管理信息系统HPUnix安全配置基线.docx

1、管理信息系统HPUnix安全配置基线HP-UNIX 系统安全配置基线中国移动通信有限公司 管理信息系统部2009年3月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章 概述 11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章 账户管理、认证授权 22.1 账号 22.1.1默认账号 22.1.2远程登录限制 22.1.3账号清理 32.2 口令 32.2.1口令强度要求 32.2.2口令生存周期要求 32.2.3口令历史安全要求 42.2

2、.4登录失败安全要求 42.2.5默认访问权限安全要求 52.2.6 FTP访问安全要求 5第3章 审计功能配置 63.1 审计日志 63.1.1审计日志功能 6第4章 IP协议安全配置要求 74.1 IP协议 74.1.1远程维护协议安全 7第5章 设备其他安全配置要求 85.1 访问控制 85.1.1 应用层访问控制 85.1.2 引导身份验证 85.2 服务 95.2.1 服务安全要求 9第6章 评审与修订 10概述目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的HP-Unix 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行H

3、P-UNIX 操作系统的安全合规性检查和配置。适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的HP-UNIX 服务器系统。适用版本HP-UNIX系列服务器；实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。账户管理、认证授权账号2.1.1默认账号安全基线项目名称操作系统HPUnix缺省账

4、户安全基线要求项安全基线编号SBL-HPUnix-02-01-01 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。检测操作步骤执行cat /etc/shadow基线符合性判定依据需要锁定的用户：lp,nuucp,hpdb,www,demon。备注2.1.2远程登录限制安全基线项目名称操作系统HPUnix远程登录安全基线要求项安全基线编号SBL-HPUnix-02-01-02 安全基线项说明 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。检

5、测操作步骤root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；基线符合性判定依据root远程登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户备注2.1.3账号清理安全基线项目名称操作系统HPUnix远程登录安全基线要求项安全基线编号SBL-HPUnix-02-01-03 安全基线项说明 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。检测操作步骤远程登录；基线符合

6、性判定依据禁止交互登录的系统账号， www sys smbnull iwww owww sshd hpsmh named uucp nuucp adm daemon bin lp nobody noaccess hpdb useradm.被禁止账号交互式登录的帐户远程登录不成功备注口令2.2.1口令强度要求安全基线项目名称操作系统HPUnix口令强度安全基线要求项安全基线编号SBL-HPUnix-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤cat /etc/default/securit

7、y；基线符合性判定依据创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。备注2.2.2口令生存周期要求安全基线项目名称操作系统HPUnix口令生存周期安全基线要求项安全基线编号SBL-HPUnix-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。并且7天内不得更改密码。检测操作步骤使用超过90天的帐户口令登录；基线符合性判定依据登录不成功备注2.2.3口令历史安全要求安全基线项目名称操作系统HPU

8、nix口令历史安全基线要求项安全基线编号SBL-HPUnix-02-02-03 安全基线项说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。检测操作步骤cat /etc/default/passwd 基线符合性判定依据HISTORY5备注2.2.4登录失败安全要求安全基线项目名称操作系统HPUnix登录失败安全基线要求项安全基线编号SBL-HPUnix-02-02-04 安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步骤创建一个普通账号，为其配置相应的口令；并用

9、新建的账号通过错误的口令进行系统登录6次以上（不含6次）；基线符合性判定依据帐户被锁定，不再提示让再次登录；备注2.2.5默认访问权限安全要求安全基线项目名称操作系统HPUnix默认访问权限安全基线要求项安全基线编号SBL-HPUnix-02-02-05 安全基线项说明 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/default/login 基线符合性判定依据查看是

10、否有umask 027内容；备注2.2.6 FTP访问安全要求安全基线项目名称操作系统HPUnix FTP访问权限安全基线要求项安全基线编号SBL-HPUnix-02-02-06 安全基线项说明 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。检测操作步骤cat /etc/ftpuser基线符合性判定依据在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodyhpdbuseradm备注审计功能配置审计日志3.1.1审计日志功能安全基线项目名称操作系统HPUnix 审计

11、日志安全基线要求项安全基线编号SBL-HPUnix-03-01-01 安全基线项说明 设备应配置日志功能，记录对与设备相关的安全事件。检测操作步骤cat /etc/syslog.conf基线符合性判定依据配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。查看/var/adm/messages，记录有需要的设备相关的安全事件。备注IP协议安全配置要求IP协议4.1.1远程维护协议安全安全基线项目名称操作系统HPUnix 远程维护协议安全基线要求项安全基线编号SBL-HPUnix-04-01-01

12、安全基线项说明 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。检测操作步骤查看SSH服务状态：# ps elf|grep ssh查看telnet服务状态：# ps elf|grep telnet基线符合性判定依据# ps elf|grep ssh是否有ssh进程存在备注设备其他安全配置要求访问控制5.1.1 应用层访问控制安全基线项目名称操作系统HPUnix 应用层访问控制安全基线要求项安全基线编号SBL-HPUnix-05-01-01 安全基线项说明 应该从应用层面进行必要的安全访问控制，比如FTP服务器应该限制ftp可以使用的目录范围。检测操作步骤root帐户从远程访

13、问查看文件ftpaccess，基线符合性判定依据ftpaccess中应用如下一行restricted-uid *(限制所有用户)，root访问被禁止或被限制；备注5.1.2 引导身份验证安全基线项目名称操作系统HPUnix 引导身份验证安全基线要求项安全基线编号SBL-HPUnix-05-01-02 安全基线项说明 使用引导身份验证功能防止XX的访问检测操作步骤cat /etc/default/security|grep BOOT基线符合性判定依据包含如下类似配置：BOOT_AUTH=1BOOT_USERS=root,mary,jack,amy,jane备注服务5.2.1 服务安全要求安全基线

14、项目名称操作系统HPUnix 服务安全基线要求项安全基线编号SBL-HPUnix-05-02-01 安全基线项说明 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检测操作步骤cat /etc/inet/inetd.confcat /etc/inet/services基线符合性判定依据在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。echo discard daytime chargen dtspc exec ntalk finger uucp ident auth instl_boots registrar recserv rpc.rstatd rpc.rusersd rpc.rwalld rpc.sprayd rpc.cmsd kcms_server printer shell login telnet ftp tftp bootps kshell klogin rpc.rquotad rpc.ttdbserver 备注评审与修订本标准由中国移动集团管理信息系统部每年审查一次，根据审视结果修订标准，并颁发执行。