移動HP-Unix安全配置基線

HP-UNIX 安全配置基線 第 1 頁 共 13 頁 HP-UNIX 系統(tǒng) 安全 配置 基線 中國移動 通信有限 公司 管理信息系統(tǒng)部 2009 年 3 月 HP-UNIX 安全配置基線 第 2 頁 共 13 頁 版本 版本控制信息 更新日期 更新 人 審批人 V1.0 創(chuàng)建 2009 年 1 月 備注 ： 1. 若 此文檔需要日后更新，請創(chuàng)建人 填寫版本控制表格，否則刪除版本控制表格。 HP-UNIX 安全配置基線 第 3 頁 共 13 頁 目 錄 第 1 章 概述 .1 1.1 目的 .錯誤 !未定義書簽。 1.2 適用范圍 .錯誤 !未定義書簽。 1.3 適用版本 .錯誤 !未定義書簽。 1.4 實施 .錯誤 !未定義書簽。 1.5 例外條款 .錯誤 !未定義書簽。 第 2 章 賬戶管理、認(rèn)證授權(quán) .2 2.1 賬號 . 2 2.1.1 默認(rèn)賬號 .2 2.1.2 遠(yuǎn)程登錄限制 .2 2.1.3 賬號清理 .3 2.2 口令 . 3 2.2.1 口令強(qiáng)度要求 .3 2.2.2 口令生存周期要求 .3 2.2.3 口令歷史安全要求 .4 2.2.4 登錄失敗安全要求 .4 2.2.5 默認(rèn)訪問權(quán)限安全要求 .5 2.2.6 FTP 訪問安全要求 .5 第 3 章 審計功能配置 .6 3.1 審計日志 . 6 3.1.1 審計日志功能 .6 第 4 章 IP 協(xié)議安全配置要求 .7 4.1 IP 協(xié)議 . 7 4.1.1 遠(yuǎn)程維護(hù)協(xié)議安全 .7 第 5 章 設(shè)備其他安全配置要求 .8 5.1 訪問控制 . 8 5.1.1 應(yīng)用層訪問控制 .8 5.1.2 引導(dǎo)身份驗證 .8 5.2 服務(wù) . 9 5.2.1 服務(wù)安全要求 .9 第 6 章 評審與修 訂 . 10 HP-UNIX 安全配置基線 第 1 頁 共 13 頁 第 1章 概述 1.1 目的 本文檔規(guī)定了 中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的 HP-Unix 操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員 或安全檢查人員 進(jìn)行 HP-UNIX 操作系統(tǒng)的安全 合規(guī)性檢查和配置 。 1.2 適用范圍 本 配置標(biāo)準(zhǔn) 的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。 本 配置標(biāo)準(zhǔn) 適用的范圍包括： 中國移動總部和各省公司信息化部門維護(hù)管理 的HP-UNIX 服務(wù)器系統(tǒng)。 1.3 適用版本 HP-UNIX 系列服務(wù)器； 1.4 實施 本 標(biāo)準(zhǔn) 的解釋權(quán)和修改權(quán)屬于 中國移動集團(tuán)管理信息系統(tǒng)部 ，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。 本標(biāo)準(zhǔn) 發(fā)布之日起 生效。 1.5 例外條款 欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部 進(jìn)行審批備案。 HP-UNIX 安全配置基線 第 2 頁 共 13 頁 第 2章 賬戶管理、認(rèn)證授權(quán) 2.1 賬號 2.1.1 默認(rèn) 賬號 安全基線項目名稱 操作系統(tǒng) HPUnix 缺省賬戶安全基線要求項 安全基線編號 SBL-HPUnix-02-01-01 安全基線項說明 應(yīng)刪除或鎖定與設(shè)備運行、維護(hù)等工 作無關(guān)的 賬號 。系統(tǒng)內(nèi)存在不 可刪除的內(nèi)置 賬號 ，包括 root,bin 等。 檢測 操作步驟 執(zhí)行 cat /etc/shadow 基線符合性判定依據(jù) 需要鎖定的用戶： lp,nuucp,hpdb,www,demon。 備注 2.1.2 遠(yuǎn)程登錄限制 安全基線項目名稱 操作系統(tǒng) HPUnix 遠(yuǎn)程登錄 安全基線要求項 安全基線編號 SBL-HPUnix-02-01-02 安全基線項說明 限制具備超級管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級管理員權(quán)限 賬號 后執(zhí) 行相應(yīng)操作。 