某世界500强企业的主机系统安全配置标准-UNIX..docVIP

某世界500强企业的主机系统安全配置标准－UNIX 中国××公司 2006年03 月30 日 文档控制 拟 制: 审 核: 标准化: 读 者： 版本控制 版本 提交日期 相关组织和人员 版本描述 V1.0 2005-12-08 V1.1 2006.03.30 目 录 1 概述 1 1.1 适用范围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 业务使用警告 2 4 用户帐户设置 2 4.1 UID－用户ID基本要求 2 4.2 UNIX中Root安全标准 3 4.3 默认系统帐户安全标准 3 4.4 密码要求 5 4.5 密码保护 7 4.6 限制登陆失败次数 7 4.7 GID－组ID的基本要求 7 5 网络设置 8 5.1 IP协议栈的安全设置 8 5.1.1 套接字队列长度定义用来防护SYN攻击 8 5.1.2 重定向 8 5.1.3 源站路由 9 5.1.4 TIME_WAIT设置 9 5.1.5 ECHO回应广播 9 5.1.6 地址掩码查询和时间戳广播 10 5.2 /etc/hosts.equiv, .rhosts和.netrc配置文件 10 5.3 X Window系统 11 5.4 其他网络服务安全设置标准： 11 5.5 /etc/hosts.deny和/etc/hosts.allow的配置规范 12 6 权限控制 13 6.1 用户文件和HOME目录属性 13 6.2 操作系统资源 13 7 操作系统补丁管理 14 8 审计策略 14 8.1 系统访问日志 14 8.2 日志记录保存期限 14 8.3 Sudo日志记录 14 9 附则 15 9.1 文档信息 15 9.2 其他信息 15 1 概述 安全配置标准提供中国××公司（下简称“中国××公司”）UNIX操作系统应当遵循的安全性设置的标准，本文档旨在帮助系统管理人员，利用UNIX操作系统内建的安全配置，以建立一个更为安全的环境。 1.1 适用范围 本规范的使用者包括： 主机系统管理员、应用管理员、网络安全管理员。 本规范适用的范围包括： 支持中国××公司运行的AIX，Solaris和Linux（Redhat Linux）主机系统。 1.2 实施 本规范的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准一经颁布，即为生效。 1.3 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护 根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。 任何变更草案将由中国××公司IT管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。 2 适用版本 AIX 版本5.1, 5.2, 5.3； Solaris 7,8,9 Redhat Linux 7.2, 7.3 3 业务使用警告 要求设置业务使用提示警告： 系统值/参数 内容 /etc/motd 中国××公司内部生产系统只能因中国××公司业务需要而使用，经由管理层授权。中国××公司管理层将随时监测此系统的使用。 或 SinoPEC production server can only be used for business purpose, with appropriate manager team’s authorization. SinoPEC manager team will monitor the usage of this system. 4 用户帐户设置 4.1 UID－用户ID基本要求 系统值/参数 描述 设置要求 UID 适用于所有的UID 每个UID必须只能用一次，并唯一对应一个操作系统用户帐号。 4.2 UNIX中Root安全标准 对于系统Root帐户必须满足以下要求： Root帐户的UID必须是唯一的0； Root帐户是root组的唯一用户； Root帐户必须在每个系统本地有相关定义； Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件，如果存在也必须为空，而且文件所有者和所有组必须为root和root组。其相关权限为r-------； Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。 Root的cron jobs中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。 对于root所运行的命令必须使用全路径. (例如. /bin/su)，或对于root的$PATH环境