中国移动hpux操作系统安全配置规范正式下发版.docx

1、中国移动hpux操作系统安全配置规范正式下发版2008-01-01实施2007-12-19发布中国移动Hp-unix操作系统安全配置规范安全配置规范Specification for Hp-unix OS Configuration Used in China Mobile版本号：1.0.0网络与信息安全规范编号:【网络与信息安全规范】【第四层：技术规范Hp-unix操作系统】【第4505号】中国移动通信集团公司 发布目录1 概述 11.1 适用范围 11.2 内部适用性说明 11.3 外部引用说明 31.4 术语和定义 31.5 符号和缩略语 32 Hp-unix设备安全配置要求 32.1

2、账号管理、认证授权 32.1.1 账号 32.1.2 口令 62.1.3 授权 82.2 日志配置要求 92.3 IP协议安全配置要求 122.3.1 IP协议安全 122.3.2 路由协议安全 152.4 设备其他安全配置要求 152.4.1 屏幕保护 162.4.2 文件系统及访问权限 162.4.3 物理端口的口令设置 172.4.4 补丁管理 172.4.5 服务 182.4.6 内核调整 202.4.7 启动项 20前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部。本标准解释单位：同提出单位。本标准主要起

3、草人：中国移动集团浙江公司 徐良 1 概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用HP-UNIX操作系统的设备。本规范明确了HP-UNIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的HP-UNIX操作系统版本。1.2 内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的Hp-unix操作系统安全配置要求。以下分项列出本规范对通用规范设备配置要求的修订情况：编号采纳意见补充说明安全要求-设备-通用-配置-1-可选增强要求安全要求-设备-HP-UNIX-配置-1安全要求-设备-通用-配

4、置-2-可选增强要求安全要求-设备-HP-UNIX-配置-2安全要求-设备-通用-配置-3-可选增强要求安全要求-设备-HP-UNIX-配置-3安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-6-可选完全采纳安全要求-设备-通用-配置-7-可选完全采纳安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选部分采纳,需要应用系统的支持安全要求-设备-HP-UNIX-配置-15-可选安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-通用-配置-14-可选完全采纳安全要求

5、-设备-通用-配置-16-可选不采纳需要采用第三方产品支持安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选完全采纳安全要求-设备-通用-配置-20-可选完全采纳安全要求-设备-通用-配置-27-可选完全采纳本规范新增的安全配置要求，如下：安全要求-设备-HP-UNIX-配置-4-可选安全要求-设备-HP-UNIX-配置-5-可选安全要求-设备-HP-UNIX-配置-6安全要求-设备-HP-UNIX-配置-12-可选安全要求-设备-HP-UNIX-配置-13-可选安全要求-设备-HP-UNIX-配置-18-可选安全要求-设备-HP-UNIX-配置-19-可选安

6、全要求-设备-Hp-unix-配置-21-可选安全要求-设备-Hp-unix-配置-22-可选安全要求-设备-HP-UNIX-配置-23-可选安全要求-设备-HP-UNIX-配置-24-可选安全要求-设备-HP-UNIX-配置-27-可选安全要求-设备-HP-UNIX-配置- 28-可选安全要求-设备-HP-UNIX-配置-30-可选安全要求-设备-HP-UNIX-配置-31-可选安全要求-设备- HP-UNIX -配置-32-可选安全要求-设备- HP-UNIX -配置-33安全要求-设备- HP-UNIX -配置-34-可选安全要求-设备- HP-UNIX -配置-35-可选安全要求-设备

7、- HP-UNIX -配置-36-可选安全要求-设备- HP-UNIX -配置-PZ -37本规范还针对直接引用通用规范的配置要求，给出了在Hp-unix操作系统上的具体配置方法和检测方法。1.3 外部引用说明中国移动通用安全功能和配置规范1.4 术语和定义1.5 符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述2 Hp-unix设备安全配置要求本规范所指的设备为采用HP-UNIX操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用HP-UNIX操作系统的设备。本规范从运行HP-UNIX操作系统设备的认证授权功能、安全日志功能、IP网络

