安全计算环境linux-身份鉴别技术 2021-03-06

安全计算环境linux- 身份鉴别 技术 a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换要求解读 Linux系或统的用户鉴别过程与其他UNIX系统相同：系统管理员为用户建立一个账户并为其指定一个口令,用户使用指定的口今登录后重新配置自己的自已的口令，这样用户就具备一个私有口令。etc/password文件中记录用户的属性信息，包括用户名、密码、用户标识、组标识等信息。现在Linux系统中不再直接保存在/etc/password文件中,通常将password文件中的口令字段使用一个“x”来代替，将/etc/shadow作为真正的口令文件，用于保存包括个人口令在内的数据。当然，shadow文件是不能被普通用户读取的，只有超级用户才有权读取。 Linux中的/etc/login.defs是登录程序的配置文件，在这里我们可配置密码的最大过期天数，密码的最大长度约束等内容。如果/etc/pam.d/system-auth文件里有相同的选项，则以/etc/pam.d/system-auth里的设置为准，也就是说/etc/pam.d/system-aut的配置优先级高于/etc/login.defs。 Linux系统具有调用PAM的应用程度认证用户。登示服务、屏保等功能，其中一个重要的文件使是etc/pam.d/system-auth(在Kedhat Cent0s 和Fedora系上）。/etc/pam.d/system-auth或/etc/login.defs中的配置优先级高于其他地方的配置。 另外，root用户不受pam认证规则的限制，相关配置不会影响root用户的密码，root用户可以随意设置密码的。login.defs文件也是对root用户无效的。测评方法1)访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。 2)以有权限的账户身份登录 *** 作系统后，使用命令more查看/etc/shadow文件，核查系统是否存在空口令账户 3)使用命令more查看/etc/login. defs文件，查看是否设置密码长度和定期更换要求 #more /etc/login. defs 使用命令more查看/etc/pam.d/system-auth文件。查看密码长度和复杂度要求 4)检查是否存在旁路或身份鉴别措施可绕过的安全风险预期结果和主要证据1)登录需要密码 2)不存在空口令账户 3)得出类似反馈信息，如下: PASS MAX_DAYS 90 #登录密码有效期90天 PASS MIN_DAYS 0 #登录密码最短修改时间，增加可以防止非法用户短期更改多次 PASS MIN_LEN 7 #登录密码最小长度7位 PASS WARN_AGE 7 #登录密码过期提前7天提示修改 4）不存在绕过的安全风险b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施要求解读 Linux系统具有调用PAM的应用程度认证用户、登录服务、屏保等功能，其中一个重要的文件便/etc/pam.d/system-auth ，Redhat5以后版本使用pam_tally2.so模块控制用户密码认证失败的次数上限，可以实现登录次数、超时时间，解锁时间等。 着只是针对某个程序的认证规则，在PAM目录(/etc/pam d)下形如sshd、login 等等的对应各程序的认证规则文件中进行修改。若所有密码认证均应用规则， 可直接修改system_auth文件 测评方法 1)系统配置并启用了登录失败处理功能 2)以root身份登录进入Linux， 查看文件内容: # cat /ete/pam.d/system -auth或根据linux版本不同在common文件中 3)查看/etc/profile中的TIMEOUT环境变量，是否配置超时锁定参数 预期结果和主要证据 得出类似反馈信息，如下: 1)和2)查看登录失败处理功能相关参数，/etc/pam.d/system—auth文件中存在"account required /lib/security/pam_tally.so deny=3 no_ magic root reset" 3)记录在文件/etc/profile中设置了超时锁定参数，在profile下设置TMOUT= 300sc) 当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听 要求解读   Linux提供了远程访问与管理的接口，以方便管理员进行管理 *** 作，网络登录的方式也是多样的，例如可以使用Telnet登录，也可以使用SSH登录。但是，Telnet不安全。I因为其在教据传输过程中，账户与密码均明文传输，这是非常危险的。黑客通过一些网络对嗅探工是能够轻易地的窃取网络中明文传输的账户与密码，因此不建议通过Telnet协议对服务器进行远程管理。针对Telnet协议不安全这种情况，可以在远程登录时使用SSH协议。其原理跟Telnet类似，只是其具有更高的安全性。SSH是一个运行在传输控制层上的应用程序，与Telnet相比，它提供了强大的认证与加密功能，可以保证在远程连接过程中，其传输的数据是加密处理过的。因此保障了账户与口令的安全测评方法   访谈系统管理员，进行远程管理的方式。 1)以root身份登录进入Linux查看是否运行了sshd服务，service - status-all | grep sshd 查看相关的端口是否打开，netstat -an|grep 22 若未使用SSH方式进行远程管理，则查看是否使用了Telnet 方式进行远程管理 service - -status-all|grep running,查看是否存在Telnet服务 2)可使用wireshark等抓包工具，查看协议是否为加密 3)本地化管理，N/A预期结果和主要证据1)使用SSH方式进行远程管理，防止鉴别信息在传输过程中被窃听,Telnet默认不符合 2)通过抓包工具，截获信息为密文，无法读取，协议为加密 3) N/A本地管理d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现 解读对于第三级及以上的 *** 作系统要求采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现测评方法访谈和核查系统管理员在登录 *** 作系统的过程中使用了哪些身份鉴别方法，是否采用了两种或两种以上组合的鉴别技术，如口令教字证书Ukey、令牌、指纹等，是否有一种鉴别方法在鉴别过程中使用了密码技术 预期结果和主要证据 除口令之外，采用了另外一种鉴别机制，此机制采用了密码技术，如调用了密码机或采取SM1-SM4等算法

