HPUni安全配置风险评估检查表.docx

《HPUni安全配置风险评估检查表.docx》由会员分享，可在线阅读，更多相关《HPUni安全配置风险评估检查表.docx（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、HP-UNIX 系统安全配置基线目 录第1章概述11.1目11.2适用范围11.3适用版本1第2章账户管理、认证授权22.1账号22.1.1默认账号22.1.2远程登录限制22.1.3账号清理32.2口令32.2.1口令强度要求32.2.2口令生存周期要求32.2.3口令历史安全要求42.2.4登录失败安全要求42.2.5默认访问权限安全要求52.2.6 FTP访问安全要求5第3章审计功能配置63.1审计日志63.1.1审计日志功能6第4章IP协议安全配置要求74.1IP协议74.1.1远程维护协议安全7第5章设备其他安全配置要求85.1访问控制85.1.1 应用层访问控制85.1.2 引导身

2、份验证85.2服务95.2.1 服务安全要求9第1章 概述1.1 目本文档规定了HP-Unix 操作系统主机应当遵循操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行HP-UNIX 操作系统安全合规性检查和配置。1.2 适用范围本配置标准使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3 适用版本HP-UNIX系列服务器；第2章 账户管理、认证授权2.1 账号2.1.1默认账号安全基线项目名称操作系统HPUnix缺省账户安全基线要求项安全基线编号SBL-HPUnix-02-01-01 安全基线项说明 应删除或锁定和设备运行、维护等工作无关账号。系统内存在不可删除

3、内置账号，包括root,bin等。检测操作步骤执行cat /etc/shadow基线符合性判定依据需要锁定用户：lp,nuucp,hpdb,。备注2.1.2远程登录限制安全基线项目名称操作系统HPUnix远程登录安全基线要求项安全基线编号SBL-HPUnix-02-01-02 安全基线项说明 限制具备超级管理员权限用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。检测操作步骤root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；基线符合性判定依据root远程

4、登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户备注2.1.3账号清理安全基线项目名称操作系统HPUnix远程登录安全基线要求项安全基线编号SBL-HPUnix-02-01-03 安全基线项说明 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。检测操作步骤远程登录；基线符合性判定依据禁止交互登录系统账号， smbnull i sshd hpsmh named uucp nuucp adm daemon bin lp nobody noacce

5、ss hpdb useradm.被禁止账号交互式登录帐户远程登录不成功备注2.2 口令2.2.1口令强度要求安全基线项目名称操作系统HPUnix口令强度安全基线要求项安全基线编号SBL-HPUnix-02-02-01 安全基线项说明 对于采用静态口令认证技术设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤cat /etc/default/security；基线符合性判定依据创建一个普通账号，为用户配置和用户名相同口令、只包含字符或数字简单口令以及长度短于6位口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号复杂口令、普通复杂口令，查看系统是否

6、可以成功设置。备注2.2.2口令生存周期要求安全基线项目名称操作系统HPUnix口令生存周期安全基线要求项安全基线编号SBL-HPUnix-02-02-02 安全基线项说明 对于采用静态口令认证技术设备，帐户口令生存期不长于90天。并且7天内不得更改密码。检测操作步骤使用超过90天帐户口令登录；基线符合性判定依据登录不成功备注2.2.3口令历史安全要求安全基线项目名称操作系统HPUnix口令历史安全基线要求项安全基线编号SBL-HPUnix-02-02-03 安全基线项说明 对于采用静态口令认证技术设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用口令。检测操作步骤cat /etc

7、/default/passwd 基线符合性判定依据HISTORY5备注2.2.4登录失败安全要求安全基线项目名称操作系统HPUnix登录失败安全基线要求项安全基线编号SBL-HPUnix-02-02-04 安全基线项说明 对于采用静态口令认证技术设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用账号。检测操作步骤创建一个普通账号，为其配置相应口令；并用新建账号通过错误口令进行系统登录6次以上（不含6次）；基线符合性判定依据帐户被锁定，不再提示让再次登录；备注2.2.5默认访问权限安全要求安全基线项目名称操作系统HPUnix默认访问权限安全基线要求项安全基线编号SBL-HPU

