《Hp-ux安全配置规范》由会员分享,可在线阅读,更多相关《Hp-ux安全配置规范(22页珍藏版)》请在金锄头文库上搜索。
1、HP-UX 安全配置规范2011年3月第1章 概述1.1 适用范围适用于中国电信使用HP-UX操作系统的设备。本规范明确了安全配置的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同,配置操作有所不同,本规范以HP-UX11v211v3为例,给出参考配置操作。第2章 安全配置要求2.1 账号编号: 1要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号:#useradd username #创建账号#passwd username #设置密码修改权限:
2、#chmod 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作;2、检测操作使用不同的账号进行登录并进行一些常用操作;3、补充说明编号: 2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户:#userdel username; 锁定用户:1)修改/etc/shadow文件,用户名后加NP2)将/etc/passwd文件中的shell域设置成/bin/no
3、shell3)#passwd -l username只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户:lp,nuucp,hpdb,www,demon。注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用)等检测方法1、判定条件被删除或锁定的账号无法登录成功;2、检测操作使用删除或锁定的与工作无关的账号登录系统;3、补充说明需要锁定的用户:lp,nuucp,hpdb,www,demon。编号: 3要
4、求内容根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。操作指南1、参考配置操作创建帐户组:#groupadd g GID groupname #创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号;#usermod g group username #将用户username分配到group组中。查询被分配到的组的GID:#id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号,因此最好指定该值大于 499。如果
5、新组名或者 GID 已经存在,则返回错误信息。当group_name字段长度大于八个字符,groupadd命令会执行失败;当用户希望以其他用户组成员身份出现时,需要使用newgrp命令进行更改,如#newgrp sys 即把当前用户以sys组身份运行;检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中;或都通过命令检查账号是否属于应有的组:#id username 2、检测操作查看组文件:cat /etc/group 3、补充说明文件中的格式说明:group_name:GID:user_list 2.2 口令编号: 1要求内容对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字
6、、小写字母、大写字母和特殊符号4类中至少3类。操作指南1参考配置操作ch_rc a -p MIN_PASSWORD_LENGTH=8 /etc/default/security ch_rc a -p PASSWORD_HISTORY_DEPTH=10 /etc/default/security ch_rc a p PASSWORD_MIN_UPPER_CASE_CHARS=1 /etc/default/security ch_rc a p PASSWORD_MIN_DIGIT_CHARS=1 /etc/default/security ch_rc a p PASSWORD_MIN_SPECIA
7、L_CHARS=1 /etc/default/security ch_rc a p PASSWORD_MIN_LOWER_CASE_CHARS=1 /etc/default/security modprdef -m nullpw=NO modprdef -m rstrpw=YES MIN_PASSWORD_LENGTH=8 #设定最小用户密码长度为8位PASSWORD_MIN_UPPER_CASE_CHARS=1 #表示至少包括1个大写字母PASSWORD_MIN_DIGIT_CHARS=1 #表示至少包括1个数字PASSWORD_MIN_SPECIAL_CHARS=1 #表示至少包括1个特殊
8、字符(特殊字符可以包括控制符以及诸如星号和斜杠之类的符号)PASSWORD_MIN_LOWER_CASE_CHARS=1 #表示至少包括1个小写字母当用root帐户给用户设定口令的时候不受任何限制,只要不超长。2、补充操作说明不同的HP-UX版本可能会有差异,请查阅当前系统的man page security(5) 详细说明 检测方法1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作1、检查口令强度配置选项是否可以进行如下配置:i. 配置口令的最小长度;ii. 将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包
9、含字符或数字的简单口令以及长度短于8位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。编号: 2要求内容对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。操作指南1、 参考配置操作以下的shell语句将设置除root外的所有有效登录的账号密码过期和过前期的收到警告设置:logins -ox | awk -F: ($8 != LK & $1 != root) print $1 | while read logname; do passwd x 91 n 7 w 28 $logname /usr/lbin/modprpw
10、-m exptm=90,mintm=7,expwarn=30 $logname done echo PASSWORD_MAXDAYS=91 /etc/default/security echo PASSWORD_MINDAYS=7 /etc/default/security echo PASSWORD_WARNDAYS=28 /etc/default/security /usr/lbin/modprdef -m exptm=90,expwarn=30 用户将在密码过期前的30天收到警告信息(28 天没有运行在 HP-UX 的Trusted 模式)2、补充操作说明检测方法1、判定条件登录不成功;
11、2、检测操作使用超过90天的帐户口令登录;3、补充说明测试时可以将90天的设置缩短来做测试。编号: 3要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。操作指南1、参考配置操作vi /etc/default/passwd ,修改设置如下HISTORY52、补充操作说明#HISTORY sets the number of prior password changes to keep and# check for a user when changing passwords. Setting the HISTORY# value to zer
12、o (0), or removing/commenting out the flag will# cause all users prior password history to be discarded at the# next password change by any user. No password history will# be checked if the flag is not present or has zero value.# The maximum value of HISTORY is 26.NIS系统无法生效,非NIS系统或NIS+系统能够生效。检测方法1、判
13、定条件设置密码不成功2、检测操作cat /etc/default/passwd ,设置如下HISTORY53、补充说明默认没有HISTORY的标记,即不记录以前的密码NIS系统无法生效,非NIS系统或NIS+系统能够生效。编号: 4要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定: logins -ox | awk -F: ($8 != LK & $1 != root) print $1 | while read logname; do /us
14、r/lbin/modprpw -m umaxlntr=6 $logname done modprdef -m umaxlntr=6 echo AUTH_MAXTRIES=6 /etc/default/security除root外的有效账号都将被设置重复登录失败次数为62、补充操作说明检测方法1、判定条件帐户被锁定,不再提示让再次登录;2、检测操作创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录6次以上(不含6次);1、 补充说明root账号不在锁定的限制范围内2.3 文件与目录权限编号: 1要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明etc/passwd 必须所有用户都可读,root用户可写 rw-rr /etc/shadow 只有root可读 r- /etc/group 必须所有用户都可读,root用户可写 rw-rr使用如下命
