HPUX系统安全加固手册.docx

资源描述

HPUX系统安全加固手册.docx

《HPUX系统安全加固手册.docx》由会员分享，可在线阅读，更多相关《HPUX系统安全加固手册.docx（37页珍藏版）》请在冰点文库上搜索。

HPUX系统安全加固手册.docx

HPUX系统安全加固手册

系统安全加固手册

1帐户安全配置要求

1.1创建/etc/shadow影子口令文件

配置项名称

设置影子口令模式

检查方法

执行：

#more/etc/shadow

查看是否存在该文件

操作步骤

1、执行备份：

#cp-p/etc/passwd/etc/passwd_bak

2、切换到影子口令模式：

#pwconv

回退操作

执行：

#pwunconv

#cp/etc/passwd_bak/etc/passwd

风险说明

系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效

1.2建立多帐户组，将用户账号分配到相应的帐户组

配置项名称

建立多帐户组，将用户账号分配到相应的帐户组

检查方法

1、执行:

#more/etc/group

#more/etc/shadow

查看每个组中的用户或每个用户属于那个组

2、确认需要修改用户组的用户

操作步骤

1、执行备份：

#cp-p/etc/group/etc/group_bak

2、修改用户所属组：

#usermod—groupusername

回退操作

执行：

#cp/etc/group_bak/etc/group

风险说明

修改用户所属组可能导致某些应用无法正常运行

1.3删除或锁定可能无用的帐户

配置项名称

删除或锁定可能无用的帐户

检查方法

1、执行:

#more/etc/passwd

查看是否存在以下可能无用的帐户：

hpsmhnamec、uucp、nuucp、adm、daemonbin、Ip

2、与管理员确认需要锁定的帐户

操作步骤

1、执行备份：

#cp-p/etc/passwd/etc/passwd_bak

2、锁定无用帐户：

#passwd-Iusername

回退操作

执行：

#cp/etc/passwd_bak/etc/passwd

风险说明

锁定某些用户可能导致某些应用无法正常运行

1.4删除可能无用的用户组

配置项名称

删除可能无用的用户组

检查方法

1、执行:

#more/etc/group

查看是否存在以下可能无用的用户组：

Ipnuucpnogroup

2、与管理员确认需要删除的用户组

操作步骤

1、执行备份：

#cp-p/etc/group/etc/group_bak

2、删除无用的用户组：

#groupdelgroupname

回退操作

执行：

#cp/etc/group_bak/etc/group

风险说明

删除某些组可能导致某些应用无法正常运行

1.5检查是否存在空密码的帐户

配置项名称

检查是否存在空密码的帐户

检查方法

执行下列命令，检查是否存在空密码的帐户logins-p

应无回结果

操作步骤

1、执行备份：

#cp-p/etc/passwd/etc/passwd_bak

#cp-p/etc/shadow/etc/shadow_bak

2、锁定空密码帐户或使用passwd命令设置复杂密码

#passwd-username

回退操作

执行：

#cp-p/etc/passwd_bak/etc/passwd

#cp-p/etc/shadow_bak/etc/shadow

风险说明

锁定某些帐户可能导致某些应用无法正常运行

1.6设置口令策略满足复杂度要求

配置项名称

设置口令策略满足复杂度要求

检查方法

1、执行下列命令，检查是否存在空密码的帐户

#logins-p

应无返回结果

2、执行：

#more/etc/default/security

检查是否满足以下各项复杂度参数：

MIN_PASSW0RD_LENGTH=6

PASSW0RD_MIN_UPPER_CASE_CHARS=1

PASSWORD_MIN_LOWER_CASE_CHARS=1

PASSWORD_MIN_DIGIT_CHARS=1

PASSWORD_MIN_SPECIAL_CHARS=1

操作步骤

1、执行备份：

#cp-p/etc/default/security/etc/default/security_bak

#cp-p/etc/passwd/etc/passwd_bak

2、执行下列命令，编辑/etc/default/security

#vi/etc/default/security

修改以下各项复杂度参数：

MIN_PASSWORD_LENGTH=6

PASSWORD_MIN_UPPER_CASE_CHARS=1

PASSWORD_MIN_LOWER_CASE_CHARS=1

PASSWORD_MIN_DIGIT_CHARS=1

PASSWORD_MIN_SPECIAL_CHARS=1

回退操作

执行：

#cp/etc/default/security_bak/etc/default/security

#cp/etc/passwd_bak/etc/passwd

风险说明

可能导致非root用户修改自己的密码时多次不成功

1.7设置帐户口令生存周期

配置项名称

设置帐户口令生存周期

执行：

检查方法

#more/etc/default/security

查看是否存在以下各项参数：

PASSWORD_MAXDAYS=9O

PASSWORD_WARNDAYS=28

操作步骤

1、执行备份：

#cp-p/etc/default/security/etc/default/security_bak

#cp-p/etc/passwd/etc/passwd_bak

2、执行下列命令，编辑/etc/default/security

#vi/etc/default/security

修改以下各项参数：

PASSWORD_MAXDAYS=9O

PASSWORD_WARNDAYS=28

回退操作

执行：

#cp/etc/default/security_bak/etc/default/security

#cp/etc/passwd_bak/etc/passwd

风险说明

可能在密码过期后影响正常使用及维护

1.8设定密码历史，不能重复使用最近5次（含5次）内已使用的口令

配置项名称

应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令

检查方法

执行：

#more/etc/default/security

查看是否存在以下参数：

PASSWORD_HISTORY_DEPTH=5

操作步骤

1、执行备份：

#cp-p/etc/default/security/etc/default/security_bak

#cp-p/etc/passwd/etc/passwd_bak

2、执行下列命令，编辑/etc/default/security

#vi/etc/default/security

修改以下参数：

PASSWORD_HISTORY_DEPTH=5

回退操作

执行：

#cp/etc/default/security_bak/etc/default/security

#cp/etc/passwd_bak/etc/passwd

风险说明

低风险

1.9限制root用户远程登录

配置项名称

root用户远程登录限制

检查方法

执行：

#more/etc/securetty

检查是否有下列行：

Console

执行：

#more/opt/ssh/etc/sshd_config检杳是否有PermitRootLoginno

操作步骤

1、执行备份：

#cp-p/etc/securetty/etc/securetty_bak

#cp-p/opt/ssh/etc/sshd_config/opt/ssh/etc/sshd_config_bak

2、新建一个普通用户并设置高强度密码：

#useraddusername

#passwdusername

3、禁止root用户远程登录系统：

#vi/etc/securetty

去掉console前面的注释，保存退出

#vi/opt/ssh/etc/sshd_config

将PermitRootLogin后的yes改为no

回退操作

执行：

#cp/etc/securetty_bak/etc/securetty

#cp-p/opt/ssh/etc/sshd_config_bak/opt/ssh/etc/sshd_config

风险说明

严重改变维护人员操作习惯，必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限，可能带来新的威胁

1.10检查passwd、group文件权限设置

配置项名称

检杳passwdgroup文件权限设置

检查方法

执行：

#ls-/etc/passwd/etc/group

操作步骤

1、执行备份：

#cp-p/etc/passwd/etc/passwd_bak

#cp-p/etc/group/etc/group_bak

2、修改文件权限：

#chmod644/etc/passwd

#chmod644/etc/group

回退

执行：

#cp/etc/passwd_bak/etc/passwd

#cp/etc/group_bak/etc/group

风险说明