8、安全功能，其他自身安全配置功能四个方面提出安全配置要求。2.1 账号管理、认证授权2.1.1 账号编号： 安全要求-设备-HP-UNIX-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useradd m username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、

9、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号： 安全要求-设备-HP-UNIX-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括bin等。操作指南1、参考配置操作passwd l test -锁定帐户test2、补充操作说明检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统。3、补充说明编号： 安全要求-设备-HP-UNIX-配置-3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，

10、应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、 参考配置操作建立/etc/securetty文件，加入console一行：touch /etc/securettyecho “console” /etc/securetty2、补充操作说明检测方法1、判定条件root远程登录不成功，提示“Login incorrect”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；3、补充说明此限制对SSH登录方式无效编号： 安全要求-设备-HP-UNIX-配置-4-可选要求内容根据系统

11、要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作创建帐户组：#groupadd g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod g group username #将用户username分配到group组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 G

12、ID 已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#id username 2、检测操作查看组文件：cat /etc/group 3、补充说明文件中的格式说明：group_name:GID:user_list 编号： 安全要求-设备-HP-UNIX-配置-5-可选要求内容对系统账号进行登录限制，确保系统账号仅被守

13、护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。操作指南1、参考配置操作禁止账号交互式登录：usermod -s /usr/bin/false binusermod -s /usr/bin/false daemonusermod -s /usr/bin/false sysusermod -s /usr/bin/false admusermod -s /usr/bin/false lpusermod -s /usr/bin/false uucpusermod -s /usr/bin/false nuucpusermod -s /usr/bin/fa

14、lse hpdbusermod -s /usr/bin/false www删除账号：#userdel username;2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等检测方法1、判定条件被禁止账号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出；3、补充说明2.1.2 口令编号： 安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括

15、数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作运行sam选择Audit and Security - system security - Terminal Security Policy选择Audit and Security -System Security-general user account policy-lock inactive account 选项打开enable或者直接修改/etc/default/security文件2、补充操作说明 选项缺省值安全设置说明Unsuccessful Login Tries Allowed105登陆不成功的尝试次数，

16、系统提供5次尝试的登陆次数Delay Between Login Tries (sec.)310以秒为单位的两次登陆尝试的间隔Login Timeout Value (sec.)0300以秒为单位的Idle时间，如果5分钟没有活动，系统自动退出检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输

17、入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。3、补充说明Hp-ux 11.11系统需要安装比PHCO_24606补丁更新的libpam补丁.# swlist -l product | grep libpam2.1.3 授权编号： 安全要求-设备-通用-配置-9要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明etc/passwd 必须所有用户都可读r-r-r-/etc/group 必须所有用户都可读r-r-r-使用如下命令设置：chmod 444 /etc/passw

18、dchmod 444 /etc/group检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并分别尝试

19、访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。3、补充说明编号： 安全要求-设备-HP-UNIX-配置-12-可选要求内容控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。操作指南1、 参考配置操作在/etc/profile中设置umask：echo “umask 027” /etc/profile在/etc/csh.login中设置umask：echo “umask 027” /etc/csh.login 2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的uma

20、sk，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/profile 查看是否有umask 027内容3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八

21、进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。2.2 日志配置要求本部分对HP-UNIX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。编号： 安全要求-设备-通用-配置-12要求内容设备应配置日志功能，对用户登录进行

22、记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作系统默认记录相关信息，通过syslog.log文件查看。#cat /var/adm/syslog/syslog.log2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。2、检测操作# last 3、补充说明编号： 安全要求-设备-通用-配置-14-可选要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，加上这一行：*.* 192.16

23、8.0.1可以将*.*替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。可以将此处192.168.0.1替换为实际的IP或域名。重新启动syslog服务，依次执行下列命令：/sbin/init.d/syslog stop/sbin/init.d/syslog start 2、补充操作说明注意：*.*和之间为一个Tab检测方法1、判定条件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。3、补充说明编号： 安全要求-设备-HP-UNIX-配置-18-可选要求内容设备应配置日志功能，记录用户使用SU命令的情况，记录