三级的

安全计算环境- *** 作系统linux

1身份鉴别

001应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

密码复杂度： cat /etc/pam.d/system-auth

密码复杂度

retry =N:登录失败次数

minlen=N：新密码的最小长度

dcredit=N：当N>0时表示新密码中数字出现的最多次数；当N<0时表示新密码中数字出现最少次数；

ucredit=N: 当N>0时表示新密码中大写字母出现的最多次数；当N<0时表示新密码中大写字母出现最少次数；

lcredit=N: 当N>0时表示新密码中小写字母出现的最多次数；当N<0时表示新密码中小写字母出现最少次数；

ocredit=N：当N>0时表示新密码中特殊字符出现的最多次数；当N<0时表示新密码中特殊字符出现最少次数；

maxrepeat=N：拒绝包含多于N个相同连续字符的密码。 默认值为0表示禁用此检查；

maxsequence=N：拒绝包含长于N的单调字符序列的密码。默认值为0表示禁用此检查。

身份标识唯一： cat /etc/passwd

身份标识唯一

如：root:x:0:0:root:/bin/bash   抽象为1:2:3:4:5:6

1、用户名；

2、密码，为了保密需要用x或*代替，要查密码可以看cat /etc/shadow，虽然看不到明文；

3、用户标识号，是一个整数，系统内部用它来标识用户。一般情况下它与用户名是一一对应的。如果几个用户名对应的用户标识号是一样的，系统内部将把它们视为同一个用户，但是它们可以有不同的口令、不同的主目录以及不同的登录Shell等。0是超级用户root的标识号，1～99由系统保留，作为管理账号，普通用户的标识号从100开始。在Linux系统中，这个界限是500；

4、组标识号，用户所属的组；

5、注释性描述，注释，没啥用；

6、主目录，工作目录（文件夹）。

定期更换： cat /etc/logins.def

定期更换

这里的配置对root账户没暖用。

PASS_MAX_DAYS   99999      注：一个密码最长可以使用的天数；

PASS_MIN_DAYS   0    注：更换密码的最小天数；

PASS_MIN_LEN    5   注：密码的最小长度；

PASS_WARN_AGE   7    注：密码失效前提前多少天数开始警告；

ENCRYPT_METHOD SHA512   注：MD5密码加密

---