世界500强企业的机系统安全配置标准.docx

中国××公司2006年03 月30 日文档控制拟制: 审核: 标准化: 读者：版本控制版本提交日期相关组织和人员版本描述V1.0 2005-12-08 V1.1 2006.03.30 目录1 概述 11.1 适用范围 11.2 实施 11.3 例外条款 11.4 检查和维护 12 适用版本 23 业务使用警告 24 用户帐户设置 24.1 UID－用户ID基本要求 24.2 UNIX中Root安全标准 34.3 默认系统帐户安全标准 34.4 密码要求 54.5 密码保护 74.6 限制登陆失败次数 74.7 GID－组ID的基本要求 75 网络设置 85.1 IP协议栈的安全设置 85.1.1 套接字队列长度定义用来防护SYN攻击 85.1.2 重定向 85.1.3 源站路由 95.1.4 TIME_WAIT设置 95.1.5 ECHO回应广播 95.1.6 地址掩码查询和时间戳广播 105.2 /etc/hosts.equiv, .rhosts和.netrc配置文件 105.3 X Window系统 115.4 其他网络服务安全设置标准： 115.5 /etc/hosts.deny和/etc/hosts.allow的配置规范 126 权限控制 136.1 用户文件和HOME目录属性 136.2 操作系统资源 137 操作系统补丁管理 148 审计策略 148.1 系统访问日志 148.2 日志记录保存期限 148.3 Sudo日志记录 149 附则 159.1 文档信息 159.2 其他信息 151 概述安全配置标准提供中国××公司（下简称“中国××公司”）UNIX操作系统应当遵循的安全性设置的标准，本文档旨在帮助系统管理人员，利用UNIX操作系统内建的安全配置，以建立一个更为安全的环境。1.1 适用范围本规范的使用者包括：主机系统管理员、应用管理员、网络安全管理员。本规范适用的范围包括：支持中国××公司运行的AIX，Solaris和Linux（Redhat Linux）主机系统。1.2 实施本规范的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准一经颁布，即为生效。1.3 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。1.4 检查和维护根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。任何变更草案将由中国××公司IT管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。2 适用版本AIX 版本5.1, 5.2, 5.3；Solaris 7,8,9Redhat Linux 7.2, 7.33 业务使用警告要求设置业务使用提示警告：系统值/参数内容/etc/motd 中国××公司内部生产系统只能因中国××公司业务需要而使用，经由管理层授权。中国××公司管理层将随时监测此系统的使用。或SinoPEC production server can only be used for business purpose, with appropriate manager team’s authorization. SinoPEC manager team will monitor the usage of this system.4 用户帐户设置4.1 UID－用户ID基本要求系统值/参数描述设置要求UID 适用于所有的UID 每个UID必须只能用一次，并唯一对应一个操作系统用户帐号。4.2 UNIX中Root安全标准对于系统Root帐户必须满足以下要求：Root帐户的UID必须是唯一的0；Root帐户是root组的唯一用户；Root帐户必须在每个系统本地有相关定义；Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件，如果存在也必须为空，而且文件所有者和所有组必须为root和root组。其相关权限为r-------；Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。Root的cron jobs中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。对于root所运行的命令必须使用全路径. (例如. /bin/su)，或对于root的$PATH环境变量中不能含有相对当前目录(.), 相对子目录(./)和相对父目录(..)定义；root 帐号不允许进行远程登录操作，远程需要root的访问需求，必须要求使用普通个人用户帐号进行登录后通过SU命令切换到root帐号。REDHAT: 可以通过在/etc/securetty配置文件实现root的