Hpux安全配置规范.docx
《Hpux安全配置规范.docx》由会员分享,可在线阅读,更多相关《Hpux安全配置规范.docx(35页珍藏版)》请在冰点文库上搜索。
Hpux安全配置规范
Hp-ux安全配置规范
HP-UX安全配置规范
2011年3月
第1章概述
1.1适用范围
适用于中国电信使用HP-UX操作系统的设备。
本规范明确了安全配置的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
由于版本不同,配置操作有所不同,本规范以HP-UX11v2\11v3为例,给出参考配置操作。
第2章安全配置要求
2.1账号
编号:
1
要求内容
应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
检测方法
1、判定条件
被删除或锁定的账号无法登录成功;
2、检测操作
使用删除或锁定的与工作无关的账号登录系统;
3、补充说明
需要锁定的用户:
lp,nuucp,hpdb,www,demon。
编号:
3
要求内容
根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。
操作指南
1、参考配置操作
创建帐户组:
#groupadd–gGIDgroupname#创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;
#usermod–ggroupusername#将用户username分配到group组中。
查询被分配到的组的GID:
#idusername
可以根据实际需求使用如上命令进行设置。
2、补充操作说明
可以使用-g选项设定新组的GID。
0到499之间的值留给root、bin、mail这样的系统账号,因此最好指定该值大于499。
如果新组名或者GID已经存在,则返回错误信息。
当group_name字段长度大于八个字符,groupadd命令会执行失败;
当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如#newgrpsys即把当前用户以sys组身份运行;
检测方法
1、判定条件
可以查看到用户账号分配到相应的帐户组中;
或都通过命令检查账号是否属于应有的组:
#idusername
2、检测操作
查看组文件:
cat/etc/group
3、补充说明
文件中的格式说明:
group_name:
:
GID:
user_list
2.2口令
编号:
1
要求内容
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。
操作指南
1参考配置操作
ch_rc–a-pMIN_PASSWORD_LENGTH=8/etc/default/security
ch_rc–a-pPASSWORD_HISTORY_DEPTH=10\
/etc/default/security
ch_rc–a–pPASSWORD_MIN_UPPER_CASE_CHARS=1\
/etc/default/security
ch_rc–a–pPASSWORD_MIN_DIGIT_CHARS=1\
/etc/default/security
ch_rc–a–pPASSWORD_MIN_SPECIAL_CHARS=1\
/etc/default/security
ch_rc–a–pPASSWORD_MIN_LOWER_CASE_CHARS=1\
/etc/default/security
modprdef-mnullpw=NO
modprdef-mrstrpw=YES
MIN_PASSWORD_LENGTH=8#设定最小用户密码长度为8位
PASSWORD_MIN_UPPER_CASE_CHARS=1#表示至少包括1个大写字母
PASSWORD_MIN_DIGIT_CHARS=1#表示至少包括1个数字
PASSWORD_MIN_SPECIAL_CHARS=1#表示至少包括1个特殊字符(特殊字符可以包括控制符以及诸如星号和斜杠之类的符号)
PASSWORD_MIN_LOWER_CASE_CHARS=1#表示至少包括1个小写字母
当用root帐户给用户设定口令的时候不受任何限制,只要不超长。
2、补充操作说明
不同的HP-UX版本可能会有差异,请查阅当前系统的manpagesecurity(5)详细说明
检测方法
1、判定条件
不符合密码强度的时候,系统对口令强度要求进行提示;
符合密码强度的时候,可以成功设置;
2、检测操作
1、检查口令强度配置选项是否可以进行如下配置:
i.配置口令的最小长度;
ii.将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
编号:
2
要求内容
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
操作指南
1、参考配置操作
以下的shell语句将设置除root外的所有有效登录的账号密码过期和过前期的收到警告设置:
logins-ox\
|awk-F:
'($8!
="LK"&&$1!
="root"){print$1}'\
|whilereadlogname;do
passwd–x91–n7–w28"$logname"
/usr/lbin/modprpw-mexptm=90,mintm=7,expwarn=30\
"$logname"
done
echoPASSWORD_MAXDAYS=91>>/etc/default/security
echoPASSWORD_MINDAYS=7>>/etc/default/security
echoPASSWORD_WARNDAYS=28>>/etc/default/security
/usr/lbin/modprdef-mexptm=90,expwarn=30
用户将在密码过期前的30天收到警告信息(28天没有运行在HP-UX的Trusted模式)
2、补充操作说明
检测方法
1、判定条件
登录不成功;
2、检测操作
使用超过90天的帐户口令登录;
3、补充说明
测试时可以将90天的设置缩短来做测试。
编号:
3
要求内容
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
操作指南
1、参考配置操作
vi/etc/default/passwd,修改设置如下
HISTORY=5
2、补充操作说明
#HISTORYsetsthenumberofpriorpasswordchangestokeepand
#checkforauserwhenchangingpasswords.SettingtheHISTORY
#valuetozero(0),orremoving/commentingouttheflagwill
#causeallusers'priorpasswordhistorytobediscardedatthe
#nextpasswordchangebyanyuser.Nopasswordhistorywill
#becheckediftheflagisnotpresentorhaszerovalue.
