Hpux安全配置规范.docx

1、Hpux安全配置规范HP-UX 安全配置规范2011年 3 月第1章概述1.1适用范围适用于中国电信使用HP-UX操作系统的设备。本规范明确了安全配置的基 本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检 查规范等文档的参考。由于版本不同，配置操作有所不同，本规范以 HP-UX11v211v3为例，给出 参考配置操作。第2章安全配置要求2.1账号编号：1要求内容应按照不冋的用户分配不冋的账号， 避免不冋用户间共享账号， 避免用户账号和设备间通信使用的账号共享。操作指南1、 参考配置操作为用户创建账号：#useradd user name #仓建账号#passwd user

2、 name #设置密码修改权限：#chmod 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录使用该命令为不冋的用户分配不冋的账号， 设置不冋的口令及权限信息等。2、 补充操作说明检测方法1、 判定条件能够登录成功并且可以进行常用操作；2、 检测操作使用不冋的账号进行登录并进行一些常用操作；3、 补充说明编号：2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、 参考配置操作删除用户：#userdel user name;锁定用户：1） 修改/etc/shadow文件，用户名后加 NP2） 将/etc/pa

3、sswd 文件中的 shell 域设置成 /bin/noshell3） #passwd -l user name只有具备超级用户权限的使用者方可使用， #passwd -l username锁定用户，用#passwd -d username解锁后原有密码失效，登录需输入 新密码，修改/etc/shadow能保留原有密码。2、 补充操作说明需要锁定的用户：lp,nuucp,hpdb,。注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年 以上未用）等检测方法1、 判定条件被删除或锁定的账号无法登录成功；2、 检测操作使用删除或锁定的与工作无关的账号登录系统；3、 补充说明需要锁定的用户：l

4、p,nuucp,hpdb,。编号：3要求内容根据系统要求及用户的业务需求， 建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、 参考配置操作创建帐户组：#groupadd -g GID group name #创建一个组，并为其设置 GID号，若不设GID，系统会自动为该组分配一个 GID号；#usermod group user name # 将用户 user name 分配至 U group 组中。 查询被分配到的组的 GID : #id username可以根据实际需求使用如上命令进行设置。2、 补充操作说明可以使用-g选项设定新组的 GID。0至U 499之间的值留给 root、

5、 bin、mail这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID已经存在，则返回错误信息。当group_name子段长度大于八个子符，groupadd命令会执行失败； 当用户希望以其他用户组成员身份出现时，需要使用 newgrp命令进行更改，如#newgrp sys即把当前用户以sys组身份运行；检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中； 或都通过命令检查账号是否属于应有的组：#id user name2、 检测操作查看组文件：cat /etc/group3、 补充说明 文件中的格式说明：group name:GID:user list2.2 口令编号：

6、1要求内容对于米用静态口令认证技术的设备， 口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号 4类中至少3类。操作指南1参考配置操作ch_rc -a -p MIN_PASSW0RD_LENGTH=8 /etc/default/security ch_rc -a -p PASSWORD_HISTORY_DEPTH=10 /etc/default/securitych_rc -a -p PASSWORD_MIN_UPPER_CASE_CHARS=1/etc/default/securitych_rc -a -p PASSWORD_MIN_DIGIT_CHARS=1 /etc/defaul

7、t/securitych_rc -a -p PASSWORD_MIN_SPECIAL_CHARS=1 /etc/default/securitych_rc -a -p PASSWORD_MIN_LOWER_CASE_CHARS=1/etc/default/securitymodprdef -m n ullpw=NOmodprdef -m rstrpw=YESMIN_PASSWORD_LENGTH-8 #设定最小用户密码长度为 8位PASSWORD_MIN_UPPER_CASE_CHARS-1 # 表示至少包括 1 个大写字母PASSWORD_MIN_DIGIT_CHARS-1 # 表示至少包括

8、 1 个数字PASSWORD_MIN_SPECIAL_CHARS-1 # 表示至少包括 1 个特殊字符（特殊字符可以包括控制符以及诸如星号和斜杠之类的符号）PASSWORD_MIN_LOWER_CASE_CHARS-1 # 表示至少包括 1 个小写字母当用root帐户给用户设定口令的时候不受任何限制，只要不超长。2、补充操作说明不同的HP-UX版本可能会有差异，请查阅当前系统的 man pagesecurity(5)详细说明检测方法1、 判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、 检测操作1、 检查口令强度配置选项是否可以进行如下配置：i.

