HP-Unix主机操作系统加固规范
- 格式:docx
- 大小:29.46 KB
- 文档页数:25
HP-Unix主机操作系统加固规范
HP-Unix主机操作系统加固规范
1 账号管理、认证授权
1.1 账号
1.1.1 SHG-HP-UX-01-01-01
编号 SHG-HP-UX-01-01-01
名称为不同的管理员分配不同的账号
实施目的根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态 cat /etc/passwd 记录当前用户列表
实施步骤 1、参考配置操作
为用户创建账号:
#useradd username #创建账号
#passwd username #设置密码
修改权限:
#chmod 750 directory #其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)
使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。
回退方案删除新增加的帐户
判断依据标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险高
重要等级★★★
备注
1.1.2 SHG-HP-UX-01-01-02
编号 SHG-HP-UX-01-01-02
名称删除或锁定无效账号
实施目的删除或锁定无效的账号,减少系统安全隐患。 问题影响允许非法利用系统默认账号
系统当前状态 cat /etc/passwd 记录当前用户列表,cat
/etc/shadow 记录当前密码配置实施步骤参考配置操作
删除用户:#userdel username;
锁定用户:
1) 修改/etc/shadow文件,用户名后加*LK*
2) 将/etc/passwd文件中的shell域设置成/bin/false
3) #passwd -l username
只有具备超级用户权限的使用者方可使用,#passwd -l
username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
回退方案新建删除用户
判断依据如上述用户不需要,则锁定。
实施风险高
重要等级★★★
备注
1.1.3 SHG-HP-UX-01-01-03
编号 SHG-HP-UX-01-01-03
名称对系统账号进行登录限制
实施目的对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用。
问题影响可能利用系统进程默认账号登陆,账号越权使用
系统当前状态 cat /etc/shadow查看各账号状态。
实施步骤 1、参考配置操作
禁止账号交互式登录:
修改/etc/shadow文件,用户名后密码列为NP;
删除账号:#userdel username;
2、补充操作说明
禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell
回退方案还原/etc/shadow文件配置
判断依据 /etc/shadow中上述账号,如果无特殊情况,密码列为NP
实施风险高
重要等级★
备注
1.1.4 SHG-HP-UX-01-01-04
编号 SHG-HP-UX-01-01-04
名称为空口令用户设置密码
实施目的禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。问题影响用户被非法利用
系统当前状态 cat /etc/passwd
实施步骤用root用户登陆HP-UX系统,执行passwd命令,给用户增加口令。
例如:passwd test test。
回退方案 Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据登陆系统判断
Cat /etc/passwd
实施风险高
重要等级★
备注
1.1.5 SHG-HP-UX-01-01-05
编号 SHG-HP-UX-01-01-05
名称删除属于root用户存在潜在危险文件
实施目的 /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险,应该删除
问题影响无影响
系统当前状态 cat /.rhost cat /.netr
cat /root/.rhosts
cat /root/.netrc
实施步骤 Mv /.rhost /.rhost.bak
Mv /.netr /.netr.bak
Cd root
Mv .rhost .rhost.bak
Mv .netr .netr.bak
回退方案 Mv /.rhost.bak /.rhost
Mv /.netr.bak /.netr
Cd root
Mv .rhost.bak .rhost
Mv .netr.bak .netr
判断依据登陆系统判断
Cat /etc/passwd
实施风险高
重要等级★
备注
1.2 口令
1.2.1 SHG-HP-UX-01-02-01
编号 SHG-HP-UX-01-02-01
名称缺省密码长度限制
实施目的防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位。
问题影响增加密码被暴力破解的成功率
系统当前状态运行cat /etc/default/security 查看状态,并记录。
实施步骤参考配置操作
vi /etc/default/security ,修改设置如下
MIN_PASSWD_LENGTH = 6 #设定最小用户密码长度为6位
当用root帐户给用户设定口令的时候不受任何限制,只要不超长。 回退方案 vi /etc/default/security ,修改设置到系统加固前状态。
判断依据 MIN_PASSWD_LENGTH 值为6或更高
实施风险低
重要等级★★★
备注
1.2.2 SHG-HP-UX-01-02-02
编号 SHG-HP-UX-01-02-02
名称缺省密码复杂度限制
实施目的防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类。
问题影响增加密码被暴力破解的成功率
系统当前状态运行cat /etc/default/security 查看状态,并记录。
实施步骤 PASSWORD_MIN_UPPER_CASE_CHARS=N
PASSWORD_MIN_LOWER_CASE_CHARS=N
PASSWORD_MIN_DIGIT_CHARS=N
PASSWORD_MIN_SPECIAL_CHARS=N
编辑N为你所需要的设置. 其中,
PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N个大写字母;
PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N个小写字母; PASSWORD_MIN_DIGIT_CHARS是至少有N个字母;
PASSWORD_MIN_SPECIAL_CHARS 就是至少要多少个特殊字符.
说明:
如果是11.11的系统, 需要有PHCO_24606: s700_800 11.11
libpam_unix cumulative patch 或其替代补丁安装在系统中. 可以用下面的命令检查是否已经有了该补丁:
A. # man security
看里面列的参数是否有PASSWORD_MIN_UPPER_CASE_CHARS,
PASSWORD_MIN_LOWER_CASE_CHARS,
PASSWORD_MIN_DIGIT_CHARS,PASSWORD_MIN_SPECIAL_CHARS这些参数的说明. 如果有, 就表明系统具有这个功能.
B. # swlist -l product | grep libpam
看是否有比PHCO_24606补丁更新的libpam补丁.
回退方案 vi /etc/default/security ,修改设置到系统加固前状态。
判断依据 PASSWORD_MIN_DIGIT_CHARS =2 或更高
PASSWORD_MIN_SPECIAL_CHARS =1 或更高
实施风险低
重要等级★★★
备注
1.2.3 SHG-HP-UX-01-02-03
编号 SHG-HP-UX-01-02-03
名称缺省密码生存周期限制
实施目的对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患。
问题影响密码被非法利用,并且难以管理
系统当前状态运行cat /etc/default/security 查看状态,并记录。
实施步骤 1、参考配置操作
vi /etc/default/security文件:
PASSWORD_MAXDAYS=90 密码最长生存周期90天
回退方案 vi /etc/default/security ,修改设置到系统加固前状态。
判断依据 PASSWORD_MAXDAYS=90
实施风险低
重要等级★★★
备注
1.2.4 SHG-HP-UX-01-02-04
编号 SHG-HP-UX-01-02-04
名称密码重复使用限制
实施目的对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
问题影响密码破解的几率增加