某世界500强企业的主机系统安全配置标准UNIX.docx

1、某世界500强企业的主机系统安全配置标准UNIX主机系统安全配置标准UNIX2006年03 月30 日文档控制拟 制: 审 核: 标准化: 读 者： 版本控制版本 提交日期 相关组织和人员 版本描述V1.0 2005-12-08 V1.1 2006.03.30 目 录目录1 概述 41.1 适用范围 41.2 实施 41.3 例外条款 41.4 检查和维护 42 适用版本 53 业务使用警告 54 用户帐户设置 54.1 UID用户ID基本要求 54.2 UNIX中Root安全标准 54.3 默认系统帐户安全标准 64.4 密码要求 84.5 密码保护 104.6 限制登陆失败次数 114.7

2、 GID组ID的基本要求 115 网络设置 125.1 IP协议栈的安全设置 125.1.1 套接字队列长度定义用来防护SYN攻击 125.1.2 重定向 125.1.3 源站路由 135.1.4 TIME_WAIT设置 135.1.5 ECHO回应广播 145.1.6 地址掩码查询和时间戳广播 145.2 /etc/hosts.equiv, .rhosts和.netrc配置文件 145.3 X Window系统 145.4 其他网络服务安全设置标准： 155.5 /etc/hosts.deny和/etc/hosts.allow的配置规范 166 权限控制 176.1 用户文件和HOME目录属

3、性 176.2 操作系统资源 177 操作系统补丁管理 188 审计策略 188.1 系统访问日志 188.2 日志记录保存期限 188.3 Sudo日志记录 199 附则 199.1 文档信息 199.2 其他信息 191 概述安全配置标准提供中国公司（下简称“中国公司”）UNIX操作系统应当遵循的安全性设置的标准，本文档旨在帮助系统管理人员，利用UNIX操作系统内建的安全配置，以建立一个更为安全的环境。1.1 适用范围本规范的使用者包括：主机系统管理员、应用管理员、网络安全管理员。本规范适用的范围包括：支持中国公司运行的AIX，Solaris和Linux（Redhat Linux）主机系统

4、。1.2 实施本规范的解释权和修改权属于中国公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准一经颁布，即为生效。1.3 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国公司信息系统管理部门进行审批备案。1.4 检查和维护根据中国公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。任何变更草案将由中国公司IT管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。2 适用版本AIX 版本5.1, 5.2, 5.3；Solaris 7,8,9

5、Redhat Linux 7.2, 7.33 业务使用警告要求设置业务使用提示警告：系统值/参数 内容/etc/motd 中国公司内部生产系统只能因中国公司业务需要而使用，经由管理层授权。中国公司管理层将随时监测此系统的使用。或SinoPEC production server can only be used for business purpose, with appropriate manager teams authorization. SinoPEC manager team will monitor the usage of this system.4 用户帐户设置4.1 UID用

6、户ID基本要求系统值/参数描述设置要求UID适用于所有的UID每个UID必须只能用一次，并唯一对应一个操作系统用户帐号。4.2 UNIX中Root安全标准对于系统Root帐户必须满足以下要求：Root帐户的UID必须是唯一的0；Root帐户是root组的唯一用户；Root帐户必须在每个系统本地有相关定义；Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件，如果存在也必须为空，而且文件所有者和所有组必须为root和root组。其相关权限为r-；Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。Root的cron jobs中不能使用到

7、非root帐户拥有的文件或拥有全局读写权限的文件。对于root所运行的命令必须使用全路径. (例如. /bin/su)，或对于root的$PATH环境变量中不能含有相对当前目录(.), 相对子目录(./)和相对父目录(.)定义；root 帐号不允许进行远程登录操作，远程需要root的访问需求，必须要求使用普通个人用户帐号进行登录后通过SU命令切换到root帐号。REDHAT: 可以通过在/etc/securetty配置文件实现root的登录控制，/etc/securetty文件中包含了所有的可供root登录的TTY端口，这个配置文件在默认的状态下只包括了物理终端console TTY必须有相应

8、的日志记录来跟踪成功或失败的su尝试。这个功能可以通过使用pam_wheel模块来实现。在/etc/pam.d/su添加如下auth required /lib/security/pam_wheel.so debug group=sinoadmin配置信息来确保只有在sinoadmin系统组的成员帐号才可以使用/bin/su命令切换到root。要添加一个用户到这个系统组，可以使用如下命令来实现：#usermod -G sinoadmin userid (userid=the userid)SOLARIS: 对于root的物理终端console登录限制可以通过在/etc/default/logi

9、n配置文件中添加CONSOLE=/dev/console配置行来实现。AIX:在/etc/security/user配置文件中的root帐号的配置段落必须存在rlogin = false的配置定义，以此来实现Root的物理终端console登录限制。4.3 默认系统帐户安全标准对于UID从1到99必须保留给默认系统帐号或应用系统帐号使用，通常对于这些用户不需要登录访问，故此可以通过在/etc/shadow (REDHAT or SOLARIS) 或/etc/security/passwd (AIX) 文件相关的口令字段中设置“*”号来实现。REDHAT: 对于安装过程会建立许多通常不需要使用的

10、系统帐号。对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）。nfsnobodygamesrpcpostgresnscdnewsgophernamedrpcuserSOLARIS: 对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）。lpuucpnuucplistensmtp对于默认的系统帐号只能是使用如下的UID：root:0bin:2adm:4noaccess:60002daemon:1sys:3nobody:60001nobody4:65534如下的默认系统帐号已经被通过在/etc/shadow文件中的NP No Pas

11、sword 或 *LK* - Locked的定义来限制其相关的登录访问权限。daemon:NP:6445:bin:NP:6445:sys:NP:6445:adm:NP:6445:nobody:NP:6445:noaccess:NP:6445:nobody4:NP:6445:AIX: 对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）GuestUUCPNuucpLpdNobody下列系统用户和组必须采用以下的UID和GIDsUserids Groupidsroot:0 system:0daemon:1 security:7bin:2 bi

12、n:2sys:3 sys:3adm:4 adm:4uucp:5 uucp:5nuucp:6 mail:6lpd:9 printq:9imnadm (no assigned UID) cron:8ipsec (no assigned UID) audit:10ldap (no assigned UID) shutdown:21lp (no assigned UID) ecs:28snapp (no assigned UID) imnadm (no assigned GID)ipsec (no assigned GID)ldap (no assigned GID)lp (no assigned G

13、ID)haemrm (no assigned GID)snapp (no assigned GID)4.4 密码要求密码的强度要求，Solaris系统的具体要求如下：相关配置文件/etc/default/passwd。系统值/参数描述设置要求MAXWEEKS密码有效期限的最大周数(Maximum number of weeks that can pass before a password must be changed.)13WARNWEEKS在密码过期前的警告信息显示(Number of weeks show warning message before the password expi

14、red.)2MINWEEKS密码有效期限的最少周数(Minimum number of weeks that must pass before a password can be changed) 0PASSLENGTH密码长度 (Password length)8AIX系统的具体要求如下：相关配置文件/etc/security/user。系统值/参数描述设置要求maxage密码有效期限的最大周数(Maximum number of weeks that can pass before a password must be changed.)13maxrepeats可重复的连续字符数(Numb

15、er of repeating consecutive characters)2minage密码有效期限的最少周数(Minimum number of weeks that must pass before a password can be changed)0minalpha最少字母数(Minimum number of alphabetic characters)1mindiff与前一次密码的最少不同字符数(Number of characters not found in last password)1minother最少的非字母数(Number of non-alphabetic charact