等保2.0服务器测评-身份鉴别测评方法以及配置整改-02登录失败处理

本文主要是介绍等保2.0服务器测评-身份鉴别测评方法以及配置整改-02登录失败处理,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

等保2.0服务器测评-身份鉴别-02登录失败处理

声明:

测评要求参考《信息安全技术 网络安全等级保护测评要求GB/T 28448一2019》
测评方法以及配置整改为个人工总结,仅供参考不适用全部操作系统,有不合理的地方大家多多指出,欢迎交流。

测评项

 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

测评项b)

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动
退出等相关措施

预期结果

a)账户锁定时间:不为不适用
b)账户锁定阈值:不为不适用
2)启用了远程登录连接超时并自动退出功能
3)本地操作超时时间

测评方法:

1、windows服务器

上机检查:

1)	查看“运行gpedit.msc打开组策略编辑器-windows设置-安全设置-账户锁定策略”,
记录账户锁定阀值、账户锁定时间 等2项
2)	本地超时:控制面板→显示→更改屏幕保护程序。
3)远程操作超时:查看“运行gpedit.msc打开组策略编辑器-->计算机设置-->管理模板-->windows组件-->远程桌面服务-->远程桌面会话主机-->会话时间限制-->设置活动但空闲的远程桌面服务会话的时间限制设置-->管理模板-->windows组件-->远程桌面服务-->会话时间限制-->设置活动但空闲的远程桌面服务会话的时间限制。
  1. 查看“运行gpedit.msc打开组策略编辑器-windows设置-安全设置-账户锁定策略”,
    记录账户锁定阀值、账户锁定时间 等2项。
    在这里插入图片描述
  2. 本地超时:控制面板→显示→更改屏幕保护程序。
    在这里插入图片描述
    3)远程操作超时:查看“运行gpedit.msc打开组策略编辑器–>计算机设置–>管理模板–>windows组件–>远程桌面服务–>远程桌面会话主机–>会话时间限制–>设置活动但空闲的远程桌面服务会话的时间限制设置–>管理模板–>windows组件–>远程桌面服务–>会话时间限制–>设置活动但空闲的远程桌面服务会话的时间限制。

在这里插入图片描述

2、Linux服务器(CentOS为例)

Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。

上机检查:

1)system-auth登录失败锁定

注:配置的地方不唯一,具体请访谈
使用命令如下:

cat /etc/pam.d/system-auth

预期结果应该包含一下内容:


[root@hecs-3 pam.d]# cat system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_tally2.so   deny=3  lock_time=300 even_deny_root root_unlock_time=10
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

参数解释

even_deny_root 也限制root用户;deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
注意:
在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!

2)(ssh远程连接登录)登录失败锁定

cat  /etc/pam.d/sshd

#%PAM-1.0
auth       required     pam_tally2.so   deny=3  lock_time=300 even_deny_root root_unlock_time=10
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare
[root@hecs-357431 pam.d]#

3)操作超时锁定

在/etc/profile、~/.bashrc、~/.bash_profile
等文件的最后加入export TMOUT=900语句即可
(单位是秒),然后想要不重新登录就起效就,还需要
用source命令解析上述文件。
上述文件中,/etc/profile针对所有用户其效果,而
~/.bashrc、~/.bash_profile则只对当前用户其
效果,实际上从文件位置就能看出来。

3.1)具体查询方式

理论上可以在好几个地方对TMOUT进行配置,不过一般应该是在/etc/profile这个文件中对所有用户进行设置,可能有极个别的会单独为每个用户配置超时时间。

所以直接查看/etc/profile文件内容,然后再用echo $TMOUT语句看看运行环境中的TMOUT变量到底是多少。


[root@hecs-357431 ~]# vi /etc/profile
[root@hecs-357431 ~]# echo $TMOUT[root@hecs-357431 ~]# source /etc/profile
[root@hecs-357431 ~]# echo $TMOUT
900
[root@hecs-357431 ~]#

注意:
配置文件里写了不代表就起效了,比如/etc/profile修改后需要用source命令才能起效。另外,配置文件中的配置即使起效了,但未必就等同于现在实际执行的规则。

测评项c)

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

测评方法:

1、windows服务器

1)本地或KVM,默认符合
2)远程运维,采取开启了SSL安全层的RDP协议,加密级别为高
windows2012以上默认符合
wireshark直接抓3389登录包有SSL证书即可。
在命令行输入”gpedit.msc“弹出“本地组策略编辑器”窗口,查着“本地计算机策略一》计算机配置一>管理模板一>Windows组件一选程桌面服务>远程桌面会话主机-安全”中的相关项目。

在这里插入图片描述

2、Linux服务器(CentOS为例)

1)本地或KVM,默认符合
2)远程运维,采取SSH协议默认符合
同时要关闭Telnet等明文协议的连接方式

测评项d)

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

这一项据我所了解的,一般常用的的做法就是,通过堡垒机来管理服务器。 同时,堡垒机使用双因素认证,从而间接的达到了服务器的双因素认证。

这篇关于等保2.0服务器测评-身份鉴别测评方法以及配置整改-02登录失败处理的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/783109

相关文章

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

服务器集群同步时间手记

1.时间服务器配置(必须root用户) (1)检查ntp是否安装 [root@node1 桌面]# rpm -qa|grep ntpntp-4.2.6p5-10.el6.centos.x86_64fontpackages-filesystem-1.41-1.1.el6.noarchntpdate-4.2.6p5-10.el6.centos.x86_64 (2)修改ntp配置文件 [r

Zookeeper安装和配置说明

一、Zookeeper的搭建方式 Zookeeper安装方式有三种,单机模式和集群模式以及伪集群模式。 ■ 单机模式:Zookeeper只运行在一台服务器上,适合测试环境; ■ 伪集群模式:就是在一台物理机上运行多个Zookeeper 实例; ■ 集群模式:Zookeeper运行于一个集群上,适合生产环境,这个计算机集群被称为一个“集合体”(ensemble) Zookeeper通过复制来实现

CentOS7安装配置mysql5.7 tar免安装版

一、CentOS7.4系统自带mariadb # 查看系统自带的Mariadb[root@localhost~]# rpm -qa|grep mariadbmariadb-libs-5.5.44-2.el7.centos.x86_64# 卸载系统自带的Mariadb[root@localhost ~]# rpm -e --nodeps mariadb-libs-5.5.44-2.el7

无人叉车3d激光slam多房间建图定位异常处理方案-墙体画线地图切分方案

墙体画线地图切分方案 针对问题:墙体两侧特征混淆误匹配,导致建图和定位偏差,表现为过门跳变、外月台走歪等 ·解决思路:预期的根治方案IGICP需要较长时间完成上线,先使用切分地图的工程化方案,即墙体两侧切分为不同地图,在某一侧只使用该侧地图进行定位 方案思路 切分原理:切分地图基于关键帧位置,而非点云。 理论基础:光照是直线的,一帧点云必定只能照射到墙的一侧,无法同时照到两侧实践考虑:关

hadoop开启回收站配置

开启回收站功能,可以将删除的文件在不超时的情况下,恢复原数据,起到防止误删除、备份等作用。 开启回收站功能参数说明 (1)默认值fs.trash.interval = 0,0表示禁用回收站;其他值表示设置文件的存活时间。 (2)默认值fs.trash.checkpoint.interval = 0,检查回收站的间隔时间。如果该值为0,则该值设置和fs.trash.interval的参数值相等。

NameNode内存生产配置

Hadoop2.x 系列,配置 NameNode 内存 NameNode 内存默认 2000m ,如果服务器内存 4G , NameNode 内存可以配置 3g 。在 hadoop-env.sh 文件中配置如下。 HADOOP_NAMENODE_OPTS=-Xmx3072m Hadoop3.x 系列,配置 Nam

wolfSSL参数设置或配置项解释

1. wolfCrypt Only 解释:wolfCrypt是一个开源的、轻量级的、可移植的加密库,支持多种加密算法和协议。选择“wolfCrypt Only”意味着系统或应用将仅使用wolfCrypt库进行加密操作,而不依赖其他加密库。 2. DTLS Support 解释:DTLS(Datagram Transport Layer Security)是一种基于UDP的安全协议,提供类似于

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal