总结HP-UX常用命令_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
总结HP-UX常用命令
你可能喜欢豆丁微信公众号
君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
Solaris系统安全加固实施文档
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='http://www.docin.com/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口赞助商链接
当前位置： >>
各类操作系统安全基线配置
各类操作系统安全配 置要求及操作指南检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X 以上 HP-UNIX HP-UNIX 11i 以上 Linux 内核版本 2.6 以上 Oracle Oracle 8i 以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x 以上 IIS IIS 5.x 以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x 以上 WebLogic WebLogic 8.X 以上Windows 操作系统 安全配置要求及操作指南I 目 录 目 录 ..................................................................... I 前 言 .................................................................... II 1 范围 ....................................................................... 1 2 规范性引用文件 ............................................................. 1 3 缩略语 ..................................................................... 1 4 安全配置要求 ............................................................... 2 4.1 账号 ..................................................................... 2 4.2 口令 ..................................................................... 3 4.3 授权 ..................................................................... 5 4.4 补丁 ..................................................................... 7 4.5 防护软件 ................................................................. 8 4.6 防病毒软件 ............................................................... 8 4.7 日志安全要求 ............................................................. 9 4.8 不必要的服务 ............................................................ 11 4.9 启动项 .................................................................. 12 4.10 关闭自动播放功能 ....................................................... 13 4.11 共享文件夹 ............................................................. 13 4.12 使用 NTFS 文件系统 ..................................................... 14 4.13 网络访问 ............................................................... 15 4.14 会话超时设置 ........................................................... 164.15 注册表设置 ............................................................. 17 附录 A：端口及服务 .......................................................... 18II 前 言 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求， 编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间 件在内的通 用安全配置要求及参考操作。 该系列安全配置要求及操作指南的结构及名称预计如下： （1） 《 Windows 操作系统安全配置要求及操作指南》 （本规范） （2） 《 AIX 操作系统安全配置要求及操作指南》 （3） 《 HP-UX 操作系统安全配置要求及操作指南》 （4） 《 Linux 操作系统安全配置要求及操作指南》 （5） 《 Solaris 操作系统安全配置要求及操作指南》 （6） 《 MS SQL server 数据库安全配置要求及操作指南》 （7） 《 MySQL 数据库安全配置要求及操作指南》 （8） 《 Oracle 数据库安全配置要求及操作指南》 （9） 《 Apache 安全配置要求及操作指南》 （10） 《 IIS 安全配置要求及操作指南》 （11） 《 Tomcat 安全配置要求及操作指南》 （12） 《 WebLogic 安全配置要求及操作指南》1 1 范围 适用于使用 Windows 操作系统的设备。在未特别说明的情况下，均适用于所 有运行的 Windows 操作系统， 包括 Windows 2000、 Windows XP、 Windows2003, Windows7 , Windows 2008 以及各版本中的 Sever、Professional 版本。 本规范明确了 Windows 操作系统在安全配置方面的基本要求， 适用于所有的安 全等级， 可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同，配置操作有所不同，本规范以 Windows 2003 为例，给出参考配 置操作。 2 规范性引用文件 GB/T《信息安全技术 信息系统安全等级保护基本要求》 YD/T 《固定通信网安全防护要求》 YD/T 《移动通信网安全防护要求》YD/T 《互联网安全防护要求》 YD/T 《增值业务网―消息网安全防护要求》 YD/T 《增值业务网―智能网安全防护要求》 YD/T 《非核心生产单元安全防护要求》 YD/T 《接入网安全防护要求》 YD/T 《传送网安全防护要求》 YD/T 《IP 承载网安全防护要求》 YD/T 《信令网安全防护要求》 YD/T 《同步网安全防护要求》 YD/T 《支撑网安全防护要求》 YD/T 《电信网和互联网管理安全等级保护要求》 3 缩略语 UDP User Datagram Protocol 用户数据包协议 TCP Transmission Control Protocol 传输控制协议 2 NTFS New Technology File System 新技术文件系统 4 安全配置要求 4.1 账号 编号：1 要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号。避 免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&计算机管理” ，在“系统工具-&本地用 户和组” ： 根据系统的要求，设定不同的账户和账户组。 检测方法 1、 判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组 2、检测操作 进入“控制面板-&管理工具-&计算机管理” ，在“系统工具-&本地用 户和组” ： 查看根据系统的要求，设定不同的账户和账户组 编号：2 要求内容 应删除与运行、维护等工作无关的账号。 操作指南 1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户 B）也可以通过 net 命令： 删除账号： net user account/de1停用账号：net user account/active:no 检测方法 1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护 等与工作无关的账号。 3 注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上 不用）等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户编号：3 要求内容 重命名 Administrator；禁用 guest（来宾）帐号。 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&计算机管理” ，在“系统工具-&本地用 户和组” ： Administrator－&属性－& 更改名称 Guest 帐号-&属性－& 已停用 检测方法 1、判定条件 缺省账户 Administrator 名称已更改。 Guest 帐号已停用。 2、检测操作 进入“控制面板-&管理工具-&计算机管理” ，在“系统工具-&本地用 户和组” ： 缺省帐户－&属性－& 更改名称 Guest 帐号-&属性－& 已停用 4.2 口令 编号：1 要求内容 密码长度要求：最少 8 位 密码复杂度要求：至少包含以下四种类别的字符中的三种： z 英语大写字母 A, B, C, ? Z z 英语小写字母 a, b, c, ? z z 阿拉伯数字 0, 1, 2, ? 9 z 非字母数字字符，如标点符号，@, #, $, %, &, *等 4 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&本地安全策略” ，在“帐户策略-&密码 策略” ： “密码必须符合复杂性要求”选择“已启动” 检测方法 1、判定条件 “密码必须符合复杂性要求”选择“已启动”2、检测操作 进入“控制面板-&管理工具-&本地安全策略” ，在“帐户策略-&密码 策略” ： 查看是否“密码必须符合复杂性要求”选择“已启动” 编号：2 要求内容 对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天。 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&本地安全策略” ，在“帐户策略-&密码 策略” ： “密码最长存留期”设置为“90 天” 检测方法 1、判定条件 “密码最长存留期”设置为“90 天” 2、检测操作 进入“控制面板-&管理工具-&本地安全策略” ，在“帐户策略-&密码 策略” ： 查看是否“密码最长存留期”设置为“90 天” 编号：3 要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复 使用最近 5 次（含 5 次）内已使用的口令。 操作指南 1、参考配置操作 5 进入“控制面板-&管理工具-&本地安全策略” ，在“帐户策略-&密码 策略” ： “强制密码历史”设置为“记住 5 个密码” 检测方法 1、判定条件 “强制密码历史”设置为“记住 5 个密码” 2、检测操作 进入“控制面板-&管理工具-&本地安全策略” ，在“帐户策略-&密码 策略” ： 查看是否“强制密码历史”设置为“记住 5 个密码” 编号：4 要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次 数超过 6 次（不含 6 次） ，锁定该用户使用的账号。 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&本地安全策略” ，在“帐户策略-&帐户 锁定策略” ： “账户锁定阀值”设置为 6 次 设置解锁阀值：30 分钟 检测方法 1、判定条件 “账户锁定阀值”设置为小于或等于 6 次2、检测操作 进入“控制面板-&管理工具-&本地安全策略” ，在“帐户策略-&帐户 锁定策略” ： 查看是否“账户锁定阀值”设置为小于等于 6 次 补充说明： 设置不当可能导致账号大面积锁定，在域环境中应小心设置， Administrator 账号本身不会被锁定。 4.3 授权 编号：1 6 要求内容 本地、远端系统强制关机只指派给 Administrators 组。 