9、配置口令的最小长度；ii.将口令配置为强口令。2、 创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 8位的口令，查看系统是否对 口令强度要求进行提示； 输入带有特殊符号的复杂口令、 普通复杂 口令，查看系统是否可以成功设置。编号：2要求内容对于米用静态口令认证技术的设备，帐户口令的生存期不长于 90天。操作指南1、 参考配置操作以下的shell语句将设置除root外的所有有效登录的账号密码过期 和过前期的收到警告设置：log ins -ox | awk -F: ($8 != LK & $1 != root) print $1 | while read l

10、og name; dopasswd 91 -n 7 -w 28 $log name/usr/lb in/modprpw -m exptm=90, min tm=7,expwar n=30 $log namedoneecho PASSW0RD_MAXDAYS=91 /etc/default/security echo PASSWORD_MINDAYS=7 /etc/default/security echo PASSWORD_WARNDAYS=28 /etc/default/security /usr/lb in/modprdef -m exptm=90,expwar n=30用户将在密码过期前

11、的 30天收到警告信息(28天没有运行在HP-UX 的 Trusted 模式)2、 补充操作说明检测方法1、 判定条件登录不成功；2、 检测操作使用超过90天的帐户口令登录；3、 补充说明测试时可以将90天的设置缩短来做测试。编号：3要求内容对于米用静态口令认证技术的设备， 应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、 参考配置操作vi /etc/default/passwd，修改设置如下HISTORY = 52、 补充操作说明#HISTORY sets the nu mber of prior password cha nges to keep and#che

12、ck for a user whe n cha nging passwords. Sett ing the HISTORY#value to zero (0), or removi ng/comme nti ng out the flag will#cause all users prior password history to be discarded at the#next password cha nge by any user. No password history will#be checked if the flag is not present or has zero val

13、ue.#The maximum value of HISTORY is 26.NIS系统无法生效，非 NIS系统或NIS+系统能够生效。检测方法1、 判定条件设置密码不成功2、 检测操作cat /etc/default/passwd，设置如下HISTORY = 53、 补充说明默认没有HISTORY的标记，即不记录以前的密码NIS系统无法生效，非 NIS系统或NIS+系统能够生效。编号：4要求内容对于米用静态口令认证技术的设备， 应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、 参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账 号被锁定：

14、log ins -ox | awk -F: ($8 != LK & $1 != root) print $1 | while read log name; do/usr/lb in/modprpw -m umax In tr=6 $log namedonemodprdef -m umax In tr=6echo AUTH_MAXTRIES=6 /etc/default/security除root外的有效账号都将被设置重复登录失败次数为 62、 补充操作说明检测方法1、 判定条件帐户被锁定，不再提示让再次登录；2、 检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错 误的口令进行

15、系统登录 6次以上（不含6次）；1、补充说明root账号不在锁定的限制范围内2.3文件与目录权限编号：1要求内容在设备权限配置能力内， 根据用户的业务需要， 配置其所需的最小 权限。操作指南1、 参考配置操作通过chmod命令对目录的权限进行实际设置。2、 补充操作说明etc/passwd必须所有用户都可读，root用户可写 -w-r r /etc/shadow 只有 root /etc/group必须所有用户都可读，root用户可写 -w-r r使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是

