小马云的博客

测评过程；1、现场核查是否对登录的用户进行身份鉴别（说明空口令账户情况）：现场查看用户登录操作系统时是否通过账户口令的方式进行身份鉴别，若使用账户口令则为符合，采用空口令则为不符合；通过命令/etc/default/login，查看文件中PASSREQ=YES/NO；

使用命令XXX -V，查看是否定期对软件病毒库进行更新（例如，安装了clamav防病毒软件，则需使用clamdscan -V 命令查看当前病毒库版本是否更新（不一定是最新，但是应该在现场测评1个月内，具体的不同的防病毒软件需与现场运维人员核实对应软件的名称）注：作为服务器操作系统自身涉及的数据通常为配置数据，而操作系统的配置数据并非重要到需要备份的地步，通常情况下都无需进行备份，如若现场碰见特别情况（比如涉及了很繁琐的、很重要的配置，可以考虑是否有备份的需求）

当前键值对应的解读为：修改密码可重试的次数为3，口令长度最小为8位，至少包含大写字母、小写字母、数字和特殊字符中的三类（但以密码开头的大写字母和以结束它的数字，不计入其使用的字符类数（经测试，Zhufuyy@1、zhuFuyy1密码设置不成功，密码zhuFuyy@成功））按顺序选择：主机→管理→服务，对应服务名称为：syslog server，确认其服务状态栏，显示正在运行则符合，否则不符合，选中该服务，可对其进行策略配置（默认情况下，随主机启动和停止，开机自启日志服务）

运行-命令行输入：netstat -an”，查看列表中的监听端口，是否包括高危端口，如TCP135，139，445，593，1025端口、UDP135，137，138，445端口及TCP2745，3127，6129等一些常见高危端口及流行病毒的后门端口。1、查看“控制面板-管理工具-本地安全策略-账户策略-密码策略”，查看是否禁用了策略“用可还原的加密来存储密码：已禁用”，若禁用该策略，则该点符合，否则该点不符合。

password requisite pam_cracklib.so minlen=X ucredit=-X lcredit=-X dcredit=-X ocredit=-X （字符要求4选3即可）询问当前账户所使用的口令组成情况是否满足“长度不低于8位，是否包含大写字母、小写字母、数字、特殊符号中的任意三种组合（4选3即可）”，满足条件则符合，否则不符合；现场查看用户登录操作系统时，是否通过账户口令进行了身份验证，使用账户口令进行验证则符合，若采用空口令进行登录则不符合；（口令长度大于等于8）

测评过程；1、现场核查服务器是否具备审计功能；（通常默认都有）2、审计策略是否开启：使用命令service auditd status查看是否启用审计服务；使用命令service rsyslog status查看是否启用日志服务；

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换：测评过程；1、现场核查是否对登录的用户进行身份鉴别（说明空口令账户情况）：运行-输入“control userpasswords2”，查看用户是否勾选了：“要使用本机必须输入用户名和密码”，登录操作系统时，是否进行了身份验证，如：是否需要输入账户名、口令，若使用用账户名＋口令进行验证则该点符合，若未使用口令进行验证则该点不符合；