权限设置不当可能导致无法执行用户管理，并可能造成某些应用运行异常

1.11系统umask设置

配置项名称

系统umask设置

检查方法

执行：

#more/etc/profile检查系统umask值

操作步骤

1、执行备份：

#cp-p/etc/profile/etc/profile_bak

2、修改umask设置：

#vi/etc/profile

将umask值修改为027,保存退出

回退操作

执行：

#cp/etc/profile_bak/etc/profile

风险说明

umask设置不当可能导致某些应用无法正确自动创建目录或文件，从而

运行异常

2访问、认证安全配置要求

2.1远程登录取消telnet采用ssh

配置项名称

远程登录取消telnet采用ssh

检查方法

查看SSH、telnet服务状态：

#ps-elf|grepssh

#ps-elf|greptelnet

SSH服务状态查看结果为：

onlinetelnet服务状态查看结果为：

disabled

操作步骤

1、备份#cp-p/etc/inetd.conf/etc/inetd.conf_bak

2、修改/etc/inetd.conf文件，将telnet行注释掉

#teInetstreamtcpnowaitroot/usr/lbin/telnetdtelnetd

3、安装ssh软件包，通过#/opt/ssh/sbin/sshdstar来启动SSH。

回退操作

执行：

#cp-p/etc/inetd.conf_bak/etc/inetd.conf启动telnet

#/usr/lbin/telnetdstart

停止SSH

#/opt/ssh/sbin/sshdstop

风险说明

影响维护人员操作习惯，需要重启服务

2.2限制系统帐户FTP登录

配置项名称

限制root、daemonbin、sys、adm、Ip、uucp、nuucpnobody、hpdb、useradm等系统帐户FTP登录

检查方法

执行：

#cat/etc/ftpd/ftpusers

查看具体的禁止FTP登陆系统的用户名单

操作步骤

1执行备份：

#cp-p/etc/ftpd/ftpusers/etc/ftpd/ftpusers_bak

2、禁止用户FTP登录系统：

#vi/etc/ftpd/ftpusers

每一个帐户一行，添加以下帐户禁止FTP登录

root、daemonbin、sys、adm、lp、uucpnuucp、nobody、hpdb、useradm

回退操作

执行：

#cp/etc/ftpd/ftpusers_bak/etc/ftpd/ftpusers

风险说明

禁止某些帐户登录FTP可能导致某些应用无法正常运行

2.3配置允许访问inetd服务的IP范围或主机名

配置项名称

配置允许访冋inetd服务的IP范围或主机名

检查方法

执行：

#cat/var/adm/inetd.sec

查看有无类似logindeny192.54.24.5cory.berkeley.edutestla配置

操作步骤

1执行备份：

#cp-p/var/adm/inetd.sec/var/adm/inetd.sec_bak

2、添加允许访冋inetd服务的IP范围或主机名：

#vi/var/adm/inetd.sec

按照如下格式添加IP范围或主机名

servicename{allow|deny}{hostaddrs|hostnames|netaddrs|netnames

回退操作

执行：

#cp/var/adm/inetd.sec_bak/var/adm/inetd.sec

风险说明

需确认IP信任范围，设置不当会导致网络服务通信异常

2.4禁止除root外帐户使用at/cron

配置项名称

禁止除root外帐户使用at/cron

检查方法

执行：

#cd/var/adm/cron

#catcron,allow

#catat.allow

查看是否存在root；

执行：

#catcron.deny

#catat.deny

检查是否存在cron.deny和at.deny文件，若存在，应删除。

操作步骤

1执行备份

#cd/var/adm/cron

#cp-pcron.denycron.deny_bak

#cp-pat.denyat.deny_bak

#cp-pcron.allowcron.allow_bak

#cp-pat.allowat.allow_bak

2、添力卩root至Ucron.allow和at.allow，并删除cron.deny和at.deny。

#cd/var/adm/cron

#rm-fcron.denyat.deny

#echoroot>cron.allow

#echoroot>at.allow

#chownroot:

syscron.allowat.allow

#chmod400cron.allowat.allow

回退操作

#cd/var/adm/cron

#cp-pcron.deny_bakcron.deny

#cp-pat.deny_bakat.deny

#cp-pcron.allowbakcron.allow

#cp-pat.allow_bakat.allow

风险说明

除root外帐户不能使用at/cron,可能影响某些应用。

2.5设定连续认证失败次数超过6次（不含6次）锁定该账号

配置项名称

配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

检查方法

执行：

#cat/etc/default/security

检杳是否存在AUTHMAXTRIES=6

操作步骤

1、执行备份

#cp-p/etc/default/security/etc/default/security_bak

2、执行下列命令，设置最大登录认证重试次数锁定帐户为6次

echoAUTHMAXTRIES=6>>/etc/default/security

回退操作

#cp-p/etc/default/security_bak/etc/default/security

风险说明

root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。

3文件系统安全配置要求

3.1重要目录和文件的权限设置

配置项名称

重要目录和文件的权限设置

检查方法

执行以下命令检查目录和文件的权限设置情况：

#ls-/etc/

#ls-/tmp/

#ls-/etc/default/

#ls-l/etc/rc.config.d/

操作步骤

1、执行备份：

使用cp命令备份需要修改权限的文件或目录

2、权限修改：

使用chmod命令修改文件或目录权限

回退操作

使用cp命令恢复被修改权限的文件或目录或使用chmod命令恢复权限

风险说明

修改某些重要的配置文件的权限可能导致系统功能或应用异常

3.2检查没有所有者的文件或目录

配置项名称

检查没有所有者的文件或目录

检查方法

执行：

#find/\（-nouser-o-nogroup\）-execIs-al{}\;