#ThemaximumvalueofHISTORYis26.
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
检测方法
1、判定条件
设置密码不成功
2、检测操作
cat/etc/default/passwd,设置如下
HISTORY=5
3、补充说明
默认没有HISTORY的标记,即不记录以前的密码
NIS系统无法生效,非NIS系统或NIS+系统能够生效。
编号:
4
要求内容
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
操作指南
1、参考配置操作
指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:
logins-ox\
|awk-F:
'($8!
="LK"&&$1!
="root"){print$1}'\
|whilereadlogname;do
/usr/lbin/modprpw-mumaxlntr=6"$logname"
done
modprdef-mumaxlntr=6
echoAUTH_MAXTRIES=6>>/etc/default/security
除root外的有效账号都将被设置重复登录失败次数为6
2、补充操作说明
检测方法
1、判定条件
帐户被锁定,不再提示让再次登录;
2、检测操作
创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录6次以上(不含6次);
1、补充说明
root账号不在锁定的限制范围内
2.3文件与目录权限
编号:
1
要求内容
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南
1、参考配置操作
通过chmod命令对目录的权限进行实际设置。
2、补充操作说明
etc/passwd必须所有用户都可读,root用户可写–rw-r—r—
/etc/shadow只有root可读–r--------
/etc/group必须所有用户都可读,root用户可写–rw-r—r—
使用如下命令设置:
chmod644/etc/passwd
chmod600/etc/shadow
chmod644/etc/group
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod-Rgo-w/etc
检测方法
1、判定条件
1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;
2、记录能够配置的权限选项内容;
3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。
2、检测操作
1、利用管理员账号登录系统,并创建2个不同的用户;
2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;
3、为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;
4、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。
3、补充说明
编号:
2
要求内容
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
操作指南
1、参考配置操作
设置默认权限:
Vi/etc/default/security在末尾增加umask027
修改文件或目录的权限,操作举例如下:
#chmod444dir;#修改目录dir的权限为所有人都为只读。
根据实际情况设置权限;
2、补充操作说明
如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。
检测方法
1、判定条件
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
2、检测操作
查看新建的文件或目录的权限,操作举例如下:
#ls-ldir;#查看目录dir的权限
#cat/etc/default/login查看是否有umask027内容
3、补充说明
umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。
umask的计算:
umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
编号:
3
要求内容
如果需要启用FTP服务,控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
操作指南
1、参考配置操作
if[["$(uname-r)"=B.10*]];then
ftpusers=/etc/ftpusers
else
ftpusers=/etc/ftpd/ftpusers
fi
fornameinrootdaemonbinsysadmlp\
uucpnuucpnobodyhpdbuseradm
do
echo$name
done>>$ftpusers
sort–u$ftpusers>$ftpusers.tmp
cp$ftpusers.tmp$ftpusers
rm–f$ftpusers.tmp
chownbin:
bin$ftpusers
chmod600$ftpusers
2、补充操作说明
查看#catftpusers
说明:
在这个列表里边的用户名是不允许ftp登陆的。
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
hpdb
useradm
检测方法
1、判定条件
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
2、检测操作
查看新建的文件或目录的权限,操作举例如下:
#more/etc/[/ftpd]/ftpusers
#more/etc/passwd
3、补充说明
查看#catftpusers
说明:
在这个列表里边的用户名是不允许ftp登陆的。
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
hpdb
useradm
2.4远程维护
编号:
1
要求内容
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作指南
2、参考配置操作
编辑/etc/securetty,加上:
console
保存后退出,并限制其他用户对此文本的所有权限:
chownroot:
sys/etc/securetty
chmod600/etc/securetty
此项只能限制root用户远程使用telnet登录。
用ssh登录,修改此项不会看到效果的
2、补充操作说明