24、不良的尝试记录。操作指南1、 参考配置操作系统默认启用此功能，当用户执行su命令后，会自动创建/var/adm/sulog2、补充操作说明检测方法1、 判定条件sulog中有日志信息2、 检测操作cat /var/adm/sulog3、补充说明2.3 IP协议安全配置要求2.3.1 编号： 安全要求-设备-HP-UNIX-配置-21-可选要求内容设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。操作指南1、参考配置操作开放的服务列表HP-UNIX命令: # cat /etc/inetd.conf开放的端口列表命令: # netstat -an 服务端口和进程对应表：命令：cat /e

25、tc/services2、补充操作说明ftp-data 20/tcpftp 21/tcpssh 22/tcptelnet 23/tcpsmtp 25/tcppop2 109/tcppop3 110/tcpimap 143/tcpldap 389/udptftp 69/udprje 77/tcpfinger 79/tcplink 87/tcp supdup 95/tcpiso-tsap 102/tcpx400 103/tcp x400-snd 104/tcpntp 123/tcplogin 513/tcpshell 514/tcpsyslog 514/udp检测方法1、判定条件能够列出端口和服务

26、对应表。2、检测操作开放的服务列表命令: # cat /etc/inetd.conf开放的端口列表命令: # netstat -an 服务端口和进程对应表：命令：cat /etc/services3、补充说明编号： 安全要求-设备-HP-UNIX-配置-22-可选要求内容对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定。操作指南1、 参考配置操作请先安装tcp wrapper编辑/etc/hosts.allow和/etc/hosts.deny两个文件vi /etc/hosts.allow增加一行 : 允许访问的IP；举例如下：all:192.168.4.4

27、4:allow #允许单个IP；ssh:192.168.1.:allow #允许192.168.1的整个网段vi /etc/hosts.deny增加一行 all:all重启进程：#pkill -HUP inetd2、补充操作说明hp-unix下，更改/etc/inetd.conf文件后，重启inetd的命令是：#pkill -HUP inetd#/etc/init.d/inetsvc starthp-unix 下，可以用如下命令重启inetd:svcadm enable svc:/network/inetd检测方法1、判定条件被允许的服务和IP范围可以登录到该设备，其它的都被拒绝。2、检测操作

28、查看/etc/hosts.allow和/etc/hosts.deny两个文件cat /etc/hosts.allowcat /etc/hosts.deny3、补充说明2.3.2 路由协议安全编号： 安全要求-设备-HP-UNIX-配置-23-可选要求内容对于不做路由功能的系统，应该关闭数据包转发功能。操作指南1、 参考配置操作# ndd -set /dev/ip ip_forwarding 02、补充操作说明检测方法1、 判定条件通过ndd get查询ip_forwarding的值 2、检测操作# ndd -get /dev/ip ip_forwarding3、补充说明2.4 设备其他安全配置

29、要求本部分作为对于HP-UNIX操作系统设备除账号认证、日志、协议等方面外的安全配置要求的补充，对HP-UNIX操作系统设备提出上述安全功能需求。包括补丁升级、文件系统管理等其他方面的安全能力，该部分作为前几部分安全配置要求的补充。2.4.1 屏幕保护编号： 安全要求-设备-通用-配置-19-可选要求内容对于具备字符交互界面的设备，应配置定时帐户自动登出。操作指南1、参考配置操作echo export TMOUT=300/etc/profile2、补充操作说明检测方法1、判定条件若在设定时间内没有操作动作，能够自动退出，即为符合；2、检测操作用root帐户登录后，在设定时间内不进行任何操作，检查帐户是否登出。3、补充说明2.4.2 文件系统及访问权限编号： 安全要求-设备-HP-UNIX-配置-27-可选要求内容涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改。操作指南1、参考配置操作查看重要文件和目录权限：ls l更改权限：对于重要目录，建议执行如下