二、访问控制
测评项:
a)应对登录的用户分配账户和权限;
测评方法:
1.应核查是否为用户分配了账户和权限及相关设置情况,查看cat /etc/group,检查各用户组内的用户情况,确认root组内仅有root用户
2.应核查是否已禁用或限制匿名、默认账户的访问权限;应禁止root直接远程登录ssh,查看cat /etc/ssh/sshd_config的PermitRootLogin no|yes设置为no
3.应禁止root直接远程登录telnet,查看cat /etc/securetty文件中的pts0-pts3全部注释
判定说明:
1.未提供权限列表,但不同的用户使用不同的账户登录系统结果判定为符合
2.多人仅设置一个root账户结果判定为不符合
扩展:
1./etc/group中总共有4个字段,其含义分别为:用户组名、用户组密码、用户组GID、用户组下包含的用户名
2./etc/securetty文件规定了root用户可以从哪些tty设备登录,登录程序(通常是/bin/login)需要读取/etc/securetty文件;列出来的tty设备都是允许的,注释掉或是在这个文件中不存在的都是不允许root登录的(只能以普通用户登陆)
3./etc/securetty值类型:①tty:终端 ②pts:伪终端 ③console:当前的控制台 ④vc:visual console虚拟控制台 ⑤vt:虚拟终端 ⑥hvc ⑦hvsi ⑧xvc等
测评项:
b)应重命名或删除默认账户,修改默认账户的默认口令
测评方法:
1.应核查是否已经重命名默认账户或默认账户已被删除,检查/etc/passwd文件,查看是否启用默认账户,检查/etc/passwd文件对不启用的用户是否nologin或以#号标注
2.应检查是否已修改默认账户的默认密码,查看是否存在如:root/root,oracle/oracle等用户
3.是否存在空密码或默认密码账户,查看/etc/shadow文件,询问相应账户是否为过期、多余账户,查看/etc/passwd文件各用户第二字段是否不为空,/etc/shadow文件中密码字段是否不为空