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&本地安全策略” ，在“本地策略-&用 户权利指派”: “关闭系统”设置为“只指派给 Administrators 组” “从远端系统强制关机”设置为“只指派给 Administrators 组” 检测方法 1、判定条件 “关闭系统”设置为“只指派给 Administrators 组” “从远端系统强制关机”设置为“只指派给 Administrtors 组” 2、检测操作 进入“控制面板-&管理工具-&本地安全策略” ，在“本地策略-&用 户权利指派”: 查看“关闭系统”设置为“只指派给 Administrators 组” 查看是否“从远端系统强制关机”设置为“只指派给 Administrators 组” 编号：2 要求内容 在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators。 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&本地安全策略” ，在“本地策略-&用 户权利指派” ： “取得文件或其它对象的所有权”设置为“只指派给 Administrators 组” 检测方法 1、判定条件 “取得文件或其它对象的所有权”设置为“只指派给 Administrators 组” 2、检测操作 进入“控制面板-&管理工具-&本地安全策略” ，在“本地策略-&用 7 户权利指派” ： 查看是否“取得文件或其它对象的所有权”设置为“只指派给 Administrators 组” 编号：3要求内容 在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&本地安全策略” ，在“本地策略-&用 户权利指派” “从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 检测方法 1、判定条件 “从本地登陆此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户” 2、检测操作 进入“控制面板-&管理工具-&本地安全策略” ，在“本地策略-&用 户权利指派” 查看是否“从本地登陆此计算机”设置为“指定授权用户” 查看是否“从网络访问此计算机”设置为“指定授权用户” 4.4 补丁 编号：1 要求内容 在不影响业务的情况下，应安装最新的 Service Pack 补丁集。对 服务器系统应先进行兼容性测试。 操作指南 1、参考配置操作 安装最新的 Service Pack 补丁集。 例如截止到 2010 年最新版本： Windows XP 的 Service Pack 为 SP3。 Windows2000 的 Service Pack 为 SP4,Windows 2003 的 Service Pack 为 SP2 检测方法 1、判定条件 8 2、检测操作 进入控制面板-&添加或删除程序-&显示更新打钩，查看是否 XP 系 统已安装 SP3， Win2000 系统已安装 SP4， Win2003 系统已安装 SP2。 4.5 防护软件 编号：1 要求内容 启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允 许访问网络的应用程序，和允许远程登陆该设备的 IP 地址范围。 操作指南 1、参考配置操作（以启动自带防火墙为例） 进入“控制面板－&网络连接－&本地连接” ，在高级选项的设置中 启用 Windows 防火墙。 在“例外”中配置允许业务所需的程序接入网络。 在“例外-&编辑-&更改范围”编辑允许接入的网络地址范围。 说明：分为服务器和操作终端两种情况： 服务器该项为可选，操作终端该项为必选 检测方法 1、判定条件 启用 Windows 防火墙。 “例外”中允许接入网络的程序均为业务所需。2、检测操作 进入“控制面板－&网络连接－&本地连接” ，在高级选项的设置中， 查看是否启用 Windows 防火墙。 查看是否在“例外”中配置允许业务所需的程序接入网络。 查看是否在“例外-&编辑-&更改范围”编辑允许接入的网络地址范 围。 4.6 防病毒软件 编号：1 要求内容 安装防病毒软件，并及时更新。 操作指南 1、参考配置操作 9 安装防病毒软件，并及时更新。 检测方法 1、判定条件 已安装防病毒软件，病毒码更新时间不早于 1 个月，各系统病毒码 升级时间要求参见各系统相关规定。 注：对于操作终端该项为必选项，对于服务器该项为可选项 2、检测操作 控制面板-&添加或删除程序，是否安装有防病毒软件。打开防病 毒软件控制面板，查看病毒码更新日期。 4.7 日志安全要求 编号：1 要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登 录使用的账号，登录是否成功，登录时间，以及远程登录时，用户 使用的 IP 地址。 操作指南 1、参考配置操作 开始-&运行-& 执行“ 控制面板-&管理工具-&本地安全策略-&审核 策略” 审核登录事件，双击，设置为成功和失败都审核。 检测方法 1、判定条件 审核登录事件，设置为成功和失败都审核。 2、检测操作 开始-&运行-& 执行“ 控制面板-&管理工具-&本地安全策略-&审核 策略” 审核登录事件，双击，查看是否设置为成功和失败都审核。 编号：2 要求内容 开启审核策略，以便出现安全问题后进行追查 操作指南 1、参考配置操作 对审核策略进行检查： 10 开始-运行-gpedit.msc 计算机配置-Windows 设置-安全设置-本地策略-审核策略以下审核是必须开启的，其他的可以根据需要增加： y 审核系统登陆事件 成功，失败 y 审核帐户管理 成功，失败 y 审核登陆事件 成功，失败 y 审核对象访问 成功 y 审核策略更改 成功，失败 y 审核特权使用 成功，失败 y 审核系统事件 成功，失败 2、补充说明 可能会使日志量猛增 检测方法 1、判定条件 尝试对被添加了访问审核的对象进行访问，然后查看安全日志中是 否会有相关记录，或通过其他手段激化以配置的审核策略，并观察 日志中的记录情况，如果存在记录条目，则配置成功。 2、检测操作编号：3 要求内容 设置日志容量和覆盖规则，保证日志存储 操作指南 1、参考配置操作 开始-运行-eventvwr 右键选择日志，属性，根据实际需求设置： 日志文件大小：可根据需要制定 超过上限时的处理方式（建议日志记录天数不小于 90 天） 2、 补充说明 建议对每个日志均进行如上操作，同时应保证磁盘空间 检测方法 1、判定条件 2、检测操作 11 开始-运行-eventvwr，右键选择日志，属性，查看日志上限及超 过上线时的处理方式 4.8 不必要的服务、端口 编号：1 要求内容 关闭不必要的服务 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&计算机管理” ，进入“服务和应用程 序” ： 可根据具体应用情况参考附录 A，筛选不必要的服务。 检测方法 1、判定条件 系统管理员应出具系统所必要的服务列表。 查看所有服务，不在此列表的服务需关闭。 2、检测操作进入“控制面板-&管理工具-&计算机管理” ，进入“服务和应用程 序” ： 查看所有服务，不在此列表的服务是否已关闭。 编号： 2 要求内容 如需启用 SNMP 服务， 则修改默认的 SNMP Community String 设置。 操作指南 1、参考配置操作 打开“控制面板” ，打开“管理工具”中的“服务” ，找到“SNMP Service” ，单击右键打开“属性”面板中的“安全”选项卡，在这个配置 界面中，可以修改 community strings，也就是微软所说的“团体名 称” 。 检测方法 1、判定条件 community strings 已改，不是默认的“public” 2、检测操作 打开“控制面板” ，打开“管理工具”中的“服务” ，找到“SNMP 12 Service” ，单击右键打开“属性”面板中的“安全”选项卡，在这个配置 界面中，查看 community strings，也就是微软所说的“团体名称” 。 编号： 3 要求内容 如对互联网开放 WindowsTerminial 服务(Remote Desktop)，需修改 默认服务端口。 操作指南 1、参考配置操作 开始-&运行 Regedt32 并转到此项: HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到 “PortNumber” 子项， 会看到默认值 00000D3D， 它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新 值。 检测方法 1、判定条件 找到“PortNumber”子项，设定值非 00000D3D，即十进制 3389 2、检测操作 运行 Regedt32 ,找到此项并判断。 4.9 启动项 要求内容 关闭无效启动项 操作指南 1、参考配置操作 “开始-&运行-&MSconfig”启动菜单中，取消不必要的启动项。 检测方法 1、判定条件 2、检测操作 系统管理员提供业务必须的自动加载进程和服务列表文档。 查看“开始-&运行-&MSconfig”启动菜单：不需要的自动加载进程是否已禁用和取消。 13 4.10 关闭自动播放功能 编号：1 要求内容 关闭 Windows 自动播放功能 操作指南 1、参考配置操作 开始→运行→gpedit.msc，打开组策略编辑器，浏览到计算机配置 →管理模板→系统，在右边窗格中双击“关闭自动播放” ，对话框中 选择所有驱动器，确定即可。 检测方法 1、判定条件 所有驱动器均“关闭自动播放” 2、检测操作 “关闭自动播放”配置已启用，启用范围：所有驱动器。 4.11 共享文件夹 编号：1 要求内容 在非域环境下，关闭 Windows 硬盘默认共享，例如 C$，D$。 操作指南 1、参考配置操作 进入“开始－&运行－&Regedit” ，进入注册表编辑器，更改注册表 键值： HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ 下，增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。 检测方法 1、判定条件 HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\增加了 REG_DWORD 类型的 AutoShareServer 键，值为 0。 2、检测操作 进入“开始－&运行－&Regedit” ，进入注册表编辑器，更改注册表 键值： 14 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ ，增加 REG_DWORD 类型的 AutoShareServer 键，值为 0。 编号：2 要求内容 设置共享文件夹的访问权限，只允许授权的账户拥有权限共享此文 件夹。 操作指南 1、参考配置操作 进入“控制面板-&管理工具-&计算机管理” ，进入“系统工具－&共 享文件夹” ： 查看每个共享文件夹的共享权限，只将权限授权于指定账户。 检测方法 1、判定条件 查看每个共享文件夹的共享权限仅限于业务需要，不设置成为“everyone” 。 2、检测操作 进入“控制面板-&管理工具-&计算机管理” ，进入“系统工具－&共 享文件夹” ： 查看每个共享文件夹的共享权限。 4.12 使用 NTFS 文件系统 要求内容 在不毁坏数据的情况下，将ＦＡＴ分区改为ＮＴＦＳ格式 操作指南 1、参考配置操作 将 FAT 卷转换成 NTFS 分区 CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity] [/X] Vo l ume 指定驱动器号（后面加一个冒号） 、装载点或卷名 /FS:NTFS 指定要被转换成 NTFS 的卷 /V 指定 CONVERT 应该用详述模式运行 /CvtArea:filename 将根目录中的一个接续文件指定为 NTFS 系统文 件的占位符 15 /NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置 /X 如果必要，先强行卸载卷，有打开的句柄则无效 例如： Covert C：/FS:NTFS 备注： 1、新上线系统必须要求 NTFS 分区，已上线系统在不损坏数据的 情况下应用 2、在有其他非 WIN 系统访问、存在数据共享的情况下，不建议将 ＦＡＴ分区改为ＮＴＦＳ格式 检测方法 1、判定条件 2、检测操作4.13 网络访问 编号：1 要求内容 禁用匿名访问命名管道和共享 16 操作指南 1、参考配置操作 “控制面板-&管理工具-&本地安全策略” ，在“本地策略-&安全选 项”:网络访问：可匿名访问的共享设置为全部删除 “控制面板-&管理工具-&本地安全策略” ，在“本地策略-&安全选 项”:网络访问：可匿名访问的命名管道 设置为全部删除 检测方法 1、判定条件 全部删除匿名访问命名管道和共享 2、 检测操作查看“控制面板-&管理工具-&本地安全策略” ，在“本地策略-&安 全选项”:网络访问：可匿名访问的共享、可匿名访问的命名管道 是否设置为全部删除 编号：2 要求内容 禁用可远程访问的注册表路径和子路径 操作指南 1、参考配置操作 “控制面板-&管理工具-&本地安全策略” ，在“本地策略-&安全选 项”:网络访问：可远程访问的注册表路径 设置为全部删除 “控制面板-&管理工具-&本地安全策略” ，在“本地策略-&安全选 项”:网络访问：可远程访问的注册表路径和子路径 设置为全部删 除 检测方法 1、判定条件 全部删除可远程访问的注册表路径和子路径 3、 检测操作 查看“控制面板-&管理工具-&本地安全策略” ，在“本地策略-&安 全选项”:网络访问中，查看，可远程访问的注册表路径、可远程 访问的注册表路径和子路径是否设置为全部删除 4.14 会话超时设置 编号：1 17 要求内容 对于远程登录的账户，设置不活动所连接时间 15 分钟 操作指南 1、参考配置操作 进入“控制面板―管理工具―本地安全策略” ，在“安全策略―安 全选项” ： “Microsoft 网络服务器”设置为“在挂起会话之前所需 的空闲时间”为 15 分钟 检测方法 1、判定条件 “Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时 间”为 15 分钟 2、检测操作 进入“控制面板―管理工具―本地安全策略” ，在“安全策略―安 全选项” ：查看“Microsoft 网络服务器”设置 4.15 注册表设置 编号：1 要求内容 在不影响系统稳定运行的前提下，对注册表信息进行更新。 