UNIX主机访问安全控制方案0926综述.docx
《UNIX主机访问安全控制方案0926综述.docx》由会员分享,可在线阅读,更多相关《UNIX主机访问安全控制方案0926综述.docx(16页珍藏版)》请在冰点文库上搜索。
UNIX主机访问安全控制方案0926综述
UNIX主机访问安全控制方案
1文档介绍
1.1摘要
本文档详细描述了IBM和HP小型机实现访问控制的详细步骤和方案,在此将两家公司对同一需求的实现方法放在同一处,这样便于比较两者的异同,可能对于学习研究两种不同的UNIX系统较有裨益。
HP的实施方法,在没有特别说明的情况下,均可在非信任模式下实现。
2需求概述
要求对承载关键业务系统的小型机访问控制如下:
❑远程用户不能通过root用户直接访问主机,只能在consloe平台下使用root用户,限制只有某个普通用户,比如sm01,可以通过su的方法登陆root用户;
❑限制或允许只有某些固定的IP地址可以访问某台小型机;
❑设置密码规范,格式如下:
-密码格式:
由数字、字母和符号组成
-无效登录次数:
6次无效登录
-历史密码记忆个数:
8-12个
-密码修改期限:
90天
-密码长度:
最小6位
❑锁定系统默认账号
-对系统默认帐号(例如:
daemon,bin,sys,adm,lp,smtp,uucp,nuucp,listen,nobody,noaccess,guest,nobody,lpd)进行锁定
❑超时设置
-1分钟超时设置
❑Umask
-超级用户 027
-一般用户 022
❑不用服务端口关闭
-在/etc/services和/etc/inetd.conf里,对不用的服务端口关闭,包括FTP,www,telnet,rsh和rexec
3
实施方案
3.1限制用户方法
UNIX系统中,计算机安全系统建立在身份验证机制上。
如果用户帐号口令失密,系统将会受到侵害,尤其在网络环境中,后果更不堪设想。
因此限制用户 root 和其他用户远程登录,对保证计算机系统的安全,具有实际意义。
3.1.1HP的实现方法
一.限制root用户通过telnet登录:
echo"console">/etc/securetty
二.限制root用户通过ssh登录:
编辑/opt/ssh/etc/sshd_config:
PermitRootLoginno
重启sshd:
/sbin/init.d/secshstop
/sbin/init.d/secshstart
需要注意的是,设置后,root将不能远程使用telnet/ssh登录,因此在设置之前应进行良好的规划。
对现有系统的影响:
对于系统及应用软件的运行没有任何影响,但root用户不能通过远程方式登录,只能通过终端在本地登录。
三.限制普通用户通过telnet登陆主机
1.创建/etc/NOTLOGIN文件,在文件中加入要限制的用户名,每一行一个用户名。
2.在/etc/profile中加入:
NAME1=`grep$LOGNAME/etc/NOTLOGIN`
NAME2=`logname`
if[“$NAME1”=$NAME2”]
then
echo“Youarenotallowedtologinin!
!
!
”
exit
fi
需要说明的是,这种方法对Xmanage等Xwindow图形登陆软件无效。
对现有系统的影响:
对于系统及应用软件的运行没有任何影响,但所有用户不能通过远程方式登录,只能通过终端在本地登录或使用SSH软件进行远程登录。
四.限制只有sm01用户可su到root
root执行以下脚本:
groupadd–g600suroot
useradd–u600–gsuroot–Gsuroot–d/home/sm01-s/usr/bin/shsm01
passwdsm01
echo“SU_ROOT_GROUP=suroot”>/etc/default/security
echo“console”>/etc/security
对现有系统的影响:
对于系统及应用软件的运行没有任何影响。
三.限制某个用户通过ftp登录主机:
编辑/etc/ftpd/ftpusers文件,在新行中输入该用户的名称即可;在HP_UX11.x之前,该文件名称为/etc/ftpusers。
对现有系统的影响:
对于系统及应用软件的运行没有任何影响。
最好的方法是在/etc/inetd.conf中将该服务屏蔽。
远程文件传输可通过SSH替代。
3.1.2IBM的实现方法
一.限制root用户通过telnet/rlogin登录:
chuserrlogin=falseroot
同样的方法可限制普通用户
二.限制只有sm01用户可su到root:
1.指定sm01用户属于临时创建的admin用户组。
chusergroups=adminsm01
2.指定能su到root的用户组,由于admin组只有一个名为sm01的用户,则仅有sm01能su到root。
