UNI主机访问安全控制.docVIP

UNIX主机访问安全控制方案 目录 TOC \o 1-5 \h \z 翊侧 3 摘 S: 3 誠職 4 錢旅 5 HYPERLINK \l bookmark4 \o Current Document \h 限制用户方法 5 HP的实现方法 5 旧M的实现方法 6 HYPERLINK \l bookmark5 \o Current Document \h 对主机的控制访问 7 HP的实现方法 7 旧M的实现方法 8 设置密码规范 9 HP的实现方法 9 IBM的实现方法 11 锁定系统默认账号 11 HP的实现方法 11 IBM的实现方法 12 超时设S 12 HP的实现方法 12 旧M的实现方法 12 HYPERLINK \l bookmark6 \o Current Document \h Umask 13 HP的实现方法 13 IBM的实现方法 13 HYPERLINK \l bookmark7 \o Current Document \h 不川服务端口关W及检测方法 13 HP的实现方法 13 IBM的实现方法 15 HYPERLINK \l bookmark8 \o Current Document \h 没置信任模式及影响 15 HP的实现方法 15 旧M的实现方法 16 HYPERLINK \l bookmark9 \o Current Document \h —些特殊的密码管理方法 16 HP的实现方法 16 IBM的实现方法 16 安装及使川SSH 16 HYPERLINK \l bookmark11 \o Current Document \h HPUX 停止 Xwindows 服务 17 麵建i义 17 1文档介绍 1.1 本文档详细描述丫 IBM和HP小型机实现访问控制的详细步骤和方案，在此将两家公司对同一需求 的实现方法放在同一?处，这样便于比较两者的异同，可能对于学习研究两种不同的UNIX系统较有裨益 HP的实施方法，在没有特别说明的情况下，均可在非信任模式下实现。 2需求概述 要求对承载关键业务系统的小型机访问控制如下： □远程川户不能通过root川户直接访问主机，只能在consloe平台下使川root用户，限制只有 某个普通用户，比如smOl，可以通过su的方法登陆root用户; □限制或允许只有某些W定的IP地址可以访问某台小型机； □设置密码规范，格式如下： -密码格式：由数字、字母和符号组成 -无效登录次数：6次无效登录 -历史密码记忆个数：8-1 2个 -密码修改期限：90大 -密码长度:最小6位 □锁定系统默认账号 -系统默汄帐号(例如：daemon, bin, sys, adm, Ip, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, Ipd )进行锁定 □超时设置 -1分钟超时设置 □ Umask -超级用户027 -一般用户022 □不用服务端U关闭 -在 /etc/services 和 /etc/inetd.conf 里，对不用的服务端口关闭，包括 FTP， , telnet, rsh 和 rexec 3实施方案 3.1限制用户方法 UNIX系统屮，计算机安全系统建立在身份验证机制上。如果用户帐号口令失密，系统将会受到佼杏, 尤其在网络环境中，后果更不堪设想。因此限制用root和其他用广远程登录，对保证计算机系统的安 全，具有实际意义。 3.1.1 HP的实现方法 —.限制root用户通过telnet登录: echo console /etc/securetty 限制root用户通过ssh登录： 编辑/opt/ssh/etc/sshd_config: PermitRootLogin no 重启sshd: /sbin/init.d/secsh stop /sbin/init.d/secsh start 需要注意的是，设置root将不能远程使用tel ssh登录，因此在设置之前应进行良好 的规划。 对现宥系统的影响：对于系统及应川软件的运行没宥任何影响，似root川户不能通过远程方 式登录，只能通过终端4:本地登录。 限制普通用户通过telnet登陆主机 创建/etc/NOTLOGIN文件，在文件巾加入要限制的用户名，每一行?一个用户名。 在/etc/profile 中加入： NAMEl = grep 5LOCNAME /etc/NOTLOGIN NAME2= logname if [ SNAME1 = $NAME2] then echo You are not allowed to login in!! exit fi 耑要说明的是，这种方法对Xmanage等Xwindow图形登陆软件无效