等保测评Centos 7测评命令

身份鉴别	a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；	1) 应核查用户在登录时是否采用了身份鉴别措施； 2) 应核查用户列表确认用户身份标识是否具有唯一性； 3) 应核查用户配置信息或测试验证是否不存在空口令用户； 4) 应核查用户鉴别信息是否具有复杂度要求并定期更换。	经核查，查看/etc/passwd和/etc/shadow文件，用户名具有标识唯一性；查看/etc/passwd和/etc/shadow文件并访谈后验证，不存在空口令用户；查看/etc/pam.d/system-auth文件，具有以下配置： password  requisite pam_cracklib.so retry=5  difok=3 minlen=8 ucredit=-1 lcredit=-3 dcredit=-3 ocredit=-1 dictpath=/usr/share/cracklib/pw_dict；查看/etc/login.defs文件，具有以下配置：   PASS_MAX_DAYS 90   PASS_MIN_DAYS 2   PASS_MIN_LEN 8   PASS_WARN_AGE 7
	b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；	1) 应核查是否配置并启用了登录失败处理功能； 2) 应核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账户锁定等； 3) 应核查是否配置并启用了登录连接超时及自动退出功能。	经核查，查看/etc/pam.d/system-auth文件具有以下配置：  auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 even_deny_root unlock_time=60； 查看/etc/pam.d/ssd文件具有以下配置：  auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 even_deny_root； 查看/etc/profile文件，具有以下配置：  TMOUT=300s
	c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；	应核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听。	经核查，通过systemctl | grep running查看，远程管理服务只运行了sshd，没有运行telnet等其他远程管理服务，能够防止鉴别信息在网络传输过程中被窃听。
	d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。	1) 应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别； 2) 应核查其中一种鉴别技术是否使用密码技术来实现。	经访谈，未采取两种或两种以上组合鉴别技术进行身份鉴别。
访问控制	a）应对登录的用户分配账户和权限；	1) 应核查是否为用户分配了账户和权限及相关设置情况； 2) 应核查是否已禁用或限制匿名、默认账户的访问权限。	经核查，查看/etc/shadow和/etc/passwd文件，为不同的管理员分配了不同的账号和权限；
	b）应重命名或删除默认账户，修改默认账户的默认口令；	1) 应核查是否已经重命名默认账户或默认账户已被删除； 2) 应核查是否已修改默认账户的默认口令。	经核查，查看/etc/passwd、/etc/shadow文件并访谈管理员修改了默认口令，但是没有修改默认账户；查看/etc/ssh/sshd_config文件具有以下配置： PermitRootLogin no（已禁止ROOT用户直接登录操作系统）；查看/etc/login.defs文件具有以下配置：SU_WHEEL_ONLY yes（已禁止普通用户SU到超级管理员用户）；