某世界500强企业的主机系统安全配置标准UNIXWord格式.docx
《某世界500强企业的主机系统安全配置标准UNIXWord格式.docx》由会员分享,可在线阅读,更多相关《某世界500强企业的主机系统安全配置标准UNIXWord格式.docx(18页珍藏版)》请在冰豆网上搜索。
4.1UID-用户ID基本要求5
4.2UNIX中Root安全标准5
4.3默认系统帐户安全标准6
4.4密码要求8
4.5密码保护10
4.6限制登陆失败次数11
4.7GID-组ID的基本要求11
5网络设置12
5.1IP协议栈的安全设置12
5.1.1套接字队列长度定义用来防护SYN攻击12
5.1.2重定向12
5.1.3源站路由13
5.1.4TIME_WAIT设置13
5.1.5ECHO回应广播14
5.1.6地址掩码查询和时间戳广播14
5.2/etc/hosts.equiv,.rhosts和.netrc配置文件14
5.3XWindow系统14
5.4其他网络服务安全设置标准:
15
5.5/etc/hosts.deny和/etc/hosts.allow的配置规范16
6权限控制17
6.1用户文件和HOME目录属性17
6.2操作系统资源17
7操作系统补丁管理18
8审计策略18
8.1系统访问日志18
8.2日志记录保存期限18
8.3Sudo日志记录19
9附则19
9.1文档信息19
9.2其他信息19
1概述
安全配置标准提供中国×
×
公司(下简称“中国×
公司”)UNIX操作系统应当遵循的安全性设置的标准,本文档旨在帮助系统管理人员,利用UNIX操作系统内建的安全配置,以建立一个更为安全的环境。
1.1适用范围
本规范的使用者包括:
主机系统管理员、应用管理员、网络安全管理员。
本规范适用的范围包括:
支持中国×
公司运行的AIX,Solaris和Linux(RedhatLinux)主机系统。
1.2实施
本规范的解释权和修改权属于中国×
公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准一经颁布,即为生效。
1.3例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国×
公司信息系统管理部门进行审批备案。
1.4检查和维护
根据中国×
公司经营活动的需要,每年检查和评估本标准,并做出适当更新。
如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。
任何变更草案将由中国×
公司IT管理部门进行审核批准。
各相关部门经理有责任与其下属的组织和员工沟通变更的内容。
2适用版本
AIX版本5.1,5.2,5.3;
Solaris7,8,9
RedhatLinux7.2,7.3
3业务使用警告
要求设置业务使用提示警告:
系统值/参数内容
/etc/motd中国×
公司内部生产系统只能因中国×
公司业务需要而使用,经由管理层授权。
中国×
公司管理层将随时监测此系统的使用。
或
SinoPECproductionservercanonlybeusedforbusinesspurpose,withappropriatemanagerteam’sauthorization.SinoPECmanagerteamwillmonitortheusageofthissystem.
