2014移动操作系统安全配置规.docVIP

 目录 1 概述 1 1.1 适用范围 1 1.2 内部适用性说明 1 1.3 外部引用说明 3 1.4 术语和定义 3 1.5 符号和缩略语 3 2 HP-UX设备安全配置要求 3 2.1 账号管理、认证授权 3 2.1.1 账号 3 2.1.2 口令 6 2.1.3 授权 9 2.2 日志配置要求 12 2.3 IP协议安全配置要求 15 2.3.1 IP协议安全 15 2.3.2 路由协议安全 18 2.4 设备其他安全配置要求 20 2.4.1 屏幕保护 20 2.4.2 文件系统及访问权限 21 2.4.3 物理端口及EEPROM的口令设置 22 2.4.4 补丁管理 23 2.4.5 服务 24 2.4.6 内核调整 27 2.4.7 启动项 27  前言 概述 适用范围 本规范适用于中国移动通信网、业务系统和支撑系统中使用HP-UX操作系统的设备。本规范明确了HP-UX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的HP-UX操作系统版本。 本规范还针对直接引用《通用规范》的配置要求，给出了在HP-UX操作系统上的具体配置方法和检测方法。 外部引用说明 《中国移动通用安全功能和配置规范》 术语和定义 符号和缩略语 （对于规范出现的英文缩略语或符号在这里统一说明。） 缩写 英文描述 中文描述 HP-UX设备安全配置要求 本规范所指的设备为采用HP-UX操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用HP-UX操作系统的设备。 本规范从运行HP-UX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。 账号管理、认证授权 账号 编号： 安全要求-设备-HP-UX-配置-1 要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。 2、补充操作说明 检测方法 1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 编号： 安全要求-设备-HP-UX-配置-2 要求内容 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不 可删除的内置账号，包括root,bin等。 操作指南 1、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文件，用户名后加将/etc/passwd文件中的shell域设置成/bin/noshellpasswd -l username 只有具备超级用户权限的使用者方可使用passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：需要锁定的用户：/etc/securetty，加上： console 保存后退出，并限制其他用户对此文本的所有权限： chown root:sys /etc/securetty chmod 600 /etc/securetty 此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的 2、补充操作说明 如果限制root从远程登录/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 检测方法 1、判定条件 root远程登录不成功，提示“Not on system console”； 普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 限制root从远程登录/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 编号： 安全要求-设备-HP-UX-配置-4-可选 要求内容 根据系统要求及用