本主题介绍 STIG 合规性安全标准和措施。
STIG 合规性对服务器和其他网络设备执行高安全标准和措施。在正常的服务器操作期间,大多数 STIG 合规配置都不可见。但是,有三个区域可以看到 STIG 合规更改并影响服务器的操作:
- 用户帐户密码和使用
- 直接登录 root 帐户
- 内核审计日志记录注: 为了保持与之前的 BlueCat 版本的向后功能兼容性,BlueCat 设备和 VM 附带的这三个 STIG 功能已禁用。必须启用 STIG 合规性才能激活这些 STIG 功能。
用户帐户密码和使用
用户帐户密码必须包含至少 14 个字符并使用特殊字符。用户帐户在被锁定前最多允许三次失败的连续登录尝试。35 天内未登录的帐户也会被锁定。
注: 有关释放锁定帐户的详细信息,请参阅重置锁定的用户帐户。
直接登录 root 帐户
已禁用登录控制台的 root 帐户或通过 SSH 会话登录。启用此限制后,将自动创建非特权登录帐户(用户名和密码皆为 bluecat)用于登录服务器。如需获得对服务器的 root 访问权限,必须以 bluecat 账户登录并使用 su – 命令来访问 root shell。
内核审计日志记录
已启用文件访问和其他内核服务的审计日志记录。目前,由于存在大量的诊断日志记录,DISA SRR 扫描脚本所需的默认审计规则会导致性能显著下降。BlueCat 建议定义一组审核规则,以满足审核日志记录要求并同时尽量减少对系统的影响。有关更多信息,请参阅 BlueCat 客户服务中心的知识库文章 5472。