移动HP-Unix安全配置基线.doc

hp-unix 安全配置基线 第 1 页 共 13 页 hp-unixhp-unix 系统安全配置基线系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 3 月 hp-unix 安全配置基线 第 2 页 共 13 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 v1.0创建2009 年 1 月 备备注：注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 hp-unix 安全配置基线 第 3 页 共 13 页 目目 录录 第第 1 章章概述概述.1 1.1目的.1 1.2适用范围.1 1.3适用版本.1 1.4实施.1 1.5例外条款.1 第第 2 章章账户管理、认证授权账户管理、认证授权.2 2.1账号.2 2.1.1默认账号2 2.1.2远程登录限制2 2.1.3账号清理3 2.2口令.3 2.2.1口令强度要求3 2.2.2口令生存周期要求3 2.2.3口令历史安全要求4 2.2.4登录失败安全要求4 2.2.5默认访问权限安全要求5 2.2.6 ftp访问安全要求5 第第 3 章章审计功能配置审计功能配置.6 3.1审计日志.6 3.1.1审计日志功能6 第第 4 章章ip 协议安全配置要求协议安全配置要求7 4.1ip 协议7 4.1.1远程维护协议安全7 第第 5 章章设备其他安全配置要求设备其他安全配置要求.8 5.1访问控制.8 5.1.1 应用层访问控制.8 5.1.2 引导身份验证.8 5.2服务.9 5.2.1 服务安全要求.9 第第 6 章章评审与修订评审与修订.10 hp-unix 安全配置基线 第 1 页 共 13 页 第第 1 章章概述概述 1.1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 hp-unix 操作系 统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查 人员进行 hp-unix 操作系统的安全合规性检查和配置。 1.2 适用范围适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的 hp- unix 服务器系统。 1.3 适用版本适用版本 hp-unix 系列服务器； 1.4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中 若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送 交中国移动通信有限公司管理信息系统部进行审批备案。 hp-unix 安全配置基线 第 2 页 共 13 页 第第 2 章章账户管理、认证授权账户管理、认证授权 2.1 账号账号 2.1.1 默认账号默认账号 安全基线项安全基线项 目名称目名称 操作系统 hpunix 缺省账户安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-02-01-01 安全基线项安全基线项 说明说明 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不 可删除的内置账号，包括 root,bin 等。 检测操作步检测操作步 骤骤 执行 cat /etc/shadow 基线符合性基线符合性 判定依据判定依据 需要锁定的用户：lp,nuucp,hpdb,www,demon。 备注备注 2.1.2 远程登录限制远程登录限制 安全基线项安全基线项 目名称目名称 操作系统 hpunix 远程登录安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-02-01-02 安全基线项安全基线项 说明说明 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先 以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。 检测操作步检测操作步 骤骤 root 从远程使用 telnet 登录； 普通用户从远程使用 telnet 登录； root 从远程使用 ssh 登录； 普通用户从远程使用 ssh 登录； 基线符合性基线符合性 判定依据判定依据 root 远程登录不成功，提示“not on system console” ； 普通用户可以登录成功，而且可以切换到 root 用户 备注备注 hp-unix 安全配置基线 第 3 页 共 13 页 2.1.3 账号清理账号清理 安全基线项安全基线项 目名称目名称 操作系统 hpunix 远程登录安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-02-01-03 安全基线项安全基线项 说明说明 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直 接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些 账号。 检测操作步检测操作步 骤骤 远程登录； 基线符合性基线符合性 判定依据判定依据 禁止交互登录的系统账号， www sys smbnull iwww owww sshd hpsmh named uucp nuucp adm daemon bin lp nobody noaccess hpdb useradm. 被禁止账号交互式登录的帐户远程登录不成功 备注备注 2.2 口令口令 2.2.1 口令强度要求口令强度要求 安全基线项安全基线项 目名称目名称 操作系统 hpunix 口令强度安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-02-02-01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数字、小写 字母、大写字母和特殊符号 4 类中至少 2 类。 检测操作步检测操作步 骤骤 cat /etc/default/security； 基线符合性基线符合性 判定依据判定依据 创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的 简单口令以及长度短于 6 位的口令，查看系统是否对口令强度要求进行提示； 输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。 备注备注 2.2.2 口令生存周期要求口令生存周期要求 安全基线项安全基线项 操作系统 hpunix 口令生存周期安全基线要求项 hp-unix 安全配置基线 第 4 页 共 13 页 目名称目名称 安全基线编安全基线编 号号 sbl-hpunix-02-02-02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于 90 天。