中国移动HP-UNIX操作系统安全配置规范(2)

中国移动HP-UNIX操作系统安全配置规范 2)将/etc/passwd文件中的shell域设置成/bin/noshell 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：lp,nuucp,hpdb,www,demon。 检测方法 1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：lp,nuucp,hpdb,www,demon。

编号： 安全要求-设备-HP-UX-配置-3 要求内容 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。 1、 参考配置操作 编辑/etc/securetty，加上： console 保存后退出，并限制其他用户对此文本的所有权限： chown root:sys /etc/securetty chmod 600 /etc/securetty 此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的 2、补充操作说明 如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 1、判定条件 root远程登录不成功，提示“Not on system console”； 普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 3

操作指南 检测方法 中国移动HP-UNIX操作系统安全配置规范

编号： 安全要求-设备-HP-UX-配置-4-可选 要求内容 操作指南 根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。 1、参考配置操作 创建帐户组： #groupadd –g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号； #usermod –g group username #将用户username分配到group组中。 查询被分配到的组的GID：#id username 可以根据实际需求使用如上命令进行设置。 2、补充操作说明 可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。 当group_name字段长度大于八个字符，groupadd命令会执行失败； 当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行； 1、判定条件 可以查看到用户账号分配到相应的帐户组中； 或都通过命令检查账号是否属于应有的组： #id username 2、检测操作 查看组文件：cat /etc/group 3、补充说明 文件中的格式说明： group_name::GID:user_list 检测方法

编号： 安全要求-设备-HP-UX-配置-5-可选 要求内容 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。 1、参考配置操作 禁止账号交互式登录： for user in www sys smbnull iwww owww sshd \\ hpsmh named uucp nuucp adm daemon bin lp \\ nobody noaccess hpdb useradm; do passwd –l \ /usr/sbin/usermod -s /bin/false \ if [[ \ /usr/lbin/modprpw -w \ else /usr/lbin/modprpw -w \ 4

操作指南 中国移动HP-UNIX操作系统安全配置规范 fi done 删除账号：#userdel username; 2、补充操作说明 禁止交互登录的系统账号，比如www sys smbnull iwww owww sshd hpsmh named uucp nuucp adm daemon bin lp nobody noaccess hpdb useradm. 检测方法 1、判定条件 被禁止账号交互式登录的帐户远程登录不成功； 2、检测操作 用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出； 3、补充说明 2.1.2 口令

编号： 安全要求-设备-通用-配置-4

要求内容 操作指南 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 1、参考配置操作 ch_rc –a -p MIN_PASSWORD_LENGTH=6 /etc/default/security ch_rc –a -p PASSWORD_HISTORY_DEPTH=10 \\ /etc/default/security ch_rc –a –p PASSWORD_MIN_UPPER_CASE_CHARS=1 \\ /etc/default/security ch_rc –a –p PASSWORD_MIN_DIGIT_CHARS=1 \\ /etc/default/security ch_rc –a –p PASSWORD_MIN_SPECIAL_CHARS=1 \\ /etc/default/security ch_rc –a –p PASSWORD_MIN_LOWER_CASE_CHARS=1 \\ /etc/default/security modprdef -m nullpw=NO modprdef -m rstrpw=YES MIN_PASSWORD_LENGTH=6 #设定最小用户密码长度为6位 PASSWORD_MIN_UPPER_CASE_CHARS=1 #表示至少包括1个大写字母 PASSWORD_MIN_DIGIT_CHARS=1 #表示至少包括1个数字 PASSWORD_MIN_SPECIAL_CHARS=1 #表示至少包括1个特殊字符（特殊字符可以包括控制符以及诸如星号和斜杠之类的符号） 5

中国移动HP-UNIX操作系统安全配置规范 PASSWORD_MIN_LOWER_CASE_CHARS=1 #表示至少包括1个小写字母 当用root帐户给用户设定口令的时候不受任何限制，只要不超长。 2、补充操作说明 不同的HP-UX版本可能会有差异，请查阅当前系统的man page security(5) 详细说明 检测方法 1、判定条件 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

编号： 安全要求-设备-通用-配置-5

要求内容 操作指南 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。并且7天内不得更改密码。 1、 参考配置操作 以下的shell语句将设置除root外的所有有效登录的账号密码过期和过前期的收到警告设置： logins -ox \\ | awk -F: '($8 != \ | while read logname; do passwd –x 91 –n 7 –w 28 \ /usr/lbin/modprpw -m exptm=90,mintm=7,expwarn=30 \\ \ done echo PASSWORD_MAXDAYS=91 >> /etc/default/security echo PASSWORD_MINDAYS=7 >> /etc/default/security echo PASSWORD_WARNDAYS=28 >> /etc/default/security /usr/lbin/modprdef -m exptm=90,mintm=7,expwarn=30 用户将在密码过期前的30天收到警告信息（28 天没有运行在 HP-UX 的Trusted 模式） 2、补充操作说明 1、判定条件 6

检测方法 中国移动HP-UNIX操作系统安全配置规范 登录不成功； 2、检测操作 使用超过90天的帐户口令登录； 3、补充说明 测试时可以将90天的设置缩短来做测试。

编号： 安全要求-设备-通用-配置-6-可选

要求内容 操作指南 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。 1、参考配置操作 vi /etc/default/passwd ，修改设置如下 HISTORY＝5 2、补充操作说明 #HISTORY sets the number of prior password changes to keep and # check for a user when changing passwords. Setting the HISTORY # value to zero (0), or removing/commenting out the flag will # cause all users' prior password history to be discarded at the # next password change by any user. No password history will # be checked if the flag is not present or has zero value. # The maximum value of HISTORY is 26. NIS系统无法生效，非NIS系统或NIS+系统能够生效。 1、判定条件 设置密码不成功 2、检测操作 cat /etc/default/passwd ，设置如下 HISTORY＝5 3、补充说明 默认没有HISTORY的标记，即不记录以前的密码 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 检测方法 编号： 安全要求-设备-通用-配置-7-可选

要求内容 操作指南 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 1、参考配置操作 指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定： logins -ox \\ | awk -F: '($8 != \ | while read logname; do /usr/lbin/modprpw -m umaxlntr=6 \ done modprdef -m umaxlntr=6 echo AUTH_MAXTRIES=6 >> /etc/default/security 7

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库中国移动HP-UNIX操作系统安全配置规范(2)在线全文阅读。