hp_unix主机安全控制方案.doc

主机访问安全控制方案中国网通（集团）有限公司山东分公司起草：石骁騑中国惠普公司支持服务事业部客户支持工程师：石骁騑 中国惠普有限公司北京市朝阳区建国路112号中国惠普大厦邮编：100022日期：2006年4月25日中国网通山东省分公司主机访问安全控制方案文档信息服务名称：主机访问安全控制方案客户支持工程师：石骁騑文档版本编号：Ver 1.0服务阶段：实施文档提交日期：2006-4-25起草人：石骁騑文档起草日期：2006-4-25复审人：郑恂复审日期：2006-4-25分发名单来自 (From)日期电话/ 传真给 (To)操作*截止日期电话/ 传真审核*操作类型：批准,复审,通知,存档,所需行动,参加会议,其它 (请指明 )版本历史信息版本编号版本日期创建/修改人说明文件名V1.02006-4-25石骁騑创建文档V1.12006-5-10石骁騑增加OS方面的一些安全实施方案注意事项本报告中的观点和决定都不代表任何官方立场。它仅用于交流科技信息。中国网通（集团）有限公司山东省分公司：简称山东网通；中国惠普有限公司：以下简称中国惠普，或HP；本文中所有内容均属山东网通和HP的商业秘密。未经允许，不得作任何形式的复制和传播。目录1文档介绍41.1摘要41.2客户受益41.3责任人42需求概述53实施方案63.1限制root用户方法63.2对主机的控制访问63.3设置密码规范73.4锁定系统默认账号83.5超时设置83.6Umask83.7不用服务端口关闭93.8设置信任模式101 文档介绍1.1 摘要中国网通内控要求，对于承载关键业务系统的主机的访问进行有效控制，本文档详细描述了惠普主机实现访问控制的详细步骤和方案。1.2 客户受益通过此文档，中国网通集团山东省分公司相关领导及技术专家能够清晰地了解实现惠普主机访问控制的详细实施方案和步骤，可以根据此文档修改相关惠普主机的安全性。1.3 责任人角色姓名职务日期签字备注起草人石骁騑战略客户服务经理2006年4月25日复审人郑恂战略客户服务部华北区经理2006年4月25日若您对本文档存在任何疑问或建议，请联系中国惠普公司客户支持工程师石骁騑联系。电话13910775061电子邮件： 山东网通 &中国惠普保密文件页号： 11 of 112 需求概述中国网通内控项目要求，对承载关键业务系统的小型机访问控制如下：q 远程用户不能通过root用户直接访问主机，只能在consloe平台下使用root用户，普通用户登录后，可以通过Su的方法使用root用户的权限；q 限制只有某些固定的IP地址可以访问某台小型机；q 设置密码规范，格式如下：- 密码格式：由数字、字母和符号组成- 无效登录次数：3次无效登录- 历史密码记忆个数：8-12个- 密码修改期限：90天- 密码长度：最小6位q 锁定系统默认账号- 对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定q 超时设置- 10分钟超时设置q Umask- 超级用户027- 一般用户022q 不用服务端口关闭- 在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，如FTP, www, telnet, rsh or rexec3 实施方案3.1 限制root用户方法UNIX系统中，计算机安全系统建立在身份验证机制上。如果root口令失密，系统将会受到侵害，尤其在网络环境中，后果更不堪设想。因此限制用户root远程登录，对保证计算机系统的安全，具有实际意义。下面的方法能达到限制root远程登录的目的。限制root用户通过telnet登录：echo console /etc/securetty限制root用户通过ssh登录：编辑/opt/ssh/etc/sshd_config：PermitRootLogin no重启sshd:/sbin/init.d/secsh stop/sbin/init.d/secsh start需要注意的是，设置此项后，root将不能远程使用telnet/ssh登录，因此在设置之前应进行良好的规划。3.2 对主机的控制访问对于某关键业务系统主机，只容许某几个IP地址访问该系统主机，实现方法如下：阻止telnet，rlogin等服务访问某个主机，修改/var/adm/inetd.sec 文件，在该文件中的每一行包含一个服务名称，权限域（容许或者拒绝），Internet地址或者主机的名称或网络名称。该文件中的每项格式如下： 例如： telnet allow 10.3-5 ahost anetwork上面的该语句表示 容许下面的主机使用telnet访问系统：q 网络10.3到10.5的主机q IP地址为的主机q 名称为ahost的主机q 网络anetwork中的所有主机mountd deny 该语句表示主机IP地址为 不能存取NFS rpc.mountd 服务器。需要注意的是网络名称和主机名称必须是官方名称，不能是别名(Aliases)。3.3 设置密码规范q 密码规范要求：- 密码格式：由数字、字母和符号组成- 无效登录次数：3次无效登录（信任模式下）- 历史密码记忆个数：8-12个- 密码修改期限：90天（信任模式下）- 密码长度：最小6位（默认即为6位）q 实施方法：需要注意的是对于密码规范的设置，部分需要在信任模式下进行，关于如何将OS转换为信任模式，参见3.8节。转换为信任模式不需要重新启动系统，如果客户有应用直接读取OS的用户名称等，则可能会对该应用有影响。启动sam：Auditing and Security -System Security Policies选择各项进行相应的安全设置：- Password Aging Policies- General User Account Policies （可设置无效登录次数，root用户最好和其他用户分开设置）- Terminal Security Policies或者，通过命令行/usr/lbin/modprpw也可以完成类似的工作编辑/etc/default/security文件，可以设置密码长度（HP UNIX默认即为6位）MIN_PASSWORD_LENGTH=6PASSWORD_HISTORY_DEPTH=8 历史密码记忆个数3.4 锁定系统默认账号q 需求：对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定q 实施方法：在信任模式下，启动sam，对相应需要锁定的账号进行锁定。在普通模式下，默认这些用户即为锁定。3.5 超时设置q 需求- 10分钟超时设置q 实施方法：编辑/etc/profile文件：TMOUT=600; export TMOUT3.6 Umaskq 需求- 超级用户027- 一般用户022q 实施方法：对于一般用户，在/etc/profile文件中：umask 022对于超级用户，在root的.profile文件中：umask 0273.7 不用服务端口关闭q 需求- 在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，如FTP, www, telnet, rsh or rexecq 实施方法：编辑/etc/inetd.conf文件，注释不需要的服务的行，然后执行：inetd -c通常inetd可能启动的服务有：telnet (tcp 23)ftp (tcp 21)login (tcp 513)shell (tcp 514)exectftpntalkprinterdaytime (udp & tcp)timeecho (udp & tcp)discard (udp & tcp)chargen (udp & tcp)kshellklogindtspcrpc.ttdbserverrpc.cmsdswatregistrarrecservinstl_bootsident (tcp 113) (cmviewcl需要该服务)hacl-probe (tcp 5303)hacl-cfg (tcp & udp 5302)bpcd (tcp 13782)vnetd (tcp 13724)vopied (tcp 13783)bpjava-msvc (tcp 13722)其中大部分的服务可以关闭，以下的服务可能会用到：telnet/ftp通常用来管理，建议使用ssh代替。rlogin/remsh通常用在双机环境中或用来管理。对于前者，需要设置网络访问控制策略限制对于rlogin/remsh的访问；对于后者，建议使用ssh代替；MC/SG双机使用的服务；ident (tcp 113)hacl-probe (tcp 5303)hacl-cfg (tcp & udp 5302)3.8 设置信任模式信任模式增加了以下的安全特性：q 口令放置在单独的、只有root用户可读写的文件中；q 口令可以选取8位以上（System Security