HP-UX系统安全检查方案.doc

双网双平面配置指导书 技 术 文 件技术文件名称：HP-UX系统安全检查方案 技术文件编号： 版 本：V1.0 文件质量等级：共13页(包括封面) 拟 制 审 核 会 签 标准化 批 准 中兴通讯股份有限公司第 5 页 共 22 页 内部公开修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容（写要点即可）1.0王华刚2009/06/30无无注1：每次更改归档文件（指归档到事业部或公司档案室的文件）时，需填写此表。注2：文件第一次归档时，“更改理由”、“主要更改内容”栏写“无”。HP-UX操作系统安全检查方案目录(包括封面)1修改记录21概述5内部适用性说明5外部引用说明5术语和定义5符号和缩略语52HPUX安全检查操作指导62.1ZTE-HPUX-S01检查帐号安全62.1.1ZTE-HPUX-SH01-01检查系统帐号安全性62.1.2ZTE-HPUX-SM01-02检查root远程登录配置62.1.3ZTE-HPUX-SM01-03检查口令复杂度，加密和密码历史配置62.1.4ZTE-HPUX-SL01-04检查口令生存期配置72.2ZTE-HPUX-S02检查登录会话环境72.2.1ZTE-HPUX-SL02-01检查字符登录会话超时5分钟自动退出72.2.2ZTE-HPUX-SL02-02检查图形登录会话超时5分钟自动退出72.2.3ZTE-HPUX-SM02-03检查用户环境变量72.3ZTE-HPUX-S03检查主机软件/网络服务82.3.1ZTE-HPUX-SH03-01检查ftp登录用户限制82.3.2ZTE-HPUX-SM03-02 检查ftp用户活动目录限制82.3.3ZTE-HPUX-SL03-03检查匿名ftp用户限制82.3.4ZTE-HPUX-SM03-04检查GUI配置82.3.5ZTE-HPUX-SH03-05检查TELNET服务配置92.3.6ZTE-HPUX-SH03-06检查SSH服务配置92.3.7ZTE-HPUX-SM03-07检查服务配置92.3.8ZTE-HPUX-SM03-08检查SNMP服务配置102.3.9ZTE-HPUX-SL03-09检查NTP服务器或客户端配置102.3.10ZTE-HPUX-SM03-10检查信任主机配置102.3.11ZTE-HPUX-SM03-11检查ftp初始化文件配置102.4ZTE-HPUX-S04检查日志记录配置102.4.1ZTE-HPUX-SL04-01检查登录日志配置102.4.2ZTE-HPUX-SL04-02检查事件日志配置112.4.3ZTE-HPUX-SL04-03检查远程日志服务器配置112.4.4ZTE-HPUX-SL04-04检查cron日志配置112.4.5ZTE-HPUX-SL04-05检查是否启用内核级审核112.5ZTE-HPUX-S05检查文件权限112.5.1ZTE-HPUX-SM05-01检查重要系统文件权限112.6ZTE-HPUX-S06检查系统补丁安装情况122.6.1ZTE-HPUX-SH06-01检查操作系统补丁版本122.7ZTE-HPUX-S07检查网络协议安全配置122.7.1ZTE-HPUX-SL07-01检查IP协议配置122.8ZTE-HPUX-S08检查杂项122.8.1ZTE-HPUX-SL08-01禁止产生Core文件配置12HP-UX操作系统基本检查方案1 概述内部适用性说明本方案是在业务研究院网络安全规范中各项要求的基础上，提出HP-UX操作系统安全检查方案。外部引用说明中国移动设备通用安全功能和配置规范中国移动操作系统安全功能规范术语和定义符号和缩略语缩写英文描述中文描述本文件中的字体标识如下：蓝色斜体 在具体执行时需要替换的内容检查/加固项编码意义如下：公司名称-操作系统-条目性质 风险级别 数字编号-小项数字编号条目性质中：S意为检查；E意为加固风险级别中：H意为高风险；M意为中等风险；L意为低风险，风险级别仅存于具体条目中2 HP-UX安全检查操作指导2.1 ZTE-HPUX-S01检查帐号安全2.1.1 ZTE-HPUX-SH01-01检查系统帐号安全性#cat /etc/passwd检查如下内容（强密码部分单独检查）：帐号名用户ID是否为0是否已锁定默认shell是否强密码需要记录的内容：用户ID为0的所有帐号，默认有shell并未锁定的帐号2.1.2 ZTE-HPUX-SM01-02检查root远程登录配置操作期望输出是否满足# grep console /etc/securettyconsole#grep PermitRootLogin /etc/ssh/sshd_configPermitRootLogin no2.1.3 ZTE-HPUX-SM01-03检查口令复杂度，加密和密码历史配置操作期望输出是否满足#ch_rc -l -p MIN_PASSWORD_LENGTH /etc/default/security8#ch_rc -l -p PASSWORD_MIN_UPPER_CASE_CHARS /etc/default/security1#ch_rc -l -p PASSWORD_MIN_DIGIT_CHARS /etc/default/security1#ch_rc -l -p PASSWORD_MIN_SPECIAL_CHARS /etc/default/security1#ch_rc -l -p PASSWORD_MIN_LOWER_CASE_CHARS /etc/default/security12.1.4 ZTE-HPUX-SL01-04检查口令生存期配置操作期望输出是否满足#ch_rc -l -p PASSWORD_MAXDAYS /etc/default/security91#ch_rc -l -p PASSWORD_MINDAYS /etc/default/security7#ch_rc -l -p PASSWORD_WARNDAYS /etc/default/security282.1.5 ZTE-HPUX-SL01-05检查连续失败锁定账号操作期望输出是否满足#ch_rc -l -p AUTH_MAXTRIES /etc/default/security62.2 ZTE-HPUX-S02检查登录会话环境2.2.1 ZTE-HPUX-SL02-01检查引导身份验证功能配置操作期望输出是否满足#ch_rc -l -p BOOT_AUTH /etc/default/security1#ch_rc -l -p BOOT_USERS /etc/default/securityroot2.2.2 ZTE-HPUX-SL02-02检查字符登录会话超时5分钟自动退出操作期望输出是否满足#grep TMOUT /etc/profileTMOUT=300 ; export TMOUT2.2.3 ZTE-HPUX-SL02-03检查图形登录会话超时5分钟自动退出操作期望输出是否满足#grep Timeout /usr/dt/config/*/sys.resources输出中包含如下内容：dtsession*saverTimeout: 5dtsession*lockTimeout: 52.2.4 ZTE-HPUX-SM02-03检查用户环境变量操作期望输出是否满足#ch_rc -l -p UMASK /etc/default/security027#for file in profile csh.login file d.login do grep umask $file done所有用户的umask值均为umask=27使用每个可以登录的帐号登录系统后，执行：#set | grep PATH检查PATH变量中，是否定义了当前目录：“.”无PATH变量包含当前目录（“.”）2.3 ZTE-HPUX-S03检查主机软件/网络服务2.3.1 ZTE-HPUX-SH03-01检查ftp登录用户限制操作期望输出是否满足HP-UX B.10：#cat /etc/ftpusers其他版本：#cat /etc/ftpd/ftpusers输出包含除允许ftp登录的用户之外的其他所有用户2.3.2 ZTE-HPUX-SM03-02 检查ftp用户活动目录限制操作期望输出是否满足HP-UX B.10：#cat /etc/ftpaccess其他版本：#cat /etc/ftpd/ftpaccess输出中包含如下内容：restricted-uid *2.3.3 ZTE-HPUX-SM03-03检查GUI配置操作期望输出是否满足#ps elf | grep dtlogin无/usr/dt/bin/dtlogin进程2.3.4 ZTE-HPUX-SL03-04检查匿名ftp用户限制操作期望输出是否满足FTP登录被检查服务器，确认是否可以匿名访问不能匿名访问2.3.5 ZTE-HPUX-SH03-05检查TELNET服务配置操作期望输出是否满足操作1：telnet登录服务器如果可以telnet登录，进一步检查：操作2：检查/etc/hosts.allow和/etc/hosts.deny是否存在操作3：#grep in.telnetd/etc/hosts.deny操作1：登录失败操作2：文件存在操作3：in.telnetd: ALL2.3.6 ZTE-HPUX-SH03-06检查SSH服务配置操作期望输出是否满足操作1：ssh登录服务器：如果可以ssh登录，继续检查操作2操作2：检查文件/etc/hosts.allow和/etc/hosts.deny是否存在如果文件存在，继续检查操作3操作3：#grep sshd /etc/hosts.deny操作1：登录成功操作2：文件存在操作3：sshd : ALL2.3.7 ZTE-HPUX-SM03-07检查服务配置# lssrc -a输出内容请复制至右侧#grep -v # /etc/inetd.conf输出内容请复制至右侧2.3.8 ZTE-HPUX-SM03-08检查SNMP服务配置操作期望输出是否满足#ch_rc -l p SNMP_HPUNIX_START /etc/rc.config.d/SnmpHpunix0#ch_rc -l p SNMP_MASTER_START /etc/rc.config.d/SnmpMaster0#ch_rc -l p SNMP_MIB2_START /etc/rc.config.d/SnmpMib20#ch_rc -l p SNMP_TRAPDEST_START /etc/rc.config.d/SnmpTrpDst0#grep public /etc/snmpd.conf输出不包含如下内容：get-community-name: public2.3.9 ZTE-HPUX-SL03-09检查NTP服务器或客户端配置操作期望输出是否满足检查文件/etc/ntp.conf是否存在文件存在#lssrc -t xntpd进程存在2.3.10 ZTE-HPUX-SM03-10检查信任主机配置操作期望输出是否满足检查文件/etc/hosts.equiv是否存在（内容为空，可认为不存在）文件不存在#检查用户主目录下（包括/root）是否存在如下文件： .rhosts（如果文件内容为空，可认为不存在）文件不存在2.3.11 ZTE-HPUX-SM03-11检查ftp初始化文件配置操作期望输出是否满足检查用户主目录下（包括/root）是否存在如下文件：.netrc（如果文件内容为空，可认为不存在）文件不存在2.4 ZTE-HPUX-S04检查日志记录配置2.4.1 ZTE-HPUX-SL04-02检查事件日志配置操作期望输出是否满足#grep /var/adm/messages /etc/syslog.conf输出为（含有）：*.err;kern.debug;daemon.notice; /var/adm/messages2.4.2 ZTE-HPUX-SL04-03检查远程日志服务器配置操作期望输出是否满足#grep /etc/syslog.conf输出中，后面的主机名或ip地址不是为本机2.5 ZTE-HPUX-S05检查文件权限2.5.1 ZTE-HPUX-SM05-01检查重要系统文件权限操作期望输出是否满足操作1：#ls -l /etc/group操作2：#ls -l /etc/shadow操作3：#ls -l /etc/passwd权限部分输出如下：操作1：权限644操作2：权限600 （仅限于HP-UX 11i之后版本）操作3：权限644，属主：root:security2.6 ZTE-HPUX-S06检查系统补丁安装情况2.6.1 ZTE-HPUX-SH06-01检查操作系统补丁版本#uname -r2.7 ZTE-HPUX-S07检查网络协议安全配置2.7.1 ZTE-HPUX-SL07-01检查IP协议配置操作期望输出是否满足#ndd get