HPUnix主机操作系统加固规范.docx
《HPUnix主机操作系统加固规范.docx》由会员分享,可在线阅读,更多相关《HPUnix主机操作系统加固规范.docx(22页珍藏版)》请在冰豆网上搜索。
HPUnix主机操作系统加固规范
HP-Unix主机操作系统加固规范
1 账号管理、认证授权
1.1 账号
1.1.1 SHG-HP-UX-01-01-01
编号 SHG-HP-UX-01-01-01
名称 为不同的管理员分配不同的账号
实施目的 根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响 账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态 cat/etc/passwd记录当前用户列表
实施步骤 1、参考配置操作
为用户创建账号:
#useraddusername #创建账号
#passwdusername #设置密码
修改权限:
#chmod750directory #其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
回退方案 删除新增加的帐户
判断依据 标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险 高
重要等级 ★★★
备注
1.1.2 SHG-HP-UX-01-01-02
编号 SHG-HP-UX-01-01-02
名称 删除或锁定无效账号
实施目的 删除或锁定无效的账号,减少系统安全隐患。
问题影响 允许非法利用系统默认账号
系统当前状态 cat/etc/passwd记录当前用户列表,cat/etc/shadow记录当前密码配置
实施步骤 参考配置操作
删除用户:
#userdelusername;
锁定用户:
1)修改/etc/shadow文件,用户名后加*LK*
2)将/etc/passwd文件中的shell域设置成/bin/false
3)#passwd-lusername
只有具备超级用户权限的使用者方可使用,#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
回退方案 新建删除用户
判断依据 如上述用户不需要,则锁定。
实施风险 高
重要等级 ★★★
备注
1.1.3 SHG-HP-UX-01-01-03
编号 SHG-HP-UX-01-01-03
名称 对系统账号进行登录限制
实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用。
问题影响 可能利用系统进程默认账号登陆,账号越权使用
系统当前状态 cat/etc/shadow查看各账号状态。
实施步骤 1、参考配置操作
禁止账号交互式登录:
修改/etc/shadow文件,用户名后密码列为NP;
删除账号:
#userdelusername;
2、补充操作说明
禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等
Example:
bin:
NP:
60002:
60002:
NoAccessUser:
/:
/sbin/noshell
回退方案 还原/etc/shadow文件配置
判断依据 /etc/shadow中上述账号,如果无特殊情况,密码列为NP
实施风险 高
重要等级 ★
备注
1.1.4 SHG-HP-UX-01-01-04
编号 SHG-HP-UX-01-01-04
名称 为空口令用户设置密码
实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。
问题影响 用户被非法利用
系统当前状态 cat/etc/passwd
实施步骤 用root用户登陆HP-UX系统,执行passwd命令,给用户增加口令。
例如:
passwdtesttest。
回退方案 Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据 登陆系统判断
Cat/etc/passwd
实施风险 高
重要等级 ★
备注
1.1.5 SHG-HP-UX-01-01-05
编号 SHG-HP-UX-01-01-05
名称 删除属于root用户存在潜在危险文件
实施目的 /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险,应该删除
问题影响 无影响
系统当前状态 cat/.rhost
cat/.netr
cat/root/.rhosts
cat/root/.netrc
实施步骤 Mv/.rhost/.rhost.bak
Mv/.netr/.netr.bak
Cdroot
Mv.rhost.rhost.bak
Mv.netr.netr.bak
回退方案 Mv/.rhost.bak/.rhost
Mv/.netr.bak/.netr
Cdroot
Mv.rhost.bak.rhost
Mv.netr.bak.netr
判断依据 登陆系统判断
Cat/etc/passwd
实施风险 高
重要等级 ★
备注
1.2 口令
1.2.1 SHG-HP-UX-01-02-01
编号 SHG-HP-UX-01-02-01
名称 缺省密码长度限制
实施目的 防止系统弱口令的存在,减少安全隐患。