檢測 操作步驟 root 從遠(yuǎn)程使用 telnet 登錄； 普通用戶從遠(yuǎn)程使用 telnet 登錄； root 從遠(yuǎn)程使用 ssh 登錄； 普通用戶從遠(yuǎn)程使用 ssh 登錄； 基線符合性判定依據(jù) root 遠(yuǎn)程登錄不成功，提示“ Not on system console”； 普通用戶可以登錄成功，而且可以切換到 root 用戶 備注 HP-UNIX 安全配置基線 第 3 頁 共 13 頁 2.1.3 賬號清理 安全基線項目名稱 操作系統(tǒng) HPUnix 遠(yuǎn)程登錄安全基線要求項 安全基線編號 SBL-HPUnix-02-01-03 安全基線項說明 對系統(tǒng) 賬號 進(jìn)行登錄限制，確保系統(tǒng) 賬號 僅被守護(hù)進(jìn)程和服務(wù)使用，不應(yīng)直接由該 賬號 登錄系統(tǒng)。如果系統(tǒng)沒有應(yīng)用這些守護(hù)進(jìn)程或服務(wù)，應(yīng)刪除這些賬號 。 檢測 操作步驟 遠(yuǎn)程登錄； 基線符合性判定依據(jù) 禁止交互登錄的 系統(tǒng)賬號， www sys smbnull iwww owww sshd hpsmh named uucp nuucp adm daemon bin lp nobody noaccess hpdb useradm. 被禁止賬號交互式登錄的帳戶遠(yuǎn)程登錄不成功 備注 2.2 口令 2.2.1 口令 強(qiáng)度要求 安全基線項目名稱 操作系統(tǒng) HPUnix 口令強(qiáng)度 安全基線要求項 安全基線編號 SBL-HPUnix-02-02-01 安全基線項說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少 6 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號 4 類中至少 2 類。 檢測 操作步驟 cat /etc/default/security； 基線符合性判定依據(jù) 創(chuàng)建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于 6 位的口令，查看系統(tǒng)是否對口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是 否可以成功設(shè)置。 備注 2.2.2 口令生存周期要求 安全基線項目名稱 操作系統(tǒng) HPUnix 口令 生存周期 安全基線要求項 HP-UNIX 安全配置基線 第 4 頁 共 13 頁 安全基線編號 SBL-HPUnix-02-02-02 安全基線項說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備， 帳戶 口令的生存期不長于 90 天。 并且 7天內(nèi)不得更改密碼。 檢測 操作步驟 使用超過 90 天的帳戶口令登錄； 基線符合性判定依據(jù) 登錄不成功 備注 2.2.3 口令歷史安全要求 安全基線項目名稱 操作系統(tǒng) HPUnix 口令 歷史 安全基線要求項 安全基線編號 SBL-HPUnix-02-02-03 安全基線項說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5 次（含 5 次）內(nèi)已使用的口令。 檢測 操作步驟 cat /etc/default/passwd 基線符合性判定依據(jù) HISTORY 5 備注 2.2.4 登錄失敗安全要求 安全基線項目名稱 操作系統(tǒng) HPUnix 登錄失敗安全基線要求項 安全基線編號 SBL-HPUnix-02-02-04 安全基線項說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過 6次（不含 6 次），鎖定該用戶使用的 賬號 。 檢測 操作步驟 創(chuàng)建一個普通賬號，為其配置相應(yīng)的口令；并用新建的賬號通過錯誤的口令進(jìn)行系統(tǒng)登錄 6 次以上 （不含 6 次） ； 基線符合性判定依據(jù) 帳戶被鎖定，不再提示讓再次登錄； 備注 HP-UNIX 安全配置基線 第 5 頁 共 13 頁 2.2.5 默認(rèn)訪問權(quán)限安全要求 安全基線項目名稱 操作系統(tǒng) HPUnix 默認(rèn)訪問權(quán)限 安全基線要求項 安全基線編號 SBL-HPUnix-02-02-05 安全基線項說明 控制 用戶 缺省訪問權(quán)限 ， 當(dāng)在創(chuàng)建新文件或目錄時 應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。 防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件 或更高限制 。 