本文共 1724 字，大约阅读时间需要 5 分钟。

身份鉴别与系统安全管理规范

1. 系统用户密码安全策略

1.1 密码复杂度及有效期

检查系统是否设置了最低密码长度要求：

cat /etc/login.defs

备份当前配置文件：

cp /etc/login.defs /etc/login.defs_bak

通过vim编辑密码策略文件：

vim /etc/login.defs

设置密码最小长度为8位：

# 设置密码最小长度8位PASS_MIN_LEN 8

设置密码过期时间为60天：

# 设置密码过期时间为60天PASS_MAX_DAYS 60

1.2 禁止root用户远程登录

禁止root用户通过SSH登录：

vim /etc/ssh/sshd_config

在文件中添加或修改以下内容：

PermitRootLogin no

保存后重启SSH服务：

service sshd restart

1.3 禁止用户使用su

禁止普通用户使用sudo：

vim /etc/pam.d/su

在文件中添加以下内容：

auth required /lib/security/$ISA/pam_wheel.so use_uid

并在/etc/login.defs中添加：

echo "SU_WHEEL_ONLY yes" >> /etc/login.defs

1.4 创建SSH登录用户

创建专门用于SSH登录的用户（如sysyunwei或sa），并将其加入wheel组：

useradd -g wheel -d /home/sysyunwei

或使用sa用户：

useradd -g wheel -d /home/sa

1.5 密码错误锁定

配置密码错误锁定策略，参考1.1.1中的设置：

vim /etc/login.defs

添加或修改以下参数：

auth required pam_tally.so onerr=fail deny=6 unlock_time=300

2. 用户权限管理

2.1 最小权限原则

确保账号仅具备其功能所需的最小权限，避免过高权限。

• 账号命名：以功能为主，不使用用户真实姓名（如loguser）。
• 组织架构：使用部门或岗位对应的账号，避免单个账号跨部门使用。

2.2 账号分配原则

• 账号名称：基于部门、岗位或用途，确保替换不影响账号有效性。
• 密码管理：定期更换密码，避免使用容易猜测的简单密码。

2.3 账号划分细则

• 应用用户：账号名如app，权限仅限于应用操作。
• 系统管理员：sysyunwei或sa，拥有最高权限。
• 审计用户：audit，用于审计和监控。
• 日志用户：loguser，用于日志查看和处理。

3. 恶意代码防范

3.1 Linux主机防范

• 部署ClamAV病毒扫描软件：

sudo apt install clamav

• 定期更新病毒库：

freshclam -i

• 安装文件完整性工具（如Tripwire）：

sudo apt install tripwire

• 定期扫描文件变更：

tripwire -m c -s /etc/tripwire/tw.cfg

3.2 文件完整性监控

• 初始化Tripwire：

tripwire --initialize /etc/tripwire/tw.cfg

• 定期扫描并生成报告：

tripwire -m c -s /etc/tripwire/tw.cfg

• 处理扫描结果：

cp /var/lib/tripwire/report/* /home/audit

4. 主机安全管理

4.1 OpenSSH漏洞管理

• 定期更新OpenSSH：

sudo apt update && sudo apt upgrade openssh

• 检查漏洞：

sudo apt install openssh-scansudo openssh-scan

4.2 定期安全扫描

• 主机定期扫描：

sudo apt install nmap && nmap -T4 -A

• 网络设备：

sudo apt install nessus && nessus-scanner

通过以上措施，结合实际环境需求，实施全面的安全管理措施，确保系统安全性和稳定性。

转载地址：http://dezfk.baihongyu.com/