unix主机访问安全控制.doc

UNIX主机访问安全控制方案 目录 1 文档介绍 3 1.1 摘要 3 2 需求概述 4 3 实施方案 5 3.1 限制用户方法 5 3.1.1 HP的实现方法 5 3.1.2 IBM的实现方法 6 3.2 对主机的控制访问 7 3.2.1 HP的实现方法 7 3.2.2 IBM的实现方法 8 3.3 设置密码规范 9 3.3.1 HP的实现方法 9 3.3.2 IBM的实现方法 10 3.4 锁定系统默认账号 11 3.4.1 HP的实现方法 11 3.4.2 IBM的实现方法 11 3.5 超时设置 11 3.5.1 HP的实现方法 11 3.5.2 IBM的实现方法 12 3.6 Umask 12 3.6.1 HP的实现方法 12 3.6.2 IBM的实现方法 12 3.7 不用服务端口关闭及检测方法 12 3.7.1 HP的实现方法 12 3.7.2 IBM的实现方法 14 3.8 设置信任模式及影响 14 3.8.1 HP的实现方法 14 3.8.2 IBM的实现方法 15 3.9 一些特殊的密码管理方法 15 3.9.1 HP的实现方法 15 3.9.2 IBM的实现方法 15 3.10 安装及使用SSH 15 3.11 HPUX停止Xwindows服务 16 4 实施建议 16  文档介绍 摘要 本文档详细描述了IBM和HP小型机实现访问控制的详细步骤和方案，在此将两家公司对同一需求的实现方法放在同一处，这样便于比较两者的异同，可能对于学习研究两种不同的UNIX系统较有裨益。 HP的实施方法，在没有特别说明的情况下，均可在非信任模式下实现。需求概述 要求对承载关键业务系统的小型机访问控制如下： 远程用户不能通过root用户直接访问主机，只能在consloe平台下使用root用户，限制只有某个普通用户，比如sm01,可以通过su的方法登陆root用户； 限制或允许只有某些固定的IP地址可以访问某台小型机； 设置密码规范，格式如下： 密码格式：由数字、字母和符号组成 无效登录次数：6次无效登录 历史密码记忆个数：8-12个 密码修改期限：90天 密码长度：最小6位 锁定系统默认账号 对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定 超时设置 1分钟超时设置 Umask 超级用户　027 一般用户　022 不用服务端口关闭 在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，包括FTP, www, telnet, rsh 和 rexec 实施方案 限制用户方法 UNIX系统中，计算机安全系统建立在身份验证机制上。如果口令失密，系统将会受到侵害，尤其在网络环境中，后果更不堪设想。因此限制用户?root?程登录，对保证计算机系统的安全，具有实际意义。echo console /etc/securetty 二．限制root用户通过ssh登录： 编辑/opt/ssh/etc/sshd_config： PermitRootLogin no 重启sshd: /sbin/init.d/secsh stop /sbin/init.d/secsh start 需要注意的是，设置后，root将不能远程使用telnet/ssh登录，因此在设置之前应进行良好的规划。 对现有系统的影响：对于系统及应用软件的运行没有任何影响，但root用户不能通过远程方式登录，只能通过终端在本地登录。 三．限制普通用户通过telnet登陆主机 1. 创建/etc/NOTLOGIN文件，在文件中加入要限制的用户名，每一行一个用户名。 2．在/etc/profile中加入： NAME1=`grep $LOGNAME /etc/NOTLOGIN` NAME2=`logname` if [ $NAME1 = $NAME2 ] then echo You are not allowed to login in!! exit fi 需要说明的是，这种方法对Xmanage等Xwindow图形登陆软件无效。 对现有系统的影响：对于系统及应用软件的运行没有任何影响，但所有用户不能通过远程方式登录，只能通过终端在本地登录或使用SSH软件进行远程登录。 四．限制只有sm01用户可su到root