移动HPUnix安全配置基线

1、 hp-unix 安全配置基线第 1 页 共 13 页hp-unixhp-unix 系统安全配置基线系统安全配置基线中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部2009 年 3 月 hp-unix 安全配置基线第 2 页 共 13 页版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人v1.0创建2009 年 1 月备备注：注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 hp-unix 安全配置基线第 3 页 共 13 页目目 录录第第 1 章章概述概述.11.1目的.11.2适用范围.11.3适用版本.11.4实施

2、.11.5例外条款.1第第 2 章章账户管理、认证授权账户管理、认证授权.22.1账号.22.1.1默认账号.22.1.2远程登录限制.22.1.3账号清理.32.2口令.32.2.1口令强度要求.32.2.2口令生存周期要求.32.2.3口令历史安全要求.42.2.4登录失败安全要求.42.2.5默认访问权限安全要求.52.2.6 ftp访问安全要求.5第第 3 章章审计功能配置审计功能配置.63.1审计日志.63.1.1审计日志功能.6第第 4 章章ip 协议安全配置要求协议安全配置要求.74.1ip 协议.74.1.1远程维护协议安全.7第第 5 章章设备其他安全配置要求设备其他安全配置

3、要求.85.1访问控制.85.1.1 应用层访问控制.85.1.2 引导身份验证.85.2服务.95.2.1 服务安全要求.9第第 6 章章评审与修订评审与修订.10 hp-unix 安全配置基线第 1 页 共 13 页第第 1 章章概述概述1.1 目的目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 hp-unix 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行 hp-unix 操作系统的安全合规性检查和配置。1.2 适用范围适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中

4、国移动总部和各省公司信息化部门维护管理的 hp-unix 服务器系统。1.3 适用版本适用版本hp-unix 系列服务器；1.4 实施实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。 hp-unix 安全配置基线第 2 页 共 13 页第第 2 章章账户管理、认证授权账户管理、认证授权2.1 账号账号2.1.1 默认账号默认账号安全基线项安全基线项目名称目名称操作系

5、统 hpunix 缺省账户安全基线要求项安全基线编安全基线编号号sbl-hpunix-02-01-01 安全基线项安全基线项说明说明 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括 root,bin 等。检测操作步检测操作步骤骤执行 cat /etc/shadow基线符合性基线符合性判定依据判定依据需要锁定的用户：lp,nuucp,hpdb,www,demon。备注备注2.1.2 远程登录限制远程登录限制安全基线项安全基线项目名称目名称操作系统 hpunix 远程登录安全基线要求项安全基线编安全基线编号号sbl-hpunix-02-01-02 安全基线项安全基

6、线项说明说明 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。检测操作步检测操作步骤骤root 从远程使用 telnet 登录；普通用户从远程使用 telnet 登录；root 从远程使用 ssh 登录；普通用户从远程使用 ssh 登录；基线符合性基线符合性判定依据判定依据root 远程登录不成功，提示“not on system console” ；普通用户可以登录成功，而且可以切换到 root 用户备注备注 hp-unix 安全配置基线第 3 页 共 13 页2.1.3 账号清理账号清理安全基线项安全基线

7、项目名称目名称操作系统 hpunix 远程登录安全基线要求项安全基线编安全基线编号号sbl-hpunix-02-01-03 安全基线项安全基线项说明说明 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。检测操作步检测操作步骤骤远程登录；基线符合性基线符合性判定依据判定依据禁止交互登录的系统账号， www sys smbnull iwww owww sshd hpsmh named uucp nuucp adm daemon bin lp nobody noaccess hpdb useradm.被禁止账号

8、交互式登录的帐户远程登录不成功备注备注2.2 口令口令2.2.1 口令强度要求口令强度要求安全基线项安全基线项目名称目名称操作系统 hpunix 口令强度安全基线要求项安全基线编安全基线编号号sbl-hpunix-02-02-01 安全基线项安全基线项说明说明 对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。检测操作步检测操作步骤骤cat /etc/default/security；基线符合性基线符合性判定依据判定依据创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 6 位的口令，查看系

9、统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。备注备注2.2.2 口令生存周期要求口令生存周期要求安全基线项安全基线项操作系统 hpunix 口令生存周期安全基线要求项 hp-unix 安全配置基线第 4 页 共 13 页目名称目名称安全基线编安全基线编号号sbl-hpunix-02-02-02 安全基线项安全基线项说明说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于 90 天。并且7 天内不得更改密码。检测操作步检测操作步骤骤使用超过 90 天的帐户口令登录；基线符合性基线符合性判定依据判定依据登录不成功备注备注2.2.3 口令

10、历史安全要求口令历史安全要求安全基线项安全基线项目名称目名称操作系统 hpunix 口令历史安全基线要求项安全基线编安全基线编号号sbl-hpunix-02-02-03 安全基线项安全基线项说明说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5 次（含 5 次）内已使用的口令。检测操作步检测操作步骤骤cat /etc/default/passwd 基线符合性基线符合性判定依据判定依据history5备注备注2.2.4 登录失败安全要求登录失败安全要求安全基线项安全基线项目名称目名称操作系统 hpunix 登录失败安全基线要求项安全基线编安全基线编号号sbl-hpunix