chusersubgroups=adminroot
3.以上可用脚本实现:
mkgroupid=600admin
mkuserid=600groups=adminhome=/home/sm01shell=/usr/bin/kshsm01
passwdsm01
chusersugroups=adminroot
三.限制某个用户通过ftp登录主机:
编辑/etc/ftpusers文件,在新行中输入该用户的名称即可。
3.2对主机的控制访问
对于某关键业务系统主机,只允许或限制某几个IP地址访问该系统主机
3.2.1HP的实现方法
允许telnet,rlogin等服务访问某个主机,修改/var/adm/inetd.sec文件,在该文件中的每一行包含一个服务名称,权限域(容许或者拒绝),Internet地址或者主机的名称或网络名称。
该文件中的每项格式如下:
例如:
telnetallow10.3-5192.34.56.5ahostanetwork
上面的该语句表示容许下面的主机使用telnet访问系统:
❑网络10.3到10.5的主机
❑IP地址为192.34.56.5的主机
❑名称为"ahost"的主机
❑网络"anetwork"中的所有主机
mountddeny192.23.4.3
该语句表示主机IP地址为192.23.4.3不能存取NFSrpc.mountd服务器。
需要注意的是网络名称和主机名称必须是官方名称,不能是别名(Aliases)。
对现有系统的影响:
对于系统及应用软件的运行没有任何影响。
如果在/etc/inetd.conf中将该服务屏蔽后,则上述步骤可以忽略。
3.2.2IBM的实现方法
只允许或限制某几个IP地址访问该系统主机,步骤为:
1.确定安装了.ipsec.*(在AIX4.3和5l都有,一般默认情况下已安装)*软件包
2.启动ipsecurity服务
smitipsec4—>Start/StopIPSecurity
—>StartIPSecurity
回车立即启动服务。
3.进入配置菜单
smitipsec4—>AdvancedIPSecurityConfiguration
—>ConfigureIPSecurityFilterRules
—>AddanIPSecurityFilterRule
回车后显示:
AddanIPSecurityFilterRule
Typeorselectvaluesinentryfields.
PressEnterAFTERmakingalldesiredchanges.
[TOP][EntryFields]
*RuleAction[permit]+
*IPSourceAddress[10.0.0.6]
*IPSourceMask[255.255.255.255]
IPDestinationAddress[]
IPDestinationMask[]
*Interface[all]
4.以上例子为加入一条允许10.0.0.6访问本机的规则。
也可在RuleAction中输入deny,设为限制访问,如想限制10.0.0网段的所有机器访问本机,可分别在IPSourceAddress和IPSourceMask输入10.0.0.*和255.255.255.0
3.3设置密码规范
❑密码规范要求:
-密码格式:
由数字、字母和符号组成
-无效登录次数:
6次无效登录
-历史密码记忆个数:
8-12个
-密码修改期限:
90天
-密码长度:
最小6位
3.3.1HP的实现方法
需要注意的是对于密码规范的设置,部分需要在信任模式下进行,关于如何将OS转换为信任模式,参见3.8节。
转换为信任模式不需要重新启动系统,如果客户有应用直接读取OS的用户名称等,则可能会对该应用有影响。
一.编辑/etc/default/security文件,可以设置密码长度(HPUNIX默认即为6位),如果该文件不存在,请使用Vi创建该文件,该文件对所有用户生效,并且系统无须转换为信任模式。
MIN_PASSWORD_LENGTH=6-密码最小位数
PASSWORD_HISTORY_DEPTH=8-历史密码记忆个数
PASSWORD_MAXDAYS=90-密码修改期限
PASSWORD_MIN_LOWER_CASE_CHARS=2-密码中必须有两个小写字母
PASSWORD_MIN_SPECIAL_CHARS=1-密码中必须有一个特殊字符
PASSWORD_MIN_DIGIT_CHARS=1-密码中必须有一个字符
对现有系统的影响:
对于系统及应用软件的运行没有任何影响。
二.转换成信任模式,更改全局性的用户密码属性。
启动sam:
"AuditingandSecurity"->
"SystemSecurityPolicies"
选择各项进行相应的安全设置:
-"PasswordAgingPolicies"
