中国移动hpux操作系统安全配置规范正式下发版.docx
《中国移动hpux操作系统安全配置规范正式下发版.docx》由会员分享,可在线阅读,更多相关《中国移动hpux操作系统安全配置规范正式下发版.docx(30页珍藏版)》请在冰豆网上搜索。
中国移动hpux操作系统安全配置规范正式下发版
2008-01-01实施
2007-12-19发布
中国移动Hp-unix操作系统
安全配置规范
安全配置规范
SpecificationforHp-unixOSConfigurationUsedinChinaMobile
版本号:
1.0.0
网络与信息安全规范编号:
【网络与信息安全规范】·【第四层:
技术规范·Hp-unix操作系统】·【第4505号】
中国移动通信集团公司发布
目录
1概述1
1.1适用范围1
1.2内部适用性说明1
1.3外部引用说明3
1.4术语和定义3
1.5符号和缩略语3
2Hp-unix设备安全配置要求3
2.1账号管理、认证授权3
2.1.1账号3
2.1.2口令6
2.1.3授权8
2.2日志配置要求9
2.3IP协议安全配置要求12
2.3.1IP协议安全12
2.3.2路由协议安全15
2.4设备其他安全配置要求15
2.4.1屏幕保护16
2.4.2文件系统及访问权限16
2.4.3物理端口的口令设置17
2.4.4补丁管理17
2.4.5服务18
2.4.6内核调整20
2.4.7启动项20
前言
本标准由中国移动通信有限公司网络部提出并归口。
本标准由标准提出并归口部门负责解释。
本标准起草单位:
中国移动通信有限公司网络部。
本标准解释单位:
同提出单位。
本标准主要起草人:
中国移动集团浙江公司徐良
1概述
1.1适用范围
本规范适用于中国移动通信网、业务系统和支撑系统中使用HP-UNIX操作系统的设备。
本规范明确了HP-UNIX操作系统配置的基本安全要求,在未特别说明的情况下,均适用于所有运行的HP-UNIX操作系统版本。
1.2内部适用性说明
本规范是在《中国移动设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备配置要求的基础上,提出的Hp-unix操作系统安全配置要求。
以下分项列出本规范对《通用规范》设备配置要求的修订情况:
编号
采纳意见
补充说明
安全要求-设备-通用-配置-1-可选
增强要求
安全要求-设备-HP-UNIX-配置-1
安全要求-设备-通用-配置-2-可选
增强要求
安全要求-设备-HP-UNIX-配置-2
安全要求-设备-通用-配置--3-可选
增强要求
安全要求-设备-HP-UNIX-配置-3
安全要求-设备-通用-配置-4
完全采纳
安全要求-设备-通用-配置-5
完全采纳
安全要求-设备-通用-配置-6-可选
完全采纳
安全要求-设备-通用-配置-7-可选
完全采纳
安全要求-设备-通用-配置-9
完全采纳
安全要求-设备-通用-配置-12
完全采纳
安全要求-设备-通用-配置-13-可选
部分采纳,需要应用系统的支持
安全要求-设备-HP-UNIX-配置-15-可选
安全要求-设备-通用-配置-24-可选
完全采纳
安全要求-设备-通用-配置-14-可选
完全采纳
安全要求-设备-通用-配置-16-可选
不采纳
需要采用第三方产品支持
安全要求-设备-通用-配置-17-可选
完全采纳
安全要求-设备-通用-配置-19-可选
完全采纳
安全要求-设备-通用-配置-20-可选
完全采纳
安全要求-设备-通用-配置-27-可选
完全采纳
本规范新增的安全配置要求,如下:
安全要求-设备-HP-UNIX-配置-4-可选
安全要求-设备-HP-UNIX-配置-5-可选
安全要求-设备-HP-UNIX-配置-6
安全要求-设备-HP-UNIX-配置-12-可选
安全要求-设备-HP-UNIX-配置-13-可选
安全要求-设备-HP-UNIX-配置-18-可选
安全要求-设备-HP-UNIX-配置-19-可选
安全要求-设备-Hp-unix-配置-21-可选
安全要求-设备-Hp-unix-配置-22-可选
安全要求-设备-HP-UNIX-配置-23-可选
安全要求-设备-HP-UNIX-配置-24-可选
安全要求-设备-HP-UNIX-配置-27-可选
安全要求-设备-HP-UNIX-配置-28-可选
安全要求-设备-HP-UNIX-配置-30-可选
安全要求-设备-HP-UNIX-配置-31-可选
安全要求-设备-HP-UNIX-配置-32-可选
安全要求-设备-HP-UNIX-配置-33
安全要求-设备-HP-UNIX-配置-34-可选
安全要求-设备-HP-UNIX-配置-35-可选
安全要求-设备-HP-UNIX-配置-36-可选
安全要求-设备-HP-UNIX-配置-PZ-37
本规范还针对直接引用《通用规范》的配置要求,给出了在Hp-unix操作系统上的具体配置方法和检测方法。
1.3外部引用说明
《中国移动通用安全功能和配置规范》
1.4术语和定义
1.5符号和缩略语
(对于规范出现的英文缩略语或符号在这里统一说明。
)
缩写
英文描述
中文描述
2Hp-unix设备安全配置要求
本规范所指的设备为采用HP-UNIX操作系统的设备。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于采用HP-UNIX操作系统的设备。
本规范从运行HP-UNIX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能,其他自身安全配置功能四个方面提出安全配置要求。
2.1账号管理、认证授权
2.1.1账号
编号:
安全要求-设备-HP-UNIX-配置-1
要求内容
