HP-Unix安全配置基线V1.0.docVIP

第 PAGE 8 页 共 NUMPAGES 19 页 HP-Unix操作系统安全配置基线  目录 TOC \o 1-2 \h \z \u 第1章 概述 4 1.1 目的 4 1.2 适用范围 4 第2章 账户口令、认证授权 4 2.1 账户管理 4 2.2 口令要求 5 2.3 认证授权 7 第3章 日志审计 11 3.1 审计日志功能 11 3.2 远程日志要求 11 3.3 给日志设置访问权限 12 第4章 安全防护 14 4.1 远程维护协议安全 14 4.2 网络参数优化要求 14 4.3 防止堆栈缓冲溢出 15 4.4 删除潜在的危险文件 16 4.5 超时锁定 16 第5章 其他方面的配置 17 5.1 开放服务及进程限制 17 5.2 操作系统补丁管理 18 5.3 对重要文件和目录的访问控制 18 5.4 时间同步 19 5.5 NFS服务 19 概述 目的 本基线依据HP-Unix操作系统安全配置规范要求，旨在指导主机操作系统管理人员或安全检查人员进行主机操作系统的安全配置，提高主机操作系统的安全防护能力。 适用范围 本基线适用于所使用的HP-Unix操作系统。 账户口令、认证授权 账户管理 2.2.1默认账户 安全基线项目名称 HP-Unix操作系统默认账户 安全基线编号 HP-Unix操作系统安全配置技术要求-1 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的账户。 检测操作步骤 使用命令“cat /etc/passwd”查看口令文件，与系统管理员确认不必要的账号； 2. 确认uucp、nuucp、lpd、nobody、lp等账号是否需要使用 基线符合性判定依据 查看显示结果的第二个字段为x或者*，且系统管理员能明确说明目前存在的各个账户的用途； 不存在上述账户，或者上述账户为nologin状态 加固方案 删除用户：#userdel username 锁定用户：#passwd -l username，（执行权限超级用户），#passwd –d username解锁，注意解锁后原密码失效，登录需输入新密码，而修改/etc/shadow能保留原有密码。 操作风险 低 备注 2.1.2账户组管理 安全基线项目名称 HP-Unix操作系统账户组管理 安全基线编号 HP-Unix操作系统安全配置技术要求-2 安全基线项说明 根据系统要求及用户的业务需求，建立多账户组，将用户账号分配到相应的账户组 检测操作步骤 1、可以查看到用户账号分配到相应的账户组中或都通过命令检查账号是否属于应有的组： #id username 2、查看组文件：cat /etc/group 基线符合性判定依据 系统建立多帐户组，将用户账号分配到相应的账户组 加固方案 #groupadd –g GID groupname #创建一个组，并为其设置 GID 号， 若不设 GID，系统会自动为该组分配一个 GID 号； #usermod –g group username #将用户username分配到group组中。 查询被分配到的组的 GID：#id username 可以根据实际需求使用如上命令进行设置。 操作风险 低 备注 口令要求 2.2.1口令强度要求 安全基线项目名称 HP-Unix操作系统口令强度要求 安全基线编号 HP-Unixx操作系统安全配置技术要求-4 安全基线项说明 应对登录操作系统的用户的口令复杂度进行相关设置 检测操作步骤 对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数 字、小写字母、大写字母和特殊符号 4 类中至少 2类。 基线符合性判定依据 cat /etc/default/security； MIN_PASSWORD_LENGTH=8 #设定最小用户密码长度为8位 以下4个参数中至少包含两个非0项 PASSWORD_MIN_UPPER_CASE_CHARS=1 #表示至少包括1个大写字母 PASSWORD_MIN_DIGIT_CHARS=1 #表示至少包括1个数字 PASSWORD_MIN_SPECIAL_CHARS=1 #表示至少包括1个特殊字符 PASSWORD_MIN_LOWER_CASE_CHARS=1 #表示至少包括1个小写字母 ALLOW_NULL_PASSWORD=0 #表示密码不能为空 加固方案 建议口令设置8位以上，且满足字母，数字，特殊字符组成。 1 、判定条件 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置； 2、检测操作 1、检查口令强度配置