Linux三级主机安全：身份鉴别与口令策略

"该文档是针对信息安全等级保护测评在Linux系统中的三级要求所编写的作业指导书，主要涉及主机安全方面。文档旨在指导测评人员如何实施Linux系统的等保测评，确保系统符合第三级别的身份鉴别、密码策略等安全标准。" 在进行Linux三级等保测评时，身份鉴别是一个关键环节，其目的是确保只有授权的用户才能访问系统和数据。以下是具体的操作步骤和预期结果： 1. 身份鉴别（S3）： a) 对登录操作的检查涉及了对系统中身份标识与鉴别机制的验证。测评人员需要通过访谈系统管理员，了解系统采用了哪些技术，如口令、令牌、uKey或数字证书等进行身份验证。同时，通过查看配置文件，如`/etc/passwd`和`/etc/shadow`，确认是否存在空口令账户，以及口令的加密状态。 b) 对系统和数据库系统的管理用户进行身份标识和鉴别检查，可以使用`cat`命令查看`/etc/default/passwd`文件中的相关设置，以确定密码策略是否符合要求。例如，查看`/etc/pam.d/system-auth`文件中是否存在`nullok`项，这可能允许无口令登录。此外，还应检查`/etc/shadow`文件中所有用户的口令状态，包括空口令、加密口令和锁定状态。 密码策略的配置通常位于`/etc/login.defs`文件中，测评人员需关注以下参数： - `PASS_MAX_DAYS`：定义了密码的最大有效期，超过这个期限必须更改密码。 - `PASS_MIN_DAYS`：规定了密码最短的修改间隔，防止频繁修改密码。 - `PASS_MIN_LEN`：设定密码的最小长度，以增强密码强度。 通过这些步骤，测评人员可以确保Linux系统在身份鉴别和密码策略方面满足第三级等级保护的要求，从而提高系统的安全性。在实际测评过程中，还需要对其他主机安全控制措施进行评估，如访问控制、审计日志、安全更新管理等，以确保整体的安全性。