PCI-DSS 3.0要求8.1.8规定:“如果会话空闲超过15分钟,则要求用户重新进行身份验证以重新激活
终端或会话.“PCI-DSS 2.0要求8.5.15也是如此.
终端或会话.“PCI-DSS 2.0要求8.5.15也是如此.
处理在bash提示符下空闲的ssh会话的第一种也是最明显的方法是强制执行只读的全局$TMOUT 900.不幸的是,这只包括位于bash提示符下的会话. PCI规范的精神还需要杀死运行top / vim / etc的会话.
我考虑过编写一个* / 1 cron作业来解析“/usr/bin/w”的输出并杀死相关的shell,但这似乎是一个钝器.是否有任何想法可以实际执行规范所需的操作并锁定终端?我已经看着别处了;它们似乎都非常适合自动锁定终端,但是我需要一个强制锁定的cron / daemon任务.