16、有写权限，就需移去组及其它用户对 /etc的写权限（特殊情况除外）执行命令 #chmod -R go-w /etc检测方法1、判定条件1、 设备系统能够提供用户权限的配置选项，并记录对用户进行权 限配置是否必须在用户创建时进行；2、 记录能够配置的权限选项内容；3、 所配置的权限规则应能够正确应用，即用户无法访问授权范围 之外的系统资源，而可以访冋授权范围之内的系统资源。2、检测操作1、 利用管理员账号登录系统，并创建 2个不冋的用户；2、 创建用户时查看系统是否提供了用户权限级别以及可访问系统 资源和命令的选项；3、 为两个用户分别配置不冋的权限， 2个用户的权限差异应能够分 别在用户权限级

17、别、可访问系统资源以及可用命令等方面予以体现；4、 分别利用2个新建的账号访问设备系统，并分别尝试访问允许 访问的内容和不允许访问的内容，查看权限配置策略是否生效。3、补充说明编号：2要求内容控制用户缺省访冋权限，当在创建新文件或目录时 应屏敝掉新文件或目录不应有的访问允许权限。 防止冋属于该组的其它用户及别的组的用户修改该用户的文件或更咼限制。操作指南1、 参考配置操作设置默认权限：Vi /etc/default/security 在末尾增加 umask 027修改文件或目录的权限，操作举例如下：#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。根据实际情况设置权限；

18、2、 补充操作说明如果用户需要使用一个不同于默认全局系统设置的 umask,可以在需要的时候通过命令行设置， 或者在用户的shell启动文件中配置。检测方法1、 判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、 检测操作查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/default/login 查看是否有 umask 027 内容3、 补充说明umask的默认设置一般为 022，这给新创建的文件默认权限 755(777-022=755),这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：um

19、ask是使用八进制数据代码设置的，对于目录，该值等于八进制 数据代码777减去需要的默认权限对应的八进制数据代码值； 对于文件，该值等于八进制数据代码 666减去需要的默认权限对应的八进制数据代码值。编号：3要求内容如果需要启用FTP服务，控制FTP进程缺省访问权限，当通过FTP 服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访冋允 许权限。操作指南1、参考配置操作if $(uname -r) = B.10* ; thenelsefifor n ame in root daem on bin sys adm Ip uucp nu ucp no body hpdb useradmdoecho

20、 $n amedone $sort -u $ $cp $ $rm -$chow n bin:b in $chmod 600 $2、补充操作说明查看# cat说明：在这个列表里边的用户名是不允许 ftp登陆的。rootdaem onbinsysadmlpuucpnu ucpliste nnobodyhpdbuseradm检测方法1、 判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、 检测操作查看新建的文件或目录的权限，操作举例如下：#more /etc/ /ftpd/#more /etc/passwd3、 补充说明查看# cat说明：在这个列表里边的用户名是不允许 ftp登陆的。

21、rootdaem onbinsysadmlpuucpnu ucpliste nnobody hpdb useradm2.4远程维护编号：1要求内容限制具备超级管理员权限的用户远程登录。 远程执行管理员权限操 作，应先以普通权限用户远程登录后， 再切换到超级管理员权限账 号后执行相应操作。操作指南2、参考配置操作编辑 /etc/securetty，加上：con sole保存后退出，并限制其他用户对此文本的所有权限：chow n root:sys /etc/securettychmod 600 /etc/securetty此项只能限制root用户远程使用tel net登录。用ssh登录，修改此 项

22、不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin yes 改为 PermitRootLogin no，重启 sshd 服务。检测方法1、 判定条件root远程登录不成功，提示“没有权限” ；普通用户可以登录成功，而且可以切换到 root用户；2、 检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用 ssh登录；3、补充说明限制 root从远程 ssh登录，修改 /etc/ssh/sshd_config文件，将 Perm

