Linux二级等保测评指南：身份鉴别与安全配置

"该文档是针对Linux操作系统的二级信息安全等级保护测评实施的作业指导书，主要涉及主机安全层面。文档提供了详细的测评步骤和预期结果，旨在确保Linux系统满足二级等保的要求，包括身份鉴别、口令策略等多个方面。" 在Linux等保二级测评中，身份鉴别是一个关键环节，其目标是确保只有授权的用户能够访问系统和数据。指导书中提到了以下几点： 1. **身份鉴别**：测评时会通过访谈系统管理员了解操作系统如何实现身份标识与鉴别机制。这通常包括口令、令牌、uKey、数字证书以及生物识别（如指纹）等方法。通过检查文件 `/etc/passwd` 和 `/etc/shadow`，可以确定用户的身份标识和鉴别措施，比如是否存在空口令账户。 - **检查空口令**：使用 `grep` 命令查看 `/etc/passwd` 和 `/etc/shadow` 文件中是否存在空口令账户。空口令通常表示为“空”或“!!”，这应当被避免。 2. **口令策略**：系统管理员应确保口令具备一定的复杂度要求，并定期更换。这可以通过查看 `/etc/login.defs` 文件来验证。文件中可能包含以下密码策略设置： - `PASS_MAX_DAYS`：定义了密码的有效期，超出这个期限，密码必须被更改。 - `PASS_MIN_DAYS`：设定密码最小修改间隔，防止用户频繁更改密码。 - `PASS_MIN_LEN`：规定了密码的最小长度，以增加密码的复杂性。 此外，还需要检查 `/etc/shadow` 文件中用户的密码状态，确认是否符合这些策略。 测评实施过程中，除了上述内容，还可能涉及到其他主机安全方面的检查，例如权限管理、日志审计、安全更新和补丁管理等。每个步骤都需要详细记录，以证明系统满足等保二级的安全要求。 这份指导书为Linux系统的等保二级测评提供了明确的操作流程和预期标准，帮助管理员确保系统安全性，符合国家规定的等级保护要求。通过对这些措施的实施和验证，可以有效地降低未经授权访问的风险，提升系统的整体安全水平。