某世界500强企业的主机系统安全配置标准-UNIX

某世界500强企业的主机系统安全配置标准－UNIX出处：中国安全网作者：佚名时间：2007-01-23网址：中国××公司2006年03月30日文档控制拟制:审核:标准化:读者：版本控制版本提交日期相关组织和人员版本描述V1.02005-12-08V1.12006.03.30目录1概述11.1适用范围11.2实施11.3例外条款11.4检查和维护12适用版本23业务使用警告24用户帐户设置24.1UID－用户ID基本要求24.2UNIX中Root安全标准34.3默认系统帐户安全标准34.4密码要求54.5密码保护74.6限制登陆失败次数74.7GID－组ID的基本要求75网络设置85.1IP协议栈的安全设置85.1.1套接字队列长度定义用来防护SYN攻击85.1.2重定向85.1.3源站路由95.1.4TIME_WAIT设置95.1.5ECHO回应广播95.1.6地址掩码查询和时间戳广播105.2/etc/hosts.equiv,.rhosts和.netrc配置文件105.3XWindow系统115.4其他网络服务安全设置标准：115.5/etc/hosts.deny和/etc/hosts.allow的配置规范126权限控制136.1用户文件和HOME目录属性136.2操作系统资源137操作系统补丁管理148审计策略148.1系统访问日志148.2日志记录保存期限148.3Sudo日志记录149附则159.1文档信息159.2其他信息151概述安全配置标准提供中国××公司（下简称“中国××公司”）UNIX操作系统应当遵循的安全性设置的标准，本文档旨在帮助系统管理人员，利用UNIX操作系统内建的安全配置，以建立一个更为安全的环境。1.1适用范围本规范的使用者包括：主机系统管理员、应用管理员、网络安全管理员。本规范适用的范围包括：支持中国××公司运行的AIX，Solaris和Linux（RedhatLinux）主机系统。1.2实施本规范的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准一经颁布，即为生效。1.3例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。1.4检查和维护根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。任何变更草案将由中国××公司IT管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。2适用版本AIX版本5.1,5.2,5.3；Solaris7,8,9RedhatLinux7.2,7.33业务使用警告要求设置业务使用提示警告：系统值/参数内容/etc/motd中国××公司内部生产系统只能因中国××公司业务需要而使用，经由管理层授权。中国××公司管理层将随时监测此系统的使用。或SinoPECproductionservercanonlybeusedforbusinesspurpose,withappropriatemanagerteam’sauthorization.SinoPECmanagerteamwillmonitortheusageofthissystem.4用户帐户设置4.1UID－用户ID基本要求系统值/参数描述设置要求UID适用于所有的UID每个UID必须只能用一次，并唯一对应一个操作系统用户帐号。4.2UNIX中Root安全标准对于系统Root帐户必须满足以下要求：Root帐户的UID必须是唯一的0；Root帐户是root组的唯一用户；Root帐户必须在每个系统本地有相关定义；Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件，如果存在也必须为空，而且文件所有者和所有组必须为root和root组。其相关权限为r-------；Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。Root的cronjobs中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。对于root所运行的命令必须使用全路径.(例如./bin/su)，或对于root的$PATH环境变量中不能含有相对当前目录(.),相对子目录(./)和相对父目录(..)定义；root帐号不允许进行远程登录操作，远程需要root的访问需求，必须要求使用普通个人用户帐号进行登录后通过SU命令切换到root帐号。REDHAT:可以通过在/etc/securetty配置文件实现root的登录控制，/etc/securetty文件中包含了所有的可供root登录的TTY端口，这个配置文件在默认的状态下只包括了物理终端consoleTTY必须有相应的日志记录来跟踪成功或失败的su尝试。这个功能可以通过使用pam_wheel模块来实现。在/etc/pam.d/su添加如下authrequired/lib/security/pam_wheel.sodebuggroup=sinoadmin配置信息来确保只有在sinoadmin系统组的成员帐号才可以使用/bin/su命令切换到root。要添加一个用户到这个系统组，可以使用如下命令来实现：#usermod-Gsinoadminuserid(userid=theuserid)SOLARIS:对于root的物理终端console登录限制可以通过在/etc/default/login配置文件中添加CONSOLE=/dev/console配置行来实现。AIX:在/etc/security/user配置文件中的root帐号的配置段落必须存在rlogin=false的配置定义，以此来实现Root的物理终端console登录限制。