并且 7 天内不得更改密码。 检测操作步检测操作步 骤骤 使用超过 90 天的帐户口令登录； 基线符合性基线符合性 判定依据判定依据 登录不成功 备注备注 2.2.3 口令历史安全要求口令历史安全要求 安全基线项安全基线项 目名称目名称 操作系统 hpunix 口令历史安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-02-02-03 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5 次（含 5 次）内已使用的口令。 检测操作步检测操作步 骤骤 cat /etc/default/passwd 基线符合性基线符合性 判定依据判定依据 history5 备注备注 2.2.4 登录失败安全要求登录失败安全要求 安全基线项安全基线项 目名称目名称 操作系统 hpunix 登录失败安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-02-02-04 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6 次） ，锁定该用户使用的账号。 检测操作步检测操作步 骤骤 创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令 进行系统登录 6 次以上（不含 6 次） ； 基线符合性基线符合性 判定依据判定依据 帐户被锁定，不再提示让再次登录； 备注备注 hp-unix 安全配置基线 第 5 页 共 13 页 2.2.5 默认访问权限安全要求默认访问权限安全要求 安全基线项安全基线项 目名称目名称 操作系统 hpunix 默认访问权限安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-02-02-05 安全基线项安全基线项 说明说明 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录 不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该 用户的文件或更高限制。 检测操作步检测操作步 骤骤 查看新建的文件或目录的权限，操作举例如下： #ls -l dir ; #查看目录 dir 的权限 #cat /etc/default/login 基线符合性基线符合性 判定依据判定依据 查看是否有 umask 027 内容； 备注备注 2.2.6 ftp 访问安全要求访问安全要求 安全基线项安全基线项 目名称目名称 操作系统 hpunix ftp 访问权限安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-02-02-06 安全基线项安全基线项 说明说明 控制 ftp 进程缺省访问权限，当通过 ftp 服务创建新文件或目录时应屏蔽 掉新文件或目录不应有的访问允许权限。 检测操作步检测操作步 骤骤 cat /etc/ftpuser 基线符合性基线符合性 判定依据判定依据 在这个列表里边的用户名是不允许 ftp 登陆的。 root daemon bin sys adm lp uucp nuucp listen nobody hpdb useradm 备注备注 hp-unix 安全配置基线 第 6 页 共 13 页 第第 3 章章审计功能配置审计功能配置 3.1 审计日志审计日志 3.1.1 审计日志功能审计日志功能 安全基线项安全基线项 目名称目名称 操作系统 hpunix 审计日志安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-03-01-01 安全基线项安全基线项 说明说明 设备应配置日志功能，记录对与设备相关的安全事件。 检测操作步检测操作步 骤骤 cat /etc/syslog.conf 基线符合性基线符合性 判定依据判定依据 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 查看/var/adm/messages，记录有需要的设备相关的安全事件。 备注备注 hp-unix 安全配置基线 第 7 页 共 13 页 第第 4 章章ip 协议安全配置要求协议安全配置要求 4.1 ip 协议协议 4.1.1 远程维护协议安全远程维护协议安全 安全基线项安全基线项 目名称目名称 操作系统 hpunix 远程维护协议安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-04-01-01 安全基线项安全基线项 说明说明 对于使用 ip 协议进行远程维护的设备，设备应配置使用 ssh 等加密协议。 检测操作步检测操作步 骤骤 查看 ssh 服务状态： # ps elf|grep ssh 查看 telnet 服务状态： # ps elf|grep telnet 基线符合性基线符合性 判定依据判定依据 # ps elf|grep ssh 是否有 ssh 进程存在 备注备注 hp-unix 安全配置基线 第 8 页 共 13 页 第第 5 章章设备其他安全配置要求设备其他安全配置要求 5.1 访问控制访问控制 5.1.1 应用层访问控制应用层访问控制 安全基线项安全基线项 目名称目名称 操作系统 hpunix 应用层访问控制安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-05-01-01 安全基线项安全基线项 说明说明 应该从应用层面进行必要的安全访问控制，比如 ftp 服务器应该限制 ftp 可 以使用的目录范围。 检测操作步检测操作步 骤骤 root 帐户从远程访问 查看文件 ftpaccess， 基线符合性基线符合性 判定依据判定依据 ftpaccess 中应用如下一行 restricted-uid *(限制所有用户)， root 访问被禁止或被限制； 备注备注 5.1.2 引导身份验证引导身份验证 安全基线项安全基线项 目名称目名称 操作系统 hpunix 引导身份验证安全基线要求项 安全基线编安全基线编 号号 sbl-hpunix-05-01-02 安全基线项安全基线项 说明说明 使用引导身份验证功能防止未经授权的访问 检测操作步检测操作步 骤骤 cat /etc/default/security|grep boot 基线符合性基线符合性 判定依据判定依据 包含如下类似配置： boot_auth=1 boot_users=root,mary,jack,amy,jane 备注备注 hp-unix 安全配置基线 第 9 页 共 13 页 5.2 服务服务