1.windowsSecurityandProtection(LogonandAuthentication)2.windows密码强制安全策略3.PAM(PluggableAuthenticationModules)4.linux密码强制安全策略配置
1.windowsSecurityandProtection(LogonandAuthentication)
ThispagelistsresourcesforlogonandauthenticationinWindowsServer2003,whichincludespasswords,Kerberos,NTLM,TransportLayerSecurity/SecureSocketsLayer(TLS/SSL),andDigest.Inaddition,someprotocolsarecombinedintoauthenticationpackages,suchasNegotiateandSchannel,aspartofanextensibleauthenticationarchitecture.
0x1:Createanextensivedefensemodel
1.Protectyouraccount2.Usestrongpasswordsforallaccounts3.Changepasswordsregularly4.Usedifferentpasswordsforindividualaccounts5.Storeusernamesandpasswordsonlywhenappropriate0x3:DesigninganAuthenticationStrategy
0x4:AccountPasswordsandPoliciesinWindowsServer
RelevantLink
1.windows密码强制安全策略
0x1:密码策略的设置
密码策略用于"域账户"或"本地用户账户"。它们确定密码设置,例如
1.强制执行和有效期限2.强制密码历史:密码最长使用期限3.密码最短使用期限4.密码长度最小值5.密码必须符合复杂性要求6.是否用可还原的加密(对称可逆)来存储密码//以上各项的配置方法均需根据当前用户账户类型来选择。在默认情况下,成员计算机的配置与其域控制器的配置相同1.对于本地计算机
对于本地计算机的用户账户,其密码策略设置是在"本地安全设置"管理工具中进行的。下面是具体的配置方法
2.在基于ActiveDirectory的域中配置密码策略设置
可以使用硬件管理控制台(HMC)对本地认证的用户强制实施密码需求。增强的密码策略功能允许系统管理员设置密码限制。增强的密码策略适用于已安装HMC的系统借助增强的密码策略,系统管理员可为所有用户定义单个密码策略。HMC提供中等安全密码策略,该策略由系统管理员激活来设置密码限制。系统管理员可以激活该中等安全策略或用户定义的新策略。不可从系统中除去HMC中等安全密码策略。下表列出了中等安全策略的属性和缺省值
1.min_pwage:密码必须保持活动的最少天数:缺省值12.pwage:密码可以保持活动的最多天数:缺省值1803.min_length:密码的最小长度:缺省值84.hist_size:不能复用的已保存先前密码数:缺省值105.warn_pwage:向用户警告密码即将到期的天数:缺省值76.min_digits:密码中必需使用的数字个数:缺省值无7.min_uppercase:必须大写的字符数:缺省值18.min_lowercase:必须小写的字符数:缺省值69.min_special_chars:密码中必须含有的特殊字符数:缺省值无需要注意的是
1.HMC中等安全密码策略不适用于hscroot、hscpe和root用户标识2.HMC中等安全密码策略只影响在HMC上管理的本地认证的用户,不能对LDAP或Kerberos用户强制实施3.HMC中等安全密码策略或用户定义的策略允许系统管理员设置密码复用限制4.HMC中等安全密码是只读的,并且HMC中等安全密码的属性无法更改。可以创建用户定义的新密码来设置密码限制HMC中等安全密码策略可使用命令行界面(CLI)来配置。您可以使用下列命令来配置HMC中等安全密码策略
1.mkpwdpolicy:mkpwdpolicy命令可通过从包含所有参数的文件导入策略或从CLI创建策略来添加新的密码策略2.lspwdpolicy:lspwdpolicy命令可列出所有可用的密码策略概要文件并搜索特定参数。您还可以查看当前活动的策略3.rmpwdpolicy:rmpwdpolicy命令可除去现有的不活动密码策略//注:不能除去活动的中等安全策略和缺省只读策略4.chpwdpolicy:rmpwdpolicy命令可更改不活动密码策略中的参数0x3:强制密码安全策略
在命令行下使用secedit.exe进行安全策略配置
1.secedit/analyze:分析组策略2.secedit/configure:配置组策略3.secedit/export:导出组策略4.secedit/validate:验证模板语法5.secedit/refreshpolicy:更新组策略//与访问注册表只需reg文件不同的是,访问组策略除了要有个模板文件(还是inf),还需要一个安全数据库文件(sdb)。要修改组策略,必须先将模板导入安全数据库,再通过应用安全数据库来刷新组策略gp.inf
secedit/export/cfggp.inf/log1.log//gp.inf中保存的就是当前系统的安全策略配置windowsserver2003、2008、都测试通过,使用egedit.msc命令可以查看设置结果
0x5:回滚方案
1.在修复前导出当前组策略,并保存备份:secedit/export/cfggp_bak.inf/log1.log2.需要回滚的时候,使用备份的组策略文件进行配置修改:secedit/configure/dbgp_bak.sdb/cfggp_bak.inf/quiet3.完成回滚RelevantLink
3.PAM(PluggableAuthenticationModules)
PAM(PluggableAuthenticationModules)是由Sun提出的一种认证机制。它通过提供一些"动态链接库"和"一套统一的API",将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS、HP-UX9.0等,PAM的配置方式