操作指南 1、参考配置操作 y 自动登录： HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0 y 源路由欺骗保护：HKLM\System\CurrentControlSet\ Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2 y 删除匿名用户空链接 HKEY_LOCAL_MACHINE SYSTEM\Current\Control\Set\Control\Lsa 将 restrictanonymous 的值设置为 1，若该值不存在，可以自己 创建，类型为 REG_DWORD 修改完成后重新启动系统生效 y 碎片攻击保护： HKLM\System\CurrentControlSet\ 18 Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1 y Syn flood 攻击保护： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下，可设置： TcpMaxPortsExhausted。推荐值：5。 TcpMaxHalfOpen。推荐值数据：500。 TcpMaxHalfOpenRetried。推荐值数据：400 检测方法 1、判定条件 2、检测操作 点击开始-&运行，然后在打开行里输入 regedit，然后单击确定，查看相 关注册表项进行查看； 使用空连接扫描工具无法远程枚举用户名和用户组附录 A：端口及服务 服务名称 端口 服务说明 关闭方法 系统服务部分 echo 7/TCP RFC862_回声协议 关闭&Simple TCP/IP Services&服 务。 建议关闭 echo 7/UDP RFC862_回声协议 discard 9/UDP RFC863 废除协议 discard 9/TCP RFC863 废除协议 daytime 13/UDP RFC867 白天协议 daytime 13/TCP RFC867 白天协议 qotd 17/TCP RFC865 白天协议的 引用 qotd 17/UDP处置建议RFC865 白天协议的 引用 chargen 19/TCP RFC864 字符产生协 议 19 chargen 19/UDP RFC864 字符产生协 议 ftp 21/TCP 文件传输协议(控制) 关闭&FTP Publishing Service& 服务。 根据情况选择 开放 smtp 25/TCP 简单邮件发送协议 关闭&Simple Mail Transport Protocol& 服务。 建议关闭 nameserver 42/TCP WINS 主机名服务 关闭&Windows Internet Name Service&服务。 建议关闭 42/UDP domain 53/UDP 域名服务器 关闭&DNS Server& 服务。 根据情况选择 开放 53/TCP 根据情况选择 开放 dhcps 67/UDP DHCP 服务器 /Internet 连接共享 关闭&Simple TCP/IP Services&服 务。建议关闭 dhcpc 68/UDP DHCP 协议客户端 关闭&DHCP Client& 服务。 建议关闭 http 80/TCP HTTP 万维网发布服 务 关闭&World Wide Web Publishing Service&服务。 根据情况选择 开放 epmap 135/TCP RPC 服务 系统基本服务 无法关闭 135/UDP 无法关闭 netbios-ns 137/UDP NetBIOS 名称解析 在网卡的 TCP/IP 选 项中&WINS&页勾选& 禁用 TCP/IP 上的 NETBIOS& 根据情况选择 开放 netbios-dgm 138/UDP NetBIOS 数据报服务 根据情况选择 开放 netbios-ssn 139/TCP NetBIOS 会话服务 系统基本服务 无法关闭 snmp 161/UDP SNMP 服务 关闭&SNMP &服务 根据情况选择 开放 https 443/TCP 安全超文本传输协议 关闭&World Wide Web Publishing Service&服务 根据情况选择 开放 20 microsoft-ds 445/UDP SMB 服务器 运行 regedit，打开 HKEY_LOCAL_MACHINE\System\Cur rentControlSet\Serv ices\NetBT\Parame ters 添加名为 &SMBDeviceEnable d&的子键，类型 dword，值为 0 重新 启动计算机 根据情况选择 开放 445/TCP isakmp 500/UDP IPSec ISAKMP 本地 安全机构 关闭&IPSEC Policy Agent&服务 很少使用的服 务，如不使用 ipsec，建议关 闭 RADIUS 1645/UDP 旧式 RADIUS Internet 身份验证服 务 关闭&Remote Access Connection Manager&服务 建议关闭 RADIUS 1646/UDP 旧式 RADIUS Internet 身份验证服 务 建议关闭 radius 1812/UDP 身份验证 Internet 身 份验证服务 建议关闭 radacct 1813/UDP 计帐 Internet 身份验 证服务 建议关闭 MSMQ-RPC 2105/TCP MSMQ-RPC 消息队 列关闭&Message Queuing&服务。 建议关闭 Termsrv 3389/TCP 终端服务 关闭&Terminal Services&服务。 根据情况选择 开放 其他常用服务 Apache 80/TCP 8000/TCP Apache HTTP 服务 器 关闭&Apache2&服 务。 根据情况选择 开放 ms-sql-s 1433/TCP 1434/UDP 微软公司数据库 关闭 &MSSQLServer&服 务。 根据情况选择 开放 ORACLE 1521/TCP 甲骨文公司数据库 关闭 &OracleOraHome90 TNSListener&服务。 根据情况选择 开放 21 remote administrator 4899/TCP Famatech 公司远程控 制软件 关闭&Remote Administrator Service &服务。 根据情况选择开放 sybase 5000/TCP Sybase 公司数据库 关闭&Sybase SQLServer&字样开 始的服务。 根据情况选择 开放 pcAnywhere 5631/TCP 5632/UDP Symantec 公司远程控 制软件 关闭&pcAnywhere Host Service&字样 开始的服务。 根据情况选择 开放AIX 操作系统 安全配置要求及操作指南 xxxx 发布 I 目 录 目 录 ..................................................................... I 前 言 .................................................................... II 1 范围 ....................................................................... 1 2 规范性引用文件 ............................................................. 1 3 缩略语 ..................................................................... 1 4 安全配置要求 ............................................................... 1 4.1 帐号 ..................................................................... 2 4.2 口令 ..................................................................... 5 4.3 授权 ..................................................................... 7 4.4 补丁 .................................................................... 10 4.5 日志 .................................................................... 10 4.6 不必要的服务、端口 ...................................................... 12 4.7 文件与目录权限 .......................................................... 13 4.8 系统 Banner 设置 ......................................................... 14 4.9 登陆超时时间设置 ........................................................ 154.10 内核调整设置 ........................................................... 15 4.11 SSH 加密协议 ........................................................... 16 4.12 FTP 设置 ................................................................ 18 附录 A：端口及服务 .......................................................... 18 II 前 言 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求， 编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间 件在内的通 用安全配置要求及参考操作。 该系列安全配置要求及操作指南的结构及名称预计如下： （1） 《 Windows 操作系统安全配置要求及操作指南》 （2） 《 AIX 操作系统安全配置要求及操作指南》 （本规范） （3） 《 HP-UX 操作系统安全配置要求及操作指南》 （4） 《 Linux 操作系统安全配置要求及操作指南》 （5） 《 Solaris 操作系统安全配置要求及操作指南》 （6） 《 MS SQL server 数据库安全配置要求及操作指南》 （7） 《 MySQL 数据库安全配置要求及操作指南》 （8） 《 Oracle 数据库安全配置要求及操作指南》 （9） 《 Apache 安全配置要求及操作指南》 （10） 《 IIS 安全配置要求及操作指南》 （11） 《 Tomcat 安全配置要求及操作指南》 （12） 《 WebLogic 安全配置要求及操作指南》1 1 范围 适用于使用 AIX 操作系统的设备。本规范明确了安全配置的基本要求，可作 为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同， 配置操作有所不同， 本规范以 AIX 5.X 为例， 给出参考配置操作。 2 规范性引用文件 GB/T《信息安全技术 信息系统安全等级保护基本要求》 YD/T 《固定通信网安全防护要求》 YD/T 《移动通信网安全防护要求》 YD/T 《互联网安全防护要求》 YD/T 《增值业务网―消息网安全防护要求》 YD/T 《增值业务网―智能网安全防护要求》 YD/T 《非核心生产单元安全防护要求》 YD/T 《接入网安全防护要求》 YD/T 《传送网安全防护要求》 YD/T 《IP 承载网安全防护要求》 YD/T 《信令网安全防护要求》YD/T 《同步网安全防护要求》 YD/T 《支撑网安全防护要求》 YD/T 《电信网和互联网管理安全等级保护要求》 3 缩略语 SSH Secure Shell Protocol 安全外壳协议 FTP File Transfer Protocol 文件传输协议 UDP User Datagram Protocol 用户数据包协议 TCP Transmission Control Protocol 传输控制协议 4 安全配置要求 2 4.1 帐号 编号： 1 要求内容 应按照不同的用户分配不同的账号。 