如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
检测方法
1、判定条件
root远程登录不成功,提示“没有权限”;
普通用户可以登录成功,而且可以切换到root用户;
2、检测操作
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录;
3、补充说明
限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
编号:
2
要求内容
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,禁止使用telnet等明文传输协议进行远程维护;
操作指南
1、下载和安装OpenSSH
在网站上免费获取OpenSSH;
并根据安装文件说明执行安装步骤。
2、完成下面安装后的配置:
cd/opt/ssh/etc
cp-psshd_configsshd_config.tmp
awk'
/^Protocol/{$2="2"};
/^X11Forwarding/{$2="yes"};
/^IgnoreRhosts/{$2="yes"};
/^RhostsAuthentication/{$2="no"};
/^RhostsRSAAuthentication/{$2="no"};
/(^#|^)PermitRootLogin/{
$1="PermitRootLogin";
$2="no"};
/^PermitEmptyPasswords/{$2="no"};
/^#Banner/{
$1="Banner";
$2="/etc/issue"}
{print}'sshd_config.tmp>sshd_config
rm-fsshd_config.tmp
chownroot:
sysssh_configsshd_config
chmodgo-wssh_configsshd_config
先拷贝一份配置,再用awk生成一份修改了安全配置的临时文件,最后替换原始配置文件ssh_config,其中配置含义如下:
Protocol=2#使用ssh2版本
X11Forwarding#允许窗口图形传输使用ssh加密
IgnoreRhosts=yes#完全禁止SSHD使用.rhosts文件
RhostsAuthentication=no#不设置使用基于rhosts的安全验证
RhostsRSAAuthentication=no#不设置使用RSA算法的基于rhosts的安全验证。
3、补充操作说明
查看SSH服务状态:
#ps–elf|grepssh
注:
禁止使用telnet等明文传输协议进行远程维护;如特别需要,需采用访问控制策略对其进行限制;
检测方法
1、判定条件
#ps–ef|grepssh
是否有ssh进程存在
是否有telnet进程存在
2、检测操作
查看SSH服务状态:
#ps–ef|grepssh
查看telnet服务状态:
#ps–ef|greptelnet
3、补充说明
2.5补丁安全
编号:
1
要求内容
应根据需要及时进行补丁装载。
对服务器系统应先进行兼容性测试。
操作指南
1、参考配置操作
看版本是否为最新版本。
执行下列命令,查看版本及大补丁号。
#uname–a
HP-UX:
http:
//us-
执行下列命令,查看各包的补丁号
#swlist
2、补充操作说明
检测方法
1、判定条件
看版本是否为最新版本。
#uname–a查看版本及大补丁号
#swlist命令检补丁号
2、检测操作
在保证业务及网络安全的前提下,经过实验室测试后,更新使用最新版本的操作系统补丁
3、补充说明
2.6日志安全
编号:
1
要求内容
打开syslog系统日志审计功能有助于系统的日常维护和故障排除,或者防止被攻击后查看日志采取防护补救措施,增强系统安全日志。
操作指南
1、参考配置操作
修改配置文件vi/etc/syslog.conf,
配置如下类似语句:
*.err;kern.debug;daemon.notice;/var/adm/messages
定义为需要保存的设备相关安全事件。
2、补充操作说明
检测方法
1、判定条件
查看/var/adm/messages,记录有需要的设备相关的安全事件。
2、检测操作
修改配置文件vi/etc/syslog.conf,
配置如下类似语句:
*.err;kern.debug;daemon.notice;/var/adm/messages
定义为需要保存的设备相关安全事件。
3、补充说明
编号:
2
要求内容
设备应配置权限,控制对日志文件读取、修改和删除等操作。
操作指南
1、参考配置操作
检查系统日志:
awk
$0!
~/^#/&&$2~"^/"{
print$2
}
'|sort-u|whilereadfile
doif[-d"$file"-o-c"$file"-o\
-b"$file"-o-p"$file"]
then:
elif[!
-f"$file"]
thenmkdir-p"$(dirname"$file")"
touch"$file"
chmod640"$file"
elsechmodo-w"$file"
fi
done
检查其他日志:
hostname=`uname-n`
chmodo-w
/tmp/snmpd.log\
/var/X11/Xserver/logs/X0.log
/var/X11/Xserver/logs/X1.log
/var/X11/Xserver/logs/X2.log
/var/adm/automount.log
/var/adm/snmpd.log
/var/opt/dce/svc/error.log
/var/opt/dce/svc/fatal.log
/var/opt/dce/svc/warning.log
/var/opt/dde/dde_error_log
/var/opt/hppak/hppak_error_log
/var/opt/ignite/logs/makrec.log1
/var/opt/ignite/recovery/fstab
/var/opt/ignite/recovery/group.makrec
/var/opt/ignite/recovery/passwd.makrec
/var/sam/hpbottom.dion
/var/sam/hpbottom.iout
/var/sam/hpbottom.iout.old
"/var/sam/$hostname.dion"
"/var/sam/$hostname.iout"
"/var/sam/$hostname.iout.old"
/var/sam/lock
/var/sam/log/samlog
/var/sam/log/sam_tm_work
/var/adm/sw
/var/adm/sw/save
/var/adm/sw/patch
2、补充操作说明
检测方法
1、判定
升级会员 