操作系统安全参数设置-hp.doc

安 全 参 数 设 置 版本 修改人 修改时间 修改内容 1.0 王伟明 2006-1-1 新建 1.1 王伟明 2006-5-1 增加版本信息 1.2 王伟明 2006-5-14 增加对ftp/telnet服务的限制 1.3 王伟明 2006-5-25 完善拷屏信息；适用主机增加rp7420-3;rp7420-4 主机:hpn1 hpn2 rp7420-1 rp7420-2 rp7420-3 rp7420-4 注意：文档版本如有重大更新，须重新打印请领导签批 开启审计HP系统： 在shell下输入：/usr/sbin/sam进入SAM管理界面； 选择Auditing and Security.－ Audited Events. 设置日志参数： 开启审计： 设置密码要求: 密码格式：由数字、字母和符号组成 无效登录次数：3次无效登录 密码记忆个数：8 密码超期时间：90天 密码长度：最小6位 最大同时登录:3 具体为： 手工建立/etc/default/security文件： MIN_PASSWORD_LENGTH=6 PASSWORD_HISTORY_DEPTH=8 设置密码在90天内必须修改 Password Expiration Time (days): 90 设置在密码使用80天时,开始提醒用户修改密码 Password Expiration Warning Time (days): 80 设置密码生存期限为120天,期限过后密码从系统中消除,帐户禁用. 见下图: 用户密码设置必须具备一定的复杂度,6位以上,不能同时为字母、数字或字符，不能使用上次密码。 用户密码尝试3次错误将被封存(root用户为尝试10次，程序用户不设置此项) Umask值设置： 对于root：修改/.profile，增加一行： umask 027;export umask 对于已存在用户：修改$HOME/.profile,增加一行： umask 022;export umask 对于将来新建用户：修改/etc/skel/.profile, 增加一行： umask 022;export umask 027: u=rwx,g=rx 022: u=rwx,g=rx,o=rx 操作系统用户 超级管理员：root 数据库用户：sybase 日常维护用户： wwming,liusq,zhouly,zhouq,使用sam增加。这4个用户具有普通用户权限。 其他用户默认锁定。 超时设置：十分钟不活动用户自动登出： 在 /etc/profile 增加 TMOUT=600;export TMOUT 服务管理： 注释掉 /etc/inetd.conf 中不用的服务： tftp,remsh,rexec,ntalk,rlpdaemon, rlogin -K,remsh -K 使用以下命令检查grep –v “^#” /etc/inetd.conf 对于rlogin服务,限定只能root在双机间使用,通过/.rhost文件控制 #more /.rhosts host1 root 对于ftp,telnet,ident服务,因业务或系统需要,保持开放.但进行以下限制: 对于hpn1/hpn2/rp7420-3/rp7420-4: #vi /var/adm/inetd.sec ftp deny telnet allow 2 03 36 6 对于rp7420-1、rp7420-2计费业务，由于存在联机采集，特别的为: #vi /var/adm/inetd.sec telnet allow 0 2-55 7-58 1 6-77 2 03 36 6 锁定不需要的用户： 默认情况下已锁定，可以使用SAM进行手工锁定。 查看已锁定用户：passwd –s –a | grep LK 查看未锁定用户：passwd –s –a |grep PS 限制root用户的登录： ＃vi /etc/securetty console 明确系统管理员及普通维护人员角色及权限，每年初及发生变动后领导确认 查看《系统帐号权限列表》 修改关键参数、执行关键操作须有申请和审批记录,修改痕迹在《主机设备信息表》中的“操作系统或软件升级/修改记录”中。 检查计划： 至少每月检查日志：/var/adm/syslog/syslog.log 至少每月检查关键参数设置，检查结果请部门主管审核 系统维护指标 最高值 文件系统利用率 85% CPU利用率 85% 内存利用率 95% IO利用率 95% 数据库空间利用率 85% 至少每月记录并报告安全事件（安全违反记录、非法访问记