系统安全配置技术规范-HP Unix

xxxx网络与信息安全操作系统安全规范保密申明本文档版权由中国人民大学所有。

未经中国人民大学书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播目录1目的 (3)2范围 (3)3原则 (3)4主要内容 (4)5参考文档........................................ 错误!未定义书签。

6UNIX系统安全规范 (4)6.1用户账号控制 (5)6.2特殊用户 (5)6.2.1root账户 (5)6.2.2系统账户 (6)6.3资源控制 (7)6.3.1基线控制 (7)6.3.2补丁管理 (7)6.3.3文件/目录控制 (7)6.4系统记账和日志 (8)6.5网络服务 (8)6.5.1inetd启动的服务 (8)6.5.2网络服务的访问控制 (9)6.5.3其它服务 (9)6.5.4替代不安全的服务 (9)6.6A T/CRON的安全 (9)7WINDOWS系统安全规范 (10)7.1W INDOWS系统安全基本原则 (10)7.2W INDOWS安全流程 (10)7.3系统修补 (12)7.3.1Windows系统修补流程 (12)7.4基于的角色保护 (13)7.4.1密码规范 (13)7.4.2密码复杂性要求 (13)7.5服务器基准规范 (14)7.5.1审计规范 (14)7.5.2账户锁定规范 (14)7.5.3安全选项规范 (14)7.6针对网络攻击的安全事项 (15)8附则 (16)8.1文档信息 (16)8.2版本控制 (16)8.3其他信息 (16)1目的各类主机操作系统由于设计缺陷，不可避免地存在着各种安全漏洞，给移动各系统带来安全隐患。

如果没有对操作系统进行安全配置，操作系统的安全性远远不能达到它的安全设计级别。

绝大部分的入侵事件都是利用操作系统的安全漏洞和不安全配置的隐患得手的。

为提高操作系统的安全性，确保系统安全高效运行，必须对操作系统进行安全配置。

编号：TIS-Unix-1系统安全策略unix配置原则目录1.HP Unix系统策略 (1)1.1.系统检测信息 (1)1.2.系统安全策略 (2)1.2.1.限制用户方法 (2)1.2.2.对主机的控制访问 (3)1.2.3.设置密码规范 (4)1.2.4.锁定系统默认账号 (5)1.2.5.超时设置 (5)1.2.6.Umask (6)1.2.7.不用服务端口关闭及检测方法 (6)1.2.8.设置信任模式及影响 (8)1.2.9.操作系统安全登陆方式SSH (8)1.2.10.HPUX停止Xwindows服务 (9)1.2.11.HPUX停止tooltalk服务 (9)1.2.12.HPUX停止NFS服务 (11)1.2.13.HPUX 停sendmail，snmp服务 (11)2.AIX系统策略 (11)2.1.系统检测信息 (11)2.2.系统安全策略 (12)2.2.1.检测系统是否存在多余帐号 (12)2.2.2.检查系统帐户策略 (13)2.2.3.检查系统是否存在空口令或弱口令 (14)2.2.4.检测系统帐号锁定策略 (14)2.2.5.检查远程管理方式 (15)2.2.6.重要文件目录的访问权限 (16)2.2.7.检查系统是否开启审计 (17)2.2.8.安全审计策略 (17)2.2.9.日志文件访问权限 (19)2.2.10.系统补丁及升级 (20)2.2.11.检查系统开启的服务及端口 (20)2.2.12.网络访问控制策略 (21)2.2.13.超时自动注销 (22)2.2.14.超时自动注销 (23)2.2.15.检查系统时钟 (23)2.2.16.查看服务器是否由硬件冗余 (24)2.2.17.磁盘利用空间 (24)2.2.18.检查系统访问旗标 (25)2.2.19.root用户远程登录 (26)2.2.20.系统异常登录日志 (26)2.2.21.文件创建初始权限检查 (27)2.2.22.uid=0帐号检查 (27)2.2.23.允许su为root的帐号信息检查 (28)2.2.24.维护人员使用root帐户进行日常维护 (28)2.2.25.R族文件检查 (29)2.2.26.系统故障检查 (30)1.1.系统检测信息要求对承载关键业务系统的小型机访问控制如下：远程用户不能通过root用户直接访问主机，只能在consloe平台下使用root用户，限制只有某个普通用户，比如sm01,可以通过su的方法登陆root用户；限制或允许只有某些固定的IP地址可以访问某台小型机；设置密码规范，格式如下：-密码格式：由数字、字母和符号组成-无效登录次数：6次无效登录-历史密码记忆个数：8-12个-密码修改期限：90天-密码长度：最小6位锁定系统默认账号-对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定超时设置-1分钟超时设置Umask-超级用户027-一般用户022不用服务端口关闭-在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，包括FTP, www, telnet, rsh 和 rexec,tftp，其它端口不要轻易关闭1.2.1.限制用户方法UNIX系统中，计算机安全系统建立在身份验证机制上。

