加不同较色的管理员:系统管理员、安全管理员、安全审计员
添加不同角色的人员
Uraddsysadmin
crappy
Uraddsafeadmin
Uraddsafecheck
为sysadmin添加sudo权限
chmod740/etc/sudoers
vi/etc/sudoers
rgdsysadminALL=(ALL)ALL
chmod440/etc/sudoers
Window操作系统未实现特权用户的权限分离,如可分为:系统管理员、安全管理员、安全审计员等
添加:系统管理员、安全管理员和安全审计员
权限分配:
数据库账户和系统管理员账户的权限一致
数据库root账号已删除,数据库管理员账号为hqwnm和manager
应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令
Centos操作系统未限制默认账户的访问权限,未重命名默认账户
删除多余的账号,只保留root默认账号不确定是否正确,可以问下等保的人
不确定是否正确,可以问下等保的人
Windows操作系统未限制默认账户的访问权限,未重命名默认账户
重命名administrator和guest默认用户名
thomas newcomen如下图:
数据库系统未限制默认账户的访问权限,未重命名默认账户
已删除root账号。无其他默认账号
应及时删除多余的、过期的帐户,避免共享帐户的存在
Centos操作系统未限制默认账户的访问权限,未删除多余、过期的账户(adm、lp、sync、shutdown、halt、mail、operator、games)
注释掉不需要的用户美国大选第二场辩论直播
修改:/etc/passwd如下:
adm、lp、sync、shutdown、halt、mail、operator、games分别注释掉
root:x:0:0:root:/root:/bin/bash
britishchamberbin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
nowhere
#mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
williams
#games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTPUr:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
