UNIX主机访问安全控制

1、unix主机访问安全控制方案目录1 翊侧31.1 摘 s:32 誠職43 錢旅53.1 限制用户方法53.1.1 hp的实现方法53.1.2 旧m的实现方法63.2 对主机的控制访问73.2.1 hp的实现方法73.2.2 旧m的实现方法83.3 设置密码规范93.3.1 hp的实现方法93.3.2 ibm的实现方法113.4 锁定系统默认账号113.4.1 hp的实现方法113.4.2 ibm的实现方法123.5 超时设s123.5.1 hp的实现方法123.5.2 旧m的实现方法123.6 umask133.6.1 hp的实现方法133.6.2 ibm的实现方法133.7 不川服务端口关w

2、及检测方法133.7.1 hp的实现方法133.7.2 ibm的实现方法153.8 没置信任模式及影响153.8.1 hp的实现方法153.8.2 旧m的实现方法163.9 些特殊的密码管理方法163.9.1 hp的实现方法163.9.2 ibm的实现方法163.10 安装及使川ssh163.11 hpux 停止 xwindows 服务174 麵建i义171文档介绍1.1摘要本文档详细描述丫 ibm和hp小型机实现访问控制的详细步骤和方案，在此将两家公司对同一需求 的实现方法放在同一处，这样便于比较两者的异同，可能对于学习研究两种不同的unix系统较有裨益hp的实施方法，在没有特别说明的情况下

3、，均可在非信任模式下实现。2需求概述要求对承载关键业务系统的小型机访问控制如下：远程川户不能通过root川户直接访问主机，只能在consloe平台下使川root用户，限制只有 某个普通用户，比如smol，可以通过su的方法登陆root用户;限制或允许只有某些w定的ip地址可以访问某台小型机；设置密码规范，格式如下：-密码格式：由数字、字母和符号组成 -无效登录次数：6次无效登录 -历史密码记忆个数：8-1 2个 -密码修改期限：90大-密码长度:最小6位 锁定系统默认账号-系统默汄帐号(例如：daemon, bin, sys, adm, ip, smtp, uucp, nuucp, liste

4、n, nobody, noaccess, guest, nobody, ipd )进行锁定超时设置-1分钟超时设置 umask-超级用户027 -一般用户022不用服务端u关闭-在 /etc/services 和 /etc/inetd.conf 里，对不用的服务端口关闭，包括 ftp，www, telnet, rsh 和 rexec3实施方案3.1限制用户方法unix系统屮，计算机安全系统建立在身份验证机制上。如果用户帐号口令失密，系统将会受到佼杏,尤其在网络环境中，后果更不堪设想。因此限制用root和其他用广远程登录，对保证计算机系统的安 全，具有实际意义。3.1.1 hp的实现方法.限制r

5、oot用户通过telnet登录:echo "console" >/etc/securetty二. 限制root用户通过ssh登录：编辑/opt/ssh/etc/sshd_config:permitrootlogin no重启sshd:/sbin/init.d/secsh stop /sbin/init.d/secsh start需要注意的是，设置root将不能远程使用telnet/ssh登录，因此在设置之前应进行良好 的规划。对现宥系统的影响：对于系统及应川软件的运行没宥任何影响，似root川户不能通过远程方 式登录，只能通过终端4:本地登录。三. 限制普通用户通过t

6、elnet登陆主机1. 创建/etc/notlogin文件，在文件巾加入要限制的用户名，每一行一个用户名。2. 在/etc/profile 中加入：namel = 'grep 5locname /etc/notlogin'name2=' logname'if "sname1" = "$name2"then echo "you are not allowed to login in!"exitfi耑要说明的是，这种方法对xmanage等xwindow图形登陆软件无效。对现存系统的影响：对于系统及应用软件的

7、运行没有任何影响，但所杏用户不能通过远程方式 登录，只能通过终端在木地登录或使用ssh软件进行远程登录。四. 限制只有smol用户可su到rootroot执行以k脚本：groupadd -g 600 surootuseradd -u 600 -g suroot -c suroot -d /home/smol -s /usr/bin/shsmolpasswd smolecho "su_root_group=suroot”/etc/default/securityecho "console”/etc/security对现冇系统的影响：对于系统及应用软件的运行没冇任何影响。三.限

8、制某个用户通过ftp登录主机：编辑/etc/ftpd/ftpusers文件，在新行中输入该用户的名称即可;在hp_ux 11 .x之前，该 文件名称为/etc/ftpusers。对现侖系统的影响：对于系统及应用软件的运行没有任何影响。最好的方法是在 /etc/inetd.conf屮将该服务屏蔽。远程文什传输可通过ssh替代。3.1.2旧m的实现方法一. 限制root用户通过telnet/rlogin s录:chuser rlogin=false root同样的方法可限制普通川户二. 限制只有smol用户可su到root：1. 指定smol用户属于临时创建的admin用户组。chuser gro

