HPUnix主机操作系统加固规范.docx

资源描述

HPUnix主机操作系统加固规范.docx

《HPUnix主机操作系统加固规范.docx》由会员分享，可在线阅读，更多相关《HPUnix主机操作系统加固规范.docx（22页珍藏版）》请在冰豆网上搜索。

HPUnix主机操作系统加固规范.docx

HPUnix主机操作系统加固规范

HP-Unix主机操作系统加固规范

1 账号管理、认证授权

1.1 账号

1.1.1 SHG-HP-UX-01-01-01

编号 SHG-HP-UX-01-01-01

名称为不同的管理员分配不同的账号

实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。

问题影响账号混淆，权限不明确，存在用户越权使用的可能。

系统当前状态 cat/etc/passwd记录当前用户列表

实施步骤 1、参考配置操作

为用户创建账号：

#useraddusername #创建账号

#passwdusername #设置密码

修改权限：

#chmod750directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录）

使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。

回退方案删除新增加的帐户

判断依据标记用户用途，定期建立用户列表，比较是否有非法用户

实施风险高

重要等级 ★★★

备注

1.1.2 SHG-HP-UX-01-01-02

编号 SHG-HP-UX-01-01-02

名称删除或锁定无效账号

实施目的删除或锁定无效的账号，减少系统安全隐患。

问题影响允许非法利用系统默认账号

系统当前状态 cat/etc/passwd记录当前用户列表，cat/etc/shadow记录当前密码配置

实施步骤参考配置操作

删除用户：

#userdelusername;

锁定用户：

1）修改/etc/shadow文件，用户名后加*LK*

2）将/etc/passwd文件中的shell域设置成/bin/false

3）#passwd-lusername

只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

回退方案新建删除用户

判断依据如上述用户不需要，则锁定。

实施风险高

重要等级 ★★★

备注

1.1.3 SHG-HP-UX-01-01-03

编号 SHG-HP-UX-01-01-03

名称对系统账号进行登录限制

实施目的对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。

问题影响可能利用系统进程默认账号登陆，账号越权使用

系统当前状态 cat/etc/shadow查看各账号状态。

实施步骤 1、参考配置操作

禁止账号交互式登录：

修改/etc/shadow文件，用户名后密码列为NP；

删除账号：

#userdelusername;

2、补充操作说明

禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等

Example:

bin:

NP:

60002:

NoAccessUser:

/sbin/noshell

回退方案还原/etc/shadow文件配置

判断依据 /etc/shadow中上述账号，如果无特殊情况，密码列为NP

实施风险高

重要等级 ★

备注

1.1.4 SHG-HP-UX-01-01-04

编号 SHG-HP-UX-01-01-04

名称为空口令用户设置密码

实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。

问题影响用户被非法利用

系统当前状态 cat/etc/passwd

实施步骤用root用户登陆HP-UX系统，执行passwd命令，给用户增加口令。

例如：

passwdtesttest。

回退方案 Root身份设置用户口令，取消口令

如做了口令策略则失败

判断依据登陆系统判断

Cat/etc/passwd

实施风险高

重要等级 ★

备注

1.1.5 SHG-HP-UX-01-01-05

编号 SHG-HP-UX-01-01-05

名称删除属于root用户存在潜在危险文件

实施目的 /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，应该删除

问题影响无影响

系统当前状态 cat/.rhost

cat/.netr

cat/root/.rhosts

cat/root/.netrc

实施步骤 Mv/.rhost/.rhost.bak

Mv/.netr/.netr.bak

Cdroot

Mv.rhost.rhost.bak

Mv.netr.netr.bak

回退方案 Mv/.rhost.bak/.rhost

Mv/.netr.bak/.netr

Cdroot

Mv.rhost.bak.rhost

Mv.netr.bak.netr

判断依据登陆系统判断

Cat/etc/passwd

实施风险高

重要等级 ★

备注

1.2 口令

1.2.1 SHG-HP-UX-01-02-01

编号 SHG-HP-UX-01-02-01

名称缺省密码长度限制

实施目的防止系统弱口令的存在，减少安全隐患。

对于采用静态口令认证技术的设备，口令长度至少6位。

问题影响增加密码被暴力破解的成功率

系统当前状态运行cat/etc/default/security 查看状态，并记录。

实施步骤参考配置操作

vi/etc/default/security，修改设置如下

MIN_PASSWD_LENGTH=6#设定最小用户密码长度为6位

当用root帐户给用户设定口令的时候不受任何限制，只要不超长。

回退方案 vi/etc/default/security，修改设置到系统加固前状态。

判断依据 MIN_PASSWD_LENGTH值为6或更高

实施风险低

重要等级 ★★★

备注

1.2.2 SHG-HP-UX-01-02-02

编号 SHG-HP-UX-01-02-02

名称缺省密码复杂度限制

实施目的防止系统弱口令的存在，减少安全隐患。

对于采用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类。

问题影响增加密码被暴力破解的成功率

系统当前状态运行cat/etc/default/security 查看状态，并记录。

实施步骤 PASSWORD_MIN_UPPER_CASE_CHARS=N

PASSWORD_MIN_LOWER_CASE_CHARS=N

PASSWORD_MIN_DIGIT_CHARS=N

PASSWORD_MIN_SPECIAL_CHARS=N

编辑N为你所需要的设置.其中,PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N个大写字母;PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N个小写字母;PASSWORD_MIN_DIGIT_CHARS是至少有N个字母;PASSWORD_MIN_SPECIAL_CHARS就是至少要多少个特殊字符.

说明:

如果是11.11的系统,需要有PHCO_24606:

s700_80011.11libpam_unixcumulativepatch或其替代补丁安装在系统中.可以用下面的命令检查是否已经有了该补丁:

A.#mansecurity

看里面列的参数是否有PASSWORD_MIN_UPPER_CASE_CHARS,PASSWORD_MIN_LOWER_CASE_CHARS,PASSWORD_MIN_DIGIT_CHARS,PASSWORD_MIN_SPECIAL_CHARS这些参数的说明.如果有,就表明系统具有这个功能.

B.#swlist-lproduct|greplibpam

看是否有比PHCO_24606补丁更新的libpam补丁.

