中国移动HP-UNIX操作系统安全配置规范
2.4 设备其他安全配置要求
本部分作为对于HP-UX操作系统设备除账号认证、日志、协议等方面外的安全配置要求的补充,对HP-UX操作系统设备提出上述安全功能需求。包括补丁升级、文件系统管理等其他方面的安全能力,该部分作为前几部分安全配置要求的补充。
2.4.1 屏幕保护
编号: 安全要求-设备-通用-配置-19-可选
要求内容 操作指南 对于具备图形界面(含WEB界面)的设备,应配置定时自动屏幕锁定。 1、参考配置操作 A.用vi新建一个文件screensaver.sh 输入以下内容: for file in /usr/dt/config/*/sys.resources; do dir=\ mkdir -p \ echo 'dtsession*saverTimeout: 10' >>\ echo 'dtsession*lockTimeout: 10' >>\ done B.保存后退出 C.执行脚步,命令:sh screensaver.sh 在默认情况下,鼠标和键盘在10至30分钟内没有动作会调用CDE会话管理器锁定屏幕,以上的配置减少到10分钟。 2、补充操作说明 1、判定条件 若在设定时间内没有操作动作,能够自动退出,即为符合; 2、检测操作 用root帐户登录后,在设定时间内不进行任何操作,检查帐户是否登出。 3、补充说明 检测方法
18
中国移动HP-UNIX操作系统安全配置规范
2.4.2 文件系统及访问权限
编号: 安全要求-设备-HP-UX-配置-27-可选
要求内容 操作指南 涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改。 1、参考配置操作 查看重要文件和目录权限:ls –l 更改权限: 对于重要目录,建议执行如下类似操作: # chmod -R 750 /etc/init.d/* 这样只有root可以读、写和执行这个目录下的脚本。 2、补充操作说明 检测方法 1、判定条件 用root外的其它帐户登录,对重要文件和目录进行删除、修改等操作不能够成功即为符合。 2、检测操作 查看重要文件和目录权限:ls –l 用root外的其它帐户登录,对重要文件和目录进行删除、修改等操作 3、补充说明
编号: 安全要求-设备-HP-UX-配置-28-可选
要求内容 操作指南 应该从应用层面进行必要的安全访问控制,比如FTP服务器应该限制ftp可以使用的目录范围。 1、参考配置操作 限制ftp用户登陆后在自己当前目录下活动 编辑ftpaccess,加入如下一行restricted-uid *(限制所有用户),restricted-uid username(特定用户) 2、补充操作说明 ftpaccess文件与ftpusers文件在同一目录 3、补充说明 1、判定条件 访问被禁止或被限制; 2、检测操作 root帐户从远程访问 3、补充说明 19
检测方法
中国移动HP-UNIX操作系统安全配置规范
2.4.3 物理端口设置
编号: 安全要求-设备-HP-UX-配置-30-可选
要求内容 操作指南 使用引导身份验证功能防止未经授权的访问 1、参考配置操作 编辑文件vi /etc/default/security,输入如下: BOOT_AUTH=1 BOOT_USERS=root,mary,jack,amy,jane BOOT_AUTH=0为关闭,1为开启 把允许进入单用户模式的用户名填写在BOOT_USERS=后 2、 补充操作说明 用户可对系统进行配置,使得只有授权用户才能引导计算机进入单用户模式。必须在重新引导系统之前启用引导身份验证功能。 检测方法 1、判定条件 查看/etc/default/security的内容 2、检测操作 # cat /etc/default/security|grep BOOT
2.4.4 补丁管理
编号: 安全要求-设备-HP-UX-配置-31-可选
要求内容 操作指南 在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的包就不装。 1、 参考配置操作 执行下列命令,查看版本及大补丁号。 #uname –a 执行下列命令,查看各包的补丁号 #swlist 2、补充操作说明 1、 判定条件 # uname –a查看版本及大补丁号 #swlist 命令检补丁号 2、检测操作 在系统安装时建议只安装基本的OS部份,其余的软件包则以必要为原则,非必需的包就不装。 20
检测方法 中国移动HP-UNIX操作系统安全配置规范 3、补充说明 编号: 安全要求-设备-HP-UX-配置-32-可选
要求内容 操作指南 应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。 1、参考配置操作 #showrev –p命令检补丁号; swinstall -s /tmp/*.depot 命令给系统打补丁; 更新更安全的补丁在 : http://itrc.hp.com/service/patch/releaseIndexPage.do 2、补充操作说明 1、判定条件 查看最新的补丁号,确认已打上了最新补丁; 2、检测操作 #showrev –p命令检补丁号 3、补充说明 检测方法 2.4.5 服务
编号: 安全要求-设备-HP-UX-配置-33-可选
要求内容 操作指南 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。 1、参考配置操作 查看所有开启的服务: #ps –eaf 方法一:手动方式 在inetd.conf中关闭不用的服务 首先复制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi编辑器编辑inetd.conf文件,对于需要注释掉的服务在相应行开头标记\字符, 重启inetd进程 >kill –HUP
中国移动HP-UNIX操作系统安全配置规范 awk \ inetd.conf > inetd.conf.new cp inetd.conf.new inetd.conf grep -E -q \ || echo \ done for svc in rpc.rstatd rpc.rusersd rpc.rwalld \\ rpc.sprayd rpc.cmsd kcms_server; do awk \ inetd.conf > inetd.conf.new cp inetd.conf.new inetd.conf done for svc in printer shell login telnet ftp tftp \\ bootps kshell klogin; do awk \ inetd.conf > inetd.conf.new cp inetd.conf.new inetd.conf grep -E -q \ || echo \ done for svc in rpc.rquotad rpc.ttdbserver; do awk \ /etc/inetd.conf > /etc/inetd.conf.new cp inetd.conf.new inetd.conf done chown root:sys inetd.conf chmod go-w,a-xs inetd.conf rm -f /etc/inetd.conf.new B.保持后退出 C.执行生效,命令:sh dis_server.sh 2、补充操作说明 在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。 echo discard daytime chargen dtspc exec ntalk finger uucp ident auth instl_boots registrar recserv rpc.rstatd rpc.rusersd rpc.rwalld rpc.sprayd rpc.cmsd kcms_server printer shell login telnet ftp tftp bootps kshell klogin rpc.rquotad rpc.ttdbserver 注意:改变了―inetd.conf‖文件之后,需要重新启动inetd。 对必须提供的服务采用tcpwapper来保护。 并且为了防止服务取消后断线,一定要启用SSHD服务,用以登录操 22
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库中国移动HP-UNIX操作系统安全配置规范(5)在线全文阅读。
相关推荐: