hp-ux安全配置规范.doc

HP-UX 安全配置规范2011 年 3 月第 1 章 概述1.1 适用范围适用于中国电信使用 HP-UX 操作系统的设备本规范明确了安全配置的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考由于版本不同，配置操作有所不同，本规范以 HP-UX11v2\11v3 为例，给出参考配置操作第 2 章 安全配置要求2.1 账号编号： 1要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享操作指南 1、参考配置操作为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中 750 为设置的权限，可根据实际情况设置相应的权限，directory 是要更改权限的目录使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等2、补充操作说明检测方法 1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号： 2要求内容 应删除或锁定与设备运行、维护等工作无关的账号。

操作指南 1、参考配置操作删除用户：#userdel username; 锁定用户：1)修改/etc/shadow 文件，用户名后加 NP2)将/etc/passwd 文件中的 shell 域设置成/bin/noshell3)#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username 锁定用户,用#passwd –d username 解锁后原有密码失效，登录需输入新密码，修改/etc/shadow 能保留原有密码2、补充操作说明需要锁定的用户：lp,nuucp,hpdb,www,demon 注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上未用）等检测方法 1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：lp,nuucp,hpdb,www,demon 编号： 3要求内容 根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组操作指南 1、参考配置操作创建帐户组：#groupadd –g GID groupname #创建一个组，并为其设置 GID 号，若不设 GID，系统会自动为该组分配一个 GID 号；#usermod –g group username #将用户 username 分配到 group 组中。

查询被分配到的组的 GID：#id username可以根据实际需求使用如上命令进行设置2、补充操作说明可以使用 -g 选项设定新组的 GID0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499如果新组名或者 GID 已经存在，则返回错误信息当 group_name 字段长度大于八个字符，groupadd 命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用 newgrp 命令进行更改，如#newgrp sys 即把当前用户以 sys 组身份运行；检测方法 1、判定条件可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#id username 2、检测操作查看组文件：cat /etc/group 3、补充说明文件中的格式说明：group_name::GID:user_list 2.2 口令编号： 1要求内容 对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 3 类操作指南 1 参考配置操作ch_rc –a -p MIN_PASSWORD_LENGTH=8 /etc/default/security ch_rc –a -p PASSWORD_HISTORY_DEPTH=10 \ /etc/default/security ch_rc –a –p PASSWORD_MIN_UPPER_CASE_CHARS=1 \ /etc/default/security ch_rc –a –p PASSWORD_MIN_DIGIT_CHARS=1 \ /etc/default/security ch_rc –a –p PASSWORD_MIN_SPECIAL_CHARS=1 \ /etc/default/security ch_rc –a –p PASSWORD_MIN_LOWER_CASE_CHARS=1 \ /etc/default/security modprdef -m nullpw=NO modprdef -m rstrpw=YES MIN_PASSWORD_LENGTH=8 #设定最小用户密码长度为 8 位PASSWORD_MIN_UPPER_CASE_CHARS=1 #表示至少包括 1 个大写字母PASSWORD_MIN_DIGIT_CHARS=1 #表示至少包括 1 个数字PASSWORD_MIN_SPECIAL_CHARS=1 #表示至少包括 1 个特殊字符（特殊字符可以包括控制符以及诸如星号和斜杠之类的符号）PASSWORD_MIN_LOWER_CASE_CHARS=1 #表示至少包括 1 个小写字母当用 root 帐户给用户设定口令的时候不受任何限制，只要不超长。

2、补充操作说明不同的 HP-UX 版本可能会有差异，请查阅当前系统的 man page security(5) 详细说明 检测方法 1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 8 位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置编号： 2要求内容 对于采用静态口令认证技术的设备，帐户口令的生存期不长于 90天操作指南 1、 参考配置操作以下的 shell 语句将设置除 root 外的所有有效登录的账号密码过期和过前期的收到警告设置：logins -ox \ | awk -F: '($8 != "LK" && $1 != "root") { print $1 }' \ | while read logname; do passwd –x 91 –n 7 –w 28 "$logname" /usr/lbin/modprpw -m exptm=90,mintm=7,expwarn=30 \ "$logname" done echo PASSWORD_MAXDAYS=91 >> /etc/default/security echo PASSWORD_MINDAYS=7 >> /etc/default/security echo PASSWORD_WARNDAYS=28 >> /etc/default/security /usr/lbin/modprdef -m exptm=90,expwarn=30 用户将在密码过期前的 30 天收到警告信息（28 天没有运行在 HP-UX 的 Trusted 模式）2、补充操作说明检测方法 1、判定条件登录不成功；2、检测操作使用超过 90 天的帐户口令登录；3、补充说明测试时可以将 90 天的设置缩短来做测试。

编号： 3要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5 次（含 5 次）内已使用的口令操作指南 1、参考配置操作vi /etc/default/passwd ，修改设置如下HISTORY＝52、补充操作说明#HISTORY sets the number of prior password changes to keep and# check for a user when changing passwords. Setting the HISTORY# value to zero (0), or removing/commenting out the flag will# cause all users' prior password history to be discarded at the# next password change by any user. No password history will# be checked if the flag is not present or has zero value.# The maximum value of HISTORY is 26.NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。

检测方法 1、判定条件设置密码不成功2、检测操作cat /etc/default/passwd ，设置如下HISTORY＝53、补充说明默认没有 HISTORY 的标记，即不记录以前的密码NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效编号： 4要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6 次） ，锁定该用户使用的账号操作指南 1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：logins -ox \ | awk -F: '($8 != "LK" && $1 != "root") { print $1 }' \ | while read logname; do /usr/lbin/modprpw -m umaxlntr=6 "$logname" done modprdef -m umaxlntr=6 echo AUTH_MAXTRIES=6 >> /etc/default/security除 root 外的有效账号都将被设置重复登录失败次数为 62、补充操作说明检测方法 1、判定条件帐户被锁定，不再提示让再次登录；2、检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录 6 次以上（不含 6 次） ；1、 补充说明root 账号不在锁定的限制范围内2.3 文件与目录权限编号： 1要求内容 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

操作指南 1、参考配置操作通过 chmod 命令对目录的权限进行实际设置2、补充操作说明etc/passwd 必须所有用户都可读，root 用户可写 –rw-r—r— /etc/shadow 只有 root 可读 –r-------- /etc/group 必须所有用户都可读，root 用户可写 –rw-r—r—使用如下命令设置：chmod 644 /etc/passwdchmod 600 /etc/shadowchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对/etc 的写权限（特殊情况除外）执行命令#chmod -R go-w /etc检测方法 1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源2、检测操作1、利用管理员账号登录系统，并创建 2 个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2 个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别。