4.3默认系统帐户安全标准对于UID从1到99必须保留给默认系统帐号或应用系统帐号使用，通常对于这些用户不需要登录访问，故此可以通过在/etc/shadow(REDHATorSOLARIS)或/etc/security/passwd(AIX)文件相关的口令字段中设置“*”号来实现。REDHAT:对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）。nfsnobodygamesrpcpostgresnscdnewsgophernamedrpcuserSOLARIS:对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）。lpuucpnuucplistensmtp对于默认的系统帐号只能是使用如下的UID：root:0bin:2adm:4noaccess:60002daemon:1sys:3nobody:60001nobody4:65534如下的默认系统帐号已经被通过在/etc/shadow文件中的NP–NoPassword或*LK*-Locked的定义来限制其相关的登录访问权限。daemon:NP:6445::::::bin:NP:6445::::::sys:NP:6445::::::adm:NP:6445::::::nobody:NP:6445::::::noaccess:NP:6445::::::nobody4:NP:6445::::::AIX:对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除（如没有相关的使用需求）GuestUUCPNuucpLpdNobody下列系统用户和组必须采用以下的UID和GIDsUseridsGroupidsroot:0system:0daemon:1security:7bin:2bin:2sys:3sys:3adm:4adm:4uucp:5uucp:5nuucp:6mail:6lpd:9printq:9imnadm(noassignedUID)cron:8ipsec(noassignedUID)audit:10ldap(noassignedUID)shutdown:21lp(noassignedUID)ecs:28snapp(noassignedUID)imnadm(noassignedGID)ipsec(noassignedGID)ldap(noassignedGID)lp(noassignedGID)haemrm(noassignedGID)snapp(noassignedGID)4.4密码要求密码的强度要求，Solaris系统的具体要求如下：相关配置文件/etc/default/passwd。系统值/参数描述设置要求MAXWEEKS密码有效期限的最大周数(Maximumnumberofweeksthatcanpassbeforeapasswordmustbechanged.)13WARNWEEKS在密码过期前的警告信息显示(Numberofweeksshowwarningmessagebeforethepasswordexpired.)2MINWEEKS密码有效期限的最少周数(Minimumnumberofweeksthatmustpassbeforeapasswordcanbechanged)0PASSLENGTH密码长度(Passwordlength)8AIX系统的具体要求如下：相关配置文件/etc/security/user。系统值/参数描述设置要求maxage密码有效期限的最大周数(Maximumnumberofweeksthatcanpassbeforeapasswordmustbechanged.)13maxrepeats可重复的连续字符数(Numberofrepeatingconsecutivecharacters)2minage密码有效期限的最少周数(Minimumnumberofweeksthatmustpassbeforeapasswordcanbechanged)0minalpha最少字母数(Minimumnumberofalphabeticcharacters)1mindiff与前一次密码的最少不同字符数(Numberofcharactersnotfoundinlastpassword)1minother最少的非字母数(Numberofnon-alphabeticcharacters)1minlen密码最小长度(Minimumpasswordlength)8histsize禁止重复使用密码次数(Numberofpreviouspasswordthatcannotbeused)2flags=NOCHECK参数在/etc/security/passwd。(Optionin/etc/security/passwd)不允许任何需要密码的用户帐号设置NOCHECK。RedhatLinux系统的具体要求如下：相关配置文件/etc/login.defs。系统值/参数描述设置要求PASS_MAX_DAYS密码有效期限的最大天数(Maximumnumberofdaysthatcanpassbeforeapasswordmustbechanged.)91PASS_MIN_DAYS密码有效期限的最少天数(Minimumnumberofdaysthatmustpassbeforeapasswordcanbechanged)0PASS_MIN_LEN密码最小长度(Minimumpasswordlength)8PASS_WARN_AGE在密码过期前的显示警告信息(Numberofweeksshowwarningmessagebeforethepasswordexpired.)14N/A禁止重复使用密码次数(Numberofpreviouspasswordthatcannotbeused)在/etc/pam.d/system-auth，/etc/pam.d/passwd和/etc/pam.d/login，添加如下定义passwordrequired/lib/sec