ucreddir=-1 (最少包含一个大写字母，如果去掉减号就是最多只能包含一个大写字母)

  linux密码策略详解参考：linux密码策略详解_lose的技术博客_51CTO博客

  简要说明：帐户登录连续 10 次失败，就统一锁定 150秒，150 秒后可以解锁，root账户的锁定时间为10秒。

  指引：访谈和核查系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法，是否采用了两种或两种以上组合的鉴别技术，如口令教字证书Ukey、令牌、指纹等，是否有一种鉴别方法在鉴别过程中使用了密码技术。

  指引：查看more /etc/passwd文件中可登录用户，并访谈配合人员各个账户的用途及权限。

  指引：查看more /etc/passwd文件中可登录用户，并访谈配合人员各个账户的用途及权限。

  指引：查看more /etc/passwd文件中可登录用户，并访谈配合人员各个账户的用途及权限。

  // 询问系统管理员， 核查是否由指定授权人对操作系统的访问控制权限进行配置。

  指引：1.使用“ls -1文件名”命令，查看重要文件和目录权限设置是不是合理。（对于Linux系统已经对一些默认账户和系统文件分配了不同的权限，也就是说主体已达到了用户级，客体已达到了文件级，该项主要检查新建用户和文件是不是真的存在权限过大、权限滥用的情况。）

  //user_u表示一般用户相关身份标识;第二部分角色定义文件进程和用户用途

  //审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果type(消息类型)，msg(时间、事件ID)，syscall(系统调用类型)，success(此次syscall是否成功)，exe(进程文件的执行路径)。

  指引：访谈配合人员审计记录的存储、备份和保护的措施，是否将操作系统日志定时发送到日志服务器上等，并使用syslog方式或snmp方式将日志发送到日志服务器。如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的范围内，备份保留时长最少要达到六个月。（查看有没有配置syslog：/etc/rsyslog.conf）

  访谈配合人员审计记录的存储、备份和保护的措施，是否将操作系统日志定时发送到日志服务器上等，并使用syslog方式或snmp方式将日志发送到日志服务器。如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的范围内，备份保留时长最少要达到六个月。（查看有没有配置syslog：/etc/rsyslog.conf）

  指引：1)访谈对审计进程监控和保护的措施。2)测试使用非安全审计员中断审计进程，查看审计进程的访问权限是否设置合理。3)查看是不是有第三方系统对被测操作系统的审计进程进行监控和保护。

  (切换普通用户：service auditd stop停止守护进程)//使用普通用户，结束审计进程失败//部署了第三方审计工具， 可以实时记录审计日志， 管理员不可以对日志进行删除操作

  指引：利用命令yum list installed查看安装的插件和软件包。（Linux一般都是最小安装，询问有没安装和业务无关的软件）

  要求：操作系统通过堡垒机白名单对服务器接入范围进行了限制，仅固定网段能够远程管理设备。

  etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的，通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。

  我们通常只对管理员开放SSH登录，那我们就可以禁用不必要的IP，而只开放管理员可能使用到的IP段。

  合规实践：应对在应用系统输入、上传、传输的数据来进行校验，防止XSS、SQL注入、可执行文件上传等安全事件发生，可通过代码层面或应用框架进行过滤限制，或通过高可用性的WEB应用保护措施进行防护。

  指引：询问配合人员有没有定期做漏洞扫描，如果有需要他提供漏扫报告，查看有没有高风险问题，如果有，看有没有进行修复。

  指引：询问配合人员是否安装了主机入侵检测软件，查看已安装的主机入侵检查系统的配置情况，是不是具备报警功能。询问并查看是不是有第三方入侵检测系统，如IDS、IPS，查看主机防火墙状态systemctl status firewalld（是否开启防火墙）。

  指引：询问并查看系统中安装了什么防病毒软件。询问配合人员病毒库是否经常更新。查看病毒库的最新版本更新日期是否超过一个月。应核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为，应核查当识别入侵和病毒行为时是否将其有效阻断。

  指引：1.采用本地登录方式，不存在鉴别信息在网络传输时被窃听的风险。2.登录（堡垒机/VPN）使用（HTTPS/HTTP）协议，对远程传输的鉴别信息进行加密；3.Linux远程管理采用SSH协议，则支持完整性保护。

  1、应核查系统模块设计文档，鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人隐私信息等在传输过程中是否采用了校验技术和密码技术保证完整性

  2、应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人隐私信息等进行篡改、是否能否检测到数据在传输过程中的完整性受到破坏并能够及时恢复

  //询问管理员，重要数据在传输的时候使用什么协议(Linux通常用SSH协议)，是否有检查机制。

  指引： Linux操作系统鉴别数据和配置数据存储默认满足存储完整性要求。

  a) 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等

  1、应核查系统模块设计文档，鉴别数据、重要业务数据和重要个人隐私信息等在传输过程中是否采用密码技术保证保密性

  2、应通过嗅探等方式抓取传输过程中的数据包，鉴别数据、重要业务数据和重要个人隐私信息等在传输过程中要不要进行了加密处理

  //询问管理员，重要数据在传输的时候使用什么协议(Linux通常用SSH协议)，是否有检查机制。

  指引：cat /etc/shadow：核查用户口令是否加密存储，以及所使用的加密算法。

  指引：1.访谈和查看操作系统配置数据的异地备份措施、存储位置、备份频率、保留时长等；

  //询问管理员是否有异地备份，备份策略是什么(时间、备份地点、策略(全量、增量))

  指引：检查拓补图和资产表，涉及重要数据处理的主机是否有热备机器或集群等。

  //应核查重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等)是否采用热冗余方式部署。

  文件系统规则能够最终靠 auditctl 命令设置。监控文件系统行为(依靠文件、目录的权限属性来识别)

  规则格式： -w 路径 -p 权限 -k 关键字 其中-p 权限的动作分为四种 r — 读取文件或者目录。 w — 写入文件或者目录。 x — 运行文件或者目录。 a — 改变在文件或者目录中的属性。 例如要监控/etc/passwd 文件的修改行为，能够正常的使用这个命令： #auditctl -w /etc/passwd -p wa 也能自己将以上内容加入到文件/etc/audit/rules.d/audit.rules 中就可以实现对该文件的监视。