咨询管理员找到的文件或目录是否应用所需

操作步骤

1、执行备份：

使用cp命令备份没有所有者的文件或目录

2、使用chmod命令添加属主或删除没有所有者的文件或目录：

#rm-ffilename

回退操作

使用cp命令恢复被删除的没有所有者的文件或目录

风险说明

执行检查会大量消耗系统资源，需要确认无所有者的文件的具体用途

4网络服务安全配置要求

4.1禁止NIS/NIS+服务以守护方式运行

配置项名称

禁止NIS/NIS+服务以守护方式运行NetworkInformationSystem

检查方法

执行：

#more/etc/rc.config.d/namesvrs查看该文件中是否存在以下参数：

NIS_MASTER_SERVER=O

NIS_SLAVE_SERVER=O

NIS_CLIENT=O

NISPLUSSERVER=O

NISPLUS_CLIENT=O

操作步骤

1执行备份：

#cp-p/etc/rc.config.d/namesvrs/etc/rc.config.d/namesvrs_bak

2、编辑/etc/rc.config.d/namesvrs文件，设置参数：

#ch_rc-a-pNIS_MASTER_SERVER=O-pNIS_SLAVE_SERVER=O-p

NIS_CLIENT=0-pNISPLUS_SERVER=0-pNISPLUS_CLIENT=0

/etc/rc.config.d/namesvrs

回退操作

#cp-p/etc/rc.config.d/namesvrs_bak/etc/rc.config.d/namesvrs

风险说明

NIS/NIS+服务无法自动启动

4.2禁用打印服务以守护方式运行

配置项名称

禁止打印服务以守护方式运行

检查方法

执行：

#more/etc/rc.config.d/tps

查看该文件中是否存在XPRINTSERVERS="”"

#more/etc/rc.config.d/lp

查看该文件中是否存在LP=0

#more/etc/rc.config.d/pd

查看该文件中是否存在PD_CLIENT=0

操作步骤

1执行备份：

#cp-p/etc/rc.config.d/tps/etc/rc.config.d/tps_bak

#cp-p/etc/rc.config.d/lp/etc/rc.config.d/lp_bak

#cp-p/etc/rc.config.d/pd/etc/rc.config.d/pd_bak

2、设置参数：

#ch_rc-a-pXPRINTSERVERS="”"/etc/rc.config.d/tps

#ch_rc-a-pLP=0/etc/rc.config.d/lp

#chrc-a-pPDCLIENT=0/etc/rc.config.d/pd

回退操作

#cp-p/etc/rc.config.d/namesvrs_bak/etc/rc.config.d/namesvrs

风险说明

打印服务无法自动启动

4.3禁用SENDMAIL服务以守护方式运行

配置项名称

禁止SENDMAIL服务以守护方式运行

检查方法

执行：

#more/etc/rc.config.d/mailservs

查看该文件中是否存在SENDMAIL_SERVER=O

操作步骤

1执行备份：

#cp-p/etc/rc.config.d/mailservs/etc/rc.config.d/mailservs_bak

#cp-p/var/spool/cron/crontabs/root/var/spool/cron/crontabs/root_bak

2、设置参数：

#ch_rc-a-pSENDMAIL_SERVER=0/etc/rc.config.d/mailservs

#cd/var/spool/cron/crontabs

#crontab-l>root.tmp

#echo'0****/usr/lib/sendmail-q'>>root.tmp

#crontabroot.tmp

#rm-froot.tmp

回退操作

#cp-p/etc/rc.config.d/mailservs/etc/rc.config.d/mailservs_bak

#cp-p/var/spool/cron/crontabs/root/var/spool/cron/crontabs/root_bak

风险说明

导致无法收发邮件，需确认服务器用途

4.4禁用不必要的标准启动服务

配置项名称

禁用不必要的标准启动服务

检查方法

检查SNAplus2服务，执行：

#more/etc/rc.config.d/snaplus2

查看该文件中是否存在START_SNAPLUS=O、START_SNANODE=0、

START_SNAINETD=O

检查多播路由服务，执行：

#more/etc/rc

展开阅读全文