HP-Unix主机操作系统加固规范.docx

HP-Unix主机操作系统加固规范1账号管理、认证授权1.1账号1.1.1 SHG-HP-UX-01-01-01编号SHG-HP-UX-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态cat /etc/passwd 记录当前用户列表实施步骤1、参考配置操作为用户创建账号：#useradd username#创建账号#passwd username #设置密码修改权限：#chmod 750 directory#其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。回退方案删除新增加的帐户判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级备注1.1.2 SHG-HP-UX-01-01-02编号SHG-HP-UX-01-01-02名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态cat /etc/passwd 记录当前用户列表， cat /etc/shadow 记录当前密码配置实施步骤参考配置操作删除用户：#userdel username; 锁定用户：1) 修改/etc/shadow文件，用户名后加*LK*2) 将/etc/passwd文件中的shell域设置成/bin/false3) #passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。回退方案新建删除用户判断依据如上述用户不需要，则锁定。实施风险高重要等级备注1.1.3 SHG-HP-UX-01-01-03编号SHG-HP-UX-01-01-03名称对系统账号进行登录限制实施目的对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。问题影响可能利用系统进程默认账号登陆，账号越权使用系统当前状态cat /etc/shadow查看各账号状态。实施步骤1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除账号：#userdel username;2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell回退方案还原/etc/shadow文件配置判断依据/etc/shadow中上述账号，如果无特殊情况，密码列为NP实施风险高重要等级备注1.1.4 SHG-HP-UX-01-01-04编号SHG-HP-UX-01-01-04名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat /etc/passwd实施步骤用root用户登陆HP-UX系统，执行passwd命令，给用户增加口令。例如：passwd test test。回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断Cat /etc/passwd实施风险高重要等级备注1.1.5 SHG-HP-UX-01-01-05编号SHG-HP-UX-01-01-05名称删除属于root用户存在潜在危险文件实施目的/.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，应该删除问题影响无影响系统当前状态cat /.rhostcat /.netrcat /root/.rhostscat /root/.netrc实施步骤Mv /.rhost /.rhost.bakMv /.netr /.netr.bakCd rootMv .rhost .rhost.bakMv .netr .netr.bak回退方案Mv /.rhost.bak /.rhostMv /.netr.bak /.netrCd rootMv .rhost.bak .rhostMv .netr.bak .netr判断依据登陆系统判断Cat /etc/passwd实施风险高重要等级备注1.2口令1.2.1 SHG-HP-UX-01-02-01编号SHG-HP-UX-01-02-01名称缺省密码长度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位。问题影响增加密码被暴力破解的成功率系统当前状态运行 cat /etc/default/security查看状态，并记录。实施步骤参考配置操作vi /etc/default/security ，修改设置如下MIN_PASSWD_LENGTH = 6 #设定最小用户密码长度为6位当用root帐户给用户设定口令的时候不受任何限制，只要不超长。回退方案vi /etc/default/security ，修改设置到系统加固前状态。判断依据MIN_PASSWD_LENGTH 值为6或更高实施风险低重要等级备注1.2.2 SHG-HP-UX-01-02-02编号SHG-HP-UX-01-02-02名称缺省密码复杂度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响增加密码被暴力破解的成功率系统当前状态运行 cat /etc/default/security查看状态，并记录。实施步骤PASSWORD_MIN_UPPER_CASE_CHARS=NPASSWORD_MIN_LOWER_CASE_CHARS=NPASSWORD_MIN_DIGIT_CHARS=NPASSWORD_MIN_SPECIAL_CHARS=N编辑N为你所需要的设置. 其中, PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N个大写字母; PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N个小写字母; PASSWORD_MIN_DIGIT_CHARS是至少有N个字母; PASSWORD_MIN_SPECIAL_CHARS就是至少要多少个特殊字符.说明:如果是11.11的系统, 需要有PHCO_24606: s700_800 11.11 libpam_unix cumulative patch 或其替代补丁安装在系统中. 可以用下面的命令检查是否已经有了该补丁:A. # man security看里面列的参数是否有PASSWORD_MIN_UPPER_CASE_CHARS, PASSWORD_MIN_LOWER_CASE_CHARS, PASSWORD_MIN_DIGIT_CHARS,PASSWORD_MIN_SPECIAL_CHARS这些参数的说明. 如果有, 就表明系统具有这个功能.B. # swlist -l product | grep libpam看是否有比PHCO_24606补丁更新的libpam补丁.回退方案vi /etc/default/security ，修改设置到系统加固前状态。