9、ups=admin smol2. 指定能su到root的用户组，由于admin组只冇一个名为smol的用户，则仅冇smol 能 su 到 root。chuser subgroups=admin root3. 以上可用脚本实现：mkgroup id=600 adminmkuser id=600 groups=admin home=/home/sm01 shell=/usr/bin/ksh smol passwd smolchuser sugroups=admin root三. 限制某个用通过ftp登录主机：编辑/etc/ftpusers文什，在新行屮输入该用户的名称即可。3.2对主机的控制访问对

10、于某关键业务系统主机，h允许成限制某几个ip地址访问该系统主机3.2.1 hp的实现方法允许telnet，rlogin等服务访问某个主机，修改/var/adm/inetd.sec文件，在该文件中的每一行 包含一个服务名称，权限域（容许或者拒绝），internet地址或者主机的名称或网络名称。该文件中的每项格式如下：service name<allow/deny> <host/network addresses, host/network names例如：telnet allow 10.3-5 1 ahost anetwork上而的该语句表示容许下而的主机

11、使用telnet访问系统： 网络10.3到10.5的主机 ip地址为1 的主机 名称为"ahost"的主机 m络"a n e t wo r k"中的所冇主机mountd deny 该语句表示主机ip地址为不能存取nfs rpc.mountd服务器。需要注意的是网络名称和主机名称必须是宫方名称，不能是别名(aliases)。对现柯系统的影响：对于系统及应用软件的运行没有任何影响。如果在/etc/inetd.conp|该服务 屏蔽后，则上述步骤可以忽略。3.2.2旧m的实现方法只允许或限制某儿个ip

12、地址访问该系统主机，步骤为：1. 确定安装了 .ipsec.* （在aix 4.3和51都有,一般默认情况下已安装）*软件包2. 启动ip security服务smit ipsec4>start/stop ip security一start ip security回车立即启动服务。3. 进入配置菜单smit ipsec4 > advanced ip security configuration一configure ip security filter rules一add an ip security filter rule回车后兄示：add an ip security filte

13、r rule type or select values in entry fields.press enter after making all desired changes.entry fieldstop* rule action* ip source address* ip source maskip destination addressip destination mask* interfacepermit+55all4. 以上.例了为加入一条允许访问木机的规则。也可在rule action中输入deny,设为 限制访问，如

14、想限制10.0.0网段的所有机器访问本机，可分别在ip source address和ip source mask 输入 10.0.0.*和 3.3设置密码规范密码规范要求：-密码格式：由数字、字母和符号组成 -无效登录次数：6次无效登录 -历史密码记忆个数：8-1 2个-密码修改期限：90大 -密码长度：最小6位3.3.1 hp的实现方法需要注意的是对于密码规范的设置，部分需要在信任模式下进行，关于如何将os转换为信任模式，参见3.8节。转换为信任模式不諾耍重新启动系统，如果客户有应用直接读取os的用户名称等，贝何 能会对该应用有影响。一. 编辑/etc/defau

15、lt/security文件，可以设置密码长度（hp unix默认即为6位），如果该文件不存在，请使用vi创建该文什，该文件对所柯用户生效（除root外，root可以设置任何用户的密 码），并且系统无须转换为信任模式。min_password_length=6 -密码最小位数passw0rd_hist0ry_depth = 8 历史密码记忆个数password_maxdays=90 -密码修改期限passw0rd_min_l0wer_case_chars=2 -密码屮必须有两个小写字付password_min_special_chars=1 -密码中必须有一个特殊字符（乜括_等） passw0r

16、d_min_digit_chars=1 -密码中必须侖一个字符对现有系统的影响：对于系统及应用软件的运行没有任何影响。二. 转换成信任模式，更改全局性的川户密码属性。启动sam："auditing and security” ->"system security policies"选择各项进行相应的安全设置：-"password aging policies"-"general user account policies"（可设置无效登录次数，root用户最好和m:他用户分开设置）-"terminal sec

17、urity policies"或者，通过命令行/usr/lbin/modprpw-也可以完成类似的工作，以上须在信任模式下进行 对现奋系统的影响：对于系统及应川软件的运行没奋任何影响。三. 转换成信任模式后，更改单个用户的密码屈性。sam:“accounts for users and groups” -"users”选择用p名后选择 actionsmodify security policies可修改诸如“提示密码即将到期天数”，“密码的期限”等属性，但不能修改“密码包 括的最小字付数”等属性。对现有系统的影响：对于系统及应用软件的运行没有任何影响。3.3.2旧m的实现方

18、法可用命令实现，如下：chuser histexpire=26 histsize=20 minlen=6 maxage=l 2 minalpha=2 minother=2 pwdwarntime=l 0 mindiff=4 loginretries=6 usernamehistexpire=26 在6个月（26周）内不允许秉新使用以前使用过的密码，密码个数由histsize指定histsize=8 历史密码记忆个数minlen=6 密码足小位数 maxage=12 密码修改期限（1 2周）minalpha=2 密码中最少也两个字母（无论人小写） minother=2 密码中最少有两个非字付字符

