HPUX系统安全检查方案.docx
《HPUX系统安全检查方案.docx》由会员分享,可在线阅读,更多相关《HPUX系统安全检查方案.docx(14页珍藏版)》请在冰点文库上搜索。
HPUX系统安全检查方案
技术文件
技术文件名称:
HP-UX系统安全检查方案
技术文件编号:
版本:
V1.0
文件质量等级:
共13页
(包括封面)
拟制
审核
会签
标准化
批准
中兴通讯股份有限公司
修改记录
文件编号
版本号
拟制人/
修改人
拟制/修改日期
更改理由
主要更改内容
(写要点即可)
1.0
王华刚
2009/06/30
无
无
注1:
每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表。
注2:
文件第一次归档时,“更改理由”、“主要更改内容”栏写“无”。
HP-UX操作系统安全检查方案目录
(包括封面)1
修改记录2
1概述5
内部适用性说明5
外部引用说明5
术语和定义5
符号和缩略语5
2HPUX安全检查操作指导6
2.1ZTE-HPUX-S01检查帐号安全6
2.1.1ZTE-HPUX-SH01-01检查系统帐号安全性6
2.1.2ZTE-HPUX-SM01-02检查root远程登录配置6
2.1.3ZTE-HPUX-SM01-03检查口令复杂度,加密和密码历史配置6
2.1.4ZTE-HPUX-SL01-04检查口令生存期配置7
2.2ZTE-HPUX-S02检查登录会话环境7
2.2.1ZTE-HPUX-SL02-01检查字符登录会话超时5分钟自动退出7
2.2.2ZTE-HPUX-SL02-02检查图形登录会话超时5分钟自动退出7
2.2.3ZTE-HPUX-SM02-03检查用户环境变量7
2.3ZTE-HPUX-S03检查主机软件/网络服务8
2.3.1ZTE-HPUX-SH03-01检查ftp登录用户限制8
2.3.2ZTE-HPUX-SM03-02检查ftp用户活动目录限制8
2.3.3ZTE-HPUX-SL03-03检查匿名ftp用户限制8
2.3.4ZTE-HPUX-SM03-04检查GUI配置8
2.3.5ZTE-HPUX-SH03-05检查TELNET服务配置9
2.3.6ZTE-HPUX-SH03-06检查SSH服务配置9
2.3.7ZTE-HPUX-SM03-07检查服务配置9
2.3.8ZTE-HPUX-SM03-08检查SNMP服务配置10
2.3.9ZTE-HPUX-SL03-09检查NTP服务器或客户端配置10
2.3.10ZTE-HPUX-SM03-10检查信任主机配置10
2.3.11ZTE-HPUX-SM03-11检查ftp初始化文件配置10
2.4ZTE-HPUX-S04检查日志记录配置10
2.4.1ZTE-HPUX-SL04-01检查登录日志配置10
2.4.2ZTE-HPUX-SL04-02检查事件日志配置11
2.4.3ZTE-HPUX-SL04-03检查远程日志服务器配置11
2.4.4ZTE-HPUX-SL04-04检查cron日志配置11
2.4.5ZTE-HPUX-SL04-05检查是否启用内核级审核11
2.5ZTE-HPUX-S05检查文件权限11
2.5.1ZTE-HPUX-SM05-01检查重要系统文件权限11
2.6ZTE-HPUX-S06检查系统补丁安装情况12
2.6.1ZTE-HPUX-SH06-01检查操作系统补丁版本12
2.7ZTE-HPUX-S07检查网络协议安全配置12
2.7.1ZTE-HPUX-SL07-01检查IP协议配置12
2.8ZTE-HPUX-S08检查杂项12
2.8.1ZTE-HPUX-SL08-01禁止产生Core文件配置12
HP-UX操作系统基本检查方案
1概述
内部适用性说明
本方案是在《业务研究院网络安全规范》中各项要求的基础上,提出HP-UX操作系统安全检查方案。
外部引用说明
《中国移动设备通用安全功能和配置规范》
《中国移动操作系统安全功能规范》
术语和定义
符号和缩略语
缩写
英文描述
中文描述
本文件中的字体标识如下:
蓝色斜体在具体执行时需要替换的内容
检查/加固项编码意义如下:
公司名称-操作系统-条目性质风险级别数字编号-小项数字编号
条目性质中:
S意为检查;E意为加固
风险级别中:
H意为高风险;M意为中等风险;L意为低风险,风险级别仅存于具体条目中
2HP-UX安全检查操作指导
2.1ZTE-HPUX-S01检查帐号安全
2.1.1ZTE-HPUX-SH01-01检查系统帐号安全性
#cat/etc/passwd
检查如下内容(强密码部分单独检查):
帐号名
用户ID是否为0
是否已锁定
默认shell
是否强密码
需要记录的内容:
用户ID为0的所有帐号,默认有shell并未锁定的帐号
2.1.2ZTE-HPUX-SM01-02检查root远程登录配置
操作
期望输出
是否满足
#grepconsole/etc/securetty
console
#grepPermitRootLogin/etc/ssh/sshd_config
PermitRootLoginno
2.1.3ZTE-HPUX-SM01-03检查口令复杂度,加密和密码历史配置
操作
期望输出
是否满足
#ch_rc-l-pMIN_PASSWORD_LENGTH/etc/default/security
8
#ch_rc-l-pPASSWORD_MIN_UPPER_CASE_CHARS/etc/default/security
1
#ch_rc-l-pPASSWORD_MIN_DIGIT_CHARS/etc/default/security
1
#ch_rc-l-pPASSWORD_MIN_SPECIAL_CHARS/etc/default/security
1
#ch_rc-l-pPASSWORD_MIN_LOWER_CASE_CHARS/etc/default/security
1
2.1.4ZTE-HPUX-SL01-04检查口令生存期配置
操作
期望输出
是否满足
#ch_rc-l-pPASSWORD_MAXDAYS/etc/default/security
91
#ch_rc-l-pPASSWORD_MINDAYS/etc/default/security
7
#ch_rc-l-pPASSWORD_WARNDAYS/etc/default/security
28
2.1.5ZTE-HPUX-SL01-05检查连续失败锁定账号
操作
期望输出
是否满足
#ch_rc-l-pAUTH_MAXTRIES/etc/default/security
6
2.2ZTE-HPUX-S02检查登录会话环境
2.2.1ZTE-HPUX-SL02-01检查引导身份验证功能配置
操作
期望输出
是否满足
#ch_rc-l-pBOOT_AUTH/etc/default/security
1
#ch_rc-l-pBOOT_USERS/etc/default/security
root
2.2.2ZTE-HPUX-SL02-02检查字符登录会话超时5分钟自动退出
操作
期望输出
是否满足
#grepTMOUT/etc/profile
TMOUT=300;exportTMOUT
2.2.3ZTE-HPUX-SL02-03检查图形登录会话超时5分钟自动退出
操作
期望输出
是否满足
#grepTimeout/usr/dt/config/*/sys.resources
输出中包含如下内容:
dtsession*saverTimeout:
5
dtsession*lockTimeout:
5
2.2.4ZTE-HPUX-SM02-03检查用户环境变量
操作
期望输出
是否满足
#ch_rc-l-pUMASK/etc/default/security
027
#forfileinprofilecsh.logind.profiled.login
dogrepumask"$file"
done
所有用户的umask值均为umask=27
使用每个可以登录的帐号登录系统后,执行:
#set|grepPATH
检查PATH变量中,是否定义了当前目录:
“.”
无PATH变量包含当前目录(“.”)
2.3ZTE-HPUX-S03检查主机软件/网络服务
2.3.1ZTE-HPUX-SH03-01检查ftp登录用户限制
操作
期望输出
是否满足
HP-UXB.10:
#cat/etc/ftpusers
其他版本:
#cat/etc/ftpd/ftpusers
输出包含除允许ftp登录的用户之外的其他所有用户
2.3.2ZTE-HPUX-SM03-02检查ftp用户活动目录限制
操作
期望输出
是否满足
HP-UXB.10:
#cat/etc/ftpaccess
其他版本:
#cat/etc/ftpd/ftpaccess
输出中包含如下内容:
restricted-uid*
2.3.3ZTE-HPUX-SM03-03检查GUI配置
操作
期望输出
是否满足
#ps–elf|grepdtlogin
无/usr/dt/bin/dtlogin进程
2.3.4ZTE-HPUX-SL03-04检查匿名ftp用户限制
操作
期望输出
是否满足
FTP登录被检查服务器,确认是否可以匿名访问
不能匿名访问
2.3.5ZTE-HPUX-SH03-05检查TELNET服务配置
操作
期望输出
是否满足
操作1:
telnet登录服务器
如果可以telnet登录,进一步检查:
操作2:
检查/etc/hosts.allow和/etc/hosts.deny是否存在
操作3:
#grepin.telnetd/etc/hosts.deny
操作1:
登录失败
操作2:
文件存在
操作3:
in.telnetd:
ALL
2.3.6ZTE-HPUX-SH03-06检查SSH服务配置
操作
期望输出
是否满足
操作1:
ssh登录服务器:
如果可以ssh登录,继续检查操作2
操作2:
检查文件/etc/hosts.allow和/etc/hosts.deny是否存在
如果文件存在,继续检查操作3
操作3:
#grepsshd/etc/hosts.deny
操作1:
登录成功
操作2:
文件存在
操作3:
sshd:
ALL
2.3.7ZTE-HPUX-SM03-07检查服务配置
#lssrc-a
输出内容请复制至右侧
#grep-v\^#/etc/inetd.conf
输出内容请复制至右侧
2.3.8ZTE-HPUX-SM03-08检查SNMP服务配置
操作
期望输出
是否满足
#ch_rc-l–pSNMP_HPUNIX_START/etc/rc.config.d/SnmpHpunix
0
#ch_rc-l–pSNMP_MASTER_START/etc/rc.config.d/SnmpMaster
0
#ch_rc-l–pSNMP_MIB2_START/etc/rc.config.d/SnmpMib2
0
#ch_rc-l–pSNMP_TRAPDEST_START/etc/rc.config.d/SnmpTrpDst
0
#greppublic/etc/snmpd.conf
输出不包含如下内容:
get-community-name:
public
2.3.9ZTE-HPUX-SL03-09检查NTP服务器或客户端配置
操作
期望输出
是否满足
检查文件/etc/ntp.conf是否存在
文件存在
#lssrc-txntpd
进程存在
2.3.10ZTE-HPUX-SM03-10检查信任主机配置
操作
期望输出
是否满足
检查文件/etc/hosts.equiv是否存在(内容为空,可认为不存在)
文件不存在
#检查用户主目录下(包括/root)是否存在如下文件:
.rhosts
(如果文件内容为空,可认为不存在)
文件不存在
2.3.11ZTE-HPUX-SM03-11检查ftp初始化文件配置
操作
期望输出
是否满足
检查用户主目录下(包括/root)是否存在如下文件:
.netrc
(如果文件内容为空,可认为不存在)
文件不存在
2.4ZTE-HPUX-S04检查日志记录配置
2.4.1ZTE-HPUX-SL04-02检查事件日志配置
操作
期望输出
是否满足
#grep/var/adm/messages/etc/syslog.conf
输出为(含有):
*.err;kern.debug;daemon.notice;/var/adm/messages
2.4.2ZTE-HPUX-SL04-03检查远程日志服务器配置
操作
期望输出
是否满足
#grep@/etc/syslog.conf
输出中,@后面的主机名或ip地址不是为本机
2.5ZTE-HPUX-S05检查文件权限
2.5.1ZTE-HPUX-SM05-01检查重要系统文件权限
操作
期望输出
是否满足
操作1:
#ls-l/etc/group
操作2:
#ls-l/etc/shadow
操作3:
#ls-l/etc/passwd
权限部分输出如下:
操作1:
权限644
操作2:
权限600(仅限于HP-UX11i之后版本)
操作3:
权限644,属主:
root:
security
2.6ZTE-HPUX-S06检查系统补丁安装情况
2.6.1ZTE-HPUX-SH06-01检查操作系统补丁版本
#uname-r
2.7ZTE-HPUX-S07检查网络协议安全配置
2.7.1ZTE-HPUX-SL07-01检查IP协议配置
操作
期望输出
是否满足
#ndd–get/dev/tcptcp_syn_rcvd_max
4096
#ndd–get/dev/arparp_cleanup_interval
60000
#ndd–get/dev/ipip_forward_src_routed
0
#ndd–get/dev/ipip_forward_directed_broadcasts
0
#ndd–get/dev/ipip_respond_to_timestamp
0
#ndd–get/dev/ipip_respond_to_timestamp_broadcast
0
#ndd–get/dev/ipip_respond_to_address_mask_broadcast
0
#ndd–get/dev/ipip_respond_to_echo_broadcast
0
#ndd–get/dev/ipip_forwarding
0
#ndd–get/dev/ipip_send_redirects
0
2.8ZTE-HPUX-S08检查杂项
2.8.1ZTE-HPUX-SL08-01防止堆栈缓冲溢出配置
操作
期望输出
是否满足
HP-UX11i:
kmtune-qexecutable_stack
HP-UX11iv2之后版本:
kctuneexecutable_stack
输出中参数当前值为0