HPUX系统安全检查方案.docx

HPUX系统安全检查方案.docx

《HPUX系统安全检查方案.docx》由会员分享，可在线阅读，更多相关《HPUX系统安全检查方案.docx（14页珍藏版）》请在冰点文库上搜索。

HPUX系统安全检查方案

技术文件

技术文件名称：

HP-UX系统安全检查方案

技术文件编号：

版本：

V1.0

文件质量等级：

共13页

（包括封面）

拟制

审核

会签

标准化

批准

中兴通讯股份有限公司

修改记录

文件编号

版本号

拟制人/

修改人

拟制/修改日期

更改理由

主要更改内容

（写要点即可）

1.0

王华刚

2009/06/30

无

无

注1：

每次更改归档文件（指归档到事业部或公司档案室的文件）时，需填写此表。

注2：

文件第一次归档时，“更改理由”、“主要更改内容”栏写“无”。

HP-UX操作系统安全检查方案目录

（包括封面）1

修改记录2

1概述5

内部适用性说明5

外部引用说明5

术语和定义5

符号和缩略语5

2HPUX安全检查操作指导6

2.1ZTE-HPUX-S01检查帐号安全6

2.1.1ZTE-HPUX-SH01-01检查系统帐号安全性6

2.1.2ZTE-HPUX-SM01-02检查root远程登录配置6

2.1.3ZTE-HPUX-SM01-03检查口令复杂度，加密和密码历史配置6

2.1.4ZTE-HPUX-SL01-04检查口令生存期配置7

2.2ZTE-HPUX-S02检查登录会话环境7

2.2.1ZTE-HPUX-SL02-01检查字符登录会话超时5分钟自动退出7

2.2.2ZTE-HPUX-SL02-02检查图形登录会话超时5分钟自动退出7

2.2.3ZTE-HPUX-SM02-03检查用户环境变量7

2.3ZTE-HPUX-S03检查主机软件/网络服务8

2.3.1ZTE-HPUX-SH03-01检查ftp登录用户限制8

2.3.2ZTE-HPUX-SM03-02检查ftp用户活动目录限制8

2.3.3ZTE-HPUX-SL03-03检查匿名ftp用户限制8

2.3.4ZTE-HPUX-SM03-04检查GUI配置8

2.3.5ZTE-HPUX-SH03-05检查TELNET服务配置9

2.3.6ZTE-HPUX-SH03-06检查SSH服务配置9

2.3.7ZTE-HPUX-SM03-07检查服务配置9

2.3.8ZTE-HPUX-SM03-08检查SNMP服务配置10

2.3.9ZTE-HPUX-SL03-09检查NTP服务器或客户端配置10

2.3.10ZTE-HPUX-SM03-10检查信任主机配置10

2.3.11ZTE-HPUX-SM03-11检查ftp初始化文件配置10

2.4ZTE-HPUX-S04检查日志记录配置10

2.4.1ZTE-HPUX-SL04-01检查登录日志配置10

2.4.2ZTE-HPUX-SL04-02检查事件日志配置11

2.4.3ZTE-HPUX-SL04-03检查远程日志服务器配置11

2.4.4ZTE-HPUX-SL04-04检查cron日志配置11

2.4.5ZTE-HPUX-SL04-05检查是否启用内核级审核11

2.5ZTE-HPUX-S05检查文件权限11

2.5.1ZTE-HPUX-SM05-01检查重要系统文件权限11

2.6ZTE-HPUX-S06检查系统补丁安装情况12

2.6.1ZTE-HPUX-SH06-01检查操作系统补丁版本12

2.7ZTE-HPUX-S07检查网络协议安全配置12

2.7.1ZTE-HPUX-SL07-01检查IP协议配置12

2.8ZTE-HPUX-S08检查杂项12

2.8.1ZTE-HPUX-SL08-01禁止产生Core文件配置12

HP-UX操作系统基本检查方案

1概述

内部适用性说明

本方案是在《业务研究院网络安全规范》中各项要求的基础上，提出HP-UX操作系统安全检查方案。

外部引用说明

《中国移动设备通用安全功能和配置规范》

《中国移动操作系统安全功能规范》

术语和定义

符号和缩略语

缩写

英文描述

中文描述

本文件中的字体标识如下：

蓝色斜体在具体执行时需要替换的内容

检查/加固项编码意义如下：

公司名称-操作系统-条目性质风险级别数字编号-小项数字编号

条目性质中：

S意为检查；E意为加固

风险级别中：

H意为高风险；M意为中等风险；L意为低风险，风险级别仅存于具体条目中

2HP-UX安全检查操作指导

2.1ZTE-HPUX-S01检查帐号安全

2.1.1ZTE-HPUX-SH01-01检查系统帐号安全性

#cat/etc/passwd

检查如下内容（强密码部分单独检查）：

帐号名

用户ID是否为0

是否已锁定

默认shell

是否强密码

需要记录的内容：

用户ID为0的所有帐号，默认有shell并未锁定的帐号

2.1.2ZTE-HPUX-SM01-02检查root远程登录配置

操作