1.通过单个配置文件/etc/pam.conf2.RedHat还支持另外一种配置方式,即通过配置目录/etc/pam.d/,且这种的优先级要高于单个配置文件的方式0x1:使用配置文件/etc/pam.conf
该文件是由如下的行所组成的
该目录下的每个文件的名字对应服务名,例如ftp服务对应文件/etc/pam.d/ftp。如果名为xxxx的服务所对应的配置文件/etc/pam.d/xxxx不存在,则该服务将使用默认的配置文件/etc/pam.d/other。每个文件由如下格式的文本行所构成
module-typecontrol-flagmodule-patharguments//每个字段的含义和/etc/pam.conf中的相同RelevantLink
4.linux密码强制安全策略配置
限定Linux上的账户(包括root)的密码强度本身是一个伪命题,root用户可以直接操作/etc/shadow修改密码,对Linux来说,强制部署密码策略目的是提高安全型的门槛Linux用户密码的有效期,是否可以修改密码可以通过login.defs文件控制,对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令Linux用户密码的复杂度可以通过pampam_cracklibmodule或pam_passwdqcmodule控制,两者不能同时使用
0x1:passwdqc
passwdqc是一个密码强度检查和策略增加工具集。包含一个可选的PAM模块(pam_passwdqc)和命令行工具(pwqcheckandpwqgen)以及开发库(libpasswdqc).OnsystemswithPAM,pam_passwdqcisnormallyinvokedonpasswordchangesbyprogramssuchaspasswd(1).Itiscapableofcheckingpasswordorpassphrasestrength,enforcingapolicy,andofferingrandomly-generatedpassphrases,withallofthesefeaturesbeingoptionalandeasily(re-)configurable.pwqcheckandpwqgenarestandalonepassword/passphrasestrengthcheckingandrandompassphrasegeneratorprograms,respectively,andareusablefromscripts.libpasswdqcistheunderlyinglibrary,whichmayalsobeusedfromthird-partyprograms.
vim/etc/pam.d/system-auth//orvim/etc/pam.conf//添加一行passwordrequiredpam_passwdqc.somin=disabled,disabled,12,8,8max=30passphrase=3match=4similar=denyenforce=everyone参数解释如下
1.CentOS、Fedora、RHEL1)安装pam_passwdqc.so:yuminstallpam_passwdqc.so2)修改安全策略配置文件2.1)vi/etc/pam.d/system-auth2.2)注释掉:passwordrequisitepam_cracklib.sotry_first_passretry=32.3)在其后面添加:passwordrequiredpam_passwdqc.somin=disabled,disabled,12,8,8max=30passphrase=3match=4similar=denyenforce=everyone2.Debian、Ubuntu或LinuxMint1)安装pam_passwdqc.so:apt-getinstallpasswdqc2)修改安全策略配置文件2.1)sudovi/etc/pam.d/common-password2.2)在文件中添加:passwordrequiredpam_passwdqc.somin=disabled,disabled,12,8,8max=30passphrase=3match=4similar=denyenforce=everyone尝试添加一个弱密码帐号
0x4:自动化修复流程
1.使用shell脚本执行yum/apt-get指令,安装passwdqc库2.通过检查/lib/security/pam_passwdqc.so是否存在判断passwdqc库是否安装成功3.如果安装成功,则根据不同操作系统选择不同的配置文件修改方案1)CentOS、Fedora、RHEL:/etc/pam.d/system-auth1.1)备份原始文件1.2)检查是否存在:"passwordrequisitepam_cracklib.sotry_first_passretry=3"这行,如果存在,则删除之1.3)删除之前旧的配置(防止重复修复):1.4)添加新的强制密码策略:passwordrequiredpam_passwdqc.somin=disabled,disabled,12,8,8max=30passphrase=3match=4similar=denyenforce=everyone2)Debian、Ubuntu或LinuxMint:/etc/pam.d/common-password2.1)备份原始文件2.2)删除之前旧的配置(防止重复修复):2.3)添加新的强制密码策略:passwordrequiredpam_passwdqc.somin=disabled,disabled,12,8,8max=30passphrase=3match=4similar=denyenforce=everyone5.完成加固0x5:回滚方案
1.判断操作系统,根据不同操作系统将备份文件回滚到指定的目录1)CentOS、Fedora、RHEL:/etc/pam.d/system-auth1.1)mv./system-auth_bak/etc/pam.d/system-auth2)Debian、Ubuntu或LinuxMint:/etc/pam.d/common-password2.1)mv./common-password_bak/etc/pam.d/common-password2.完成回滚