判断依据PASSWORD_MIN_DIGIT_CHARS =2 或更高PASSWORD_MIN_SPECIAL_CHARS =1 或更高实施风险低重要等级备注1.2.3 SHG-HP-UX-01-02-03编号SHG-HP-UX-01-02-03名称缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患。问题影响密码被非法利用，并且难以管理系统当前状态运行 cat /etc/default/security查看状态，并记录。实施步骤1、参考配置操作vi /etc/default/security文件：PASSWORD_MAXDAYS=90 密码最长生存周期90天回退方案vi /etc/default/security ，修改设置到系统加固前状态。判断依据PASSWORD_MAXDAYS=90 实施风险低重要等级备注1.2.4 SHG-HP-UX-01-02-04编号SHG-HP-UX-01-02-04名称密码重复使用限制实施目的对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。问题影响密码破解的几率增加系统当前状态运行 cat /etc/default/security查看状态，并记录。实施步骤参考配置操作vi /etc/default/security文件：PASSWORD_HISTORY_DEPTH=5回退方案vi /etc/default/security ，修改设置到系统加固前状态。判断依据PASSWORD_HISTORY_DEPTH=5实施风险低重要等级备注1.2.5 SHG-HP-UX-01-02-05编号SHG-HP-UX-01-02-05名称密码重试限制实施目的对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。问题影响允许暴力破解密码系统当前状态运行 cat /etc/default/security 查看状态，并记录。实施步骤参考配置操作vi /etc/default/securityNUMBER_OF_LOGINS_ALLOWED=7这个参数控制每个用户允许的登录数量。此参数仅适用于非 root 用户。回退方案vi /etc/default/security修改设置到系统加固前状态。判断依据NUMBER_OF_LOGINS_ALLOWED=7实施风险中重要等级备注1.3授权1.3.1 SHG-HP-UX-01-03-01编号SHG-HP-UX-01-03-01名称设置关键目录的权限实施目的在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响非法访问文件系统当前状态运行ls al /etc/ 记录关键目录的权限实施步骤1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明/etc/passwd 必须所有用户都可读，root用户可写 rw-rr /etc/shadow 只有root可读 r- /etc/group 必须所有用户都可读，root用户可写 rw-rr使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w /etc回退方案通过chmod命令还原目录权限到加固前状态。判断依据rw-rr etc/passwdr- /etc/shadowrw-rr /etc/group或权限更小实施风险高重要等级备注1.3.2 SHG-HP-UX-01-03-02编号SHG-HP-UX-01-03-02名称修改umask值实施目的控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响非法访问目录系统当前状态运行 cat /etc/profile cat /etc/csh.login cat /etc/file cat /etc/d.login 记录当前配置实施步骤1、参考配置操作cd /etcumask 027for file in profile csh.login file d.logindo echo umask 027 $filedone修改文件或目录的权限，操作举例如下：#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。回退方案修改/etc/profile /etc/csh.login /etc/file /etc/d.login配置文件到加固前状态。判断依据umask 022实施风险高重要等级备注1.3.3 SHG-HP-UX-01-03-03编号SHG-HP-UX-01-03-03名称FTP用户及服务安全实施目的控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。问题影响非法FTP登陆操作非法访问目录系统当前状态运行 cat /etc/ftpuserscat /etc/ftpd/ftpaccesscat /etc/ftpd/ftpuserscat /etc/passwd 查看状态，并记录。实施步骤参考配置操作if $(uname -r) = B.10* ; thenftpusers=/etc/ftpuserselseftpusers=/etc/ftpd/ftpusersfifor name in root daemon bin sys adm lp uucp nuucp nobody hpdb useradmdoecho $namedone $ftpuserschmod 600 $ftpusers回退方案vi /etc/ftpusers; vi /etc/ftpd/ftpaccess; vi /etc/passwd ，修改设置到系统加固前状态。判断依据查看# cat /etc/ftpusers无特殊需求，在这个列表里边的用户名是不允许ftp登陆的。Rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4/etc/ftpd/ftpaccess设置相应的配置实施风险高重要等级备注1.3.4 SHG-HP-UX-01-03-04编号SHG-HP-UX-01-03-04名称设置目录权限实施目的设置目录权限，防止非法访问目录。问题影响非法访问目录系统当前状态查看重要文件和目录权限：ls l并记录。实施步骤1、参考配置操作查看重要文件和目录权限：ls l更改权限：对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本。回退方案使用chmod 命令还原被修改权限的目录。判断依据判断 /etc/init.d/* 下的文件权限750以下实施风险高重要等级备注2日志配置2.1.1 SHG-HP-UX-02-01-01编号SHG-HP-UX-02-01-01名称开启内核层审计实施目的通过设置内核层审计，让系统记录内核事件，方便管理员分析问题影响记录内核事件系统当前状态运行cat /etc/rc.config.d/auditing查看状态，并记录。实施步骤1、参考配置操作cat /etc/rc.config.d/auditingAUDITING=1PRI_SWITCH=10000SEC_SWITCH=10000EOF回退方案vi /etc/rc.config.d/auditing，修改设置到系统加固前状态。