【精选】操作系统安全配置管理办法—WORD版
【本文为word版，下载后可修改、打印，如对您有所帮助，请购买，谢谢。

】
操作系统安全配置管理办法
1范围
1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理，提高重要信息系统的安全运行维护水平，规范化操作，确保信息系统安全稳定可靠运行，特制定本管理办法。

1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。

主要操作系统包括：AIX系统、Windows系统、Linux系统及HP UNIX 系统等。

2规范性引用文件
下列文件对于本规范的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本规范。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。

--中华人民共和国计算机信息系统安全保护条例
第1页。

UNIX系统通用安全标准配置手册UNIX是一种多用户、多任务的操作系统。

这类操作系统的一种基本功能就是防止使用同一台计算机的不同用户之间的相互干扰。

对于UNIX自身的安全机制，我们将从以下几个方面进行描叙。

4.1身分标识在UNIX 系统中一些系统管理命令只能由超级用户运行.超级用户拥有其它用户所没有的特权,超级用户不管文件存取许可方式如何,都可以读,写任何文件,运行任何程序。

系统管理员通常使用命令: /bin/su 或以 root 进入系统从而成为超级用户。

作为超级用户可以控制一切，包括：用户帐号、文件和目录、网络资源。

用户登录到系统中，需输入用户名标识其身份。

内部实现时，系统管理员在创建用户帐号时，为其分配一个惟一的标识号（UID）。

4.1.1 账户设定UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中)。

超级用户则可以使用passwd命令更改所有用户的登录口令或规定用户的登录口令的属性。

passwd [name]：修改用户name的帐号口令passwd –s [-a]：显示所有用户的口令信息，超级用户使用passwd –s [name]：显示用户name的口令信息，超级用户使用passwd [-l|-d][-f][-n min][-x max][-w warn] name：-l：锁住用户name的帐号，超级用户使用-d：删除某一用户的口令，超级用户使用-f：使用户name的口令失效，强迫用户下次登录时更改口令，超级用户使用-n min：规定口令在min天后失效，超级用户使用-x max：规定用户口令寿命的最长天数，超级用户使用-w warn：设置在用户口令失效后的警告信息，超级用户使用在UNIX中，用户组的引入是为了方便用户对文件和其它资源的共享，同时又保证系统的安全性。

所谓用户组是指共同在UNIX系统中开发同一项目，因此共享文件和其它系统资源的用户的集合。

HP-Unix安全配置规范1.概述1.1. 目的本规范明确了HP-UX主机安全配置方面的基本要求。

为了提高HP-UX主机的安全性而提出的。

1.2. 范围如无特别说明，本规范适用于HP-UX 10.20以及以上版本。

2.配置规范2.1. 用户账号和环境2.1.1.系统账户UUCP和nuucp账号通常是不需要的，可以把它们删除。

其它账号视具体情况而定，选择锁定或者删除。

操作命令如下：for user in uucp nuucp adm daemon bin lp \nobody noaccess hpdb useradmdo/usr/lbin/modprpw -w "*" "$user"/usr/sbin/usermod –s /bin/false "$user"done2.1.2.删除属于root用户存在潜在危险文件/.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，应该使用如下命令删除：rm /.[rs]hosts /.netrc ~root/.[rs]hosts ~root/.netrc2.1.3.用户home权限限制用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限，因此需要使用以下命令严格限制用户home目录的权限：logins -ox | cut -f6 -d: | while read homedo chmod og-w "$home"done2.1.4.UMASK设置为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据。

设置命令如下：cd /etcumask 022for file in profile csh.login d.profile d.logindoecho umask 022 >> "$file"done2.2. 基线控制基线控制是利用数据完整性检测工具对系统的变化进行监控。

建立和管理用户帐号：✓/etc/passwd ；含登陆时的原始信息（；username ；passwd；user id；group ID；..；Home directory）✓#vipw ；用来编辑/etc/passwd文件,别的用户正在编辑时亦可使改变生效✓/etc/group ；定义组（；group_name ；passwd ；group_id ；group_list）✓#newgrp group_name ；改变用户的其它组●命令行管理用户帐号#useradd [-u uid][-g group][-G group1 .group2.][-d dir][-s shell][-c comment][-m [-k skel dir]] login_name(-k skel dir指在/home目录下建用户名的目录) #userdel -r login_name (删除用户的同时删除/home下的用户目录)#usermod ?#groupadd [-g gid]group 增加用户组#passwd 或passwd bugs 更改密码●定制用户帐号#export [TERM] [PS1] [LPDEST] [PATH] [EDITOR] [HISTSIZE] [HISTFILE] 终端提示符打印机路径编辑器命令数量命令记录文件以上分别定义了用户帐号的变量。

✓当增加新用户的时候会将/etc/skel目录中的文件拷贝到新的用户目录中。

/etc/skel中文件有：/etc/skel/.profile ；ksh/posix本地登陆脚本/etc/skel/.login ；csh本地登陆脚本/etc/skel/.cshrc ；csh附加登陆脚本/etc/skel/.exrc ；vi初始配置文件如：useradd –m –s /usr/bin/sh zxin10（加一个用户zxin10,同时加/home/zxin10目录，以/etc/skel为源目录，/usr/bin/sh为shell）✓在增加完用户后应在/usr/lib/cron/cron.allow文件中增加该用户名，使其具有crontab 的权限(CRON为守护进程)UNIX文件系统的说明：●根目录/目录定义/usr 共享的操作系统命令、库文件和文档/sbin 启动系统和安装其他文件系统时需要的命令/opt 应用程序/etc 系统配置文件，不包含可执行文件/dev 设备文件/var 动态信息，如日志、缓冲区文件/mnt 本地安装/tmp 操作系统临时文件/stand 内核和启动装入器/home 用户目录●/usr目录详解目录定义/usr/bin 操作系统用户命令/usr/conf 内核配置/usr/contrib 提供的软件/usr/lbin 其他后端命令/usr/local 用户提供的软件/usr/newconfig 默认的操作系统配置数据文件/usr/sbin 系统管理命令/usr/share 与结构无关的共享文件/usr/share/man 查询手册/usr/share/doc 文档●/var目录详解目录定义/var/adm 一般的管理文件和日志文件/var/adm/crash 内核崩溃映像文件/var/mail 接收的邮件/var/opt 应用程序执行时产生的文件●/var/adm目录详解目录目录详解/var/adm/crash 内核崩溃映像文件/var/adm/cron 存放Cron维护日志/var/adm/syslog 系统日志文件/var/adm/sulog 所有切换用户命令的调用的记录●用于文件系统的命令：#find ；指定目录文件的查找#whereis ；查找源文件、二进制文件、man文件#which ；判别哪个版本的命令#file ；测试文件的类型#strings ；浏览二进制文件外围设备的查看、管理：#ioscan ；列出所有设备#ioscan –f ；显示所有设备完整列表#ioscan –fnC disk(lan, tty) ；检查硬盘、网卡、串口的配置设备文件的管理：●显示设备文件如：#ll /devcrw-rw-rw- 1 root root 72 0x00004e Jan 12 08:37 arp 字符/块设备文件主号次号即内核驱动物理位置#lssf /dev/rdsk/c2t6d0sdisk card instance 2 SCSI target 6 SCSI LUN 0 section 0 at address 10/0/15/0.60列出设备文件使用哪种驱动，设备的硬件地址信息，访问方式#du –sk /dev/zxin10 检测目录的空间大小●创建设备文件#mksf ；系统发现了设备时#insf ；设备没有被指定时磁盘设备的管理：●几个概念物理卷；(PV)被LVM管理的磁盘卷组；(VG )磁盘空间含多个物理卷逻辑卷；（LV）一个卷组的磁盘空间可以被分配给多个逻辑卷物理卷设备文件；/dev/dsk/c0t5d0 #在SCSI地址5的块设备文件/dev/rdsk/c0t5d0 #在SCSI地址5的字符设备文件卷组设备文件；/dev/vg00 #与卷组vg00有关的设备文件目录/dev/vg00/group #vg00卷组的设备文件逻辑卷设备文件；/dev/vg00/lvol2 #逻辑卷的块设备文件/dev/vg00/rlvol2 #逻辑卷的逻辑设备文件LVM设备文件的主号和次号：主号为64，与LVM内核驱动有关次号的前两位数字与卷组有关，最后二位和逻辑卷有关如：名字：/dev/vg01/lvol2主号：64次号：0x010002●物理卷、卷组、逻辑卷的管理初始化磁盘：#mediainit /dev/r dsk/c2t6d0创建物理卷：#pvcreate -f /dev/rdsk/c2t6d0创建卷组：#mkdir /dev/vg01 为卷组建一目录#mknod /dev/vg01/group 为卷组创建卷组设备文件#vgcreate -g vg01 /dev/vg01 /dev/dsk/c2t6d0 /dev/dsk/c2t7d0在c2t6d0 c2t7d0磁盘上创建卷组vg01扩展卷组：#vgextend vg01 /dev/dsk/c2t8d0创建逻辑卷；#lvcreate -L 12 /dev/vg01(在vg01上产生名字为缺省方式的逻辑卷) # lvcreate -L 12 –n sybdev0 /dev/vg01(在vg01上产生sydev0的逻辑卷)扩展逻辑卷：#lvextend –L 32 /dev/vg01/lvol3 /dev/dsk/c2t8d0检验卷：#vgdisplay –v vg01#pvdisplay –v /dev/dsk/c2t6d0#lvdisplay –v /dev/vg01/lvol1●磁带机设备文件命名规则：/dev/rmt/c1t3d0BEST ；BEST=“highest density possible”/dev/rmt/c1t3d0Sqic150nb ；QIC-150 format,no rewind on close,Berkeley/dev/rmt/c1t3d0D8MM8500C ；（Names can be quite descriptive）/dev/rmt/0m ；For compatibility with the past)说明：dev=device filermt=raw magnetic tapec1=the device is connected to interface card instance 1t0=the target device address is set to 0d0=the tape transport resides at unit address 0BEST=the tape will be written using the best availe density/formatn=the tape will not be rewound on closeb=the device will have Berkely-style behavior●文件系统的创建、管理挂起（mount）：该操作将文件目录结构与设备相联系。

文档信息文档修订记录目录第1章RP8420/RP4440硬件结构 ............................................ 错误!未定义书签。

1.1RP8420服务器简介及结构............................................... 错误!未定义书签。

1.2RP4440服务器简介及结构............................................... 错误!未定义书签。

第2章HP小型机CONSOLE连接方式 ......................................... 错误!未定义书签。

第3章HP服务器硬件分区 ................................................. 错误!未定义书签。

3.1适用机型............................................................. 错误!未定义书签。

3.2分区方法............................................................. 错误!未定义书签。

3.3了解硬件配置......................................................... 错误!未定义书签。

3.4修改NPAR............................................................. 错误!未定义书签。

3.5创建NPAR............................................................. 错误!未定义书签。

3.6删除NPAR............................................................. 错误!未定义书签。