操作指南 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中 750 为设置的权限，可根据实际情况 设置相应的权限，directory 是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限 信息等。 2、补充操作说明 检测方法 1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明编号： 2 要求内容 应删除或锁定与设备运行、维护等工作无关的账号。 操作指南 1、参考配置操作 删除用户：# 锁定用户： 1)修改/etc/shadow 文件，用户名后加*LK* 2)将/etc/passwd 文件中的 shell 域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username 锁定用户,用#passwd Cd username 解锁后原有密码失效，登录需输入 新密码，修改/etc/shadow 能保留原有密码。 2、补充操作说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 检测方法 1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 解锁时间：15 分钟3 编号： 3 要求内容 限制具备超级管理员权限的用户远程登录。 需要远程执行管理员权限操作，应先以普通权限用户远程登录后， 再切换到超级管理员权限账号后执行相应操作。 操作指南 1、 参考配置操作 编辑/etc/security/user，加上： 在 root 项上输入 false 作为 rlogin 的值 此项只能限制 root 用户远程使用 telnet 登录。用 ssh 登录，修改此 项不会看到效果的 2、补充操作说明 如果限制 root 从远程 ssh 登录，修改/etc/ssh/sshd_config 文件，将 PermitRootLogin yes 改为 PermitRootLogin no，重启 sshd 服务。 检测方法 1、判定条件 root 远程登录不成功，提示“没有权限” ； 普通用户可以登录成功，而且可以切换到 root 用户； 2、检测操作 root 从远程使用 telnet 登录； 普通用户从远程使用 telnet 登录； root 从远程使用 ssh 登录； 普通用户从远程使用 ssh 登录； 3、补充说明 限制 root 从远程 ssh 登录，修改/etc/ssh/sshd_config 文件，将 PermitRootLogin yes 改为 PermitRootLogin no，重启 sshd 服务。 编号：4 要求内容 对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加 密协议，并安全配置 SSHD 的设置。 操作指南 1、参考配置操作 把如下 shell 保存后，运行，会修改 ssh 的安全设置项：unalias cp rm mv case `find /usr /etc -type f | grep -c ssh_config$` in 0) echo &Cannot find ssh_config& ;; 1) DIR=`find /usr /etc -type f 2&/dev/null | \ grep ssh_config$ | sed -e &s:/ssh_config::&` cd $DIR cp ssh_config ssh_config.tmp awk '/^#? *Protocol/ { print &Protocol 2&; next }; { print }' ssh_config.tmp & ssh_config if [ &`grep -El ^Protocol ssh_config`& = && ]; then echo 'Protocol 2' && ssh_config fi 4 rm ssh_config.tmp chmod 600 ssh_; *) echo &You have multiple sshd_config files. Resolve& echo &before continuing.& ;; esac #也可以手动编辑 ssh_config，在 &Host *&后输入 &Protocol 2&， cd $DIR cp sshd_config sshd_config.tmp awk '/^#? *Protocol/ { print &Protocol 2&; next }; /^#? *X11Forwarding/ \ { print &X11Forwarding yes&; next }; /^#? *IgnoreRhosts/ \ { print &IgnoreRhosts yes&; next }; /^#? *RhostsAuthentication/ \ { print & RhostsAuthentication no&; next }; /^#? *RhostsRSAAuthentication/ \ { print &RhostsRSAAuthentication no&; next }; /^#? *HostbasedAuthentication/ \ { print &HostbasedAuthentication no&; next }; /^#? *PermitRootLogin/ \ { print &PermitRootLogin no&; next }; /^#? *PermitEmptyPasswords/ \ { print &PermitEmptyPasswords no&; next }; /^#? *Banner/ \ { print &Banner /etc/motd&; next };{print}' sshd_config.tmp & sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用 ssh2 版本 X11Forwarding yes #允许窗口图形传输使用 ssh 加密 IgnoreRhosts yes#完全禁止 SSHD 使用.rhosts 文件 RhostsAuthentication no #不设置使用基于 rhosts 的安全验证 RhostsRSAAuthentication no #不设置使用 RSA 算法的基于 rhosts 的 安全验证 HostbasedAuthentication no #不允许基于主机白名单方式认证 PermitRootLogin no #不允许 root 登录 PermitEmptyPasswords no #不允许空密码 Banner /etc/motd #设置 ssh 登录时显示的 banner 2、补充操作说明 5 查看 SSH 服务状态： # ps Celf|grep ssh 检测方法 1、 判定条件 # ps Celf|grep ssh 是否有 ssh 进程存在 2、检测操作 查看 SSH 服务状态： # ps Celf|grep ssh 查看 telnet 服务状态： # ps Celf|grep telnet 4.2 口令 编号：1 要求内容 对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数 字、小写字母、大写字母和特殊符号 4 类中至少 3 类。 操作指南 1、参考配置操作 chsec -f /etc/security/user -s default -a minlen=8 chsec -f /etc/security/user -s default -a minalpha=1 chsec -f /etc/security/user -s default -a mindiff=1 chsec -f /etc/security/user -s default -a minother=1 chsec Cf /etc/security/user Cs default -a pwdwarntime=5 minlen=8 #密码长度最少 8 位 minalpha=1 #包含的字母最少 1 个 mindiff=1 #包含的唯一字符最少 1 个 minother=1#包含的非字母最少 1 个 pwdwarntime=5 #系统在密码过期前 5 天发出修改密码的警告信息给用户 2、补充操作说明 检测方法 1、判定条件 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含 字符或数字的简单口令以及长度短于 8 位的口令，查看系统是否对 6 口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂 口令，查看系统是否可以成功设置。编号： 2 要求内容 对于采用静态口令认证技术的设备，帐户口令的生存期不长于 90 天。 操作指南 1、 参考配置操作 方法一： chsec -f /etc/security/user -s default -a histexpire=13 方法二： 用 vi 或其他文本编辑工具修改 chsec -f /etc/security/user 文件如下 值： histexpire=13 histexpire=13 #密码可重复使用的星期为 13 周（91 天） 2、补充操作说明 检测方法 1、判定条件 密码过期后登录不成功； 2、检测操作 使用超过 90 天的帐户口令登录会提示密码过期；编号： 3 要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复 使用最近 5 次（含 5 次）内已使用的口令。 操作指南 1、参考配置操作 方法一：chsec -f /etc/security/user -s default -a histsize=5 方法二： 用 vi 或其他文本编辑工具修改 chsec -f /etc/security/user 文件如下 值： histsize=5 histexpire=5 #可允许的密码重复次数 检测方法 1、判定条件 设置密码不成功 2、检测操作 cat /etc/security/user，设置如下 7 histsize=5 3、补充说明 默认没有 histsize 的标记，即不记录以前的密码。 编号： 4 要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次 数超过 6 次（不含 6 次） ，锁定该用户使用的账号。 操作指南 1、参考配置操作 查看帐户帐户属性： #lsuser username 设置 6 次登陆失败后帐户锁定阀值： #chuser loginretries=6 username 备注：root 账户不在锁定范围内 检测方法 1、判定条件 运行 lsuser uasename 命令，查看帐户属性中是否设置了 6 次登陆失败后帐户锁定阀值的策略。如未设置或大于 6 次， 则进行设置 4.3 授权 编号： 1 要求内容 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小 权限。 操作指南 1、参考配置操作 通过 chmod 命令对目录的权限进行实际设置。 2、 补充操作说明 chown -R root:security /etc/passwd /etc/group /etc/security chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod -R go-w,o-r /etc/security/etc/passwd /etc/group /etc/security 的所有者必须是 root 和 security 组成员 /etc/security/audit 的所有者必须是 iroot 和 audit 组成员 /etc/passwd 所有用户都可读，root 用户可写 Crw-r―r― /etc/shadow 只有 root 可读 Cr-------/etc/group 必须所有用户都可读，root 用户可写 Crw-r―r― 使用如下命令设置： chmod 644 /etc/passwd chmod 644 /etc/group 8 如果是有写权限，就需移去组及其它用户对/etc 的写权限（特殊情 况除外） 执行命令#chmod -R go-w,o-r /etc 检测方法 1、判定条件 1、设备系统能够提供用户权限的配置选项，并记录对用户进行权 限配置是否必须在用户创建时进行； 2、记录能够配置的权限选项内容； 3、所配置的权限规则应能够正确应用，即用户无法访问授权范围 之外的系统资源，而可以访问授权范围之内的系统资源。 2、检测操作 1、利用管理员账号登录系统，并创建 2 个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统 资源和命令的选项； 3、 为两个用户分别配置不同的权限， 2 个用户的权限差异应能够分 别在用户权限级别、可访问系统资源以及可用命令等方面予以体 现； 4、分别利用 2 个新建的账号访问设备系统，并分别尝试访问允许 访问的内容和不允许访问的内容，查看权限配置策略是否生效。 