某世界500强企业的主机系统安全配置标准UNIX.docx

某世界500强企业的主机系统安全配置标准UNIX.docx

《某世界500强企业的主机系统安全配置标准UNIX.docx》由会员分享，可在线阅读，更多相关《某世界500强企业的主机系统安全配置标准UNIX.docx（18页珍藏版）》请在冰豆网上搜索。

某世界500强企业的主机系统安全配置标准UNIX

主机系统安全配置标准－UNIX

2006年03月30日

文档控制

拟制:

审核:

标准化:

读者：

版本控制

版本提交日期相关组织和人员版本描述

V1.02005-12-08

V1.12006.03.30

目录

目录

1概述4

1.1适用范围4

1.2实施4

1.3例外条款4

1.4检查和维护4

2适用版本5

3业务使用警告5

4用户帐户设置5

4.1UID－用户ID基本要求5

4.2UNIX中Root安全标准5

4.3默认系统帐户安全标准6

4.4密码要求8

4.5密码保护10

4.6限制登陆失败次数11

4.7GID－组ID的基本要求11

5网络设置12

5.1IP协议栈的安全设置12

5.1.1套接字队列长度定义用来防护SYN攻击12

5.1.2重定向12

5.1.3源站路由13

5.1.4TIME_WAIT设置13

5.1.5ECHO回应广播14

5.1.6地址掩码查询和时间戳广播14

5.2/etc/hosts.equiv,.rhosts和.netrc配置文件14

5.3XWindow系统14

5.4其他网络服务安全设置标准：

15

5.5/etc/hosts.deny和/etc/hosts.allow的配置规范16

6权限控制17

6.1用户文件和HOME目录属性17

6.2操作系统资源17

7操作系统补丁管理18

8审计策略18

8.1系统访问日志18

8.2日志记录保存期限18

8.3Sudo日志记录19

9附则19

9.1文档信息19

9.2其他信息19

1概述

安全配置标准提供中国××公司（下简称“中国××公司”）UNIX操作系统应当遵循的安全性设置的标准，本文档旨在帮助系统管理人员，利用UNIX操作系统内建的安全配置，以建立一个更为安全的环境。

1.1适用范围

本规范的使用者包括：

主机系统管理员、应用管理员、网络安全管理员。

本规范适用的范围包括：

支持中国××公司运行的AIX，Solaris和Linux（RedhatLinux）主机系统。

1.2实施

本规范的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准一经颁布，即为生效。

1.3例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。

1.4检查和维护

根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。

如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。

任何变更草案将由中国××公司IT管理部门进行审核批准。

各相关部门经理有责任与其下属的组织和员工沟通变更的内容。

2适用版本

AIX版本5.1,5.2,5.3；

Solaris7,8,9

RedhatLinux7.2,7.3

3业务使用警告

要求设置业务使用提示警告：

系统值/参数内容

/etc/motd中国××公司内部生产系统只能因中国××公司业务需要而使用，经由管理层授权。

中国××公司管理层将随时监测此系统的使用。

或

SinoPECproductionservercanonlybeusedforbusinesspurpose,withappropriatemanagerteam’sauthorization.SinoPECmanagerteamwillmonitortheusageofthissystem.

4用户帐户设置

4.1UID－用户ID基本要求

系统值/参数

描述

设置要求

UID

适用于所有的UID

每个UID必须只能用一次，并唯一对应一个操作系统用户帐号。

4.2UNIX中Root安全标准

对于系统Root帐户必须满足以下要求：

Root帐户的UID必须是唯一的0；

Root帐户是root组的唯一用户；

Root帐户必须在每个系统本地有相关定义；

Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件，如果存在也必须为空，而且文件所有者和所有组必须为root和root组。

其相关权限为r-------；

Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。

Root的cronjobs中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。

对于root所运行的命令必须使用全路径.（例如./bin/su），或对于root的$PATH环境变量中不能含有相对当前目录（.）,相对子目录（./）和相对父目录（..）定义；

root帐号不允许进行远程登录操作，远程需要root的访问需求，必须要求使用普通个人用户帐号进行登录后通过SU命令切换到root帐号。

REDHAT:

可以通过在/etc/securetty配置文件实现root的登录控制，/etc/securetty文件中包含了所有的可供root登录的TTY端口，这个配置文件在默认的状态下只包括了物理终端consoleTTY