对于采用静态口令认证技术的设备,口令长度至少6位。
问题影响 增加密码被暴力破解的成功率
系统当前状态 运行cat/etc/default/security 查看状态,并记录。
实施步骤 参考配置操作
vi/etc/default/security,修改设置如下
MIN_PASSWD_LENGTH=6#设定最小用户密码长度为6位
当用root帐户给用户设定口令的时候不受任何限制,只要不超长。
回退方案 vi/etc/default/security,修改设置到系统加固前状态。
判断依据 MIN_PASSWD_LENGTH值为6或更高
实施风险 低
重要等级 ★★★
备注
1.2.2 SHG-HP-UX-01-02-02
编号 SHG-HP-UX-01-02-02
名称 缺省密码复杂度限制
实施目的 防止系统弱口令的存在,减少安全隐患。
对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类。
问题影响 增加密码被暴力破解的成功率
系统当前状态 运行cat/etc/default/security 查看状态,并记录。
实施步骤 PASSWORD_MIN_UPPER_CASE_CHARS=N
PASSWORD_MIN_LOWER_CASE_CHARS=N
PASSWORD_MIN_DIGIT_CHARS=N
PASSWORD_MIN_SPECIAL_CHARS=N
编辑N为你所需要的设置.其中,PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N个大写字母;PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N个小写字母;PASSWORD_MIN_DIGIT_CHARS是至少有N个字母;PASSWORD_MIN_SPECIAL_CHARS就是至少要多少个特殊字符.
说明:
如果是11.11的系统,需要有PHCO_24606:
s700_80011.11libpam_unixcumulativepatch或其替代补丁安装在系统中.可以用下面的命令检查是否已经有了该补丁:
A.#mansecurity
看里面列的参数是否有PASSWORD_MIN_UPPER_CASE_CHARS,PASSWORD_MIN_LOWER_CASE_CHARS,PASSWORD_MIN_DIGIT_CHARS,PASSWORD_MIN_SPECIAL_CHARS这些参数的说明.如果有,就表明系统具有这个功能.
B.#swlist-lproduct|greplibpam
看是否有比PHCO_24606补丁更新的libpam补丁.
回退方案 vi/etc/default/security,修改设置到系统加固前状态。
判断依据 PASSWORD_MIN_DIGIT_CHARS=2或更高
PASSWORD_MIN_SPECIAL_CHARS=1或更高
实施风险 低
重要等级 ★★★
备注
1.2.3 SHG-HP-UX-01-02-03
编号 SHG-HP-UX-01-02-03
名称 缺省密码生存周期限制
实施目的 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患。
问题影响 密码被非法利用,并且难以管理
系统当前状态 运行cat/etc/default/security 查看状态,并记录。
实施步骤 1、参考配置操作
vi/etc/default/security文件:
PASSWORD_MAXDAYS=90密码最长生存周期90天
回退方案 vi/etc/default/security,修改设置到系统加固前状态。
判断依据 PASSWORD_MAXDAYS=90
实施风险 低
重要等级 ★★★
备注
1.2.4 SHG-HP-UX-01-02-04
编号 SHG-HP-UX-01-02-04
名称 密码重复使用限制
实施目的 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
问题影响 密码破解的几率增加
系统当前状态 运行cat/etc/default/security 查看状态,并记录。
实施步骤 参考配置操作
vi/etc/default/security文件:
PASSWORD_HISTORY_DEPTH=5
回退方案 vi/etc/default/security,修改设置到系统加固前状态。
判断依据 PASSWORD_HISTORY_DEPTH=5
实施风险 低
重要等级 ★
备注
1.2.5 SHG-HP-UX-01-02-05
编号 SHG-HP-UX-01-02-05
名称 密码重试限制
实施目的 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
问题影响 允许暴力破解密码
系统当前状态 运行cat/etc/default/security查看状态,并记录。
实施步骤 参考配置操作
vi/etc/default/security
NUMBER_OF_LOGINS_ALLOWED=7
这个参数控制每个用户允许的登录数量。
此参数仅适用于非root用户。
回退方案 vi/etc/default/security修改设置到系统加固前状态。