3、补充说明 编号：2 要求内容 控制 FTP 进程缺省访问权限，当通过 FTP 服务创建新文件或目录 时应屏蔽掉新文件或目录不应有的访问允许权限。 操作指南 1、参考配置操作 a. 限制某些系统帐户不准 ftp 登录: 通过修改 ftpusers 文件，增加帐户 #vi /etc/ftpusers b. 限制用户可使用 FTP 不能用 Telnet，假如用户为 ftpxll 创建一个/etc/shells 文件, 添加一行 /bin/ 修改/etc/passwd 文件，ftpxll:x:119:1::/home/ftpxll:/bin/true 注：还需要把真实存在的 shell 目录加入/etc/shells 文件，否则没有 用户能够登录 ftp以上两个步骤可参考如下 shell 自动执行： lsuser -c ALL | grep -v ^#name | cut -f1 -d: | while read NAME; do if [ `lsuser -f $NAME | grep id | cut -f2 -d=` -lt 200 ]; then echo &Adding $NAME to /etc/ftpusers& echo $NAME && /etc/ftpusers.new fi done sort -u /etc/ftpusers.new & /etc/ftpusers rm /etc/ftpusers.new chown root:system /etc/ftpusers chmod 600 /etc/ftpusers 9 c. 限制 ftp 用户登陆后在自己当前目录下活动 编辑 ftpaccess，加入如下一行 restricted-uid *(限制所有)， restricted-uid username（特定用户） ftpaccess 文件与 ftpusers 文件在同一目录 d. 设置 ftp 用户登录后对文件目录的存取权限，可编辑 /etc/ftpaccess。 chmod no guest,anonymous delete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous 2、补充操作说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许 ftp 登陆的。 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 检测方法 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下：#more /etc/ftpusers #more /etc/passwd #more /etc/ftpaccess 3、补充说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许 ftp 登陆的。 root daemon bin sys adm lp uucp 10 nuucp listen nobody noaccess nobody4 4.4 补丁 编号：1 要求内容 应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测 试。 操作指南 1、参考配置操作 先把补丁集拷贝到一个目录，如/08update，然后执行 #smit update_all 选择安装目录/08update 默认 SOFTWARE to update [_update_all] 选择不提交，保存被覆盖的文件，可以回滚操作，接受许可协议 COMMIT software updates? no SAVE replaced files? yes ACCEPT new license agreements? yes 然后回车执行安装。 2、补充操作说明 检测方法 1、判定条件 查看最新的补丁号，确认已打上了最新补丁； 2、检测操作 检查某一个补丁，比如 LY59082 是否安装 #instfix Ca Civk LY59082 检查文件集（filesets）是否安装 #lslpp Cl bos.adt.libm3、补充说明 补丁下载 http://www-933.ibm.com/eserver/support/fixes/ 4.5 日志 编号：1 要求内容 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登 录使用的账号，登录是否成功，登录时间，以及远程登录时，用户 使用的 IP 地址。 操作指南 1、参考配置操作 修改配置文件 vi /etc/syslog.conf，加上这几行： auth.info\t\t/var/adm/authlog 11 *.auth.none\t\t/var/adm/syslog\n& 建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 重新启动 syslog 服务，依次执行下列命令： stopsrc -s syslogd startsrc -s syslogd AIX 系统默认不捕获登录信息到 syslogd，以上配置增加了验证信 息发送到/var/adm/authlog 和/var/adm/syslog 2、补充操作说明 检测方法 1、判定条件 列出用户账号、登录是否成功、登录时间、远程登录时的 IP 地址。 2、检测操作 cat /var/adm/authlog cat /var/adm/syslog 3、补充说明 编号： 2（可选） 要求内容 启用记录 cron 行为日志功能和 cron/at 的使用情况 操作指南 1、参考配置操作 cron/At 的相关文件主要有以下几个： /var/spool/cron/crontabs 存放 cron 任务的目录 /var/spool/cron/cron.allow 允许使用 crontab 命令的用户 /var/spool/cron/cron.deny 不允许使用 crontab 命令的用户 /var/spool/cron/atjobs 存放 at 任务的目录 /var/spool/cron/at.allow 允许使用 at 的用户 /var/spool/cron/at.deny 不允许使用 at 的用户 使用 crontab 和 at 命令可以分别对 cron 和 at 任务进行控制。#crontab -l 查看当前的 cron 任务 #at -l 查看当前的 at 任务 检测方法 1、判定条件 2、检测操作 查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安 全配置。如未配置则建议按照要求进行配置。 编号：3 要求内容 设备应配置权限，控制对日志文件读取、修改和删除等操作。 操作指南 1、参考配置操作 12 配置日志文件权限，如下命令： chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 并设置了权限为其他用户和组禁止读写日志文件。 检测方法 1、判定条件 没有相应权限的用户不能查看或删除日志文件 2、检测操作 查看 syslog.conf 文件中配置的日志存放文件： more /etc/syslog.conf 使用 ls Cl /var/adm 查看的目录下日志文件的权限，如：authlog、 syslog 的权限应分别为 600、644。 3、补充说明 对于其他日志文件，也应该设置适当的权限，如登录失败事件的日 志、操作日志，具体文件查看 syslog.conf 中的配置。 4.6 不必要的服务、端口 编号：1 要求内容 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务 需关闭。 操作指南 1、 参考配置操作 查看所有开启的服务： #ps Ce -f 方法一：手动方式操作 在 inetd.conf 中关闭不用的服务 首先复制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用 vi 编辑器编辑 inetd.conf 文件，对于需要注释掉的服务在相应行开头标记&#&字符， 重启 inetd 服务,即可。 重新启用该服务，使用命令： refresh Cs inetd 方法二：自动方式操作A.把以下复制到文本里： for SVC in ftp telnet shell kshell login klogin exec \ echo discard chargen daytime t do echo &Disabling $SVC TCP& chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd \ echo discard charg do echo &Disabling $SVC UDP& 13 chsubserver -d -v $SVC -p udp done refresh -s inetd B.执行命令： #sh dis_server.sh 2、补充操作说明 参考附录 A，根据具体情况禁止不必要的基本网络服务。 注意：改变了“inetd.conf”文件之后，需要重新启动 inetd。 对必须提供的服务采用 tcpwapper 来保护 并且为了防止服务取消后断线，一定要启用 SSHD 服务，用以登录操 作和文件传输。 检测方法 1、判定条件 所需的服务都列出来； 没有不必要的服务； 2、检测操作 查看所有开启的服务:cat /etc/inet/inetd.conf,cat /etc/inet/services 3、补充说明 在/etc/inetd.conf 文件中禁止下列不必要的基本网络服务。 Tcp 服务如下： ftp telnet shell kshell login klogin exec UDP 服务如下： ntalk rstatd rusersd rwalld sprayd pcnfsd 注意：改变了“inetd.conf”文件之后，需要重新启动 inetd。 对必须提供的服务采用 tcpwapper 来保护 4.7 文件与目录权限 编号：1 要求内容 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文 件或目录不应有的访问允许权限。防止同属于该组的其它用户及别 的组的用户修改该用户的文件或更高限制。操作指南 1、 参考配置操作 A.设置所有存在账户的权限： lsuser -a home ALL | awk '{print $1}' | do chuser umask=077 $user done vi /etc/default/login 在末尾增加 umask 027 B.设置默认的 profile，用编辑器打开文件/etc/security/user，找到 umask 这行，修改如下： Umask=077 14 2、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的 umask，可以在 需要的时候通过命令行设置，或者在用户的 shell 启动文件中配置。 检测方法 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下： #ls - #查看目录 dir 的权限 #cat /etc/default/login 查看是否有 umask 027 内容 3、补充说明 umask 的默认设置一般为 022，这给新创建的文件默认权限 755 （777-022=755） ，这会给文件所有者读、写权限，但只给组成员和 其他用户读权限。 umask 的计算： umask 是使用八进制数据代码设置的，对于目录，该值等于八进制 数据代码 777 减去需要的默认权限对应的八进制数据代码值；对于 文件，该值等于八进制数据代码 666 减去需要的默认权限对应的八 进制数据代码值。 编号： 2 要求内容 对文件和目录进行权限设置，合理设置重要目录和文件的权限 操作指南 1、参考配置操作 查看重要文件和目录权限：ls Cl 更改权限： 对于重要目录，建议执行如下类似操作： # chmod -R 750 /etc/init.d/* 这样只有 root 可以读、写和执行这个目录下的脚本。 2、补充操作说明 检测方法 1、判定条件 用 root 外的其它帐户登录，对重要文件和目录进行删除、修改等操 作不能够成功即为符合。2、检测操作 查看重要文件和目录权限：ls Cl 用 root 外的其它帐户登录，对重要文件和目录进行删除、修改等操 作 3、补充说明4.8 系统 Banner 设置15 要求内容 修改系统 banner，避免泄漏操作系统名称，版本号，主机名称等， 并且给出登陆告警信息 操作指南 1、参考配置操作 设置系统 Banner 的操作如下： 在/etc/security/login.cfg 文件中，在 default 小节增加： herald = &ATTENTION:You have logged onto a secured server..All accesses logged.\n\nlogin:& 检测方法 查看/etc/security/login.cfg 文件中的配置是否按照以上要求 进行了配置 4.9 登陆超时时间设置 要求内容 对于具备字符交互界面的设备，配置定时帐户自动登出 操作指南 1、 参考配置操作 设置登陆超时时间为 300 秒，修改/etc/security/.profile 文件， 增加一行： TMOUT＝300；TIMEOUT=300；export readonly TMOUT TIMEOUT 2、补充操作说明 检测方法 1、判定条件 查看/etc/security/.profile 文件中的配置，是否存在登陆超时时 间的设置。