HP-Unix主机作系统加固规范.docxVIP

HP-Unix主机操作系统加固规范 1??账号管理、认证授权1.1??账号1.1.1?? SHG-HP-UX-01-01-01编号??SHG-HP-UX-01-01-01名称??为不同的管理员分配不同的账号实施目的??根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响??账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态??cat /etc/passwd 记录当前用户列表实施步骤??1、参考配置操作为用户创建账号：#useradd username??#创建账号#passwd username?? #设置密码修改权限：#chmod 750 directory??#其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。回退方案??删除新增加的帐户判断依据??标记用户用途，定期建立用户列表，比较是否有非法用户实施风险??高重要等级??★★★备注??1.1.2?? SHG-HP-UX-01-01-02编号??SHG-HP-UX-01-01-02名称??删除或锁定无效账号实施目的??删除或锁定无效的账号，减少系统安全隐患。问题影响??允许非法利用系统默认账号系统当前状态??cat /etc/passwd 记录当前用户列表， cat /etc/shadow 记录当前密码配置实施步骤??参考配置操作删除用户：#userdel username; 锁定用户：1) 修改/etc/shadow文件，用户名后加*LK*2) 将/etc/passwd文件中的shell域设置成/bin/false3) #passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。回退方案??新建删除用户判断依据??如上述用户不需要，则锁定。实施风险??高重要等级??★★★备注??1.1.3?? SHG-HP-UX-01-01-03编号??SHG-HP-UX-01-01-03名称??对系统账号进行登录限制实施目的??对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。问题影响??可能利用系统进程默认账号登陆，账号越权使用系统当前状态??cat /etc/shadow查看各账号状态。实施步骤??1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除账号：#userdel username;2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell回退方案??还原/etc/shadow文件配置判断依据??/etc/shadow中上述账号，如果无特殊情况，密码列为NP实施风险??高重要等级??★备注??1.1.4?? SHG-HP-UX-01-01-04编号??SHG-HP-UX-01-01-04名称??为空口令用户设置密码实施目的??禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响??用户被非法利用系统当前状态??cat /etc/passwd实施步骤??用root用户登陆HP-UX系统，执行passwd命令，给用户增加口令。例如：passwd test test。回退方案??Root身份设置用户口令，取消口令如做了口令策略则失败判断依据??登陆系统判断Cat /etc/passwd实施风险??高重要等级??★备注??1.1.5?? SHG-HP-UX-01-01-05编号??SHG-HP-UX-01-01-05名称??删除属于root用户存在潜在危险文件实施目的??/.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，应该删除问题影响??无影响系统当前状态??cat /.rhostcat /.netrcat /root/.rhostscat /root/.netrc实施步骤??Mv /.rhost /.rhost.bakMv /.netr /.netr.bakCd rootMv .rhost .rhost.bakMv .netr .netr.bak回退方案??Mv /.rhost.bak