中国移动通信有限公司 管理信息系统部
2009年3月
| 版本 | 版本控制信息 | 更新日期 | 更新人 | 审批人 |
| V1.0 | 创建 | 2009年1月 | ||
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目 录
第1章 概述 1
1.1 目的 1
1.2 适用范围 1
1.3 适用版本 1
1.4 实施 1
1.5 例外条款 1
第2章 账户管理、认证授权 2
2.1 账号 2
2.1.1默认账号 2
2.1.2远程登录 2
2.1.3账号清理 3
2.2 口令 3
2.2.1口令强度要求 3
2.2.2口令生存周期要求 3
2.2.3口令历史安全要求 4
2.2.4登录失败安全要求 4
2.2.5默认访问权限安全要求 5
2.2.6 FTP访问安全要求 5
第3章 审计功能配置 6
3.1 审计日志 6
3.1.1审计日志功能 6
第4章 IP协议安全配置要求 7
4.1 IP协议 7
4.1.1远程维护协议安全 7
第5章 设备其他安全配置要求 8
5.1 访问控制 8
5.1.1 应用层访问控制 8
5.1.2 引导身份验证 8
5.2 服务 9
5.2.1 服务安全要求 9
第6章 评审与修订 10
第1章概述
1.1目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的HP-Unix 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行HP-UNIX 操作系统的安全合规性检查和配置。
1.2适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的HP-UNIX 服务器系统。
1.3适用版本
HP-UNIX系列服务器;
1.4实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章账户管理、认证授权
2.1账号
2.1.1默认账号
| 安全基线项目名称 | 操作系统HPUnix缺省账户安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-02-01-01 |
| 安全基线项说明 | 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不 可删除的内置账号,包括root,bin等。 |
| 检测操作步骤 | 执行cat /etc/shadow |
| 基线符合性判定依据 | 需要锁定的用户:lp,nuucp,hpdb,www,demon。 |
| 备注 |
| 安全基线项目名称 | 操作系统HPUnix远程登录安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-02-01-02 |
| 安全基线项说明 | 具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。 |
| 检测操作步骤 | root从远程使用telnet登录; 普通用户从远程使用telnet登录; root从远程使用ssh登录; 普通用户从远程使用ssh登录; |
| 基线符合性判定依据 | root远程登录不成功,提示“Not on system console”; 普通用户可以登录成功,而且可以切换到root用户 |
| 备注 |
| 安全基线项目名称 | 操作系统HPUnix远程登录安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-02-01-03 |
| 安全基线项说明 | 对系统账号进行登录,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务,应删除这些账号。 |
| 检测操作步骤 | 远程登录; |
| 基线符合性判定依据 | 禁止交互登录的系统账号, www sys smbnull iwww owww sshd hpsmh named uucp nuucp adm daemon bin lp nobody noaccess hpdb useradm. 被禁止账号交互式登录的帐户远程登录不成功 |
| 备注 |
2.2.1口令强度要求
| 安全基线项目名称 | 操作系统HPUnix口令强度安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-02-02-01 |
| 安全基线项说明 | 对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 |
| 检测操作步骤 | cat /etc/default/security; |
| 基线符合性判定依据 | 创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。 |
| 备注 |
| 安全基线项目名称 | 操作系统HPUnix口令生存周期安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-02-02-02 |
| 安全基线项说明 | 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。并且7天内不得更改密码。 |
| 检测操作步骤 | 使用超过90天的帐户口令登录; |
| 基线符合性判定依据 | 登录不成功 |
| 备注 |
| 安全基线项目名称 | 操作系统HPUnix口令历史安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-02-02-03 |
| 安全基线项说明 | 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。 |
| 检测操作步骤 | cat /etc/default/passwd |
| 基线符合性判定依据 | HISTORY=5 |
| 备注 |
| 安全基线项目名称 | 操作系统HPUnix登录失败安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-02-02-04 |
| 安全基线项说明 | 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。 |
| 检测操作步骤 | 创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录6次以上(不含6次); |
| 基线符合性判定依据 | 帐户被锁定,不再提示让再次登录; |
| 备注 |
| 安全基线项目名称 | 操作系统HPUnix默认访问权限安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-02-02-05 |
| 安全基线项说明 | 控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高。 |
| 检测操作步骤 | 查看新建的文件或目录的权限,操作举例如下: #ls -l dir ; #查看目录dir的权限 #cat /etc/default/login |
| 基线符合性判定依据 | 查看是否有umask 027内容; |
| 备注 |
| 安全基线项目名称 | 操作系统HPUnix FTP访问权限安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-02-02-06 |
| 安全基线项说明 | 控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。 |
| 检测操作步骤 | cat /etc/ftpuser |
| 基线符合性判定依据 | 在这个列表里边的用户名是不允许ftp登陆的。 root daemon bin sys adm lp uucp nuucp listen nobody hpdb useradm |
| 备注 |
3.1审计日志
3.1.1审计日志功能
| 安全基线项目名称 | 操作系统HPUnix 审计日志安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-03-01-01 |
| 安全基线项说明 | 设备应配置日志功能,记录对与设备相关的安全事件。 |
| 检测操作步骤 | cat /etc/syslog.conf |
| 基线符合性判定依据 | 配置如下类似语句: *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 查看/var/adm/messages,记录有需要的设备相关的安全事件。 |
| 备注 |
IP协议安全配置要求
4.1IP协议
4.1.1远程维护协议安全
| 安全基线项目名称 | 操作系统HPUnix 远程维护协议安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-04-01-01 |
| 安全基线项说明 | 对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。 |
| 检测操作步骤 | 查看SSH服务状态: # ps –elf|grep ssh 查看telnet服务状态: # ps –elf|grep telnet |
| 基线符合性判定依据 | # ps –elf|grep ssh 是否有ssh进程存在 |
| 备注 |
设备其他安全配置要求
5.1访问控制
5.1.1 应用层访问控制
| 安全基线项目名称 | 操作系统HPUnix 应用层访问控制安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-05-01-01 |
| 安全基线项说明 | 应该从应用层面进行必要的安全访问控制,比如FTP服务器应该ftp可以使用的目录范围。 |
| 检测操作步骤 | root帐户从远程访问 查看文件ftpaccess, |
| 基线符合性判定依据 | ftpaccess中应用如下一行restricted-uid *(所有用户), root访问被禁止或被; |
| 备注 |
| 安全基线项目名称 | 操作系统HPUnix 引导身份验证安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-05-01-02 |
| 安全基线项说明 | 使用引导身份验证功能防止未经授权的访问 |
| 检测操作步骤 | cat /etc/default/security|grep BOOT |
| 基线符合性判定依据 | 包含如下类似配置: BOOT_AUTH=1 BOOT_USERS=root,mary,jack,amy,jane |
| 备注 |
5.2.1 服务安全要求
| 安全基线项目名称 | 操作系统HPUnix 服务安全基线要求项 |
| 安全基线编号 | SBL-HPUnix-05-02-01 |
| 安全基线项说明 | 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。 |
| 检测操作步骤 | cat /etc/inet/inetd.conf cat /etc/inet/services |
| 基线符合性判定依据 | 在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。 echo discard daytime chargen dtspc exec ntalk finger uucp ident auth instl_boots registrar recserv rpc.rstatd rpc.rusersd rpc.rwalld rpc.sprayd rpc.cmsd kcms_server printer shell login telnet ftp tftp bootps kshell klogin rpc.rquotad rpc.ttdbserver |
| 备注 |
评审与修订
本标准由中国移动集团管理信息系统部每年审查一次,根据审视结果修订标准,并颁发执行。下载本文
