hp_unix主机安全控制方案.doc

主机访问安全控制方案 中国网通（集团）有限公司 山东分公司 起草：石骁騑 中国惠普公司支持服务事业部 客户支持工程师：石骁騑 中国惠普有限公司 北京市朝阳区建国路112号 中国惠普大厦 邮编：100022 日期：2006年4月25日 文档信息 服务名称： 主机访问安全控制方案 客户支持工程师： 石骁騑 文档版本编号： Ver 1.0 服务阶段： 实施 文档提交日期： 2006-4-25 起草人： 石骁騑 文档起草日期： 2006-4-25 复审人： 郑恂 复审日期： 2006-4-25 分发名单 来自 (From) 日期 电话/ 传真 给 (To) 操作* 截止日期 电话/ 传真 审核 *操作类型：批准,复审,通知,存档,所需行动,参加会议,其它 (请指明 ) 版本历史信息 版本编号 版本日期 创建/修改人 说明 文件名 V1.0 2006-4-25 石骁騑 创建文档 V1.1 2006-5-10 石骁騑 增加OS方面的一些安全实施方案 注意事项 本报告中的观点和决定都不代表任何官方立场。它仅用于交流科技信息。 中国网通（集团）有限公司山东省分公司：简称山东网通； 中国惠普有限公司：以下简称中国惠普，或HP； 本文中所有内容均属山东网通和HP的商业秘密。未经允许，不得作任何形式的复制和传播。 目录 1 文档介绍 4 1.1 摘要 4 1.2 客户受益 4 1.3 责任人 4 2 需求概述 5 3 实施方案 6 3.1 限制root用户方法 6 3.2 对主机的控制访问 6 3.3 设置密码规范 7 3.4 锁定系统默认账号 8 3.5 超时设置 8 3.6 Umask 8 3.7 不用服务端口关闭 9 3.8 设置信任模式 10  文档介绍 摘要 中国网通内控要求，对于承载关键业务系统的主机的访问进行有效控制，本文档详细描述了惠普主机实现访问控制的详细步骤和方案。 客户受益 通过此文档，中国网通集团山东省分公司相关领导及技术专家能够清晰地了解实现惠普主机访问控制的详细实施方案和步骤，可以根据此文档修改相关惠普主机的安全性。 责任人 角色 姓名 职务 日期 签字 备注 起草人 石骁騑 战略客户服务经理 2006年4月25日 复审人 郑恂 战略客户服务部华北区经理 2006年4月25日 若您对本文档存在任何疑问或建议，请联系中国惠普公司客户支持工程师石骁騑联系。 电话：010子邮件：xiaofei.shi@ 需求概述 中国网通内控项目要求，对承载关键业务系统的小型机访问控制如下： 远程用户不能通过root用户直接访问主机，只能在consloe平台下使用root用户，普通用户登录后，可以通过Su的方法使用root用户的权限； 限制只有某些固定的IP地址可以访问某台小型机； 设置密码规范，格式如下： 密码格式：由数字、字母和符号组成 无效登录次数：3次无效登录 历史密码记忆个数：8-12个 密码修改期限：90天 密码长度：最小6位 锁定系统默认账号 对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定 超时设置 10分钟超时设置 Umask 超级用户　027 一般用户　022 不用服务端口关闭 在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，如FTP, www, telnet, rsh or rexec 实施方案 限制root用户方法 UNIX系统中，计算机安全系统建立在身份验证机制上。如果root口令失密，系统将会受到侵害，尤其在网络环境中，后果更不堪设想。因此限制用户?root?远程登录，对保证计算机系统的安全，具有实际意义。能达到限制?root?远程登录的目的。??echo console /etc/securetty 限制root用户通过ssh登录： 编辑/opt/ssh/etc/sshd_config： PermitRootLogin no 重启sshd: /sbin/init.d/secsh stop /sbin/init.d/secsh start 需要注意的是，设置此项后，root将不能远程使用telnet/ssh登录，因此在设置之前应进行良好的规划。 对主机的控制访问 对于某关键业务系统主机，只容许某几个IP地址访问该系统主机，实现方法如下： 阻止telnet，rlogin等服务访问某个主机，修改/var/adm/inetd.sec 文件，在该文件中的每一行包含一个服务名称，权限域（容许或