-"GeneralUserAccountPolicies"(可设置无效登录次数,root用户最好和其他用户分开设置)
-"TerminalSecurityPolicies"
或者,通过命令行
/usr/lbin/modprpw
-也可以完成类似的工作,以上须在信任模式下进行
对现有系统的影响:
对于系统及应用软件的运行没有任何影响。
三.转换成信任模式后,更改单个用户的密码属性。
sam:
“Accountsforusersandgroups”->
”Users”
选择用户名后
选择Actions
ModifySecurityPolicies
可修改诸如“提示密码即将到期天数”,“密码的期限”等属性,但不能修改“密码包括的最小字母数”等属性。
对现有系统的影响:
对于系统及应用软件的运行没有任何影响。
3.3.2IBM的实现方法
可用命令实现,如下:
chuserhistexpire=26histsize=20minlen=6maxage=12minalpha=2minother=2
pwdwarntime=10mindiff=4loginretries=6username
histexpire=26-在6个月(26周)内不允许重新使用以前使用过
的密码,密码个数由histsize指定
histsize=8-历史密码记忆个数
minlen=6-密码最小位数
maxage=12-密码修改期限(12周)
minalpha=2-密码中最少有两个字母(无论大小写)
minother=2-密码中最少有两个非字母字符
pwdwarntime=10-密码到期前10天,用户登陆时提示密码即将到期
mindiff=4-与上一次使用的密码最少有4个字符不一样
loginretries=6-最后一次成功登陆后,如果失败的登陆企图超过6次,该用户帐号将被锁定
3.4锁定系统默认账号
❑需求:
对系统默认帐号(例如:
daemon,bin,sys,adm,lp,smtp,uucp,nuucp,listen,nobody,noaccess,guest,nobody,lpd)进行锁定
3.4.1HP的实现方法
在信任模式下,启动sam,对相应需要锁定的账号进行锁定。
在普通模式下,也可以使用下面的命令锁定账号:
#passwd–lusername
3.4.2IBM的实现方法
对于普通用户:
chuseraccount_locked=trueusername
对于bin,sys等系统默认帐号,在/etc/passwd文件中显示:
bin:
!
:
2:
2:
:
/bin:
在/etc/security/passwd中显示:
bin:
password=*
*号表示该帐号密码设置不当,虽然其属性account_locked=false,但实际该用户帐号不能登陆,系统默认帐号无需通过chuser命令锁定。
3.5超时设置
❑需求
-1分钟超时设置
3.5.1HP的实现方法
编辑/etc/profile文件:
readonlyTMOUT=60;exportTMOUT
readonly控制TMOUT不能被用户任意修改。
对现有系统的影响:
对于系统及应用软件的运行没有任何影响,如果超过60S没有操作的话,请重新登录。
3.5.2IBM的实现方法
与HP的实现方法相同,如某用户想单独设定自己的超时参数,可在用户的.profile中输入相同语句。
3.6Umask
❑需求
-超级用户 027
-一般用户 022
3.6.1HP的实现方法
对于一般用户,在/etc/profile文件中:
umask022
对于超级用户,在root的.profile文件中:
umask027
对现有系统的影响:
对于操作系统及应用软件的当前运行没有任何影响。
但是,当以上设置与上层应用软件(Oracle,Sybase,CICS)的umask设置要求存在冲突时,以上层软件的umask要求为准。
3.6.2IBM的实现方法
系统默认umask为022,可通过和HP相同的方法实现
3.7不用服务端口关闭及检测方法
❑需求
-在/etc/services和/etc/inetd.conf里,对不用的服务端口关闭,如FTP,www,telnet,rshorrexec
3.7.1HP的实现方法
编辑/etc/inetd.conf文件,注释不需要的服务的行,然后执行:
inetd-c
通常inetd可能启动的服务有:
telnet(tcp23)
ftp(tcp21)
login(tcp513)
shell(tcp514)
exec
tftp
ntalk
printer
daytime(udp&tcp)
time
echo(udp&tcp)
discard(udp&tcp)
chargen(udp&tcp)
kshell
klogin
dtspc
rpc.ttdbserver
rpc.cmsd
swat
registrar
recserv
instl_boots
ident(tcp113)(cmviewcl需要该服务)
