HPUnix安全配置风险评估检查表

1、HP-UNIX 系统安全配置基线目 录第1章概述11.1目的11.2适用范围11.3适用版本1第2章账户管理、认证授权22.1账号2默认账号2远程登录限制2账号清理32.2口令3口令强度要求3口令生存周期要求3口令历史安全要求4登录失败安全要求4默认访问权限安全要求52.2.6 FTP访问安全要求5第3章审计功能配置63.1审计日志6审计日志功能6第4章IP协议安全配置要求74.1IP协议7远程维护协议安全7第5章设备其他安全配置要求85.1访问控制85.1.1 应用层访问控制85.1.2 引导身份验证85.2服务95.2.1 服务安全要求9第1章 概述1.1 目的本文档规定了HP-Unix

2、操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行HP-UNIX 操作系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3 适用版本HP-UNIX系列服务器；第2章 账户管理、认证授权2.1 账号默认账号安全基线项目名称操作系统HPUnix缺省账户安全基线要求项安全基线编号SBL-HPUnix-02-01-01 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。检测操作步骤执行cat /etc/shadow基线符合性判定

3、依据需要锁定的用户：lp,nuucp,hpdb,www,demon。备注远程登录限制安全基线项目名称操作系统HPUnix远程登录安全基线要求项安全基线编号SBL-HPUnix-02-01-02 安全基线项说明 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。检测操作步骤root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；基线符合性判定依据root远程登录不成功，提示“Not on system console”；普通用户可以登录成

4、功，而且可以切换到root用户备注账号清理安全基线项目名称操作系统HPUnix远程登录安全基线要求项安全基线编号SBL-HPUnix-02-01-03 安全基线项说明 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。检测操作步骤远程登录；基线符合性判定依据禁止交互登录的系统账号， www sys smbnull iwww owww sshd hpsmh named uucp nuucp adm daemon bin lp nobody noaccess hpdb useradm.被禁止账号交互式登录的帐户

5、远程登录不成功备注2.2 口令口令强度要求安全基线项目名称操作系统HPUnix口令强度安全基线要求项安全基线编号SBL-HPUnix-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤cat /etc/default/security；基线符合性判定依据创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。备注口令生存周期要求安全基线项目名称操作系

6、统HPUnix口令生存周期安全基线要求项安全基线编号SBL-HPUnix-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。并且7天内不得更改密码。检测操作步骤使用超过90天的帐户口令登录；基线符合性判定依据登录不成功备注口令历史安全要求安全基线项目名称操作系统HPUnix口令历史安全基线要求项安全基线编号SBL-HPUnix-02-02-03 安全基线项说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。检测操作步骤cat /etc/default/passwd 基线符合性判定依据HISTORY5

7、备注登录失败安全要求安全基线项目名称操作系统HPUnix登录失败安全基线要求项安全基线编号SBL-HPUnix-02-02-04 安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步骤创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）；基线符合性判定依据帐户被锁定，不再提示让再次登录；备注默认访问权限安全要求安全基线项目名称操作系统HPUnix默认访问权限安全基线要求项安全基线编号SBL-HPUnix-02-02-05 安全基线项说明 控制用户缺省访问权限，当在创建新文

8、件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/default/login 基线符合性判定依据查看是否有umask 027内容；备注 FTP访问安全要求安全基线项目名称操作系统HPUnix FTP访问权限安全基线要求项安全基线编号SBL-HPUnix-02-02-06 安全基线项说明 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。检测操作步骤ca

9、t /etc/ftpuser基线符合性判定依据在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodyhpdbuseradm备注第3章 审计功能配置3.1 审计日志审计日志功能安全基线项目名称操作系统HPUnix 审计日志安全基线要求项安全基线编号SBL-HPUnix-03-01-01 安全基线项说明 设备应配置日志功能，记录对与设备相关的安全事件。检测操作步骤cat /etc/syslog.conf基线符合性判定依据配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/mes

10、sages定义为需要保存的设备相关安全事件。查看/var/adm/messages，记录有需要的设备相关的安全事件。备注第4章 IP协议安全配置要求4.1 IP协议远程维护协议安全安全基线项目名称操作系统HPUnix 远程维护协议安全基线要求项安全基线编号SBL-HPUnix-04-01-01 安全基线项说明 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。检测操作步骤查看SSH服务状态：# ps elf|grep ssh查看telnet服务状态：# ps elf|grep telnet基线符合性判定依据# ps elf|grep ssh是否有ssh进程存在备注第5章 设备

11、其他安全配置要求5.1 访问控制 应用层访问控制安全基线项目名称操作系统HPUnix 应用层访问控制安全基线要求项安全基线编号SBL-HPUnix-05-01-01 安全基线项说明 应该从应用层面进行必要的安全访问控制，比如FTP服务器应该限制ftp可以使用的目录范围。检测操作步骤root帐户从远程访问查看文件ftpaccess，基线符合性判定依据ftpaccess中应用如下一行restricted-uid *(限制所有用户)，root访问被禁止或被限制；备注 引导身份验证安全基线项目名称操作系统HPUnix 引导身份验证安全基线要求项安全基线编号SBL-HPUnix-05-01-02 安全基

12、线项说明 使用引导身份验证功能防止未经授权的访问检测操作步骤cat /etc/default/security|grep BOOT基线符合性判定依据包含如下类似配置：BOOT_AUTH=1BOOT_USERS=root,mary,jack,amy,jane备注5.2 服务 服务安全要求安全基线项目名称操作系统HPUnix 服务安全基线要求项安全基线编号SBL-HPUnix-05-02-01 安全基线项说明 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检测操作步骤cat /etc/inet/inetd.confcat /etc/inet/services基线符合性判定依据在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。echo discard daytime chargen dtspc exec ntalk finger uucp