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
操作指南
1、参考配置操作
为用户创建账号:
#useradd–musername#创建账号
#passwdusername#设置密码
修改权限:
#chmod750directory#其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
2、补充操作说明
检测方法
1、判定条件
能够登录成功并且可以进行常用操作;
2、检测操作
使用不同的账号进行登录并进行一些常用操作;
3、补充说明
编号:
安全要求-设备-HP-UNIX-配置-2
要求内容
应删除或锁定与设备运行、维护等工作无关的账号。
系统内存在不
可删除的内置账号,包括bin等。
操作指南
1、参考配置操作
passwd–ltest--锁定帐户test
2、补充操作说明
检测方法
1、判定条件
被删除或锁定的账号无法登录成功;
2、检测操作
使用删除或锁定的与工作无关的账号登录系统。
3、补充说明
编号:
安全要求-设备-HP-UNIX-配置-3
要求内容
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作指南
1、参考配置操作
建立/etc/securetty文件,加入console一行:
touch/etc/securetty
echo“console”>/etc/securetty
2、补充操作说明
检测方法
1、判定条件
root远程登录不成功,提示“Loginincorrect”;
普通用户可以登录成功,而且可以切换到root用户;
2、检测操作
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
3、补充说明
此限制对SSH登录方式无效
编号:
安全要求-设备-HP-UNIX-配置-4-可选
要求内容
根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。
操作指南
1、参考配置操作
创建帐户组:
#groupadd–gGIDgroupname#创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;
#usermod–ggroupusername#将用户username分配到group组中。
查询被分配到的组的GID:
#idusername
可以根据实际需求使用如上命令进行设置。
2、补充操作说明
可以使用-g选项设定新组的GID。
0到499之间的值留给root、bin、mail这样的系统账号,因此最好指定该值大于499。
如果新组名或者GID已经存在,则返回错误信息。
当group_name字段长度大于八个字符,groupadd命令会执行失败;
当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如#newgrpsys即把当前用户以sys组身份运行;
检测方法
1、判定条件
可以查看到用户账号分配到相应的帐户组中;
或都通过命令检查账号是否属于应有的组:
#idusername
2、检测操作
查看组文件:
cat/etc/group
3、补充说明
文件中的格式说明:
group_name:
:
GID:
user_list
编号:
安全要求-设备-HP-UNIX-配置-5-可选
要求内容
对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。
如果系统没有应用这些守护进程或服务,应删除这些账号。
操作指南
1、参考配置操作
禁止账号交互式登录:
usermod-s/usr/bin/falsebin
usermod-s/usr/bin/falsedaemon
usermod-s/usr/bin/falsesys
usermod-s/usr/bin/falseadm
usermod-s/usr/bin/falselp
usermod-s/usr/bin/falseuucp
usermod-s/usr/bin/falsenuucp
usermod-s/usr/bin/falsehpdb
usermod-s/usr/bin/falsewww
删除账号:
#userdelusername;
2、补充操作说明
禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等
检测方法
1、判定条件
被禁止账号交互式登录的帐户远程登录不成功;
2、检测操作
用root登录后,新建一账号,密码不设,从远程用此帐户登录,登录会显示loginincorrect,如果root用户没设密码没有任何提示信息直接退出;
3、补充说明
2.1.2口令
编号:
安全要求-设备-通用-配置-4
要求内容
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
操作指南
1、参考配置操作
运行sam
选择AuditandSecurity->systemsecurity->TerminalSecurityPolicy
选择AuditandSecurity->SystemSecurity->generaluseraccountpolicy->lockinactiveaccount选项打开enable
或者直接修改/etc/default/security文件
2、补充操作说明
选项
缺省值
安全设置
说明
UnsuccessfulLoginTriesAllowed
10
5
登陆不成功的尝试次数,系统提供5次尝试的登陆次数
DelayBetweenLoginTries(sec.)