判断依据 NUMBER_OF_LOGINS_ALLOWED=7
实施风险 中
重要等级 ★
备注
1.3 授权
1.3.1 SHG-HP-UX-01-03-01
编号 SHG-HP-UX-01-03-01
名称 设置关键目录的权限
实施目的 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
问题影响 非法访问文件
系统当前状态 运行ls–al/etc/记录关键目录的权限
实施步骤 1、参考配置操作
通过chmod命令对目录的权限进行实际设置。
2、补充操作说明
/etc/passwd必须所有用户都可读,root用户可写–rw-r—r—
/etc/shadow只有root可读–r--------
/etc/group必须所有用户都可读,root用户可写–rw-r—r—
使用如下命令设置:
chmod644/etc/passwd
chmod600/etc/shadow
chmod644/etc/group
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod-Rgo-w/etc
回退方案 通过chmod命令还原目录权限到加固前状态。
判断依据 –rw-r—r—etc/passwd
–r--------/etc/shadow
–rw-r—r—/etc/group
或权限更小
实施风险 高
重要等级 ★★★
备注
1.3.2 SHG-HP-UX-01-03-02
编号 SHG-HP-UX-01-03-02
名称 修改umask值
实施目的 控制用户缺省访问权限,当在创建新文件或目录时,屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
问题影响 非法访问目录
系统当前状态 运行cat/etc/profilecat/etc/csh.logincat/etc/d.profilecat/etc/d.login记录当前配置
实施步骤 1、参考配置操作
cd/etc
umask027
forfileinprofilecsh.logind.profiled.login
do
echoumask027>>"$file"
done
修改文件或目录的权限,操作举例如下:
#chmod444dir;#修改目录dir的权限为所有人都为只读。
根据实际情况设置权限;
2、补充操作说明
如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置
3、补充说明
umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。
umask的计算:
umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
回退方案 修改/etc/profile/etc/csh.login/etc/d.profile/etc/d.login配置文件到加固前状态。
判断依据 umask022
实施风险 高
重要等级 ★
备注
1.3.3 SHG-HP-UX-01-03-03
编号 SHG-HP-UX-01-03-03
名称 FTP用户及服务安全
实施目的 控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
问题影响 非法FTP登陆操作
非法访问目录
系统当前状态 运行cat/etc/ftpusers
cat/etc/ftpd/ftpaccess
cat/etc/ftpd/ftpusers
cat/etc/passwd
查看状态,并记录。
实施步骤 参考配置操作
if[["$(uname-r)"=B.10*]];then
ftpusers=/etc/ftpusers
else
ftpusers=/etc/ftpd/ftpusers
fi
fornameinrootdaemonbinsysadmlp\
uucpnuucpnobodyhpdbuseradm
do
echo$name
done>>$ftpusers
chmod600$ftpusers
回退方案
vi/etc/ftpusers;vi/etc/ftpd/ftpaccess;vi/etc/passwd,修改设置到系统加固前状态。
判断依据 查看#cat/etc/ftpusers
无特殊需求,在这个列表里边的用户名是不允许ftp登陆的。
Root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4
/etc/ftpd/ftpaccess设置相应的配置
实施风险 高
重要等级 ★
备注
1.3.4 SHG-HP-UX-01-03-04
编号 SHG-HP-UX-01-03-04
名称 设置目录权限
实施目的 设置目录权限,防止非法访问目录。
问题影响 非法访问目录
系统当前状态 查看重要文件和目录权限:
ls–l并记录。
实施步骤 1、参考配置操作
查看重要文件和目录权限:
ls–l
更改权限:
对于重要目录,建议执行如下类似操作:
#chmod-R750/etc/init.d/*
这样只有root可以读、写和执行这个目录下的脚本。
回退方案 使用chmod命令还原被修改权限的目录。
判断依据 判断/etc/init.d/*下的文件权限750以下
实施风险 高
重要等级 ★
备注
2 日志配置
