中国移动HP-UNIX操作系统安全配置规范(3)

中国移动HP-UNIX操作系统安全配置规范 除root外的有效账号都将被设置重复登录失败次数为6 2、补充操作说明 检测方法 1、判定条件 帐户被锁定，不再提示让再次登录； 2、检测操作 创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）； 2、 补充说明 root账号不在锁定的限制范围内 2.1.3 授权

编号： 安全要求-设备-通用-配置-9

要求内容 操作指南 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 1、参考配置操作 通过chmod命令对目录的权限进行实际设置。 2、补充操作说明 etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 必须所有用户都可读，root用户可写 –rw-r—r— 使用如下命令设置： chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外） 执行命令#chmod -R go-w /etc 1、判定条件 1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行； 2、记录能够配置的权限选项内容； 3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。 2、检测操作 1、利用管理员账号登录系统，并创建2个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项； 3、2个用户的权限差异应能够分为两个用户分别配置不同的权限，别在用户权限级别、可访问系统资源以及可用命令等方面予以体现； 8

检测方法 中国移动HP-UNIX操作系统安全配置规范 4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。 3、补充说明

编号： 安全要求-设备-HP-UX-配置-12-可选

要求内容 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 1、 参考配置操作 设置默认权限： cd /etc for file in profile csh.login d.profile d.login do echo umask 027 >> \ done ch_rc –a -p UMASK=027 /etc/default/security 在/etc目录下的profile csh.login d.profile d.login文件尾部增加 umask 027 修改文件或目录的权限，操作举例如下： #chmod 444 dir ; #修改目录dir的权限为所有人都为只读。 根据实际情况设置权限； 2、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下： #ls -l dir ; #查看目录dir的权限 #cat /etc/default/login 查看是否有umask 027内容 3、补充说明 umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。 umask的计算： umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。 操作指南 检测方法 编号： 安全要求-设备-HP-UX-配置-13-可选

要求内容 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录 9

操作指南 中国移动HP-UNIX操作系统安全配置规范 时应屏蔽掉新文件或目录不应有的访问允许权限。 1、参考配置操作 if [[ \ ftpusers=/etc/ftpusers else ftpusers=/etc/ftpd/ftpusers fi for name in root daemon bin sys adm lp \\ uucp nuucp nobody hpdb useradm do echo $name done >> $ftpusers sort –u $ftpusers > $ftpusers.tmp cp $ftpusers.tmp $ftpusers rm –f $ftpusers.tmp chown bin:bin $ftpusers chmod 600 $ftpusers 2、补充操作说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许ftp登陆的。 root daemon bin sys adm lp uucp nuucp listen nobody hpdb useradm 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下： #more /etc/ [/ftpd]/ftpusers #more /etc/passwd 3、补充说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许ftp登陆的。 root daemon bin 10

检测方法 sys adm lp uucp nuucp listen nobody hpdb useradm

中国移动HP-UNIX操作系统安全配置规范 2.2 日志配置要求

本部分对HP-UX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。 编号： 安全要求-设备-通用-配置-24-可选

要求内容 操作指南 设备应配置日志功能，记录对与设备相关的安全事件。 1、参考配置操作 修改配置文件vi /etc/syslog.conf， 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 2、补充操作说明 1、判定条件 查看/var/adm/messages，记录有需要的设备相关的安全事件。 2、检测操作 修改配置文件vi /etc/syslog.conf， 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 3、补充说明 检测方法 编号： 安全要求-设备-通用-配置-14-可选

要求内容 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服 11

务器。 操作指南 中国移动HP-UNIX操作系统安全配置规范 1、参考配置操作 修改配置文件vi /etc/syslog.conf， 加上这一行： *.* @192.168.0.1 可以将\替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。 可以将此处192.168.0.1替换为实际的IP或域名。 重新启动syslog服务，执行下列命令： /sbin/init.d/syslogd stop | start 2、补充操作说明 注意： *.*和@之间为一个Tab 检测方法 1、判定条件 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。 2、检测操作 查看日志服务器上的所收到的日志文件。 3、补充说明

2.3 IP协议安全配置要求

2.3.1 IP协议安全

编号： 安全要求-设备-通用-配置-17-可选

要求内容 操作指南 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。 1、 下载和安装OpenSSH 在网站上免费获取OpenSSH http://software.hp.com/ ； 并根据安装文件说明执行安装步骤 。 2、完成下面安装后的配置： cd /opt/ssh/etc cp -p sshd_config sshd_config.tmp awk ' /^Protocol/ { $2 = \ /^X11Forwarding/ { $2 = \ 12

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库中国移动HP-UNIX操作系统安全配置规范(3)在线全文阅读。