如未设置，则建议应按照要求进行配置 4.10 内核调整设置 要求内容 防止堆栈缓冲溢出 操作指南 1、参考配置操作 编辑/etc/security/limits 并且改变 core 值为 0，并增加一行在后面， 如下：core 0 core_hard = 0 保存文件后退出，执行命令： echo &# Added by Nsfocus Security Benchmark& && /etc/profile echo &ulimit -c 0& && /etc/profile chdev -l sys0 -a fullcore=false 1、 补充操作说明 应用程序在发生错误的时候会把自身的敏感信息从内存里 DUMP 16 到文件，一旦被攻击者获取容易引发攻击。 注：内核参数改动后需要重启服务器才生效。 检测方法 1、判定条件 能够防止 core 文件产生 2、检测操作 查看/etc/security/limits 文件： cat /etc/security/limits 是否有如下两行： core 0 core_hard = 0 查看/etc/ profile 文件： cat /etc/security/limits 是否有如下行： ulimit Cc 0 4.11 SSH 加密协议 要求内容 对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加 密协议，并安全配置 SSHD 的设置。 操作指南 1、参考配置操作 把如下 shell 保存后，运行，会修改 ssh 的安全设置项： unalias cp rm mv case `find /usr /etc -type f | grep -c ssh_config$` in 0) echo &Cannot find ssh_config& ;; 1) DIR=`find /usr /etc -type f 2&/dev/null | \ grep ssh_config$ | sed -e &s:/ssh_config::&` cd $DIR cp ssh_config ssh_config.tmp awk '/^#? *Protocol/ { print &Protocol 2&; next }; { print }' ssh_config.tmp & ssh_config if [ &`grep -El ^Protocol ssh_config`& = && ]; then echo 'Protocol 2' && ssh_config fi rm ssh_config.tmp chmod 600 ssh_config;; *) echo &You have multiple sshd_config files. Resolve& echo &before continuing.& ;; esac #也可以手动编辑 ssh_config，在 &Host *&后输入 &Protocol 2&， cd $DIR 17 cp sshd_config sshd_config.tmp awk '/^#? *Protocol/ { print &Protocol 2&; next }; /^#? *X11Forwarding/ \ { print &X11Forwarding yes&; next }; /^#? *IgnoreRhosts/ \ { print &IgnoreRhosts yes&; next }; /^#? *RhostsAuthentication/ \ { print & RhostsAuthentication no&; next }; /^#? *RhostsRSAAuthentication/ \ { print &RhostsRSAAuthentication no&; next }; /^#? *HostbasedAuthentication/ \ { print &HostbasedAuthentication no&; next }; /^#? *PermitRootLogin/ \ { print &PermitRootLogin no&; next }; /^#? *PermitEmptyPasswords/ \ { print &PermitEmptyPasswords no&; next }; /^#? *Banner/ \ { print &Banner /etc/motd&; next }; {print}' sshd_config.tmp & sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用 ssh2 版本 X11Forwarding yes #允许窗口图形传输使用 ssh 加密 IgnoreRhosts yes#完全禁止 SSHD 使用.rhosts 文件 RhostsAuthentication no #不设置使用基于 rhosts 的安全验证 RhostsRSAAuthentication no #不设置使用 RSA 算法的基于 rhosts 的 安全验证 HostbasedAuthentication no #不允许基于主机白名单方式认证 PermitRootLogin no #不允许 root 登录 PermitEmptyPasswords no #不允许空密码 Banner /etc/motd #设置 ssh 登录时显示的 banner 2、补充操作说明查看 SSH 服务状态： # ps Celf|grep ssh 检测方法 2、 判定条件 # ps Celf|grep ssh 是否有 ssh 进程存在 2、检测操作 查看 SSH 服务状态： # ps Celf|grep ssh 查看 telnet 服务状态： 18 # ps Celf|grep telnet 4.12 FTP 设置 编号 1： 要求内容 禁止 root 登陆 FTP 操作指南 1、参考配置操作 Echo root &&/etc/ftpusers 检测方法 使用 root 登录 ftp 编号 2： 要求内容 禁止匿名 ftp 操作指南 1、参考配置操作 默认不支持匿名，需要做专门的配置。 检查方法: 使用 ftp 做匿名登录尝试，如能登录，则删除/etc/passwd 下 的 ftp 账号。 检测方法 检查方法: 使用 ftp 做匿名登录尝试 编号 3： 要求内容 修改 FTP banner 信息 操作指南 1、参考配置操作 cat && EOF && /etc/ftpmotd Authorized uses only. All activity may be monitored and reported EOF 检测方法 1、 判断依据 ftp 登录尝试 2、 检查操作 附录 A：端口及服务 服务名称 端口 应用说明 daytime关闭方法处置建议13/tcp RFC867 白天协议 #daytime stream tcp nowait root internal 建议关闭 13/udp RFC867 白天协议 #daytime dgram udp nowait root internal time 37/tcp 时间协议 #time stream tcp nowait root internal 19 echo 7/tcp RFC862_回声协议 #echo stream tcp nowait root internal 7/udp RFC862_回声协议 #echo dgram udp nowait root internal discard 9/tcp RFC863 废除协议 #discard stream tcp nowait root internal 9/udp #discard dgram udp nowait root internal chargen 19/tcp RFC864 字符产生 协议 #chargen stream tcp nowait root internal 19/udp #chargen dgram udp nowait root internal ftp 21/tcp 文件传输协议(控制) #ftp stream tcp nowait root /usr/lbin/ftpd 根据情况选择开 放 telnet 23/tcp 虚拟终端协议 #telnet stream tcp nowait root /usr/lbin/telnetd telnetd根据情况选择开 放 sendmail 25/tcp 简单邮件发送协议 names 53/udp 域名服务 /etc/rc.tcpip 根据情况选择开 放 53/tcp 域名服务 /etc/rc.tcpip 根据情况选择开 放 login 513/tcp 远程登录 #login stream tcp nowait root /usr/lbin/rlogind rlogind 根据情况选择开 放 shell 514/tcp 远程命令, no passwd used #shell stream tcp nowait root /usr/lbin/remshd remshd 根据情况选择开 放 exec 512/tcp remote execution, passwd required #exec stream tcp nowait root /usr/lbin/rexecd rexecd 根据情况选择开 放 ntalk 518/udp new talk, conversation #ntalk dgram udp wait root /usr/lbin/ntalkd ntalkd 建议关闭 ident 113/tcp auth #ident stream tcp wait bin /usr/lbin/identd identd 建议关闭 lpd 515/tcp 远程打印缓存rc.tcpip/sendmail建议关闭#printer stream tcp nowait root /usr/sbin/rlpdaemon rlpdaemon -i 强烈建议关闭 tftp 69/udp 普通文件传输协议 #tftp dgram udp nowait root internal 强烈建议关闭 20 kshell 544/tcp Kerberos remote shell -kfall #kshell stream tcp nowait root /usr/lbin/remshd remshd -K 建议关闭 klogin 543/tcp Kerberos rlogin -kfall #klogin stream tcp nowait root /usr/lbin/rlogind rlogind -K 建议关闭 recserv 7815/tcp X 共享接收服务 #recserv stream tcp nowait root /usr/lbin/recserv recserv -display :0 建议关闭 dtspcd 6112/tcp 子进程控制 #dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd 强烈建议关闭 registrar 1712/tcp 资源监控服务 #registrar stream tcp nowait root /etc/opt/resmon/lbin/registrar #/etc/opt/resmon/lbin/registrar 根据情况选择开 放 1712/udp 资源监控服务 #registrar stream tcp nowait root /etc/opt/resmon/lbin/registrar /etc/opt/resmon/lbin/registrar根据情况选择开 放 动态端口 资源监控服务 #registrar stream tcp nowait root /etc/opt/resmon/lbin/registrar #/etc/opt/resmon/lbin/registrar 根据情况选择开 放 portmap 111/tcp 端口映射 /etc/rc.tcpip 根据情况选择开 放 snmp 161/udp 简单网络管理协议 （Agent） rc.tcpip/snmpd 根据情况选择开 放 snmp 7161/tcp 简单网络管理协议 （Agent） rc.tcpip/snmpd 根据情况选择开 放 snmp-trap 162/udp 简单网络管理协议 （Traps） rc.tcpip/snmpd 根据情况选择开 放 dtlogin 177/udp 启动图形控制 usr/dt/config/Xaccess 根据情况选择开 放 6000/tcp X 窗口服务 usr/dt/config/Xaccess 根据情况选择开 放 动态端口 启动图形控制 usr/dt/config/Xaccess 根据情况选择开 放 syslogd 514/udp 系统日志服务 /etc/rc.tcpip 建议保留 nfs 2049/tcp NFS 远程文件系统 /etc/rc.nfs 强烈建议关闭 2049/udp NFS 远程文件系统 /etc/rc.nfs 强烈建议关闭rpc.ttdbserver 动态端口 HP-UX ToolTalk database server #rpc xti tcp swait root /usr/dt/bin/rpc.ttdbserver