4用户帐户设置
4.1UID-用户ID基本要求
系统值/参数
描述
设置要求
UID
适用于所有的UID
每个UID必须只能用一次,并唯一对应一个操作系统用户帐号。
4.2UNIX中Root安全标准
对于系统Root帐户必须满足以下要求:
Root帐户的UID必须是唯一的0;
Root帐户是root组的唯一用户;
Root帐户必须在每个系统本地有相关定义;
Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件,如果存在也必须为空,而且文件所有者和所有组必须为root和root组。
其相关权限为r-------;
Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。
Root的cronjobs中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。
对于root所运行的命令必须使用全路径.(例如./bin/su),或对于root的$PATH环境变量中不能含有相对当前目录(.),相对子目录(./)和相对父目录(..)定义;
root帐号不允许进行远程登录操作,远程需要root的访问需求,必须要求使用普通个人用户帐号进行登录后通过SU命令切换到root帐号。
REDHAT:
可以通过在/etc/securetty配置文件实现root的登录控制,/etc/securetty文件中包含了所有的可供root登录的TTY端口,这个配置文件在默认的状态下只包括了物理终端consoleTTY
必须有相应的日志记录来跟踪成功或失败的su尝试。
这个功能可以通过使用pam_wheel模块来实现。
在/etc/pam.d/su添加如下authrequired/lib/security/pam_wheel.sodebuggroup=sinoadmin配置信息来确保只有在sinoadmin系统组的成员帐号才可以使用/bin/su命令切换到root。
要添加一个用户到这个系统组,可以使用如下命令来实现:
#usermod-Gsinoadminuserid(userid=theuserid)
SOLARIS:
对于root的物理终端console登录限制可以通过在/etc/default/login配置文件中添加CONSOLE=/dev/console配置行来实现。
AIX:
在/etc/security/user配置文件中的root帐号的配置段落必须存在rlogin=false的配置定义,以此来实现Root的物理终端console登录限制。
4.3默认系统帐户安全标准
对于UID从1到99必须保留给默认系统帐号或应用系统帐号使用,通常对于这些用户不需要登录访问,故此可以通过在/etc/shadow(REDHATorSOLARIS)或/etc/security/passwd(AIX)文件相关的口令字段中设置“*”号来实现。
对于安装过程会建立许多通常不需要使用的系统帐号。
对于下列的系统用户帐号可以锁定或删除(如没有相关的使用需求)。
nfsnobody
games
rpc
postgres
nscd
news
gopher
named
rpcuser
lp
uucp
nuucp
listen
smtp
对于默认的系统帐号只能是使用如下的UID:
root:
bin:
2
adm:
4
noaccess:
60002
daemon:
1
sys:
3
nobody:
60001
nobody4:
65534
如下的默认系统帐号已经被通过在/etc/shadow文件中的NP–NoPassword或*LK*-Locked的定义来限制其相关的登录访问权限。
NP:
6445:
:
对于下列的系统用户帐号可以锁定或删除(如没有相关的使用需求)
Guest
UUCP
Nuucp
Lpd
Nobody
下列系统用户和组必须采用以下的UID和GIDs
UseridsGroupids
0system:
1security:
7
2bin:
3sys:
4adm:
uucp:
5uucp:
5
nuucp:
6mail:
6
lpd:
9printq:
9
imnadm(noassignedUID)cron:
8
ipsec(noassignedUID)audit:
10
ldap(noassignedUID)shutdown:
21
lp(noassignedUID)ecs:
28
snapp(noassignedUID)imnadm(noassignedGID)
ipsec(noassignedGID)
ldap(noassignedGID)
lp(noassignedGID)
haemrm(noassignedGID)
snapp(noassignedGID)
4.4密码要求
密码的强度要求,Solaris系统的具体要求如下:
相关配置文件/etc/default/passwd。
MAXWEEKS
密码有效期限的最大周数(Maximumnumberofweeksthatcanpassbeforeapasswordmustbechanged.)
13
WARNWEEKS
在密码过期前的警告信息显示
(Numberofweeksshowwarningmessagebeforethepasswordexpired.)
MINWEEKS
密码有效期限的最少周数
(Minimumnumberofweeksthatmustpassbeforeapasswordcanbechanged)
PASSLENGTH
密码长度(Passwordlength)
AIX系统的具体要求如下:
相关配置文件/etc/security/user。
maxage
密码有效期限的最大周数
(Maximumnumberofweeksthatcanpassbeforeapasswordmustbechanged.)
maxrepeats
可重复的连续字符数
(Numberofrepeatingconsecutivecharacters)
minage
(Minimumnumberofweeksthatmustpassbeforeapasswordcanbechanged)
minalpha
最少字母数
(Minimumnumberofalphabeticcharacters)
mindiff
与前一次密码的最少不同字符数
(Numberofcharactersnotfoundinlastpassword)
minother
最少的非字母数
(Numberofnon-alphabeticcharact