等保2.0服务器测评

2023年11月27日发(作者：)

等保2.0服务器测评-⾝份鉴别测评⽅法以及配置整改-02登录失败处理

等保2.0服务器测评-⾝份鉴别-02登录失败处理

声明：

测评要求参考《信息安全技术 ⽹络安全等级保护测评要求GB/T 28448⼀2019》

测评⽅法以及配置整改为个⼈⼯总结，仅供参考不适⽤全部操作系统，有不合理的地⽅⼤家多多指出，欢迎交流。

测评项

a)应对登录的⽤户进⾏⾝份标识和鉴别，⾝份标识具有唯⼀性，⾝份鉴别信息具有复杂度要求并定期更换；

b)应具有登录失败处理功能，应配置并启⽤结束会话、限制⾮法登录次数和当登录连接超时⾃动退出等相关措施；

c)当进⾏远程管理时，应采取必要措施防⽌鉴别信息在⽹络传输过程中被窃听；

d)应采⽤⼝令、密码技术、⽣物技术等两种或两种以上组合的鉴别技术对⽤户进⾏⾝份鉴别，且其中⼀种鉴别技术⾄少应使⽤密码技术来实现。

测评项b)

b)应具有登录失败处理功能，应配置并启⽤结束会话、限制⾮法登录次数和当登录连接超时⾃动

退出等相关措施

预期结果

a)账户锁定时间:不为不适⽤

b)账户锁定阈值:不为不适⽤

2)启⽤了远程登录连接超时并⾃动退出功能

3)本地操作超时时间

测评⽅法：

1、windows服务器

上机检查：

1) 查看“运⾏打开组策略编辑器-windows设置-安全设置-账户锁定策略”，

记录账户锁定阀值、账户锁定时间 等2项

2) 本地超时：控制⾯板→显⽰→更改屏幕保护程序。

3)远程操作超时：查看“运⾏打开组策略编辑器-->计算机设置-->管理模板-->windows组件-->远程桌⾯服务-->远程桌⾯会话主机-->会话时间限制-->

设置活动但空闲的远程桌⾯服务会话的时间限制设置-->管理模板-->windows组件-->远程桌⾯服务-->会话时间限制-->设置活动但空闲的远程桌⾯服务会话的时

间限制。

1. 查看“运⾏打开组策略编辑器-windows设置-安全设置-账户锁定策略”，

记录账户锁定阀值、账户锁定时间 等2项。

2、Linux服务器(CentOS为例)

Linux有⼀个pam_的PAM模块，来限定⽤户的登录失败次数，如果次数达到设置的阈值，则锁定⽤户。

上机检查：

1）system-auth登录失败锁定

注：配置的地⽅不唯⼀，具体请访谈

使⽤命令如下：

cat /etc/pam.d/system-auth

预期结果应该包含⼀下内容：

[root@hecs-3 pam.d]# cat system-auth

#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

auth required pam_ deny=3 lock_time=300 even_deny_root root_unlock_time=10

auth required pam_

auth required pam_ delay=2000000

auth sufficient pam_ nullok try_first_pass

auth requisite pam_succeed_ uid >= 1000 quiet_success

auth required pam_

参数解释

even_deny_root 也限制root⽤户；

deny 设置普通⽤户和root⽤户连续错误登陆的最⼤次数，超过最⼤次数，则锁定该⽤户

unlock_time 设定普通⽤户锁定后，多少时间后解锁，单位是秒；

root_unlock_time 设定root⽤户锁定后，多少时间后解锁，单位是秒；

注意：

在#%PAM-1.0

的下⾯，即第⼆⾏，添加内容，⼀定要写在前⾯，如果写在后⾯，虽然⽤户被锁定，但是只要⽤户输⼊正确的密码，还是可以登录的！

2）（ssh远程连接登录）登录失败锁定

cat /etc/pam.d/sshd

#%PAM-1.0

auth required pam_ deny=3 lock_time=300 even_deny_root root_unlock_time=10

auth required pam_

auth substack password-auth

auth include postlogin

# Used with polkit to reauthorize users in remote sessions

-auth optional pam_ prepare

account required pam_

account include password-auth

password include password-auth

# pam_ close should be the first session rule

session required pam_ close

session required pam_

# pam_ open should only be followed by sessions to be executed in the user context

session required pam_ open env_params

session required pam_

session optional pam_ force revoke

session include password-auth

session include postlogin

# Used with polkit to reauthorize users in remote sessions

-session optional pam_ prepare

[root@hecs-357431 pam.d]#

3）操作超时锁定

在/etc/profile、~/.bashrc、~/.bash_profile

等⽂件的最后加⼊export TMOUT=900语句即可

（单位是秒），然后想要不重新登录就起效就，还需要

⽤source命令解析上述⽂件。

上述⽂件中，/etc/profile针对所有⽤户其效果，⽽

~/.bashrc、~/.bash_profile则只对当前⽤户其

效果，实际上从⽂件位置就能看出来。

3.1)具体查询⽅式

理论上可以在好⼏个地⽅对TMOUT进⾏配置，不过⼀般应该是在/etc/profile这个⽂件中对所有⽤户进⾏设置，可能有极个别的会单独为

每个⽤户配置超时时间。

所以直接查看/etc/profile⽂件内容，然后再⽤echo $TMOUT语句看看运⾏环境中的TMOUT变量到底是多少。

[root@hecs-357431 ~]# vi /etc/profile

[root@hecs-357431 ~]# echo $TMOUT

[root@hecs-357431 ~]# source /etc/profile

测评项c)

c)当进⾏远程管理时，应采取必要措施防⽌鉴别信息在⽹络传输过程中被窃听；

测评⽅法：

1、windows服务器

1)本地或KVM，默认符合

2)远程运维，采取开启了SSL安全层的RDP协议，加密级别为⾼

windows2012以上默认符合

wireshark直接抓3389登录包有SSL证书即可。

在命令⾏输⼊”“弹出“本地组策略编辑器”窗⼝，查着“本地计算机策略⼀》计算机配置⼀>管理模板⼀>Windows组件⼀选程桌⾯服务>远程桌⾯会话主

机-安全”中的相关项⽬。

2、Linux服务器(CentOS为例)

1)本地或KVM，默认符合

2)远程运维，采取SSH协议默认符合

同时要关闭Telnet等明⽂协议的连接⽅式

测评项d)

d)应采⽤⼝令、密码技术、⽣物技术等两种或两种以上组合的鉴别技术对⽤户进⾏⾝份鉴别，且其中⼀种鉴别技术⾄少应使⽤密码技术来实

现。

这⼀项据我所了解的，⼀般常⽤的的做法就是，通过堡垒机来管理服务器。 同时，堡垒机使⽤双因素认证，从⽽间接的达到了服务器的双

因素认证。