23、itRootLogin yes 改为 PermitRootLogin no，重启 sshd 服务。编号：2要求内容对于使用IP协议进行远程维护的设备，设备应配置使用 SSH等加密协议，禁止使用telnet等明文传输协议进行远程维护；操作指南1、下载和安装OpenSSH在网站上免费获取 Ope nSSH ；并根据安装文件说明执行安装步骤 。2、完成下面安装后的配置：cd /opt/ssh/etccp -p sshd_c onfig sshd_c on fig.tmpawk Protocol/ $2 = 2 ;/AX11Forwardi ng/ $2 = yes ;Ign oreRhosts/ $

24、2 = yes ;RhostsAuthen ticatio n/ $2 = n o ;RhostsRSAAuthe nticatio n/ $2 = n o ; /(A#|A)PermitRootLogi n/ $1 = PermitRootLogi n;$2 = n o ;PermitEmptyPasswords/ $2 = n o ;/A#Ba nner/ $1 = Ba nner;$2 = /etc/issue print sshd_c on fig.tmp sshd_c onfigrm -f sshd_c on fig.tmpchow n root:sys ssh_c onfig ss

25、hd_c onfig chmod go-w ssh_c onfig sshd_c onfig先拷贝一份配置，再用 awk生成一份修改了安全配置的临时文件，最后替换原始配置文件 ssh_config ,其中配置含义如下：Protocol = 2 # 使用 ssh2 版本X11Forwarding #允许窗口图形传输使用 ssh加密IgnoreRhosts =yes#完全禁止 SSHD 使用.rhosts 文件RhostsAuthentication-no #不设置使用基于 rhosts的安全验证RhostsRSAAuthentication-no # 不设置使用 RSA 算法的基于 rhosts

26、 的 安全验证。3、补充操作说明查看SSH服务状态：# ps lf|grep ssh注：禁止使用telnet等明文传输协议进行远程维护；如特别需要， 需采用访问控制策略对其进行限制；检测方法1、 判定条件#ps f|grep ssh是否有ssh进程存在是否有telnet进程存在2、 检测操作查看SSH服务状态：#ps f|grep ssh查看telnet服务状态:#ps f|grep telnet3、 补充说明2.5补丁安全编号：1要求内容应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测 试。操作指南1、 参考配置操作看版本是否为最新版本。执行下列命令，查看版本及大补丁号。#un am

27、e HP-UX :执行下列命令，查看各包的补丁号#swlist2、 补充操作说明检测方法1、 判定条件看版本是否为最新版本。# un ame -a查看版本及大补丁号#swlist命令检补丁号2、 检测操作在保证业务及网络安全的前提下， 经过实验室测试后， 更新使用最新版本的操作系统补丁3、 补充说明2.6日志安全编号：1要求内容打开syslog系统日志审计功能有助于系统的日常维护和故障排除， 或者防止被攻击后查看日志采取防护补救措施，增强系统安全日 志。操作指南1、 参考配置操作修改配置文件 vi /etc/syslog.conf ,配置如下类似语句：*.err;ker n. debug;da

28、em on.no tice; /var/adm/messages定义为需要保存的设备相关安全事件。2、 补充操作说明检测方法1、判定条件查看/var/adm/messages,记录有需要的设备相关的女全事件。2、 检测操作修改配置文件 vi /etc/syslog.conf，配置如下类似语句：*.err;ker n. debug;daem on.no tice; /var/adm/messages定义为需要保存的设备相关安全事件。3、 补充说明编号：2要求内容设备应配置权限，控制对日志文件读取、修改和删除等操作。操作指南1、参考配置操作 检查系统日志：awk /etc/syslog.co nf

29、 $0 ! /人#/ & $2 A/ print $2| sort -u | while read file do if -d $file -o -c $file -o -b $file -o -p $file the n :elif ! -f $filethen mkdir -p $(dirname $file) touch $file chmod 640 $fileelse chmod o-w $filefidone检查其他日志：host name=、un ame -n chmod o-w /tmp/s nmpd .log /var/X11/Xserver/logs/X0.log /var/X11/Xserver/logs/X1.log /var/X11/Xserver/logs/X2.log /var/adm/autom oun t.log /var/adm/s nmpd.log /var/opt/dce/svc/error.log /var/