11、-02-02-04 安全基线项安全基线项说明说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6次（不含 6 次） ，锁定该用户使用的账号。检测操作步检测操作步骤骤创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录 6 次以上（不含 6 次） ；基线符合性基线符合性判定依据判定依据帐户被锁定，不再提示让再次登录；备注备注 hp-unix 安全配置基线第 5 页 共 13 页2.2.5 默认访问权限安全要求默认访问权限安全要求安全基线项安全基线项目名称目名称操作系统 hpunix 默认访问权限安全基线要求项安全基线编安全基线编号号sbl-hpun

12、ix-02-02-05 安全基线项安全基线项说明说明 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步检测操作步骤骤查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录 dir 的权限#cat /etc/default/login 基线符合性基线符合性判定依据判定依据查看是否有 umask 027 内容；备注备注2.2.6 ftp 访问安全要求访问安全要求安全基线项安全基线项目名称目名称操作系统 hpunix ftp 访问权限安全基线要求项安全基线编安全

13、基线编号号sbl-hpunix-02-02-06 安全基线项安全基线项说明说明 控制 ftp 进程缺省访问权限，当通过 ftp 服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。检测操作步检测操作步骤骤cat /etc/ftpuser基线符合性基线符合性判定依据判定依据在这个列表里边的用户名是不允许 ftp 登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodyhpdbuseradm备注备注 hp-unix 安全配置基线第 6 页 共 13 页第第 3 章章审计功能配置审计功能配置3.1 审计日志审计日志3.1.1 审计日志功能审计日志功能安

14、全基线项安全基线项目名称目名称操作系统 hpunix 审计日志安全基线要求项安全基线编安全基线编号号sbl-hpunix-03-01-01 安全基线项安全基线项说明说明 设备应配置日志功能，记录对与设备相关的安全事件。检测操作步检测操作步骤骤cat /etc/syslog.conf基线符合性基线符合性判定依据判定依据配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。查看/var/adm/messages，记录有需要的设备相关的安全事件。备注备注 hp-unix 安全配置基线第 7 页 共 13

15、页第第 4 章章ip 协议安全配置要求协议安全配置要求4.1 ip 协议协议4.1.1 远程维护协议安全远程维护协议安全安全基线项安全基线项目名称目名称操作系统 hpunix 远程维护协议安全基线要求项安全基线编安全基线编号号sbl-hpunix-04-01-01 安全基线项安全基线项说明说明 对于使用 ip 协议进行远程维护的设备，设备应配置使用 ssh 等加密协议。检测操作步检测操作步骤骤查看 ssh 服务状态：# ps elf|grep ssh查看 telnet 服务状态：# ps elf|grep telnet基线符合性基线符合性判定依据判定依据# ps elf|grep ssh是否有

16、 ssh 进程存在备注备注 hp-unix 安全配置基线第 8 页 共 13 页第第 5 章章设备其他安全配置要求设备其他安全配置要求5.1 访问控制访问控制5.1.1 应用层访问控制应用层访问控制安全基线项安全基线项目名称目名称操作系统 hpunix 应用层访问控制安全基线要求项安全基线编安全基线编号号sbl-hpunix-05-01-01 安全基线项安全基线项说明说明 应该从应用层面进行必要的安全访问控制，比如 ftp 服务器应该限制 ftp 可以使用的目录范围。检测操作步检测操作步骤骤root 帐户从远程访问查看文件 ftpaccess，基线符合性基线符合性判定依据判定依据ftpacce

17、ss 中应用如下一行 restricted-uid *(限制所有用户)，root 访问被禁止或被限制；备注备注5.1.2 引导身份验证引导身份验证安全基线项安全基线项目名称目名称操作系统 hpunix 引导身份验证安全基线要求项安全基线编安全基线编号号sbl-hpunix-05-01-02 安全基线项安全基线项说明说明 使用引导身份验证功能防止未经授权的访问检测操作步检测操作步骤骤cat /etc/default/security|grep boot基线符合性基线符合性判定依据判定依据包含如下类似配置：boot_auth=1boot_users=root,mary,jack,amy,jane备

18、注备注 hp-unix 安全配置基线第 9 页 共 13 页5.2 服务服务5.2.1 服务安全要求服务安全要求安全基线项安全基线项目名称目名称操作系统 hpunix 服务安全基线要求项安全基线编安全基线编号号sbl-hpunix-05-02-01 安全基线项安全基线项说明说明 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检测操作步检测操作步骤骤cat /etc/inet/inetd.confcat /etc/inet/services基线符合性基线符合性判定依据判定依据在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。echo discard daytime chargen dtspc exec ntalk finger