- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
操作系统安全参数设置-hp
安 全 参 数 设 置
版本 修改人 修改时间 修改内容 1.0 王伟明 2006-1-1 新建 1.1 王伟明 2006-5-1 增加版本信息 1.2 王伟明 2006-5-14 增加对ftp/telnet服务的限制 1.3 王伟明 2006-5-25 完善拷屏信息;适用主机增加rp7420-3;rp7420-4
主机:hpn1 hpn2 rp7420-1 rp7420-2 rp7420-3 rp7420-4
注意:文档版本如有重大更新,须重新打印请领导签批
开启审计HP系统:
在shell下输入:/usr/sbin/sam进入SAM管理界面;
选择Auditing and Security.- Audited Events.
设置日志参数:
开启审计:
设置密码要求:
密码格式:由数字、字母和符号组成
无效登录次数:3次无效登录
密码记忆个数:8
密码超期时间:90天
密码长度:最小6位
最大同时登录:3
具体为:
手工建立/etc/default/security文件:
MIN_PASSWORD_LENGTH=6
PASSWORD_HISTORY_DEPTH=8
设置密码在90天内必须修改
Password Expiration Time (days): 90
设置在密码使用80天时,开始提醒用户修改密码
Password Expiration Warning Time (days): 80
设置密码生存期限为120天,期限过后密码从系统中消除,帐户禁用.
见下图:
用户密码设置必须具备一定的复杂度,6位以上,不能同时为字母、数字或字符,不能使用上次密码。
用户密码尝试3次错误将被封存(root用户为尝试10次,程序用户不设置此项)
Umask值设置:
对于root:修改/.profile,增加一行: umask 027;export umask
对于已存在用户:修改$HOME/.profile,增加一行: umask 022;export umask
对于将来新建用户:修改/etc/skel/.profile, 增加一行: umask 022;export umask
027: u=rwx,g=rx
022: u=rwx,g=rx,o=rx
操作系统用户
超级管理员:root
数据库用户:sybase
日常维护用户: wwming,liusq,zhouly,zhouq,使用sam增加。这4个用户具有普通用户权限。
其他用户默认锁定。
超时设置:十分钟不活动用户自动登出:
在 /etc/profile 增加 TMOUT=600;export TMOUT
服务管理:
注释掉 /etc/inetd.conf 中不用的服务:
tftp,remsh,rexec,ntalk,rlpdaemon, rlogin -K,remsh -K
使用以下命令检查grep –v “^#” /etc/inetd.conf
对于rlogin服务,限定只能root在双机间使用,通过/.rhost文件控制
#more /.rhosts
host1 root
对于ftp,telnet,ident服务,因业务或系统需要,保持开放.但进行以下限制:
对于hpn1/hpn2/rp7420-3/rp7420-4:
#vi /var/adm/inetd.sec
ftp deny
telnet allow 2 03 36 6
对于rp7420-1、rp7420-2计费业务,由于存在联机采集,特别的为:
#vi /var/adm/inetd.sec
telnet allow 0 2-55 7-58 1 6-77 2 03 36 6
锁定不需要的用户:
默认情况下已锁定,可以使用SAM进行手工锁定。
查看已锁定用户:passwd –s –a | grep LK
查看未锁定用户:passwd –s –a |grep PS
限制root用户的登录:
#vi /etc/securetty
console
明确系统管理员及普通维护人员角色及权限,每年初及发生变动后领导确认
查看《系统帐号权限列表》
修改关键参数、执行关键操作须有申请和审批记录,修改痕迹在《主机设备信息表》中的“操作系统或软件升级/修改记录”中。
检查计划:
至少每月检查日志:/var/adm/syslog/syslog.log
至少每月检查关键参数设置,检查结果请部门主管审核
系统维护指标 最高值 文件系统利用率 85% CPU利用率 85% 内存利用率 95% IO利用率 95% 数据库空间利用率 85%
至少每月记录并报告安全事件(安全违反记录、非法访问记
文档评论(0)