强烈建议关闭 21 /usr/dt/bin/rpc.ttdbserver rpc.cmsd 动态端口 后台进程管理服务 #rpc dgram udp wait root /usr/dt/bin/rpc.cmsd -5 rpc.cmsd 强烈建议关闭 22 写指南技术标准编HP-UX 操作系统 安全配置要求及操作指南 xxxx 发布 I 目 录 目 录 ..................................................................... I 前 言 .................................................................... II 1 范围 ....................................................................... 1 2 规范性引用文件 ............................................................. 1 3 缩略语 ..................................................................... 1 4 安全配置要求 ............................................................... 2 4.1 帐号 ..................................................................... 2 4.2 口令 ..................................................................... 3 4.3 授权 ..................................................................... 6 4.4 远程维护 ................................................................. 9 4.5 补丁 .................................................................... 11 4.6 日志 .................................................................... 12 4.7 不必要的服务、端口 ...................................................... 144.8 修改 Banner 信息 ......................................................... 15 4.9 登陆超时时间设置 ........................................................ 15 4.10 内核调整设置 ........................................................... 15 4.11 删除潜在危险文件 ....................................................... 15 4.12 FTP 设置 ................................................................ 16 附录 A：端口及服务 .......................................................... 17 II 前 言 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求， 编制了一系列的安全配置要求及操作指南，明确了操作系统、数据库、应用中间 件在内的通 用安全配置要求及参考操作。 该系列安全配置要求及操作指南的结构及名称预计如下： （1） 《 Windows 操作系统安全配置要求及操作指南》 （2） 《 AIX 操作系统安全配置要求及操作指南》 （3） 《 HP-UX 操作系统安全配置要求及操作指南》 （本规范） （4） 《 Linux 操作系统安全配置要求及操作指南》 （5） 《 Solaris 操作系统安全配置要求及操作指南》 （6） 《 MS SQL server 数据库安全配置要求及操作指南》 （7） 《 MySQL 数据库安全配置要求及操作指南》 （8） 《 Oracle 数据库安全配置要求及操作指南》 （9） 《 Apache 安全配置要求及操作指南》 （10） 《 IIS 安全配置要求及操作指南》 （11） 《 Tomcat 安全配置要求及操作指南》 （12） 《 WebLogic 安全配置要求及操作指南》1 1 范围 适用于使用 HP-UX 操作系统的设备。本规范明确了安全配置的基本要求，适 用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文 档的参考。 由于版本不同，配置操作有所不同，本规范以 HP-UX11v2\11v3 为例，给出参考 配置操 作。 2 规范性引用文件 GB/T《信息安全技术 信息系统安全等级保护基本要求》 YD/T 《固定通信网安全防护要求》 YD/T 《移动通信网安全防护要求》 YD/T 《互联网安全防护要求》 YD/T 《增值业务网―消息网安全防护要求》 YD/T 《增值业务网―智能网安全防护要求》YD/T 《非核心生产单元安全防护要求》 YD/T 《接入网安全防护要求》 YD/T 《传送网安全防护要求》 YD/T 《IP 承载网安全防护要求》 YD/T 《信令网安全防护要求》 YD/T 《同步网安全防护要求》 YD/T 《支撑网安全防护要求》 YD/T 《电信网和互联网管理安全等级保护要求》 3 缩略语 FTP File Transfer Protocol 文件传输协议 UDP User Datagram Protocol 用户数据包协议 TCP Transmission Control Protocol 传输控制协议 2 4 安全配置要求 4.1 帐号 编号： 1 要求内容 应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中 750 为设置的权限，可根据实际情况 设置相应的权限，directory 是要更改权限的目录 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限 信息等。 2、补充操作说明 检测方法 1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明编号： 2 要求内容 应删除或锁定与设备运行、维护等工作无关的账号。 操作指南 1、参考配置操作 删除用户：# 锁定用户：1)修改/etc/shadow 文件，用户名后加 NP 2)将/etc/passwd 文件中的 shell 域设置成/bin/noshell 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username 锁 定用户,用#passwd Cd username 解锁后原有密码失效，登录需输入 新密码，修改/etc/shadow 能保留原有密码。 2、补充操作说明 需要锁定的用户：lp,nuucp,hpdb,www,demon。 注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年 以上未用）等 检测方法 1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 3 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：lp,nuucp,hpdb,www,demon。编号： 3 要求内容 根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配 到相应的帐户组。 操作指南 1、参考配置操作 创建帐户组： #groupadd Cg GID groupname #创建一个组，并为其设置 GID 号， 若不设 GID，系统会自动为该组分配一个 GID 号； #usermod Cg group username #将用户 username 分配到 group 组中。 查询被分配到的组的 GID：#id username 可以根据实际需求使用如上命令进行设置。 2、补充操作说明 可以使用 -g 选项设定新组的 GID。 0 到 499 之间的值留给 root、 bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新 组名或者 GID 已经存在，则返回错误信息。 当 group_name 字段长度大于八个字符， groupadd 命令会执行失败； 当用户希望以其他用户组成员身份出现时，需要使用 newgrp 命令 进行更改，如#newgrp sys 即把当前用户以 sys 组身份运行； 检测方法 1、判定条件 可以查看到用户账号分配到相应的帐户组中； 或都通过命令检查账号是否属于应有的组： #id username 2、检测操作 查看组文件：cat /etc/group 3、补充说明 文件中的格式说明：group_name::GID:user_list 4.2 口令 编号： 1 要求内容 对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数 字、小写字母、大写字母和特殊符号 4 类中至少 3 类。 操作指南 1 参考配置操作 ch_rc Ca -p MIN_PASSWORD_LENGTH=8 /etc/default/security ch_rc Ca -p PASSWORD_HISTORY_DEPTH=10 \ /etc/default/security ch_rc Ca Cp PASSWORD_MIN_UPPER_CASE_CHARS=1 \ /etc/default/security 4 ch_rc Ca Cp PASSWORD_MIN_DIGIT_CHARS=1 \ /etc/default/security ch_rc Ca Cp PASSWORD_MIN_SPECIAL_CHARS=1 \ /etc/default/security ch_rc Ca Cp PASSWORD_MIN_LOWER_CASE_CHARS=1 \ /etc/default/security modprdef -m nullpw=NO modprdef -m rstrpw=YES MIN_PASSWORD_LENGTH=8 #设定最小用户密码长度为 8 位 PASSWORD_MIN_UPPER_CASE_CHARS=1 #表示至少包括 1 个 大写字母 PASSWORD_MIN_DIGIT_CHARS=1 #表示至少包括 1 个数字 PASSWORD_MIN_SPECIAL_CHARS=1 #表示至少包括 1 个特殊 字符（特殊字符可以包括控制符以及诸如星号和斜杠之类的符号） PASSWORD_MIN_LOWER_CASE_CHARS=1 #表示至少包括 1 个 小写字母 当用 root 帐户给用户设定口令的时候不受任何限制，只要不超长。 2、补充操作说明 不同的 HP-UX 版本可能会有差异，请查阅当前系统的 man page security(5) 详细说明 检测方法 1、判定条件 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含 字符或数字的简单口令以及长度短于 8 位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂 口令，查看系统是否可以成功设置。 编号： 2 要求内容 对于采用静态口令认证技术的设备，帐户口令的生存期不长于 90 天。 操作指南 1、 参考配置操作 以下的 shell 语句将设置除 root 外的所有有效登录的账号密码过期 和过前期的收到警告设置： logins -ox \ 5 | awk -F: '($8 != &LK& && $1 != &root&) { print $1 }' \ | do passwd Cx 91 Cn 7 Cw 28 &$logname& /usr/lbin/modprpw -m exptm=90,mintm=7,expwarn=30 \ &$logname& done echo PASSWORD_MAXDAYS=91 && /etc/default/security echo PASSWORD_MINDAYS=7 && /etc/default/security echo PASSWORD_WARNDAYS=28 && /etc/default/security /usr/lbin/modprdef -m exptm=90,expwarn=30 用户将在密码过期前的 30 天收到警告信息（28 HP-UX 的 Trusted 模式） 2、补充操作说明 检测方法 1、判定条件 登录不成功； 2、检测操作 使用超过 90 天的帐户口令登录； 3、补充说明 测试时可以将 90 天的设置缩短来做测试。 编号： 3 要求内容 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复 使用最近 5 次（含 5 次）内已使用的口令。 