HPUnix安全配置基线Word文件下载.docx
《HPUnix安全配置基线Word文件下载.docx》由会员分享,可在线阅读,更多相关《HPUnix安全配置基线Word文件下载.docx(32页珍藏版)》请在冰豆网上搜索。
第2章
2.1目的
2.2
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的HP-Unix操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行HP-UNIX操作系统的安全合规性检查和配置。
2.3适用范围
2.4
本配置标准的使用者包括:
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的HP-UNIX服务器系统。
2.5适用版本
2.6
HP-UNIX系列服务器。
2.7实施
2.8
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
2.9例外条款
2.10
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第3章帐户管理、认证授权
第4章
4.1帐户
4.2
2.1.1默认帐户*
安全基线项目名称
操作系统HPUnix缺省帐户安全基线要求项
安全基线编号
SBL-HPUnix-02-01-01
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的帐户。
系统内存在不可删除的内置帐户,包括root,bin等。
检测操作步骤
执行cat/etc/shadow
基线符合性判定依据
需要锁定的用户:
lp,hpdb,www,demon。
备注
手工判断,根据业务判断需要锁定的用户
2.1.2远程登录限制
操作系统HPUnix远程登录安全基线要求项
SBL-HPUnix-02-01-02
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限帐户后执行相应操作。
root不允许从远程使用ssh登录;
普通用户从远程使用ssh登录;
root远程登录不成功,提示“Notonsystemconsole”;
普通用户可以登录成功,而且可以切换到root用户
2.1.3帐户清理*
SBL-HPUnix-02-01-03
对系统帐户进行登录限制,确保系统帐户仅被守护进程和服务使用,不应直接由该帐户登录系统。
如果系统没有应用这些守护进程或服务,应删除这些帐户。
远程登录;
禁止交互登录的系统帐户,wwwsyssmbnulliwwwowwwhpsmhnameduucpnuucpadmdaemonbinlpnobodynoaccesshpdbuseradm.
被禁止帐户交互式登录的帐户远程登录不成功
手工判断,根据业务判断需要禁止交互登录的系统帐户
2.1.4帐户用户共享限制*
操作系统HPUnix帐户用户共享安全基线要求项
SBL-HPUnix-02-01-04
应按照不同的用户分配不同的帐户,避免不同用户间共享帐户,避免用户帐户和设备间通信使用的帐户共享。
为用户创建帐户:
#useraddusername#创建帐户
#passwdusername#设置密码
修改权限:
#chmod750directory#其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的帐户,设置不同的口令及权限信息等。
能够登录成功并且可以进行常用操作;
使用不同的帐户进行登录并进行一些常用操作;
手工判断
2.1.5帐户组管理*
操作系统HPUnix帐户组安全基线要求项
SBL-HPUnix-02-01-05
根据系统要求及用户的业务需求,建立多帐户组,将用户帐户分配到相应的帐户组。
1、参考配置操作
创建帐户组:
#groupadd–gGIDgroupname#创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;
#usermod–ggroupusername#将用户username分配到group组中。
查询被分配到的组的GID:
#idusername
可以根据实际需求使用如上命令进行设置。
2、补充操作说明
可以使用-g选项设定新组的GID。
0到499之间的值留给root、bin、mail这样的系统帐户,因此最好指定该值大于499。
如果新组名或者GID已经存在,则返回错误信息。
当group_name字段长度大于八个字符,groupadd命令会执行失败;
当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如#newgrpsys即把当前用户以sys组身份运行;
1、判定条件
可以查看到用户帐户分配到相应的帐户组中;
或都通过命令检查帐户是否属于应有的组:
#idusername
2、检测操作
查看组文件:
cat/etc/group
3、补充说明
文件中的格式说明:
group_name:
:
GID:
user_list
4.3口令
4.4
2.2.1口令强度要求
操作系统HPUnix口令强度安全基线要求项
SBL-HPUnix-02-02-01
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
cat/etc/default/security;
MIN_PASSWORD_LENGTH=8#设定最小用户密码长度为8位
以下4个参数中至少包含两个非0项
PASSWORD_MIN_UPPER_CASE_CHARS=1#表示至少包括1个大写字母
PASSWORD_MIN_DIGIT_CHARS=1#表示至少包括1个数字
PASSWORD_MIN_SPECIAL_CHARS=1#表示至少包括1个特殊字符
PASSWORD_MIN_LOWER_CASE_CHARS=1#表示至少包括1个小写字母
ALLOW_NULL_PASSWORD=0#表示密码不能为空
创建一个普通帐户,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令,查看系统是否对口令强度要求进行提示;
输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
2.2.2口令生存周期要求
操作系统HPUnix口令生存周期安全基线要求项
SBL-HPUnix-02-02-02
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
设置以下参数
PASSWORD_MAXDAYS=90#表示密码最多使用90天
2.2.3口令历史安全要求
操作系统HPUnix口令历史安全基线要求项
SBL-HPUnix-02-02-03
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
HISTORY=5#表示不能使用前5次用过的密码
HISTORY=5
2.2.4登录失败安全要求*
操作系统HPUnix登录失败安全基线要求项
SBL-HPUnix-02-02-04
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次,锁定该用户使用的帐户。
创建一个普通帐户,为其配置相应的口令;
并用新建的帐户通过错误的口令进行系统登录10次以上;
帐户被锁定,不再提示让再次登录;
注意!
此项设置会影响性能,建议设置后对访问此服务器源地址做限制。
2.2.5默认访问权限安全要求
操作系统HPUnix默认访问权限安全基线要求项
SBL-HPUnix-02-02-05
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
查看新建的文件或目录的权限,操作举例如下:
#ls-ldir;
#查看目录dir的权限
#cat/etc/default/login
查看是否有umask027内容;
2.2.6FTP访问安全要求*
操作系统HPUnixFTP访问权限安全基线要求项
SBL-HPUnix-02-02-06
控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
cat/etc/ftpuser
在这个列表里边的用户名是不允许ftp登陆的。
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
hpdb
useradm
第5章审计功能配置
第6章
6.1审计日志
6.2
3.1.1审计日志功能*
操作系统HPUnix审计日志安全基线要求项
SBL-HPUnix-03-01-01
设备应配置日志功能,记录对与设备相关的安全事件。
cat/etc/syslog.conf
配置如下类似语句:
*.err;
kern.debug;
daemon.notice;
/var/adm/messages
定义为需要保存的设备相关安全事件。
查看/var/adm/messages,记录有需要的设备相关的安全事件。
3.1.2远程日志要求*
操作系统HPUnix远程日志安全基线要求项
SBL-HPUnix-03-01
升级会员 