TISUnix1系统安全策略unix配置手册v10资料文档格式.docx
《TISUnix1系统安全策略unix配置手册v10资料文档格式.docx》由会员分享,可在线阅读,更多相关《TISUnix1系统安全策略unix配置手册v10资料文档格式.docx(39页珍藏版)》请在冰豆网上搜索。
90天
-密码长度:
最小6位
锁定系统默认账号
-对系统默认帐号(例如:
daemon,bin,sys,adm,lp,smtp,uucp,nuucp,listen,nobody,noaccess,guest,nobody,lpd)进行锁定
超时设置
-1分钟超时设置
Umask
-超级用户 027
-一般用户 022
不用服务端口关闭
-在/etc/services和/etc/inetd.conf里,对不用的服务端口关闭,包括FTP,www,telnet,rsh和rexec,tftp,其它端口不要轻易关闭
1.2.系统安全策略
1.
2.
2.1.
1.2.1.限制用户方法
UNIX系统中,计算机安全系统建立在身份验证机制上。
如果用户帐号口令失密,系统将会受到侵害,尤其在网络环境中,后果更不堪设想。
因此限制用户
root
和其他用户远程登录,对保证计算机系统的安全,具有实际意义。
1)限制root用户通过telnet登录:
echo"
console"
>
/etc/securetty
2)限制root用户通过ssh登录:
3)编辑/opt/ssh/etc/sshd_config:
4)PermitRootLoginno
重启sshd:
/sbin/init.d/secshstop
/sbin/init.d/secshstart
需要注意的是,设置后,root将不能远程使用telnet/ssh登录,因此在设置之前应进行良好的规划。
对现有系统的影响:
对于系统及应用软件的运行没有任何影响,但root用户不能通过远程方式登录,只能通过终端在本地登录。
5)限制普通用户通过telnet登陆主机
创建/etc/NOTLOGIN文件,在文件中加入要限制的用户名,每一行一个用户名。
在/etc/profile中加入:
NAME1=`grep$LOGNAME/etc/NOTLOGIN`
NAME2=`logname`
if[“$NAME1”=$NAME2”]
then
echo“Youarenotallowedtologinin!
!
”
exit
fi
需要说明的是,这种方法对Xmanage等Xwindow图形登陆软件无效。
对现有系统的影响:
对于系统及应用软件的运行没有任何影响,但所有用户不能通过远程方式登录,只能通过终端在本地登录或使用SSH软件进行远程登录。
6)限制只有sm01用户可su到root,root执行以下脚本:
groupadd–g600suroot
useradd–u600–gsuroot–Gsuroot–d/home/sm01-s/usr/bin/shsm01
passwdsm01
echo“SU_ROOT_GROUP=suroot”>
/etc/default/security
echo“console”>
/etc/security
对于系统及应用软件的运行没有任何影响。
7)限制某个用户通过ftp登录主机:
编辑/etc/ftpd/ftpusers文件,在新行中输入该用户的名称即可;
在HP_UX11.x之前,该文件名称为/etc/ftpusers。
最好的方法是在/etc/inetd.conf中将该服务屏蔽。
远程文件传输可通过SSH替代。
1.2.2.对主机的控制访问
对于某关键业务系统主机,只允许或限制某几个IP地址访问该系统主机
允许telnet,rlogin等服务访问某个主机,修改/var/adm/inetd.sec文件,在该文件中的每一行包含一个服务名称,权限域(容许或者拒绝),Internet地址或者主机的名称或网络名称。
该文件中的每项格式如下:
<
servicename>
allow/deny>
host/networkaddresses,host/networknames>
例如:
telnetallow10.3-5192.34.56.5ahostanetwork
上面的该语句表示容许下面的主机使用telnet访问系统:
网络10.3到10.5的主机
IP地址为192.34.56.5的主机
名称为"
ahost"
的主机
网络"
anetwork"
中的所有主机
mountddeny192.23.4.3
该语句表示主机IP地址为192.23.4.3不能存取NFSrpc.mountd服务器。
需要注意的是网络名称和主机名称必须是官方名称,不能是别名(Aliases)。
如果在/etc/inetd.conf中将该服务屏蔽后,则上述步骤可以忽略。
1.2.3.设置密码规范