hacl-probe(tcp5303)
hacl-cfg(tcp&udp5302)
bpcd(tcp13782)
vnetd(tcp13724)
vopied(tcp13783)
bpjava-msvc(tcp13722)
其中大部分的服务可以关闭,以下的服务可能会用到:
telnet/ftp
通常用来管理,建议使用ssh代替。
rlogin/remsh
通常用在双机环境中或用来管理。
对于前者,需要设置网络访问控制策略限制对于rlogin/remsh的访问;
对于后者,建议使用ssh代替;
MC/SG双机使用的服务;
ident(tcp113)
hacl-probe(tcp5303)
hacl-cfg(tcp&udp5302)
对现有系统的影响:
根据应用程序的要求而定
检测方法:
可利用netstat–a观察相应的服务是否关闭
/etc/inetd.conf作为一个配置文件,控制系统启动时启用的服务,可以通过/etc/inetd.conf的复制实现快速的服务启动、关闭控制。
3.7.2IBM的实现方法
对于不使用的服务,可通过
smittystopserver实现
命令行:
stopsrc–tsubserver_type
3.8设置信任模式及影响
3.8.1HP的实现方法
信任模式增加了以下的安全特性:
❑口令放置在单独的、只有root用户可读写的文件中;
❑口令可以选取8位以上(<80);
❑可以设置更多的口令与登录属性;
❑可以进行审计(audit)。
通过sam可以很容易的转换到信任模式,或者从信任模式回退到标准模式。
转换到信任模式,启动sam:
"AuditingandSecurity"->
"SystemSecurityPolicies"
系统将会提示转换为信任模式,按照提示进行即可;如果系统内用户数量较多(>50),则转换过程可能持续几分钟
回退到标准模式,启动sam:
"AuditingandSecurity"->
"AuditedEvents"->"Actions"->"UnconverttheSystem"
或者通过命令行:
/usr/lbin/tsconvert(转换到信任模式)
/usr/lbin/tsconvert-r(回退)
对现有系统的影响:
转化为trust方式后,如果以前的用户口令大于8位,则只输入前8位,否则将无法登录。
3.8.2IBM的实现方法
无所谓的信任模式,以上安全访问控制功能都可在默认情况下实现。
3.9一些特殊的密码管理方法
3.9.1HP的实现方法
暂无
3.9.2IBM的实现方法
1.在不更改用户密码的前提下,登陆用户只需要输入另一个用户的口令
如登陆patrol用户只需输入sm01的密码,可运行以下命令:
chuser“auth1=SYSTEM;sm01”patrol
以patrol用户登陆时系统会提示输入sm01的密码
2.除输入本用户的密码外,需要另外一个用户的口令才能登陆
如登陆patrol用户需要分别输入patrol和sm01的用户口令
chuser“auth1=SYSTEM,SYSTEM;sm01”patrol
3.只需要分别输入另外两个用户的口令登陆
如登陆patrol用户需要分别输入patrol1和patrol2的口令,但无需
patrol自己的口令。
chuser“auth1=SYSTEM,patrol1”“auth2=SYSTEM,patrol2”patrol
3.10操作系统安全登陆方式SSH
1.HP提供SSH软件包,SSH是rlogin、telnet、ftp、rcp等命令的安全替换
2.#swinsall–s/tmp/SSH_HP-UX_B.11.11.depot,安装相应的软件包
3.在客户端安装相应的SSH工具,在windows上的SSH工具有很多,且都是免费的
4.#ssh192.168.1.1可以远程登录192.168.1.1这台服务器
5.#scp192.168.1.1可以与192.168.1.1这台服务器传输文件
6.由于SSH是一个功能强大的工具,有很多使用方法,具体情况可参考SSH文档。
互联网上这类文档有很多,各厂家的SSH工具的使用方法都一样。
对现有系统的影响:
对于系统及应用软件的运行没有任何影响。
远程操作如登录,文件传输都将通过SSH完成。
3.11HPUX停止Xwindows服务
1.修改/sbin/rc3.d/S990dtlogin.rc文件,将其文件名变为s990dtlogin.rc.bak
2.修改/etc/rc.config.d/desktop文件,修改DESKTOP=0
对现有系统的影响:
对于系统及应用软件的运行没有任何影响。
4实施建议
针对惠普基于以往实施经验,我们结合目前的农行状况,我们建议先从如下的方面进行实施:
1.限制用户方法
2.对主机的控制访问
3.设置密码规范
4.超时设置
5.Umask
6.设置信任模式及影响
7.安装及使用SSH