期望输出

是否满足

#grepconsole/etc/securetty

console

#grepPermitRootLogin/etc/ssh/sshd_config

PermitRootLoginno

2.1.3ZTE-HPUX-SM01-03检查口令复杂度，加密和密码历史配置

操作

期望输出

是否满足

#ch_rc-l-pMIN_PASSWORD_LENGTH/etc/default/security

8

#ch_rc-l-pPASSWORD_MIN_UPPER_CASE_CHARS/etc/default/security

1

#ch_rc-l-pPASSWORD_MIN_DIGIT_CHARS/etc/default/security

1

#ch_rc-l-pPASSWORD_MIN_SPECIAL_CHARS/etc/default/security

1

#ch_rc-l-pPASSWORD_MIN_LOWER_CASE_CHARS/etc/default/security

1

2.1.4ZTE-HPUX-SL01-04检查口令生存期配置

操作

期望输出

是否满足

#ch_rc-l-pPASSWORD_MAXDAYS/etc/default/security

91

#ch_rc-l-pPASSWORD_MINDAYS/etc/default/security

7

#ch_rc-l-pPASSWORD_WARNDAYS/etc/default/security

28

2.1.5ZTE-HPUX-SL01-05检查连续失败锁定账号

操作

期望输出

是否满足

#ch_rc-l-pAUTH_MAXTRIES/etc/default/security

6

2.2ZTE-HPUX-S02检查登录会话环境

2.2.1ZTE-HPUX-SL02-01检查引导身份验证功能配置

操作

期望输出

是否满足

#ch_rc-l-pBOOT_AUTH/etc/default/security

1

#ch_rc-l-pBOOT_USERS/etc/default/security

root

2.2.2ZTE-HPUX-SL02-02检查字符登录会话超时5分钟自动退出

操作

期望输出

是否满足

#grepTMOUT/etc/profile

TMOUT=300;exportTMOUT

2.2.3ZTE-HPUX-SL02-03检查图形登录会话超时5分钟自动退出

操作

期望输出

是否满足

#grepTimeout/usr/dt/config/*/sys.resources

输出中包含如下内容：

dtsession*saverTimeout:

5

dtsession*lockTimeout:

5

2.2.4ZTE-HPUX-SM02-03检查用户环境变量

操作

期望输出

是否满足

#ch_rc-l-pUMASK/etc/default/security

027

#forfileinprofilecsh.logind.profiled.login

dogrepumask"$file"

done

所有用户的umask值均为umask=27

使用每个可以登录的帐号登录系统后，执行：

#set|grepPATH

检查PATH变量中，是否定义了当前目录：

“.”

无PATH变量包含当前目录（“.”）

2.3ZTE-HPUX-S03检查主机软件/网络服务

2.3.1ZTE-HPUX-SH03-01检查ftp登录用户限制

操作

期望输出

是否满足

HP-UXB.10：

#cat/etc/ftpusers

其他版本：

#cat/etc/ftpd/ftpusers

输出包含除允许ftp登录的用户之外的其他所有用户

2.3.2ZTE-HPUX-SM03-02检查ftp用户活动目录限制

操作

期望输出

是否满足

HP-UXB.10：

#cat/etc/ftpaccess

其他版本：

#cat/etc/ftpd/ftpaccess

输出中包含如下内容：

restricted-uid*

2.3.3ZTE-HPUX-SM03-03检查GUI配置

操作

期望输出

是否满足

#ps–elf|grepdtlogin

无/usr/dt/bin/dtlogin进程

2.3.4ZTE-HPUX-SL03-04检查匿名ftp用户限制

操作

期望输出

是否满足

FTP登录被检查服务器，确认是否可以匿名访问

不能匿名访问

2.3.5ZTE-HPUX-SH03-05检查TELNET服务配置

操作

期望输出

是否满足

操作1：

telnet登录服务器

如果可以telnet登录，进一步检查：

操作2：

检查/etc/hosts.allow和/etc/hosts.deny是否存在

操作3：

#grepin.telnetd/etc/hosts.deny

操作1：

登录失败

操作2：

文件存在

操作3：

in.telnetd:

ALL

2.3.6ZTE-HPUX-SH03-06检查SSH服务配置

操作

期望输出

是否满足

操作1：

ssh登录服务器：

如果可以ssh登录，继续检查操作2

操作2：

检查文件/etc/hosts.allow和/etc/hosts.deny是否存在

如果文件存在，继续检查操作3

操作3：

#grepsshd/etc/hosts.deny

操作1：

登录成功

操作2：

文件存在

操作3：

sshd:

ALL

2.3.7ZTE-HPUX-SM03-07检查服务配置

#lssrc-a

输出内容请复制至右侧

#grep-v\^#/etc/inetd.conf

输出内容请复制至右侧

2.3.8ZTE-HPUX-SM03-08检查SNMP服务配置

操作

期望输出

是否满足

#ch_rc-l–pSNMP_HPUNIX_START/etc/rc.config.d/SnmpHpunix

0

#ch_rc-l–pSNMP_MASTER_START/etc/rc.config.d/SnmpMaster

0

#ch_rc-l–pSNMP_MIB2_START/etc/rc.config.d/SnmpMib2

0

#ch_rc-l–pSNMP_TRAPDEST_START/etc/rc.config.d/SnmpTrpDst

0

#greppublic/etc/snmpd.conf

输出不包含如下内容：

get-community-name:

public

2.3.9ZTE-HPUX-SL03-09检查NTP服务器或客户端配置

操作

期望输出

是否满足

检查文件/etc/ntp.conf是否存在

文件存在

#lssrc-txntpd

进程存在

2.3.10ZTE-HPUX-SM03-10检查信任主机配置

操作

期望输出

是否满足

检查文件/etc/hosts.equiv是否存在（内容为空，可认为不存在）

文件不存在

#检查用户主目录下（包括/root）是否存在如下文件：

.rhosts

（如果文件内容为空，可认为不存在）

文件不存在

2.3.11ZTE-HPUX-SM03-11检查ftp初始化文件配置

操作

期望输出

是否满足

检查用户主目录下（包括/root）是否存在如下文件：

.netrc

（如果文件内容为空，可认为不存在）

文件不存在

2.4ZTE-HPUX-S04检查日志记录配置

2.4.1ZTE-HPUX-SL04-02检查事件日志配置

操作

期望输出

是否满足

#grep/var/adm/messages/etc/syslog.conf

输出为（含有）：

*.err;kern.debug;daemon.notice;/var/adm/messages

2.4.2ZTE-HPUX-SL04-03检查远程日志服务器配置

操作

期望输出

是否满足

#grep@/etc/syslog.conf

输出中，@后面的主机名或ip地址不是为本机

2.5ZTE-HPUX-S05检查文件权限

2.5.1ZTE-HPUX-SM05-01检查重要系统文件权限

操作

期望输出

是否满足

操作1：

#ls-l/etc/group

操作2：

#ls-l/etc/shadow

操作3：

#ls-l/etc/passwd

权限部分输出如下：

操作1：

权限644

操作2：

权限600（仅限于HP-UX11i之后版本）

操作3：

权限644，属主：

root:

security

2.6ZTE-HPUX-S06检查系统补丁安装情况

2.6.1ZTE-HPUX-SH06-01检查操作系统补丁版本

#uname-r

2.7ZTE-HPUX-S07检查网络协议安全配置

2.7.1ZTE-HPUX-SL07-01检查IP协议配置

操作

期望输出

是否满足

#ndd–get/dev/tcptcp_syn_rcvd_max

4096

#ndd–get/dev/arparp_cleanup_interval

60000

#ndd–get/dev/ipip_forward_src_routed

0

#ndd–get/dev/ipip_forward_directed_broadcasts

0

#ndd–get/dev/ipip_respond_to_timestamp

0

#ndd–get/dev/ipip_respond_to_timestamp_broadcast

0

#ndd–get/dev/ipip_respond_to_address_mask_broadcast

0

#ndd–get/dev/ipip_respond_to_echo_broadcast

0

#ndd–get/dev/ipip_forwarding

0

#ndd–get/dev/ipip_send_redirects

0

2.8ZTE-HPUX-S08检查杂项

2.8.1ZTE-HPUX-SL08-01防止堆栈缓冲溢出配置

操作

期望输出

是否满足

HP-UX11i：

kmtune-qexecutable_stack

HP-UX11iv2之后版本：

kctuneexecutable_stack

输出中参数当前值为0