判断依据AUDITING=1PRI_SWITCH=10000SEC_SWITCH=10000实施风险低重要等级备注2.1.2 SHG-HP-UX-02-01-02编号SHG-HP-UX-02-01-02名称启用inetd的日志功能实施目的记录系统中inetd操作的日志问题影响运行 cat /etc/rc.config.d/netdaemons 查看当前状态，并记录。系统当前状态运行 cat /etc/rc.config.d/netdaemons 查看当前状态，并记录。实施步骤1、参考配置操作ch_rc -a -p INETD_ARGS=-l /etc/rc.config.d/netdaemons 回退方案vi /etc/rc.config.d/netdaemons ，修改设置到系统加固前状态。判断依据INETD_ARGS=-l实施风险高重要等级备注2.1.3 SHG-HP-UX-02-01-03编号SHG-HP-UX-02-01-03名称启用设备安全日志功能实施目的设备应配置日志功能，记录对与设备相关的安全事件。问题影响运行 cat /etc/syslog.conf 查看当前状态，并记录。系统当前状态运行 cat /etc/syslog.conf 查看当前状态，并记录。实施步骤1、参考配置操作配置如下类似语句：*.err;kern.debug;daemon.notice;/var/adm/messages定义为需要保存的设备相关安全事件。查看/var/adm/messages，记录有需要的设备相关的安全事件。 回退方案cat /etc/syslog.conf ，修改设置到系统加固前状态。判断依据cat /etc/syslog.conf实施风险高重要等级备注3通信协议3.1 IP协议安全3.1.1 SHG-HP-UX-03-01-01编号SHG-HP-UX-03-01-01名称使用ssh加密传输实施目的提高远程管理安全性问题影响使用非加密通信，内容易被非法监听系统当前状态运行 # ps elf|grep ssh查看状态，并记录。实施步骤1、参考配置操作1、参考配置操作从可以得到针对HP-UX的OpenSSH安装软件包。然后使用如下命令进行安装：swinstall -s /var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+64.depot/var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+64.depot是一个示例路径。回退方案卸载SSH、或者停止SSH服务判断依据有SSH进程实施风险高重要等级备注3.1.2 SHG-HP-UX-03-01-02编号SHG-HP-UX-03-01-01名称加强系统的网络性能实施目的调整内核参数，以加强系统的网络性能问题影响有助提高系统网络性能系统当前状态查看/etc/rc.config.d/nddconf的配置状态，并记录。实施步骤1、参考配置操作对于HP-UX 11i的版本，应该通过如下命令调整内核参数，以加强系统的网络性能：cd /etc/rc.config.dcat /etc/rc.config.d/mailservscd /var/spool/cron/crontabscrontab l root.tmpecho 0 * * * * /usr/lib/sendmail -q root.tmpcrontab root.tmprm f root.tmp回退方案还原/etc/rc.config.d/mailservs文件到加固前的状态。判断依据Cat /etc/rc.config.d/mailservs实施风险高重要等级备注4.2.5 SHG-HP-UX-04-02-05编号SHG-HP-UX-04-02-05名称关闭NFS相关服务实施目的关闭无效的服务，提高系统性能，增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态Cat /etc/rc.config.d/nfsconf查看并记录当前的配置实施步骤参考配置操作mv /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.coremv /sbin/rc3.d/S100nfs.server /sbin/rc3.d/.NOS100nfs.servercd /sbin/rc2.dmv S430nfs.client .NOS430nfs.clientcat /etc/rc.config.d/nfsconfNFS_SERVER=0PCNFS_SERVER=0NUM_NFSD=0NUM_NFSIOD=0START_MOUNTD=0EOFcat /etc/rc.config.d/nfsconf回退方案还原/etc/rc.config.d/nfsconf文件到加固前的状态。判断依据Cat /etc/rc.config.d/nfsconf实施风险高重要等级备注4.2.6 SHG-HP-UX-04-02-06编号SHG-HP-UX-04-02-06名称关闭SNMP服务实施目的关闭无效的服务，提高系统性能，增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态Cat /etc/rc.config.d/SnmpHpunixCat /etc/rc.config.d/SnmpMasterCat /etc/rc.config.d/SnmpTrpDst查看并记录当前的配置实施步骤参考配置操作cd /sbin/rc2.dmvS565OspfMib.NOS565OspfMibmvS941opcagt .NOS941opcagtmvS570SnmpFddi.NOS570SnmpFddivi /etc/rc.config.d/SnmpHpunix文件 SNMP_HPUNIX_START=0Vi /etc/rc.config.d/SnmpMaster文件 SNMP_MASTER_START=0Vi /etc/rc.config.d/SnmpMib2文件 SNMP_MIB2_START=0Vi /etc/rc.config.d/SnmpTrpDst文件 SNMP_TRAPDEST_START=0回退方案还原/etc/rc.config.d/SnmpHpunix , /etc/rc.config.d/SnmpMaster 和/etc/rc.config.d/SnmpTrpDst文件到加固前的状态。判断依据Cat /etc/rc.config.d/SnmpHpunixCat /etc/rc.config.d/SnmpMasterCat /etc/rc.config.d/SnmpTrpDst实施风险高重要等级备注4.3屏幕保护4.3.1 SHG-HP-UX-04-03-01编号SHG-HP-UX-04-03-01名称设置登录超时时间实施目的对于具备字符交互界面的设备，应配置定时帐户自动登出。问题影响管理员忘记退出被非法利用系统当前状态查看/etc/profile文件的配置状态，并记录。实施步骤参考配置操作可以在用户的.profile文件中HISTFILESIZE=后面增加如下行：vi/e