19、pwdwarntime=l 0 密奶到期前10天，用户登陆时提示密码即将到期mindiff=4 与上一次使用的密码最少有4个字符不一样 loginretries=6 最后一次成功登陆后，如果失败的登陆企图超过6次，该用户帐号将被锁3.4锁定系统默认账号需求：对系统默认帳号（例如：daemon, bin, sys, adm, ip, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, ipd ）进行锁定3.4.1 hp的实现方法在信任模式下，启动sam,对相应需要锁定的账号进行锁定。在咎通模式下，也付以使用下而的命令锁定账号:#

20、passwd -i username3.4.2旧m的实现方法对于普通用户：chuser account_locked=true username对于bin,sys等系统默认帐号，在/etc/passwd文件屮显示： bin:!:2:2:/bin:在/etc/security/passwd 中显示:bin:password = *号表示该帐号密码设置不当，虽然其属性accountocked=false，但实际该用户帐号不能登陆, 系统默认帐号无需通过chuser命令锁定。3.5超时设置需求-1分钟超时设置3.5.1 hp的实现方法编辑/etc/profile 文件:readonly tmout=

21、60; export tmoutreadonly控制tmout不能被用户任意修改。对现有系统的影响：对于系统及应用软件的运行没有任何影响，如果超过60s没有操作的话，请重新 登录。3.5.2旧m的实现方法与hp的实现方法相同，如某川户想单独设定tl己的超吋参数，可在川户的.profile屮输入相同语句。3.6 umask需求-超级用户027 一般用户0223.6.1 hp的实现方法对于一般用户，在/etc/profile文件中: umask 022对于超级用户，在root的.profile文件中: umask 027对现宥系统的影响：对于操作系统及应川软件的当前运行没宥任何影响。似是，当以上设

22、置与上层应用软件(oracle，sybase, cics )的umask设置要求存在冲突时，以上戾软什的umask要求为准03.6.2旧m的实现方法系统默认umask为022,吋通过和hp相同的方法实现3.7不用服务端口关闭及检测方法需求-在 /etc/services 和 /etc/inetd.conf 里，对不用的服务端口关闭，如 ftp, www, telnet, rsh or rexec3.7.1 hp的实现方法编辑/etc/inetd.conf文件，注释不需要的服务的行，然后执行: inetd -c通常inetd可能启动的服务有： telnet (tcp 23) ftp (tcp 2

23、1)login (tcp 51 3) shell (tcp 514)exectftpntalkprinterdaytime (udp & tcp) timeecho (udp & tcp) discard (udp & tcp) chargen (udp & tcp) kshellklogindtspcrpc.ttdbserverrpc.cmsdswatregistrarrecservinstlbootsident (tcp 11 3) (cmviewcl 需要该服务)hacl-probe (tcp 5303)hacl-cfg (tcp & udp 53

24、02)bpcd (tcp 13782)vnetd (tcp 1 3724)vopied (tcp 1 3783)bpjava-msvc (tcp 1 3722)其中大部分的服务可以关闭，以下的服务可能会用到: telnet/ftp通常用来管理，建议使用ssh代替。rlogin/remsh通常川在双机环境屮或川来管理。对于前者，需要设置m络访问控制策略限制对于rlogin/remsh的访问；对于后者，建议使用ssh代替；mc/sg双机使用的服务； ident (tcp 11 3) hacl-probe (tcp 5303)hacl-cfg (tcp & udp 5302)对现有系统的影响

25、：根裾应用程序的要求而定 检测方法：可利用netstat -a观察相应的服务是否关闭/etc/inetd.conf作为一个配置文件，控制系统启动吋启用的服务，可以通过/etc/inetd.conf 的复制实现快速的服务启动、关闭控制。3.7.2旧m的实现方法对于不使川的服务，可通过smitty stopserver 实现命令行：stopsrc -t subserver.type3.8设置信任模式及影响3.8.1 hp的实现方法信任模式增加了以下的安企特性. 口令放置在单独的、只有root用户可读写的文件中； 口令可以选取8位以上(<80)；可以设置更多的口令与登录属性； 可以进行审汁(a

26、udit)。通过sam可以很容易的转换到信任模式，或者从信任模式回退到标准模式。转换到信任模式，启动sam:'auditing and security"-system security policies"系统将会提示转换为信任模式，按照提示进行即可；如果系统内用户数量较多（50）,则转换过 程可能持续几分钟 回退到标准模式，启动sam:"auditing and security"-"audited events" -> "actions" -> "unconvert the sys

27、tem”或者通过命令行：/usr/lbin/tsconvert （转换到信任模式）/usr/lbin/tsconvert -r （回退）对现有系统的影响：转化为trust方式后，如果以前的用p 口令大于8位，则只输入前8位，否 则将无法登录。3.8.2旧m的实现方法无所谓的倍任模式，以上安全访问控制功能都可在默汄情况卜实现。3.9 些特殊的密码管理方法3.9.1hp的实现方法暂无3.9.2旧m的实现方法1. 在不更改川广密码的前提卜登陆川户只需要输入另一个川户的u1令如登陆patrol用户只需输入smol的密码，可运行以下命令： chuser “authl=system;smol” patrol以patrol用户登陆时系统会提示输