必须有相应的日志记录来跟踪成功或失败的su尝试。

这个功能可以通过使用pam_wheel模块来实现。

在/etc/pam.d/su添加如下authrequired/lib/security/pam_wheel.sodebuggroup=sinoadmin配置信息来确保只有在sinoadmin系统组的成员帐号才可以使用/bin/su命令切换到root。

要添加一个用户到这个系统组，可以使用如下命令来实现：

#usermod-Gsinoadminuserid（userid=theuserid）

SOLARIS:

对于root的物理终端console登录限制可以通过在/etc/default/login配置文件中添加CONSOLE=/dev/console配置行来实现。

AIX:

在/etc/security/user配置文件中的root帐号的配置段落必须存在rlogin=false的配置定义，以此来实现Root的物理终端console登录限制。

4.3默认系统帐户安全标准

对于UID从1到99必须保留给默认系统帐号或应用系统帐号使用，通常对于这些用户不需要登录访问，故此可以通过在/etc/shadow（REDHATorSOLARIS）或/etc/security/passwd（AIX）文件相关的口令字段中设置“*”号来实现。

REDHAT:

对于安装过程会建立许多通常不需要使用的系统帐号。

对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）。

nfsnobody

games

rpc

postgres

nscd

news

gopher

named

rpcuser

SOLARIS:

对于安装过程会建立许多通常不需要使用的系统帐号。

对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）。

lp

uucp

nuucp

listen

smtp

对于默认的系统帐号只能是使用如下的UID：

root:

0

bin:

2

adm:

4

noaccess:

60002

daemon:

1

sys:

3

nobody:

60001

nobody4:

65534

如下的默认系统帐号已经被通过在/etc/shadow文件中的NP–NoPassword或*LK*-Locked的定义来限制其相关的登录访问权限。

daemon:

NP:

6445:

:

:

:

:

:

bin:

NP:

6445:

:

:

:

:

:

sys:

NP:

6445:

:

:

:

:

:

adm:

NP:

6445:

:

:

:

:

:

nobody:

NP:

6445:

:

:

:

:

:

noaccess:

NP:

6445:

:

:

:

:

:

nobody4:

NP:

6445:

:

:

:

:

:

AIX:

对于安装过程会建立许多通常不需要使用的系统帐号。

对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）

Guest

UUCP

Nuucp

Lpd

Nobody

下列系统用户和组必须采用以下的UID和GIDs

UseridsGroupids

root:

0system:

0

daemon:

1security:

7

bin:

2bin:

2

sys:

3sys:

3

adm:

4adm:

4

uucp:

5uucp:

5

nuucp:

6mail:

6

lpd:

9printq:

9

imnadm（noassignedUID）cron:

8

ipsec（noassignedUID）audit:

10

ldap（noassignedUID）shutdown:

21

lp（noassignedUID）ecs:

28

snapp（noassignedUID）imnadm（noassignedGID）

ipsec（noassignedGID）

ldap（noassignedGID）

lp（noassignedGID）

haemrm（noassignedGID）

snapp（noassignedGID）

4.4密码要求

密码的强度要求，Solaris系统的具体要求如下：

相关配置文件/etc/default/passwd。

系统值/参数

描述

设置要求

MAXWEEKS

密码有效期限的最大周数（Maximumnumberofweeksthatcanpassbeforeapasswordmustbechanged.）

13

WARNWEEKS

在密码过期前的警告信息显示

（Numberofweeksshowwarningmessagebeforethepasswordexpired.）

2

MINWEEKS

密码有效期限的最少周数

（Minimumnumberofweeksthatmustpassbeforeapasswordcanbechanged）

0

PASSLENGTH

密码长度（Passwordlength）

8

AIX系统的具体要求如下：

相关配置文件/etc/security/user。

系统值/参数

描述

设置要求

maxage

密码有效期限的最大周数

（Maximumnumberofweeksthatcanpassbeforeapasswordmustbechanged.）

13

maxrepeats

可重复的连续字符数

（Numberofrepeatingconsecutivecharacters）

2

minage

密码有效期限的最少周数

（Minimumnumberofweeksthatmustpassbeforeapasswordcanbechanged）

0

minalpha

最少字母数

（Minimumnumberofalphabeticcharacters）

1

mindiff

与前一次密码的最少不同字符数

（Numberofcharactersnotfoundinlastpassword）

1

minother

最少的非字母数

（Numberofnon-alphabeticcharact