回退方案 vi/etc/default/security，修改设置到系统加固前状态。

判断依据 PASSWORD_MIN_DIGIT_CHARS=2或更高

PASSWORD_MIN_SPECIAL_CHARS=1或更高

实施风险低

重要等级 ★★★

备注

1.2.3 SHG-HP-UX-01-02-03

编号 SHG-HP-UX-01-02-03

名称缺省密码生存周期限制

实施目的对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患。

问题影响密码被非法利用，并且难以管理

系统当前状态运行cat/etc/default/security 查看状态，并记录。

实施步骤 1、参考配置操作

vi/etc/default/security文件：

PASSWORD_MAXDAYS=90密码最长生存周期90天

回退方案 vi/etc/default/security，修改设置到系统加固前状态。

判断依据 PASSWORD_MAXDAYS=90

实施风险低

重要等级 ★★★

备注

1.2.4 SHG-HP-UX-01-02-04

编号 SHG-HP-UX-01-02-04

名称密码重复使用限制

实施目的对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

问题影响密码破解的几率增加

系统当前状态运行cat/etc/default/security 查看状态，并记录。

实施步骤参考配置操作

vi/etc/default/security文件：

PASSWORD_HISTORY_DEPTH=5

回退方案 vi/etc/default/security，修改设置到系统加固前状态。

判断依据 PASSWORD_HISTORY_DEPTH=5

实施风险低

重要等级 ★

备注

1.2.5 SHG-HP-UX-01-02-05

编号 SHG-HP-UX-01-02-05

名称密码重试限制

实施目的对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

问题影响允许暴力破解密码

系统当前状态运行cat/etc/default/security查看状态，并记录。

实施步骤参考配置操作

vi/etc/default/security

NUMBER_OF_LOGINS_ALLOWED=7

这个参数控制每个用户允许的登录数量。

此参数仅适用于非root用户。

回退方案 vi/etc/default/security修改设置到系统加固前状态。

判断依据 NUMBER_OF_LOGINS_ALLOWED=7

实施风险中

重要等级 ★

备注

1.3 授权

1.3.1 SHG-HP-UX-01-03-01

编号 SHG-HP-UX-01-03-01

名称设置关键目录的权限

实施目的在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

问题影响非法访问文件

系统当前状态运行ls–al/etc/记录关键目录的权限

实施步骤 1、参考配置操作

通过chmod命令对目录的权限进行实际设置。

2、补充操作说明

/etc/passwd必须所有用户都可读，root用户可写–rw-r—r—

/etc/shadow只有root可读–r--------

/etc/group必须所有用户都可读，root用户可写–rw-r—r—

使用如下命令设置：

chmod644/etc/passwd

chmod600/etc/shadow

chmod644/etc/group

如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）

执行命令#chmod-Rgo-w/etc

回退方案通过chmod命令还原目录权限到加固前状态。

判断依据 –rw-r—r—etc/passwd

–r--------/etc/shadow

–rw-r—r—/etc/group

或权限更小

实施风险高

重要等级 ★★★

备注

1.3.2 SHG-HP-UX-01-03-02

编号 SHG-HP-UX-01-03-02

名称修改umask值

实施目的控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。

防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

问题影响非法访问目录

系统当前状态运行cat/etc/profilecat/etc/csh.logincat/etc/d.profilecat/etc/d.login记录当前配置

实施步骤 1、参考配置操作

cd/etc

umask027

forfileinprofilecsh.logind.profiled.login

echoumask027>>"$file"