檢測 操作步驟 查看新建的文件或目錄的權(quán)限，操作舉例如下： #ls -l dir ; #查看目錄 dir 的權(quán)限 #cat /etc/default/login 基線符合性判定依據(jù) 查看是否有 umask 027 內(nèi)容 ； 備注 2.2.6 FTP 訪問安全要求 安全基線項目名稱 操作系統(tǒng) HPUnix FTP 訪問權(quán)限安全基 線要求項 安全基線編號 SBL-HPUnix-02-02-06 安全基線項說明 控制 FTP 進(jìn)程 缺省訪問權(quán)限 ， 當(dāng)通過 FTP 服務(wù)創(chuàng)建新文件或目錄時應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。 檢測 操作步驟 cat /etc/ftpuser 基線符合性判定依據(jù) 在這個列表里邊的用戶名是不允許 ftp 登陸的。 root daemon bin sys adm lp uucp nuucp listen nobody hpdb useradm 備注 HP-UNIX 安全配置基線 第 6 頁 共 13 頁 第 3章 審計功能配置 3.1 審計日志 3.1.1 審計日志 功能 安全基線項目名稱 操作系統(tǒng) HPUnix 審計日志 安全基線要求項 安全基線編號 SBL-HPUnix-03-01-01 安全基線項說明 設(shè)備應(yīng)配置日志功能，記錄對與設(shè)備相關(guān)的安全事件。 檢測 操作步驟 cat /etc/syslog.conf 基線符合性判定依據(jù) 配置如下類似語句： *.err;kern.debug;daemon.notice; /var/adm/messages 定義為需要保存的設(shè)備相關(guān)安全事件。 查看 /var/adm/messages，記錄有需要的設(shè)備相關(guān)的安全事件。 備注 HP-UNIX 安全配置基線 第 7 頁 共 13 頁 第 4章 IP 協(xié)議安全配置要求 4.1 IP 協(xié)議 4.1.1 遠(yuǎn)程維護(hù)協(xié)議安全 安全基線項目名稱 操作系統(tǒng) HPUnix 遠(yuǎn)程維護(hù)協(xié)議 安全基線要求項 安全基線編號 SBL-HPUnix-04-01-01 安全基線項說明 對于使用 IP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議。 檢測 操作步驟 查看 SSH 服務(wù)狀態(tài)： # ps elf|grep ssh 查看 telnet 服務(wù)狀態(tài)： # ps elf|grep telnet 基線符合性判定依據(jù) # ps elf|grep ssh 是否有 ssh 進(jìn)程存在 備注 HP-UNIX 安全配置基線 第 8 頁 共 13 頁 第 5章 設(shè)備其他安全配置要求 5.1 訪問控制 5.1.1 應(yīng)用層訪問控制 安全基線項目名稱 操作系統(tǒng) HPUnix 應(yīng)用層 訪問控制 安全基線要求項 安全基線編號 SBL-HPUnix-05-01-01 安全基線項說明 應(yīng)該從應(yīng)用層面進(jìn)行必要的安全訪問控制 ， 比如 FTP 服務(wù)器應(yīng)該限制 ftp 可以使用的目錄范圍。 檢測 操作步驟 root 帳戶 從遠(yuǎn)程 訪問 查看文件 ftpaccess， 基線符合性判定依據(jù) ftpaccess 中應(yīng)用如 下一行 restricted-uid *(限制所有用戶 )， root 訪問被禁止或被限制； 備注 5.1.2 引導(dǎo)身份驗證 安全基線項目名稱 操作系統(tǒng) HPUnix 引導(dǎo)身份驗證 安全基線要求項 安全基線編號 SBL-HPUnix-05-01-02 安全基線項說明 使用引導(dǎo)身份驗證功能防止未經(jīng)授權(quán)的訪問 檢測 操作步驟 cat /etc/default/security|grep BOOT 基線符合性判定依據(jù) 包含 如下類似配置： BOOT_AUTH=1 BOOT_USERS=root,mary,jack,amy,jane 備注 HP-UNIX 安全配置基線 第 9 頁 共 13 頁 5.2 服務(wù) 5.2.1 服務(wù) 安全要求 安全基線項目名稱 操作系統(tǒng) HPUnix 服務(wù) 安全基線要求項 安全基線編號 SBL-HPUnix-05-02-01 安全基線項說明 列出所需要服務(wù)的列表 (包括所需的系統(tǒng)服務(wù) )，不在此列表的服務(wù)需關(guān)閉。 檢測 操作步驟 cat /etc/inet/inetd.conf cat /etc/inet/services 基線符合性判定依據(jù) 在 /etc/inetd.conf文件中禁止下列不必要的基本網(wǎng)絡(luò)服務(wù)。 echo discard daytime chargen dtspc exec ntalk finger uucp ident auth