TIS-Unix-1(系统安全策略unix配置手册)v10

编号：TIS-Unix-1系统安全策略unix配置原则内部资料TIS-Unix-1系统安全策略unix配置原则国网信通亿力科技股份有限公司版权所有20111TIS-Unix-1系统安全策略unix配置原则国网信通亿力科技股份有限公司版权所有20111目录1.HPUnix系统策略.............................................11.1.系统检测信息.............................................11.2.系统安全策略.............................................21.2.1.限制用户方法.........................................21.2.2.对主机的控制访问.....................................31.2.3.设置密码规范.........................................41.2.4.锁定系统默认账号.....................................51.2.5.超时设置.............................................51.2.6.Umask................................................61.2.7.不用服务端口关闭及检测方法...........................61.2.8.设置信任模式及影响...................................81.2.9.操作系统安全登陆方式SSH.............................81.2.10.HPUX停止Xwindows服务..............................91.2.11.HPUX停止tooltalk服务..............................91.2.12.HPUX停止NFS服务..................................111.2.13.HPUX停sendmail，snmp服务.........................112.AIX系统策略................................................112.1.系统检测信息............................................112.2.系统安全策略............................................122.2.1.检测系统是否存在多余帐号............................122.2.2.检查系统帐户策略....................................132.2.3.检查系统是否存在空口令或弱口令......................142.2.4.检测系统帐号锁定策略................................142.2.5.检查远程管理方式....................................152.2.6.重要文件目录的访问权限..............................162.2.7.检查系统是否开启审计................................172.2.8.安全审计策略........................................172.2.9.日志文件访问权限....................................19TIS-Unix-1系统安全策略unix配置原则国网信通亿力科技股份有限公司版权所有201122.2.10.系统补丁及升级.....................................202.2.11.检查系统开启的服务及端口...........................202.2.12.网络访问控制策略...................................212.2.13.超时自动注销.......................................222.2.14.超时自动注销.......................................232.2.15.检查系统时钟.......................................232.2.16.查看服务器是否由硬件冗余...........................242.2.17.磁盘利用空间.......................................242.2.18.检查系统访问旗标...................................252.2.19.root用户远程登录..................................262.2.20.系统异常登录日志...................................262.2.21.文件创建初始权限检查...............................272.2.22.uid=0帐号检查.....................................272.2.23.允许su为root的帐号信息检查.......................282.2.24.维护人员使用root帐户进行日常维护..................282.2.25.R族文件检查.......................................292.2.26.系统故障检查.......................................30TIS-Unix-1系统安全策略unix配置原则国网信通亿力科技股份有限公司版权所有201111.HPUnix系统策略1.1.系统检测信息要求对承载关键业务系统的小型机访问控制如下：远程用户不能通过root用户直接访问主机，只能在consloe平台下使用root用户，限制只有某个普通用户，比如sm01,可以通过su的方法登陆root用户；限制或允许只有某些固定的IP地址可以访问某台小型机；设置密码规范，格式如下：密码格式：由数字、字母和符号组成无效登录次数：6次无效登录历史密码记忆个数：8-12个密码修改期限：90天密码长度：最小6位锁定系统默认账号对系统默认帐号（例如：daemon,bin,sys,adm,lp,smtp,uucp,nuucp,listen,nobody,noaccess,guest,nobody,lpd）进行锁定超时设置1分钟超时设置Umask超级用户027一般用户022不用服务端口关闭在/etc/services和/etc/inetd.conf里，对不用的服务端口关闭，包括FTP,和rexec,tftp，其它端口不要轻易关闭TIS-Unix-1系统安全策略unix配置原则国网信通亿力科技股份有限公司版权所有201121.2.系统安全策略1.2.1.限制用户方法UNIX系统中，计算机安全系统建立在身份验证机制上。如果用户帐号口令失密，系统将会受到侵害，尤其在网络环境中，后果更不堪设想。因此限制用户root和其他用户远程登录，对保证计算机系统的安全，具有实际意义。1)限制root用户通过telnet登录：echoconsole/etc/securetty2)限制root用户通过ssh登录：3)编辑/opt/ssh/etc/sshd_config：4)PermitRootLoginno重启sshd:/sbin/init.d/secshstop/sbin/init.d/secshstart需要注意的是，设置后，root将不能远程使用telnet/ssh登录，因此在设置之前应进行良好的规划。对现有系统的影响：对于系统及应用软件的运行没有任何影响，但root用户不能通过远程方式登录，只能通过终端在本地登录。5)限制普通用户通过telnet登陆主机创建/etc/NOTLOGIN文件，在文件中加入要限制的用户名，每一行一个用户名。在/etc/profile中加入：NAME1=`grep$LOGNAME/etc/NOTLOGIN`NAME2=`logname`if[“$NAME1”=$NAME2”]thenecho“Youarenotallowedtologinin!!!”exitfi需要说明的是，这种方法对Xmanage等Xwindow图形登陆软件无效。对现有系统的影响：对于系统及应用软件的运行没有任何影响，但所有用户不能通过远TIS-Unix-1系统安全策略unix配置原则国网信通亿力科技股份有限公司版权所有20113程方式登录，只能通过终端在本地登录或使用SSH软件进行远程登录。6)限制只有sm01用户可su到root，root执行以下脚本：groupadd–g600surootuseradd–u600–gsuroot–Gsuroot–d/home/sm01-s/usr/bin/shsm01passwdsm01echo“SU_ROOT_GROUP=suroot”/etc/default/securityecho“console”/etc/security对现有系统的影响：对于系统及应用软件的运行没有任何影响。7)限制某个用户通过ftp登录主机：编辑/etc/ftpd/ftpusers文件，在新行中输入该用户的名称即可；在HP_UX11.x之前，该文件名称为/etc/ftpusers。对现有系统的影响：对于系统及应用软件的运行没有任何影响。最好的方法是在/etc/inetd.conf中将该服务屏蔽。远程文件传输可通过SSH替代。1.2.2.对主机的控制访问对于某关键业务系统主机，只允许或限制某几个IP地址访问该系统主机允许telnet，rlogin等服务访问某个主机，修改/var/adm/inetd.sec文件，在该文件中的每一行包含一个服务名称，权限域（容许或者拒绝），Internet地址或者主机的名称或网络名称。该文件中的每项格式如下：servicenameallow/denyhost/networkaddresses,host/networknames例如：telnetallow10.3-5192.34.56.5ahostanetwork上面的该语句表示容许下面的主机使用telnet访问系统：网络10.3到10.5的主机IP地址为192.34.56.5的主机名称为ahost的主机网络anetwork中的所有主机TIS-Unix-1系统安全策略unix配置原则国网信通亿力科技股份有限公司版权所有20114mountddeny192.23.4.3该语句表示主机IP地址为192.23.4.3不能存取NFSrpc.mountd服务器。需要注意的是网络名称和主机名称必须是官方名称，不能是别名(Aliases)。对现有系统的影响：对于系统及应用软件的运行没有任何影响。如果在/etc/inetd.conf中将该服务屏蔽后，则上述步骤可以忽略。1.2.3.设置密码规范1)密码规范要求：密码格式：由数字、字母和符号组成无效登录次数：6次无效登录历史密码记忆个数：8-12个密码修改期限：90天密码长度：最小6位需要注意的是对于密码规范的设置，部分需要在信任模式下进行，关于如何将OS转换为信任模式，参见3.8节。转换为信任模式不需要重新启动系统，如果客户有应用直接读取OS的用户名称等，则可能会对该应用有影响。编辑/etc/default