1)密码规范要求:
需要注意的是对于密码规范的设置,部分需要在信任模式下进行,关于如何将OS转换为信任模式,参见3.8节。
转换为信任模式不需要重新启动系统,如果客户有应用直接读取OS的用户名称等,则可能会对该应用有影响。
编辑/etc/default/security文件,可以设置密码长度(HPUNIX默认即为6位),如果该文件不存在,请使用Vi创建该文件,该文件对所有用户生效,并且系统无须转换为信任模式。
MIN_PASSWORD_LENGTH=6-密码最小位数
PASSWORD_HISTORY_DEPTH=8-历史密码记忆个数
PASSWORD_MAXDAYS=90-密码修改期限
PASSWORD_MIN_LOWER_CASE_CHARS=2-密码中必须有两个小写字母
PASSWORD_MIN_SPECIAL_CHARS=1-密码中必须有一个特殊字符
PASSWORD_MIN_DIGIT_CHARS=1-密码中必须有一个字符
转换成信任模式,更改全局性的用户密码属性。
启动sam:
"
AuditingandSecurity"
->
SystemSecurityPolicies"
选择各项进行相应的安全设置:
-"
PasswordAgingPolicies"
GeneralUserAccountPolicies"
(可设置无效登录次数,root用户最好和其他用户分开设置)
TerminalSecurityPolicies"
或者,通过命令行
/usr/lbin/modprpw
-也可以完成类似的工作,以上须在信任模式下进行
转换成信任模式后,更改单个用户的密码属性。
sam:
“Accountsforusersandgroups”->
”Users”,选择用户名后,选择ActionsModifySecurityPolicies,可修改诸如“提示密码即将到期天数”,“密码的期限”等属性,但不能修改“密码包括的最小字母数”等属性。
1.2.4.锁定系统默认账号
对系统默认帐号(例如:
在信任模式下,启动sam,对相应需要锁定的账号进行锁定。
在普通模式下,也可以使用下面的命令锁定账号:
#passwd–lusername
1.2.5.超时设置
设置1分钟超时设置
编辑/etc/profile文件:
readonlyTMOUT=60;
exportTMOUT
readonly控制TMOUT不能被用户任意修改。
对于系统及应用软件的运行没有任何影响,如果超过60S没有操作的话,请重新登录。
1.2.6.Umask
1)超级用户 027
2)一般用户 022
对于一般用户,在/etc/profile文件中:
umask022
对于超级用户,在root的.profile文件中:
umask027
对于操作系统及应用软件的当前运行没有任何影响。
但是,当以上设置与上层应用软件(Oracle,Sybase,CICS)的umask设置要求存在冲突时,以上层软件的umask要求为准。
1.2.7.不用服务端口关闭及检测方法
在/etc/services和/etc/inetd.conf里,对不用的服务端口关闭,如FTP,www,telnet,rshorrexec。
编辑/etc/inetd.conf文件,注释不需要的服务的行,然后执行:
inetd-c
通常inetd可能启动的服务有:
telnet(tcp23)
ftp(tcp21)
login(tcp513)
shell(tcp514)
exec
tftp
ntalk
printer
daytime(udp&
tcp)
time
echo(udp&
discard(udp&
chargen(udp&
kshell
klogin
dtspc
rpc.ttdbserver
rpc.cmsd
swat
registrar
recserv
instl_boots
ident(tcp113)(cmviewcl需要该服务)
hacl-probe(tcp5303)
hacl-cfg(tcp&
udp5302)
bpcd(tcp13782)
vnetd(tcp13724)
vopied(tcp13783)
bpjava-msvc(tcp13722)
其中大部分的服务可以关闭,以下的服务可能会用到:
telnet/ftp
通常用来管理,建议使用ssh代替。
rlogin/remsh
通常用在双机环境中或用来管理。
对于前者,需要设置网络访问控制策略限制对于rlogin/remsh的访问;
对于后者,建议使用ssh代替;
MC/SG双机使用的服务;
ident(tcp113)
根据应用程序的要求而定
检测方法:
可利用netstat–a观察相应的服务是否关闭
/etc/inetd.conf作为一个配置文件,控制系统启动时启用的服务,可以通过/etc/inetd.conf的复制实现快速的服务启