HPUnix主机操作系统加固规范.doc

HP-Unix主机操作系统加固标准 - HP-Unix主机操作系统加固标准 1 账号管理、认证受权 1.1 账号 1.1.1 SHG-HP-UX-01-01-01 编号 SHG-HP-UX-01-01-01 名称 为不同的管理员分配不同的账号 施行目的 根据不同类型用处设置不同的帐户账号，进步系统平安 问题影响 账号混淆，权限不明确，存在用户越权使用的可能 系统当前状态 cat /etc/passwd 记录当前用户列表 施行步骤 1、参考配置操作 为用户创立账号： #useradd username #创立账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等 回退方案 删除新增加的帐户 1.1.2 SHG-HP-UX-01-01-02 编号 SHG-HP-UX-01-01-02 名称 删除或锁定无效账号 施行目的 删除或锁定无效的账号，减少系统平安隐患。

问题影响 允许非法利用系统默认账号 系统当前状态 cat /etc/passwd 记录当前用户列表， cat /etc/shadow 记录当前密码配置 施行步骤 参考配置操作 删除用户：#userdel username; 锁定用户： 1) 修改/etc/shadow文件，用户名后加*LK* 2) 将/etc/passwd文件中的shell域设置成/bin/false 3) #passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保存原有密码 回退方案 新建删除用户 1.1.3 SHG-HP-UX-01-01-03 编号 SHG-HP-UX-01-01-03 名称 对系统账号进展登录限制 施行目的 对系统账号进展登录限制，确保系统账号仅被守护进程和效劳使用 问题影响 可能利用系统进程默认账号登陆，账号越权使用 系统当前状态 cat /etc/shadow查看各账号状态 施行步骤 1、参考配置操作 制止账号交互式登录： 修改/etc/shadow文件，用户名后密码列为NP； 删除账号：#userdel username; 2、补充操作说明 制止交互登录的系统账号，比方daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 Exle: bin:NP:60002:60002:No Access User:/:/sbin/noshell 回退方案 复原/etc/shadow文件配置 1.1.4 SHG-HP-UX-01-01-04 编号 SHG-HP-UX-01-01-04 名称 为空口令用户设置密码 施行目的 制止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。

问题影响 用户被非法利用 系统当前状态 cat /etc/passwd 施行步骤 用root用户登陆HP-UX系统，执行passwd命令，给用户增加口令 例如：passwd test test 1.1.5 SHG-HP-UX-01-01-05 编号 SHG-HP-UX-01-01-05 名称 删除属于root用户存在潜在危险文件 施行目的 /.rhost、/.rc或/root/.rhosts、/root/.rc文件都具有潜在的危险，应该删除 问题影响 无影响 系统当前状态 cat /.rhost cat /.r cat /root/.rhosts cat /root/.rc 施行步骤 Mv /.rhost /.rhost.bak Mv /.r /.r.bak Cd root Mv .rhost .rhost.bak Mv .r .r.bak 回退方案 Mv /.rhost.bak /.rhost Mv /.r.bak /.r Cd root Mv .rhost.bak .rhost Mv .r.bak .r 1.2 口令 1.2.1 SHG-HP-UX-01-02-01 编号 SHG-HP-UX-01-02-01 名称 缺省密码长度限制 施行目的 防止系统弱口令的存在，减少平安隐患。

对于采用静态口令认证技术的设备，口令长度至少6位 问题影响 增加密码被暴力破解的成功率 系统当前状态 运行 cat /etc/default/security 查看状态，并记录 施行步骤 参考配置操作 vi /etc/default/security ，修改设置如下 MIN_PASSWD_LENGTH = 6 #设定最小用户密码长度为6位 1.2.2 SHG-HP-UX-01-02-02 编号 SHG-HP-UX-01-02-02 名称 缺省密码复杂度限制 施行目的 防止系统弱口令的存在，减少平安隐患对于采用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类 问题影响 增加密码被暴力破解的成功率 系统当前状态 运行 cat /etc/default/security 查看状态，并记录 施行步骤 PASSWORD_MIN_UPPER_CASE_CHARS=N PASSWORD_MIN_LOWER_CASE_CHARS=N PASSWORD_MIN_DIGIT_CHARS=N PASSWORD_MIN_SPECIAL_CHARS=N 编辑N为你所需要的设置. 其中, PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N个大写字母; PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N个小写字母; PASSWORD_MIN_DIGIT_CHARS是至少有N个字母; PASSWORD_MIN_SPECIAL_CHARS就是至少要多少个特殊字符. 说明: 假如是11.11的系统, 需要有PHCO_24606: s700_800 11.11 libpam_unix cumulative patch 或其替代补丁安装在系统中. 可以用下面的命令检查是否已经有了该补丁: A. # man security 看里面列的参数是否有PASSWORD_MIN_UPPER_CASE_CHARS, PASSWORD_MIN_LOWER_CASE_CHARS, PASSWORD_MIN_DIGIT_CHARS,PASSWORD_MIN_SPECIAL_CHARS这些参数的说明. 假如有, 就说明系统具有这个功能. B. # swlist -l product | grep libpam 看是否有比PHCO_24606补丁更新的libpam补丁. 1.2.3 SHG-HP-UX-01-02-03 编号 SHG-HP-UX-01-02-03 名称 缺省密码生存周期限制 施行目的 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令平安隐患。

问题影响 密码被非法利用，并且难以管理 系统当前状态 运行 cat /etc/default/security 查看状态，并记录 施行步骤 1、参考配置操作 vi /etc/default/security文件： PASSWORD_MAXDAYS=90 密码最长生存周期90天 1.2.4 SHG-HP-UX-01-02-04 编号 SHG-HP-UX-01-02-04 名称 密码重复使用限制 施行目的 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次〔含5次〕内已使用的口令 问题影响 密码破解的几率增加 系统当前状态 运行 cat /etc/default/security 查看状态，并记录 施行步骤 参考配置操作 vi /etc/default/security文件： PASSWORD_HISTORY_DEPTH=5 1.2.5 SHG-HP-UX-01-02-05 编号 SHG-HP-UX-01-02-05 名称 密码重试限制 施行目的 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次〔不含6次〕，锁定该用户使用的账号。

问题影响 允许暴力破解密码 系统当前状态 运行 cat /etc/default/security 查看状态，并记录 施行步骤 参考配置操作 vi /etc/default/security NUMBER_OF_LOGINS_ALLOWED=7 这个参数控制每个用户允许的登录数量 此参数仅适用于非 root 用户 1.3 受权 1.3.1 SHG-HP-UX-01-03-01 编号 SHG-HP-UX-01-03-01 名称 设置关键目录的权限 施行目的 在设备权限配置才能内，根据用户的业务需要，配置其所需的最小权限 问题影响 非法访问文件 系统当前状态 运行ls –al /etc/ 记录关键目录的权限 施行步骤 1、参考配置操作 通过chmod命令对目录的权限进展实际设置 2、补充操作说明 第 页 共 页。