2.1.1 SHG-HP-UX-02-01-01
编号 SHG-HP-UX-02-01-01
名称 开启内核层审计
实施目的 通过设置内核层审计,让系统记录内核事件,方便管理员分析
问题影响 记录内核事件
系统当前状态 运行cat/etc/rc.config.d/auditing查看状态,并记录。
实施步骤 1、参考配置操作
cat<>/etc/rc.config.d/auditing
AUDITING=1
PRI_SWITCH=10000
SEC_SWITCH=10000
EOF
回退方案 vi/etc/rc.config.d/auditing,修改设置到系统加固前状态。
判断依据 AUDITING=1
PRI_SWITCH=10000
SEC_SWITCH=10000
实施风险 低
重要等级 ★★★
备注
2.1.2 SHG-HP-UX-02-01-02
编号 SHG-HP-UX-02-01-02
名称 启用inetd的日志功能
实施目的 记录系统中inetd操作的日志
问题影响 运行cat/etc/rc.config.d/netdaemons查看当前状态,并记录。
系统当前状态 运行cat/etc/rc.config.d/netdaemons查看当前状态,并记录。
实施步骤 1、参考配置操作
ch_rc-a-pINETD_ARGS=-l/etc/rc.config.d/netdaemons
回退方案 vi/etc/rc.config.d/netdaemons,修改设置到系统加固前状态。
判断依据 INETD_ARGS=-l
实施风险 高
重要等级 ★
备注
2.1.3 SHG-HP-UX-02-01-03
编号 SHG-HP-UX-02-01-03
名称 启用设备安全日志功能
实施目的 设备应配置日志功能,记录对与设备相关的安全事件。
问题影响 运行cat/etc/syslog.conf查看当前状态,并记录。
系统当前状态 运行cat/etc/syslog.conf查看当前状态,并记录。
实施步骤 1、参考配置操作
配置如下类似语句:
*.err;kern.debug;daemon.notice; /var/adm/messages
定义为需要保存的设备相关安全事件。
查看/var/adm/messages,记录有需要的设备相关的安全事件。
回退方案 cat/etc/syslog.conf,修改设置到系统加固前状态。
判断依据 cat/etc/syslog.conf
实施风险 高
重要等级 ★
备注
3 通信协议
3.1 IP协议安全
3.1.1 SHG-HP-UX-03-01-01
编号 SHG-HP-UX-03-01-01
名称 使用ssh加密传输
实施目的 提高远程管理安全性
问题影响 使用非加密通信,内容易被非法监听
系统当前状态 运行#ps–elf|grepssh 查看状态,并记录。
实施步骤 1、参考配置操作
1、参考配置操作
从可以得到针对HP-UX的OpenSSH安装软件包。
然后使用如下命令进行安装:
swinstall-s/var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+64.depot
/var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+64.depot是一个示例路径。
回退方案 卸载SSH、或者停止SSH服务
判断依据 有SSH进程
实施风险 高
重要等级 ★
备注
3.1.2 SHG-HP-UX-03-01-02
编号 SHG-HP-UX-03-01-01
名称 加强系统的网络性能
实施目的 调整内核参数,以加强系统的网络性能
问题影响 有助提高系统网络性能
系统当前状态 查看/etc/rc.config.d/nddconf
的配置状态,并记录。
实施步骤 1、参考配置操作
对于HP-UX11i的版本,应该通过如下命令调整内核参数,以加强系统的网络性能:
cd/etc/rc.config.d
cat#Increasesizeofhalf-openconnectionqueue
TRANSPORT_NAME[0]=tcp
NDD_NAME[0]=tcp_syn_rcvd_max
NDD_VALUE[0]=4096
#Reducethehalf-opentimeout
TRANSPORT_NAME[1]=tcp
NDD_NAME[1]=tcp_ip_abort_cinterval
NDD_VALUE[1]=60000
#ReducetimeoutsonARPcache
TRANSPORT_NAME[2]=arp
NDD_NAME[2]=arp_cleanup_interval
NDD_VALUE[2]=60000
#Don'tsendICMPredirects
TRANSPORT_NAME[3]=ip
NDD_NAME[3]=ip_send_redirects
NDD_VALUE[3]=0
#Dropsource-routedpackets
TRANSPORT_NAME[4]=ip
NDD_NAME[4]=ip_forward_src_routed
NDD_VALUE[4]=0
#Don'tforwarddirectedbroadcasts
TRANSPORT_NAME[5]=ip
NDD_NAME[5]=ip_forward_directed_br