3
10
以秒为单位的两次登陆尝试的间隔
LoginTimeoutValue(sec.)
0
300
以秒为单位的Idle时间,如果5分钟没有活动,系统自动退出
检测方法
1、判定条件
不符合密码强度的时候,系统对口令强度要求进行提示;
符合密码强度的时候,可以成功设置;
2、检测操作
1、检查口令强度配置选项是否可以进行如下配置:
i.配置口令的最小长度;
ii.将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
3、补充说明
Hp-ux11.11系统需要安装比PHCO_24606补丁更新的libpam补丁.
#swlist-lproduct|greplibpam
2.1.3授权
编号:
安全要求-设备-通用-配置-9
要求内容
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南
1、参考配置操作
通过chmod命令对目录的权限进行实际设置。
2、补充操作说明
etc/passwd必须所有用户都可读–r--r--r--
/etc/group必须所有用户都可读–r--r--r--
使用如下命令设置:
chmod444/etc/passwd
chmod444/etc/group
检测方法
1、判定条件
1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;
2、记录能够配置的权限选项内容;
3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。
2、检测操作
1、利用管理员账号登录系统,并创建2个不同的用户;
2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;
3、为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;
4、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。
3、补充说明
编号:
安全要求-设备-HP-UNIX-配置-12-可选
要求内容
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
操作指南
1、参考配置操作
在/etc/profile中设置umask:
echo“umask027”>>/etc/profile
在/etc/csh.login中设置umask:
echo“umask027”>>/etc/csh.login
2、补充操作说明
如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。
检测方法
1、判定条件
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
2、检测操作
查看新建的文件或目录的权限,操作举例如下:
#ls-ldir;#查看目录dir的权限
#cat/etc/profile查看是否有umask027内容
3、补充说明
umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。
umask的计算:
umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
2.2日志配置要求
本部分对HP-UNIX操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。
如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。
编号:
安全要求-设备-通用-配置-12
要求内容
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南
1、参考配置操作
系统默认记录相关信息,通过syslog.log文件查看。
#cat/var/adm/syslog/syslog.log
2、补充操作说明
检测方法
1、判定条件
列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。
2、检测操作
#last
3、补充说明
编号:
安全要求-设备-通用-配置-14-可选
要求内容
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
操作指南
1、参考配置操作
修改配置文件vi/etc/syslog.conf,
加上这一行:
*.* @192.168.0.1
可以将"*.*"替换为你实际需要的日志信息。
比如:
kern.*/mail.*等等。
可以将此处192.168.0.1替换为实际的IP或域名。
重新启动syslog服务,依次执行下列命令:
/sbin/init.d/syslogstop
/sbin/init.d/syslogstart
2、补充操作说明
注意:
*.*和@之间为一个Tab
检测方法
1、判定条件