done

修改文件或目录的权限，操作举例如下：

#chmod444dir;#修改目录dir的权限为所有人都为只读。

根据实际情况设置权限；

2、补充操作说明

如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置

3、补充说明

umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。

umask的计算：

umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。

回退方案修改/etc/profile/etc/csh.login/etc/d.profile/etc/d.login配置文件到加固前状态。

判断依据 umask022

实施风险高

重要等级 ★

备注

1.3.3 SHG-HP-UX-01-03-03

编号 SHG-HP-UX-01-03-03

名称 FTP用户及服务安全

实施目的控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

问题影响非法FTP登陆操作

非法访问目录

系统当前状态运行cat/etc/ftpusers

cat/etc/ftpd/ftpaccess

cat/etc/ftpd/ftpusers

cat/etc/passwd

查看状态，并记录。

实施步骤参考配置操作

if[["$（uname-r）"=B.10*]];then

ftpusers=/etc/ftpusers

else

ftpusers=/etc/ftpd/ftpusers

fornameinrootdaemonbinsysadmlp\

uucpnuucpnobodyhpdbuseradm

echo$name

done>>$ftpusers

chmod600$ftpusers

回退方案

vi/etc/ftpusers;vi/etc/ftpd/ftpaccess;vi/etc/passwd，修改设置到系统加固前状态。

判断依据查看#cat/etc/ftpusers

无特殊需求，在这个列表里边的用户名是不允许ftp登陆的。

Root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4

/etc/ftpd/ftpaccess设置相应的配置

实施风险高

重要等级 ★

备注

1.3.4 SHG-HP-UX-01-03-04

编号 SHG-HP-UX-01-03-04

名称设置目录权限

问题影响非法访问目录

系统当前状态查看重要文件和目录权限：

ls–l并记录。

实施步骤 1、参考配置操作

查看重要文件和目录权限：

ls–l

更改权限：

对于重要目录，建议执行如下类似操作：

#chmod-R750/etc/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

回退方案使用chmod命令还原被修改权限的目录。

判断依据判断/etc/init.d/*下的文件权限750以下

实施风险高

重要等级 ★

备注

2 日志配置

2.1.1 SHG-HP-UX-02-01-01

编号 SHG-HP-UX-02-01-01

名称开启内核层审计

实施目的通过设置内核层审计，让系统记录内核事件，方便管理员分析

问题影响记录内核事件

系统当前状态运行cat/etc/rc.config.d/auditing查看状态，并记录。

实施步骤 1、参考配置操作

cat<>/etc/rc.config.d/auditing

AUDITING=1

PRI_SWITCH=10000

SEC_SWITCH=10000

EOF

回退方案 vi/etc/rc.config.d/auditing，修改设置到系统加固前状态。

判断依据 AUDITING=1

PRI_SWITCH=10000

SEC_SWITCH=10000

实施风险低

重要等级 ★★★

备注

2.1.2 SHG-HP-UX-02-01-02

编号 SHG-HP-UX-02-01-02

名称启用inetd的日志功能

实施目的记录系统中inetd操作的日志

问题影响运行cat/etc/rc.config.d/netdaemons查看当前状态，并记录。

系统当前状态运行cat/etc/rc.config.d/netdaemons查看当前状态，并记录。

实施步骤 1、参考配置操作

ch_rc-a-pINETD_ARGS=-l/etc/rc.config.d/netdaemons

回退方案 vi/etc/rc.config.d/netdaemons，修改设置到系统加固前状态。

判断依据 INETD_ARGS=-l

实施风险高

重要等级 ★

备注

2.1.3 SHG-HP-UX-02-01-03

编号 SHG-HP-UX-02-01-03

名称启用设备安全日志功能

实施目的设备应配置日志功能，记录对与设备相关的安全事件。

问题影响运行cat/etc/syslog.conf查看当前状态，并记录。

系统当前状态运行cat/etc/syslog.conf查看当前状态，并记录。

实施步骤 1、参考配置操作

配置如下类似语句：

*.err;kern.debug;daemon.notice; /var/adm/messages

定义为需要保存的设备相关安全事件。

查看/var/adm/messages，记录有需要的设备相关的安全事件。

回退方案 cat/etc/syslog.conf，修改设置到系统加固前状态。

判断依据 cat/etc/syslog.conf

实施风险高

重要等级 ★

备注

3 通信协议

3.1 IP协议安全

3.1.1 SHG-HP-UX-03-01-01

编号 SHG-HP-UX-03-01-01

名称使用ssh加密传输

实施目的提高远程管理安全性

问题影响使用非加密通信，内容易被非法监听

系统当前状态运行#ps–elf|grepssh 查看状态，并记录。

实施步骤 1、参考配置操作

1、参考配置操作

从可以得到针对HP-UX的OpenSSH安装软件包。

然后使用如下命令进行安装：

swinstall-s/var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+64.depot

/var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+64.depot是一个示例路径。

回退方案卸载SSH、或者停止SSH服务

判断依据有SSH进程

实施风险高

重要等级 ★

备注

3.1.2 SHG-HP-UX-03-01-02

编号 SHG-HP-UX-03-01-01

名称加强系统的网络性能

实施目的调整内核参数，以加强系统的网络性能

问题影响有助提高系统网络性能

系统当前状态查看/etc/rc.config.d/nddconf

的配置状态，并记录。

实施步骤 1、参考配置操作

对于HP-UX11i的版本，应该通过如下命令调整内核参数，以加强系统的网络性能：

cd/etc/rc.config.d

cat

#Increasesizeofhalf-openconnectionqueue

TRANSPORT_NAME[0]=tcp

NDD_NAME[0]=tcp_syn_rcvd_max

NDD_VALUE[0]=4096

#Reducethehalf-opentimeout

TRANSPORT_NAME[1]=tcp

NDD_NAME[1]=tcp_ip_abort_cinterval

NDD_VALUE[1]=60000

#ReducetimeoutsonARPcache

TRANSPORT_NAME[2]=arp

NDD_NAME[2]=arp_cleanup_interval

NDD_VALUE[2]=60000

#Don'tsendICMPredirects

TRANSPORT_NAME[3]=ip

NDD_NAME[3]=ip_send_redirects

NDD_VALUE[3]=0

#Dropsource-routedpackets

TRANSPORT_NAME[4]=ip

NDD_NAME[4]=ip_forward_src_routed

NDD_VALUE[4]=0

#Don'tforwarddirectedbroadcasts

TRANSPORT_NAME[5]=ip

NDD_NAME[5]=ip_forward_directed_br

展开阅读全文