24SGISLOP-SA35-10HPUX等级保护测评作业指导书(三级).doc

WORD格式分享 精品资料整理 控制编号 控制编号：SGISL/OP-SA35-10 信息安全等级保护测评作业指导书 HP-UX主机（三级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 20 中国电力科学研究院信息安全实验室  WORD格式分享 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA35-10 郝增帅 按公安部要求修订 詹雄 2010.3.8 一、身份鉴别 用户身份标识和鉴别 测评项编号 ADT-OS-HPUX-01 对应要求 应对登录操作系统的用户进行身份标识和鉴别。 测评项名称 用户身份标识和鉴别 测评分项1：检查并记录R族文件的配置，记录主机信任关系 操作步骤 #find / -name .rhosts 对每个.rhosts文件进行检 #find / -name .netrc 对.netrc文件进行检 #more /etc/hosts.equiv 适用版本 任何版本 实施风险 无 符合性判定 如果不存在信任关系或存在细粒度控制的信任关系，判定结果为符合； 如果存在与任意主机任意用户的信任关系，判定结果为不符合。 测评分项2：查看系统是否存在空口令用户 操作步骤 # more /etc/passwd或/etc/shadow检查空口令帐号， 适用版本 任何版本 实施风险 无 符合性判定 /etc/passwd中所有密码位不为空，判定结果为符合； /etc/passwd中所存在密码位为空，判定结果为不符合。 备注 账号口令强度 测评项编号 ADT-OS-HPUX-02 对应要求 操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换 测评项名称 账号口令强度 测评分项1： 检查系统帐号密码策略 操作步骤 执行以下命令： cat /etc/default/security 查看以下值： MIN_PASSWORD_LENGTH 适用版本 任何版本 实施风险 无 符合性判定 MIN_PASSWORD_LENGTH 配置大于等于8,判定结果为符合； MIN_PASSWORD_LENGTH 配置小于8,判定结果为不符合； 测评分项2：检查系统中是否存在空口令或者是弱口令 操作步骤 1. 利用扫描工具进行查看 2. 询问管理员系统中是否存在弱口令 3. 手工尝试密码是否与用户名相同 适用版本 任何版本 实施风险 扫描可能会造成账号被锁定 符合性判定 系统中不存在弱口令账户，判定结果为符合； 系统中存在弱口令账户，判定结果为不符合； 备注 登录失败处理策略 测评项编号 ADT-OS-HPUX-03 对应要求 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 测评项名称 登录失败处理策略 测评分项1： 检查系统帐号登录失败处理策略 操作步骤 执行以下命令 #more /tcb/files/auth/system/default 检查u_maxtries 、t_maxtries、 t_logdelay 值 适用版本 任何版本 实施风险 无 符合性判定 系统配置了合理的帐号锁定阀值及失败登录间隔时间，判定结果为符合； 系统未配置登录失败处理策略，判定结果为不符合； 测评分项2：如果启用了SSH远程登录，则检查SSH远程用户登录失败处理策略 操作步骤 执行以下命令 cat /opt/ssh/etc/sshd_config 查看MaxAuthTries 等参数。 LoginGraceTime 1m 帐号锁定时间（建议为30 分钟） PermitRootLogin no #StrictModes yes MaxAuthTries 3 帐号锁定阀值（建议5 次） 适用版本 任何版本 实施风险 无 符合性判定 系统配置了合理的登录失败处理策略，帐号锁定阀值及帐号锁定时间，判定结果为符合； 系统未配置登录失败处理策略，判定结果为不符合； 备注 远程管理方式 测评项编号 ADT-OS-HPUX-04 对应要求 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听 测评项名称 检查系统远程管理方式 测评分项1： 检查系统帐号登录失败处理策略 操作步骤 询问系统管理员，并查看开启的服务中是否包含了不安全的远程管理方式，如