等保二级配置（四）口令复杂度策略和禁止root登录

灰太狼 2023-10-13 12:42 86阅读 0赞

口令复杂度策略

<table> 
 <tbody> 
 <tr> 
 <td style="background-color:#a6a6a6;border-color:#000000;text-align:center;vertical-align:middle;width:43.8pt;">序号</td> 
 <td style="background-color:#a6a6a6;border-color:#000000;text-align:center;vertical-align:middle;width:117.25pt;">检查项名称</td> 
 <td style="background-color:#a6a6a6;border-color:#000000;text-align:center;vertical-align:middle;width:173.75pt;">检查指南</td> 
 <td style="background-color:#a6a6a6;border-color:#000000;text-align:center;vertical-align:middle;width:173.75pt;">符合性说明</td> 
 <td style="background-color:#a6a6a6;border-color:#000000;text-align:center;vertical-align:middle;width:202pt;">整改方法</td> 
 </tr> 
 <tr> 
 <td style="border-color:#000000;text-align:center;vertical-align:middle;">1</td> 
 <td style="border-color:#000000;vertical-align:middle;width:117.25pt;">口令复杂度策略</td> 
 <td style="border-color:#000000;vertical-align:middle;width:173.75pt;">1.确认账号现用密码； 2.查看配置文件/etc/pam.d/system-auth中相关参数。</td> 
 <td style="border-color:#000000;vertical-align:middle;width:173.75pt;">1.密码长度不小于8位，至少包括数字、大写字母、小写字母、特殊字符中的三种字符，非常见弱密码，如Admin@123、1qaz@WSX等，非逻辑弱密码，如sdyc@123等； 2.如“difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 remember=5”符合要求。</td> 
 <td style="border-color:#000000;vertical-align:middle;width:202pt;">1.建议静态密码长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少三类，5次以内不设置相同的密码。 2.参考配置： 在/etc/pam.d/system-auth文件中配置： 1.password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 2.password sufficient pam_unix.so use_authtok md5 shadow remember=5 注： difok为新密码同旧密码最少不同字符个数； minlen为最小密码长度； ucredit为最少大写字母个数； lcredit为最少小写字母个数； dcredit为最少数字个数。</td> 
 </tr> 
 </tbody> 
</table>

![11e99378244c43b1935980dcefd4d2ba.png][]

2，禁止root远程登录

vi /etc/ssh/sshd\_config 设置 PermitRootLogin”值为“no”

service sshd restart

<table> 
 <tbody> 
 <tr> 
 <td style="border-color:#000000;vertical-align:middle;width:117.25pt;">root账号远程登录策略</td> 
 <td style="border-color:#000000;vertical-align:middle;width:173.75pt;">查看配置文件/etc/ssh/sshd_config中相关参数。</td> 
 <td style="border-color:#000000;vertical-align:middle;width:173.75pt;">PermitRootLogin no</td> 
 <td style="border-color:#000000;vertical-align:middle;width:202pt;">建议禁止直接root远程登录。参考配置： vi /etc/ssh/sshd_config #编辑配置文件 设置“PermitRootLogin”值为“no” #不允许root直接登录 service sshd restart #重启sshd服务 注意：修改此项前，应确保存在可登录的普通账号。</td> 
 <td style="border-color:#000000;text-align:center;vertical-align:middle;width:60.75pt;">中风险</td> 
 <td style="border-color:#000000;text-align:left;vertical-align:middle;width:145.5pt;">不符合，未禁止ｒｏｏｔ用户直接远程直接登录。</td> 
 </tr> 
 </tbody> 
</table>

[11e99378244c43b1935980dcefd4d2ba.png]: https://img-blog.csdnimg.cn/11e99378244c43b1935980dcefd4d2ba.png