8、nix-02-02-05 安全基线项说明 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有访问允许权限。防止同属于该组其它用户及别组用户修改该用户文件或更高限制。检测操作步骤查看新建文件或目录权限，操作举例如下：#ls -l dir ; #查看目录dir权限#cat /etc/default/login 基线符合性判定依据查看是否有umask 027内容；备注2.2.6 FTP访问安全要求安全基线项目名称操作系统HPUnix FTP访问权限安全基线要求项安全基线编号SBL-HPUnix-02-02-06 安全基线项说明 控制FTP进程缺省访问权限，当通过FTP服务创建新

9、文件或目录时应屏蔽掉新文件或目录不应有访问允许权限。检测操作步骤cat /etc/基线符合性判定依据在这个列表里边用户名是不允许ftp登陆。rootdaemonbinsysadmlpuucpnuucplistennobodyhpdbuseradm备注第3章 审计功能配置3.1 审计日志3.1.1审计日志功能安全基线项目名称操作系统HPUnix 审计日志安全基线要求项安全基线编号SBL-HPUnix-03-01-01 安全基线项说明 设备应配置日志功能，记录对和设备相关安全事件。检测操作步骤cat /etc/syslog.conf基线符合性判定依据配置如下类似语句：*.err;kern.debu

10、g;daemon.notice; /var/adm/messages定义为需要保存设备相关安全事件。查看/var/adm/messages，记录有需要设备相关安全事件。备注第4章 IP协议安全配置要求4.1 IP协议4.1.1远程维护协议安全安全基线项目名称操作系统HPUnix 远程维护协议安全基线要求项安全基线编号SBL-HPUnix-04-01-01 安全基线项说明 对于使用IP协议进行远程维护设备，设备应配置使用SSH等加密协议。检测操作步骤查看SSH服务状态：# ps elf|grep ssh查看telnet服务状态：# ps elf|grep telnet基线符合性判定依据# ps

11、elf|grep ssh是否有ssh进程存在备注第5章 设备其他安全配置要求5.1 访问控制5.1.1 应用层访问控制安全基线项目名称操作系统HPUnix 应用层访问控制安全基线要求项安全基线编号SBL-HPUnix-05-01-01 安全基线项说明 应该从应用层面进行必要安全访问控制，比如FTP服务器应该限制ftp可以使用目录范围。检测操作步骤root帐户从远程访问查看文件，基线符合性判定依据中应用如下一行restricted-uid *(限制所有用户)，root访问被禁止或被限制；备注5.1.2 引导身份验证安全基线项目名称操作系统HPUnix 引导身份验证安全基线要求项安全基线编号SBL

12、-HPUnix-05-01-02 安全基线项说明 使用引导身份验证功能防止未经授权访问检测操作步骤cat /etc/default/security|grep BOOT基线符合性判定依据包含如下类似配置：BOOT_AUTH=1BOOT_USERS=root,mary,jack,amy,jane备注5.2 服务5.2.1 服务安全要求安全基线项目名称操作系统HPUnix 服务安全基线要求项安全基线编号SBL-HPUnix-05-02-01 安全基线项说明 列出所需要服务列表(包括所需系统服务)，不在此列表服务需关闭。检测操作步骤cat /etc/inet/inetd.confcat /etc/inet/services基线符合性判定依据在/etc/inetd.conf文件中禁止下列不必要基本网络服务。echo discard daytime chargen dtspc exec ntalk finger uucp ident auth instl_boots registrar recserv rpc.rstatd rpc.rusersd rpc.rwalld rpc.sprayd rpc.cmsd kcms_server printer shell login telnet bootps kshell klogin rpc.rquotad rpc.ttdbserver 备注