管理信息系统HPUnix安全配置基线.docx
《管理信息系统HPUnix安全配置基线.docx》由会员分享,可在线阅读,更多相关《管理信息系统HPUnix安全配置基线.docx(11页珍藏版)》请在冰豆网上搜索。
管理信息系统HPUnix安全配置基线
HP-UNIX系统安全配置基线
中国移动通信有限公司管理信息系统部
2009年3月
版本
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2009年1月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
1.4实施1
1.5例外条款1
第2章账户管理、认证授权2
2.1账号2
2.1.1默认账号2
2.1.2远程登录限制2
2.1.3账号清理3
2.2口令3
2.2.1口令强度要求3
2.2.2口令生存周期要求3
2.2.3口令历史安全要求4
2.2.4登录失败安全要求4
2.2.5默认访问权限安全要求5
2.2.6FTP访问安全要求5
第3章审计功能配置6
3.1审计日志6
3.1.1审计日志功能6
第4章IP协议安全配置要求7
4.1IP协议7
4.1.1远程维护协议安全7
第5章设备其他安全配置要求8
5.1访问控制8
5.1.1应用层访问控制8
5.1.2引导身份验证8
5.2服务9
5.2.1服务安全要求9
第6章评审与修订10
概述
目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的HP-Unix操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行HP-UNIX操作系统的安全合规性检查和配置。
适用范围
本配置标准的使用者包括:
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的HP-UNIX服务器系统。
适用版本
HP-UNIX系列服务器;
实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
账户管理、认证授权
账号
2.1.1默认账号
安全基线项目名称
操作系统HPUnix缺省账户安全基线要求项
安全基线编号
SBL-HPUnix-02-01-01
安全基线项说明
应删除或锁定与设备运行、维护等工作无关的账号。
系统内存在不
可删除的内置账号,包括root,bin等。
检测操作步骤
执行cat/etc/shadow
基线符合性判定依据
需要锁定的用户:
lp,nuucp,hpdb,www,demon。
备注
2.1.2远程登录限制
安全基线项目名称
操作系统HPUnix远程登录安全基线要求项
安全基线编号
SBL-HPUnix-02-01-02
安全基线项说明
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
检测操作步骤
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录;
基线符合性判定依据
root远程登录不成功,提示“Notonsystemconsole”;
普通用户可以登录成功,而且可以切换到root用户
备注
2.1.3账号清理
安全基线项目名称
操作系统HPUnix远程登录安全基线要求项
安全基线编号
SBL-HPUnix-02-01-03
安全基线项说明
对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。
如果系统没有应用这些守护进程或服务,应删除这些账号。
检测操作步骤
远程登录;
基线符合性判定依据
禁止交互登录的系统账号,wwwsyssmbnulliwwwowwwsshdhpsmhnameduucpnuucpadmdaemonbinlpnobodynoaccesshpdbuseradm.
