某世界500强企业的主机系统安全配置标准UNIX.docxVIP

某世界500强企业的主机系统安全配置标准一UNIX 中国XX公司 2006年03月30日 文档控制 拟制: 审核: 标准化: 读者: 版本控制 版本 提交日期 相关组织和人员 版木描述 V1.0 2005-12-08 VI.1 2006.03.30 目录 1概述1 1.1适用范围1 1.2实施1 1.3例外条款1 1.4检查和维护1 2适用版本2 3业务使用警告2 4用户帐户设置2 UID—用户ID基本要求2 UNIX中Root安全标准3 4.3默认系统帐户安全标准3 4.4密码要求5 4.5密码保护7 4.6限制登陆失败次数7 4.7 GID一组ID的基本要求7 5网络设置8 IP协议栈的安全设置8 5.1.1套接字队列长度定义用来防护SYN攻击8 5.1.2重定向8 5.1.3源站路由9 TIME.WAIT 设置 9 EC HO回应广播9 5.1.6地址掩码查询和吋间戳广播10 /etc/hosts.equiv, .rhosts 和.netrc 配置文件 10 X Window 系统 11 5.4其他网络服务安全设置标准：11 /etc/hosts.deny 和/etc/hosts.allow 的配置规范 12 6权限控制13 6.1用户文件和HOME目录属性13 6.2操作系统资源13 7操作系统补丁管理14 8审计策略14 8.1系统访问日志14 8.2日志记录保存期限14 Sudo Fl 志记录 14 9附则15 9.1文档信息15 9.2其他信息15 1概述 安全配置标准提供中国XX公司(下简称“中国XX公司”)UNIX操作系统应当遵循的安 全性设置的标准，本文档旨在帮助系统管理人员，利用UNIX操作系统内建的安全配置，以 建立一个更为安全的环境。 1.1适用范围 本规范的使用者包括： 主机系统管理员、应用管理员、网络安全管理员。 本规范适用的范围包括： 支持中国X X公司运行的AIX, Solaris和Linux (Redhat Linux)主机系统。 1.2实施 本规范的解释权和修改权属于中国X X公司，在本标准的执行过程中若有任何疑问或建议, 应及时反馈。 本标進一经颁布，即为生效。 1.3例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国 X X公司信息系统管理部门进行审批备案。 1.4检查和维护 根据中国XX公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发 事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。 任何变更草案将rti中国XX公司IT管理部门进行审核批准。各相关部门经理有责任与其下 属的组织和员工沟通变更的内容。 2适用版本 AIX 版本 5.1,5.2,53 Solaris 7,8,9 Redhat Linux 7.2, 7.3 3业务使用警告 要求设置业务使用提示警告： 系统值/参数内容 /etc/motd屮国XX公司内部生产系统只能因中国XX公司业务需要而使用，经由管理层授 权。中国XX公司管理层将随时监测此系统的使用。 或 Si noPEC productio n server can only be used for busi ness purpose, with appropriate manager teams authorization. SinoPEC manager team will monitor the usage of this system. 4用户帐户设置 UID—用户ID基本要求 系统值/参数描述设置要求 UID适用于所有的UID每个UID必须只能用一次，并唯一对应一个操作系统用户帐号。 UNIX中Root安全标准 对于系统Root帐户必须满足以下要求： Root帐户的U1D必须是唯一的0； Root帐户是root组的唯一用户； Root帐户必须在每个系统本地有相关定义； Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件，如果存在也必须为空，而且文件 所有者和所有组必须为root和root组。其相关权限为r---； Root的登录脚本屮不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。 Root的cron jobs中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。 对于root所运行的命令必须使用全路径.(例如./bin/su),或对于root的$卩人11｛环境变量屮不 能含有相对当前目录(?)，相对子目录(./)和相对父目录(..)定义； root帐号不允许进行远程登录操作，远程需要root的访问需求，必须要求使用普通个人用 户帐号进行登录后通过SU命令切换到root帐号。 REDHAT:可以通过在/etc/securetty配