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
2、检测操作
查看日志服务器上的所收到的日志文件。
3、补充说明
编号:
安全要求-设备-HP-UNIX-配置-18-可选
要求内容
设备应配置日志功能,记录用户使用SU命令的情况,记录不良的尝试记录。
操作指南
1、参考配置操作
系统默认启用此功能,当用户执行su命令后,会自动创建/var/adm/sulog
2、补充操作说明
检测方法
1、判定条件
sulog中有日志信息
2、检测操作
cat/var/adm/sulog
3、补充说明
2.3IP协议安全配置要求
2.3.1编号:
安全要求-设备-HP-UNIX-配置-21-可选
要求内容
设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。
操作指南
1、参考配置操作
开放的服务列表
HP-UNIX命令:
#cat/etc/inetd.conf
开放的端口列表
命令:
#netstat-an
服务端口和进程对应表:
命令:
cat/etc/services
2、补充操作说明
ftp-data20/tcp
ftp21/tcp
ssh22/tcp
telnet23/tcp
smtp25/tcp
pop2109/tcp
pop3110/tcp
imap143/tcp
ldap389/udp
tftp69/udp
rje77/tcp
finger79/tcp
link87/tcp
supdup95/tcp
iso-tsap102/tcp
x400103/tcp
x400-snd104/tcp
ntp123/tcp
login513/tcp
shell514/tcp
syslog514/udp
检测方法
1、判定条件
能够列出端口和服务对应表。
2、检测操作
开放的服务列表
命令:
#cat/etc/inetd.conf
开放的端口列表
命令:
#netstat-an
服务端口和进程对应表:
命令:
cat/etc/services
3、补充说明
编号:
安全要求-设备-HP-UNIX-配置-22-可选
要求内容
对于通过IP协议进行远程维护的设备,设备应支持对允许登陆到该设备的IP地址范围进行设定。
操作指南
1、参考配置操作
请先安装tcpwrapper
编辑/etc/hosts.allow和/etc/hosts.deny两个文件
vi/etc/hosts.allow
增加一行:
允许访问的IP;举例如下:
all:
192.168.4.44:
allow#允许单个IP;
ssh:
192.168.1.:
allow#允许192.168.1的整个网段
vi/etc/hosts.deny
增加一行all:
all
重启进程:
#pkill-HUPinetd
2、补充操作说明
hp-unix下,更改/etc/inetd.conf文件后,重启inetd的命令是:
#pkill-HUPinetd
#/etc/init.d/inetsvcstart
hp-unix下,可以用如下命令重启inetd:
svcadmenablesvc:
/network/inetd
检测方法
1、判定条件
被允许的服务和IP范围可以登录到该设备,其它的都被拒绝。
2、检测操作
查看/etc/hosts.allow和/etc/hosts.deny两个文件
cat/etc/hosts.allow
cat/etc/hosts.deny
3、补充说明
2.3.2路由协议安全
编号:
安全要求-设备-HP-UNIX-配置-23-可选
要求内容
对于不做路由功能的系统,应该关闭数据包转发功能。
操作指南
1、参考配置操作
#ndd-set/dev/ipip_forwarding0
2、补充操作说明
检测方法
1、判定条件
通过ndd–get查询ip_forwarding的值
2、检测操作
#ndd-get/dev/ipip_forwarding
3、补充说明
2.4设备其他安全配置要求
本部分作为对于HP-UNIX操作系统设备除账号认证、日志、协议等方面外的安全配置要求的补充,对HP-UNIX操作系统设备提出上述安全功能需求。
包括补丁升级、文件系统管理等其他方面的安全能力,该部分作为前几部分安全配置要求的补充。
2.4.1屏幕保护
编号:
安全要求-设备-通用-配置-19-可选
要求内容
对于具备字符交互界面的设备,应配置定时帐户自动登出。
操作指南
1、参考配置操作
echo"exportTMOUT=300">>/etc/profile
2、补充操作说明
检测方法
1、判定条件
若在设定时间内没有操作动作,能够自动退出,即为符合;
2、检测操作
用root帐户登录后,在设定时间内不进行任何操作,检查帐户是否登出。
3、补充说明
2.4.2文件系统及访问权限
编号:
安全要求-设备-HP-UNIX-配置-27-可选
要求内容
涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改。
操作指南
1、参考配置操作
查看重要文件和目录权限:
ls–l
更改权限:
对于重要目录,建议执行如下