被禁止账号交互式登录的帐户远程登录不成功
备注
口令
2.2.1口令强度要求
安全基线项目名称
操作系统HPUnix口令强度安全基线要求项
安全基线编号
SBL-HPUnix-02-02-01
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
cat/etc/default/security;
基线符合性判定依据
创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
备注
2.2.2口令生存周期要求
安全基线项目名称
操作系统HPUnix口令生存周期安全基线要求项
安全基线编号
SBL-HPUnix-02-02-02
安全基线项说明
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
并且7天内不得更改密码。
检测操作步骤
使用超过90天的帐户口令登录;
基线符合性判定依据
登录不成功
备注
2.2.3口令历史安全要求
安全基线项目名称
操作系统HPUnix口令历史安全基线要求项
安全基线编号
SBL-HPUnix-02-02-03
安全基线项说明
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
检测操作步骤
cat/etc/default/passwd
基线符合性判定依据
HISTORY=5
备注
2.2.4登录失败安全要求
安全基线项目名称
操作系统HPUnix登录失败安全基线要求项
安全基线编号
SBL-HPUnix-02-02-04
安全基线项说明
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
检测操作步骤
创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录6次以上(不含6次);
基线符合性判定依据
帐户被锁定,不再提示让再次登录;
备注
2.2.5默认访问权限安全要求
安全基线项目名称
操作系统HPUnix默认访问权限安全基线要求项
安全基线编号
SBL-HPUnix-02-02-05
安全基线项说明
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
检测操作步骤
查看新建的文件或目录的权限,操作举例如下:
#ls-ldir;#查看目录dir的权限
#cat/etc/default/login
基线符合性判定依据
查看是否有umask027内容;
备注
2.2.6FTP访问安全要求
安全基线项目名称
操作系统HPUnixFTP访问权限安全基线要求项
安全基线编号
SBL-HPUnix-02-02-06
安全基线项说明
控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
检测操作步骤
cat/etc/ftpuser
基线符合性判定依据
在这个列表里边的用户名是不允许ftp登陆的。
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
hpdb
useradm
备注
审计功能配置
审计日志
3.1.1审计日志功能
安全基线项目名称
操作系统HPUnix审计日志安全基线要求项
安全基线编号
SBL-HPUnix-03-01-01
安全基线项说明
设备应配置日志功能,记录对与设备相关的安全事件。
检测操作步骤
cat/etc/syslog.conf
基线符合性判定依据
配置如下类似语句:
*.err;kern.debug;daemon.notice;/var/adm/messages
定义为需要保存的设备相关安全事件。
查看/var/adm/messages,记录有需要的设备相关的安全事件。
备注
IP协议安全配置要求
IP协议
4.1.1远程维护协议安全
安全基线项目名称
操作系统HPUnix远程维护协议安全基线要求项
安全基线编号
SBL-HPUnix-04-01-01
安全基线项说明
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
检测操作步骤
查看SSH服务状态:
#ps–elf|grepssh
查看telnet服务状态:
#ps–elf|greptelnet
基线符合性判定依据
#ps–elf|grepssh
是否有ssh进程存在
备注
设备其他安全配置要求
访问控制
5.1.1应用层访问控制
安全基线项目名称
操作系统HPUnix应用层访问控制安全基线要求项
安全基线编号
SBL-HPUnix-05-01-01
安全基线项说明
应该从应用层面进行必要的安全访问控制,比如FTP服务器应该限制ftp可以使用的目录范围。
检测操作步骤
root帐户从远程访问
查看文件ftpaccess,
基线符合性判定依据
ftpaccess中应用如下一行restricted-uid*(限制所有用户),
root访问被禁止或被限制;
备注
5.1.2引导身份验证
安全基线项目名称
操作系统HPUnix引导身份验证安全基线要求项
安全基线编号
SBL-HPUnix-05-01-02
安全基线项说明
使用引导身份验证功能防止XX的访问
检测操作步骤
cat/etc/default/security|grepBOOT
基线符合性判定依据
包含如下类似配置:
BOOT_AUTH=1
BOOT_USERS=root,mary,jack,amy,jane
备注
服务
5.2.1服务安全要求
安全基线项目名称
操作系统HPUnix服务安全基线要求项
安全基线编号
SBL-HPUnix-05-02-01
安全基线项说明
列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。
检测操作步骤
cat/etc/inet/inetd.conf
cat/etc/inet/services
基线符合性判定依据
在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。
echodiscarddaytimechargendtspcexecntalkfingeruucpidentauthinstl_bootsregistrarrecservrpc.rstatdrpc.rusersdrpc.rwalldrpc.spraydrpc.cmsdkcms_serverprintershelllogintelnetftptftpbootpskshellkloginrpc.rquotadrpc.ttdbserver
备注
评审与修订
本标准由中国移动集团管理信息系统部每年审查一次,根据审视结果修订标准,并颁发执行。