移动HP-UNIX安全配置基线.docVIP

HP-UNIX 系统安全配置基线 中国移动通信有限公司 管理信息系统部 2009年3月  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 账户管理、认证授权 2 2.1 账号 2 2.1.1默认账号 2 2.1.2远程登录限制 2 2.1.3账号清理 3 2.2 口令 3 2.2.1口令强度要求 3 2.2.2口令生存周期要求 3 2.2.3口令历史安全要求 4 2.2.4登录失败安全要求 4 2.2.5默认访问权限安全要求 5 2.2.6 FTP访问安全要求 5 第3章 审计功能配置 6 3.1 审计日志 6 3.1.1审计日志功能 6 第4章 IP协议安全配置要求 7 4.1 IP协议 7 4.1.1远程维护协议安全 7 第5章 设备其他安全配置要求 8 5.1 访问控制 8 5.1.1 应用层访问控制 8 5.1.2 引导身份验证 8 5.2 服务 9 5.2.1 服务安全要求 9 第6章 评审与修订 10 概述 目的 本文档规定了 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行 操作系统的安全。本的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本适用的范围包括：的 服务器系统。实施本的解释权和修改权属于，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交进行审批备案。  2.1.1默认账号 安全基线项目名称 操作系统HPUnix缺省账户安全基线要求项 安全基线编号 SBL-HPUnix-02-01-01 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不 可删除的内置账号，包括root,bin等。 检测操作步骤 执行cat /etc/shadow 基线符合性判定依据 需要锁定的用户： 备注 2.1.2远程登录限制 安全基线项目名称 操作系统HPUnix远程登录安全基线要求项 安全基线编号 SBL-HPUnix-02-01-02 安全基线项说明 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。 检测操作步骤 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 基线符合性判定依据 root远程登录不成功，提示“Not on system console”； 普通用户可以登录成功，而且可以切换到root用户 备注 2.1.3账号清理 安全基线项目名称 操作系统HPUnix远程登录安全基线要求项 安全基线编号 SBL-HPUnix-02-01-03 安全基线项说明 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。 检测操作步骤 远程登录； 基线符合性判定依据 禁止交互登录的系统账号， www sys smbnull iwww owww sshd hpsmh named uucp nuucp adm daemon bin lp nobody noaccess hpdb useradm 备注 口令 2.2.1口令强度要求 安全基线项目名称 操作系统HPUnix口令强度安全基线要求项 安全基线编号 SBL-HPUnix-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 检测操作步骤 cat /etc/default/security； 基线符合性判定依据 创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。 备注 2.2.2口令生存周期要求 安全基线项目名称 操作系统HPUnix口令生存周期安全基线要求项 安全基线编号 SBL-HPUnix-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于