TIS-Unix-1(系统安全策略unix配置手册)v1.0解剖.doc

编号：TIS-Unix-1 系统安全策略unix配置原则 目 录 1. HP Unix系统策略 1 1.1. 系统检测信息 1 1.2. 系统安全策略 2 1.2.1. 限制用户方法 2 1.2.2. 对主机的控制访问 3 1.2.3. 设置密码规范 4 1.2.4. 锁定系统默认账号 5 1.2.5. 超时设置 5 1.2.6. Umask 6 1.2.7. 不用服务端口关闭及检测方法 6 1.2.8. 设置信任模式及影响 8 1.2.9. 操作系统安全登陆方式SSH 9 1.2.10. HPUX停止Xwindows服务 9 1.2.11. HPUX停止tooltalk服务 9 1.2.12. HPUX停止NFS服务 11 1.2.13. HPUX 停sendmail，snmp服务 11 2. AIX系统策略 11 2.1. 系统检测信息 11 2.2. 系统安全策略 12 2.2.1. 检测系统是否存在多余帐号 12 2.2.2. 检查系统帐户策略 13 2.2.3. 检查系统是否存在空口令或弱口令 14 2.2.4. 检测系统帐号锁定策略 15 2.2.5. 检查远程管理方式 16 2.2.6. 重要文件目录的访问权限 16 2.2.7. 检查系统是否开启审计 17 2.2.8. 安全审计策略 18 2.2.9. 日志文件访问权限 19 2.2.10. 系统补丁及升级 20 2.2.11. 检查系统开启的服务及端口 21 2.2.12. 网络访问控制策略 22 2.2.13. 超时自动注销 23 2.2.14. 超时自动注销 23 2.2.15. 检查系统时钟 24 2.2.16. 查看服务器是否由硬件冗余 24 2.2.17. 磁盘利用空间 25 2.2.18. 检查系统访问旗标 26 2.2.19. root用户远程登录 26 2.2.20. 系统异常登录日志 27 2.2.21. 文件创建初始权限检查 28 2.2.22. uid=0帐号检查 28 2.2.23. 允许su为root的帐号信息检查 29 2.2.24. 维护人员使用root帐户进行日常维护 29 2.2.25. R族文件检查 30 2.2.26. 系统故障检查 31 HP Unix系统策略 系统检测信息 要求对承载关键业务系统的小型机访问控制如下： 远程用户不能通过root用户直接访问主机，只能在consloe平台下使用root用户，限制只有某个普通用户，比如sm01,可以通过su的方法登陆root用户； 限制或允许只有某些固定的IP地址可以访问某台小型机； 设置密码规范，格式如下： 密码格式：由数字、字母和符号组成 无效登录次数：6次无效登录 历史密码记忆个数：8-12个 密码修改期限：90天 密码长度：最小6位 锁定系统默认账号 对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定 超时设置 1分钟超时设置 Umask 超级用户　027 一般用户　022 不用服务端口关闭 在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，包括FTP, www, telnet, rsh 和 rexec,tftp，其它端口不要轻易关闭 系统安全策略 限制用户方法 UNIX系统中，计算机安全系统建立在身份验证机制上。如果口令失密，系统将会受到侵害，尤其在网络环境中，后果更不堪设想。因此限制用户?root?程登录，对保证计算机系统的安全，具有实际意义。echo console /etc/securetty 限制root用户通过ssh登录： 编辑/opt/ssh/etc/sshd_config： PermitRootLogin no 重启sshd: /sbin/init.d/secsh stop /sbin/init.d/secsh start 需要注意的是，设置后，root将不能远程使用telnet/ssh登录，因此在设置之前应进行良好的规划。 对现有系统的影响：对于系统及应用软件的运行没有任何影响，但root用户不能通过远程方式登录，只能通过终端在本地登录。 限制普通用户通过telnet登陆主机 创建/etc/NOTLOGIN文件，在文件中加入要限制的用户名，每一行一个用户名。在/etc/profile中加入： NAME1=`grep $LOGNAME /etc/NOTLOGIN` NAME2