操作指南 1、参考配置操作 vi /etc/default/passwd ，修改设置如下 HISTORY＝5 2、补充操作说明 #HISTORY sets the number of prior password changes to keep and # check for a user when changing passwords. Setting the HISTORY # value to zero (0), or removing/commenting out the flag will # cause all users' prior password history to be discarded at the 天没有运行在# next password change by any user. No password history will # be checked if the flag is not present or has zero value. # The maximum value of HISTORY is 26. NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。 检测方法 1、判定条件 设置密码不成功 2、检测操作 cat /etc/default/passwd ，设置如下 HISTORY＝5 6 3、补充说明 默认没有 HISTORY 的标记，即不记录以前的密码 NIS 系统无法生效，非 NIS 系统或 NIS+系统能够生效。编号： 4 要求内容 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次 数超过 6 次（不含 6 次） ，锁定该用户使用的账号。 操作指南 1、参考配置操作 指定当本地用户登陆失败次数等于或者大于允许的重试次数则账 号被锁定： logins -ox \ | awk -F: '($8 != &LK& && $1 != &root&) { print $1 }' \ | do /usr/lbin/modprpw -m umaxlntr=6 &$logname& done modprdef -m umaxlntr=6 echo AUTH_MAXTRIES=6 && /etc/default/security 除 root 外的有效账号都将被设置重复登录失败次数为 6 2、补充操作说明 检测方法 1、判定条件 帐户被锁定，不再提示让再次登录； 2、检测操作 创建一个普通账号，为其配置相应的口令；并用新建的账号通过错 误的口令进行系统登录 6 次以上（不含 6 次） ； 1、 补充说明 root 账号不在锁定的限制范围内 4.3 授权 编号： 1 要求内容 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小 权限。 操作指南 1、参考配置操作 通过 chmod 命令对目录的权限进行实际设置。2、补充操作说明 etc/passwd 必须所有用户都可读，root 用户可写 Crw-r―r― /etc/shadow 只有 root 可读 Cr-------/etc/group 必须所有用户都可读，root 用户可写 Crw-r―r― 使用如下命令设置： chmod 644 /etc/passwd chmod 600 /etc/shadow 7 chmod 644 /etc/group 如果是有写权限，就需移去组及其它用户对/etc 的写权限（特殊情 况除外） 执行命令#chmod -R go-w /etc 检测方法 1、判定条件 1、设备系统能够提供用户权限的配置选项，并记录对用户进行权 限配置是否必须在用户创建时进行； 2、记录能够配置的权限选项内容； 3、所配置的权限规则应能够正确应用，即用户无法访问授权范围 之外的系统资源，而可以访问授权范围之内的系统资源。 2、检测操作 1、利用管理员账号登录系统，并创建 2 个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统 资源和命令的选项； 3、 为两个用户分别配置不同的权限， 2 个用户的权限差异应能够分 别在用户权限级别、可访问系统资源以及可用命令等方面予以体 现； 4、分别利用 2 个新建的账号访问设备系统，并分别尝试访问允许 访问的内容和不允许访问的内容，查看权限配置策略是否生效。 3、补充说明编号： 2 要求内容 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文 件或目录不应有的访问允许权限。防止同属于该组的其它用户及别 的组的用户修改该用户的文件或更高限制。 操作指南 1、 参考配置操作 设置默认权限： Vi /etc/default/security 在末尾增加 umask 027 修改文件或目录的权限，操作举例如下： #chmod 444 #修改目录 dir 的权限为所有人都为只读。 根据实际情况设置权限； 2、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的 umask，可以在 需要的时候通过命令行设置，或者在用户的 shell 启动文件中配置。检测方法 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下： #ls - #查看目录 dir 的权限 #cat /etc/default/login 查看是否有 umask 027 内容 8 3、补充说明 umask 的默认设置一般为 022，这给新创建的文件默认权限 755 （777-022=755） ，这会给文件所有者读、写权限，但只给组成员和 其他用户读权限。 umask 的计算： umask 是使用八进制数据代码设置的，对于目录，该值等于八进制 数据代码 777 减去需要的默认权限对应的八进制数据代码值；对于 文件，该值等于八进制数据代码 666 减去需要的默认权限对应的八 进制数据代码值。 编号：3 要求内容 如果需要启用 FTP 服务， 控制 FTP 进程缺省访问权限， 当通过 FTP 服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允 许权限。 操作指南 1、参考配置操作 if [[ &$(uname -r)& = B.10* ]]; then ftpusers=/etc/ftpusers else ftpusers=/etc/ftpd/ftpusers fi for name in root daemon bin sys adm lp \ uucp nuucp nobody hpdb useradm do echo $name done && $ftpusers sort Cu $ftpusers & $ftpusers.tmp cp $ftpusers.tmp $ftpusers rm Cf $ftpusers.tmp chown bin:bin $ftpusers chmod 600 $ftpusers 2、补充操作说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许 ftp 登陆的。 root daemon bin sysadm lp uucp nuucp listen nobody 9 hpdb useradm 检测方法 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下： #more /etc/ [/ftpd]/ftpusers #more /etc/passwd 3、补充说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许 ftp 登陆的。 root daemon bin sys adm lp uucp nuucp listen nobody hpdb useradm 4.4 远程维护 编号：1 要求内容 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操 作，应先以普通权限用户远程登录后，再切换到超级管理员权限账 号后执行相应操作。 操作指南 2、 参考配置操作 编辑/etc/securetty，加上： console 保存后退出，并限制其他用户对此文本的所有权限： chown root:sys /etc/securetty chmod 600 /etc/securetty 此项只能限制 root 用户远程使用 telnet 登录。用 ssh 登录，修改此 项不会看到效果的 2、补充操作说明如果限制 root 从远程 ssh 登录，修改/etc/ssh/sshd_config 文件，将 PermitRootLogin yes 改为 PermitRootLogin no，重启 sshd 服务。 检测方法 1、判定条件 root 远程登录不成功，提示“没有权限” ； 普通用户可以登录成功，而且可以切换到 root 用户； 10 2、检测操作 root 从远程使用 telnet 登录； 普通用户从远程使用 telnet 登录； root 从远程使用 ssh 登录； 普通用户从远程使用 ssh 登录； 3、补充说明 限制 root 从远程 ssh 登录，修改/etc/ssh/sshd_config 文件，将 PermitRootLogin yes 改为 PermitRootLogin no，重启 sshd 服务。 编号：2 要求内容 对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加 密协议，禁止使用 telnet 等明文传输协议进行远程维护； 操作指南 1、 下载和安装 OpenSSH 在网站上免费获取 OpenSSH http://software.hp.com/ ； 并根据安装文件说明执行安装步骤 。 2、完成下面安装后的配置： cd /opt/ssh/etc cp -p sshd_config sshd_config.tmp awk ' /^Protocol/ { $2 = &2& }; /^X11Forwarding/ { $2 = &yes& }; /^IgnoreRhosts/ { $2 = &yes& }; /^RhostsAuthentication/ { $2 = &no& }; /^RhostsRSAAuthentication/ { $2 = &no& }; /(^#|^)PermitRootLogin/ { $1 = &PermitRootLogin&; $2 = &no& }; /^PermitEmptyPasswords/ { $2 = &no& }; /^#Banner/ { $1 = &Banner&; $2 = &/etc/issue& } { print }' sshd_config.tmp & sshd_config rm -f sshd_config.tmp chown root:sys ssh_config sshd_config chmod go-w ssh_config sshd_config 先拷贝一份配置，再用 awk 生成一份修改了安全配置的临时文件， 最后替换原始配置文件 ssh_config，其中配置含义如下：Protocol = 2 #使用 ssh2 版本 X11Forwarding #允许窗口图形传输使用 ssh 加密 IgnoreRhosts =yes#完全禁止 SSHD 使用.rhosts 文件 RhostsAuthentication=no #不设置使用基于 rhosts 的安全验证 RhostsRSAAuthentication=no #不设置使用 RSA 算法的基于 rhosts 的 11 安全验证。 3、补充操作说明 查看 SSH 服务状态： # ps Celf|grep ssh 注：禁止使用 telnet 等明文传输协议进行远程维护；如特别需要， 需采用访问控制策略对其进行限制； 检测方法 1、 判定条件 # ps Cef|grep ssh 是否有 ssh 进程存在 是否有 telnet 进程存在 2、检测操作 查看 SSH 服务状态： # ps Cef|grep ssh 查看 telnet 服务状态： # ps Cef|grep telnet 3、补充说明 4.5 补丁 编号： 1 要求内容 应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测 试。 操作指南 1、 参考配置操作 看版本是否为最新版本。 执行下列命令，查看版本及大补丁号。 #uname Ca HP-UX：http://us-support.external.hp.com/ 执行下列命令，查看各包的补丁号 #swlist 2、补充操作说明 检测方法 1、 判定条件 看版本是否为最新版本。 # uname Ca 查看版本及大补丁号 #swlist 命令检补丁号 2、检测操作 在保证业务及网络安全的前提下，经过实验室测试后，更新使用最新版本的操作系统补丁 3、补充说明 124.6 日志 编号： 1 要求内容 打开 syslog 系统日志审计功能有助于系统的日常维护和故障排除， 或者防止被攻击后查看日志采取防护补救措施，增强系统安全日 志。 操作指南 1、参考配置操作 修改配置文件 vi /etc/syslog.conf， 配置如下类似语句： *.kern.daemon. /var/adm/messages 定义为需要保存的设备相关安全事件。 2、补充操作说明 检测方法 1、判定条件 查看/var/adm/messages，记录有需要的设备相关的安全事件。 2、检测操作 修改配置文件 vi /etc/syslog.conf， 配置如下类似语句： *.kern.daemon. /var/adm/messages 定义为需要保存的设备相关安全事件。 3、补充说明编号：2 要求内容 设备应配置权限，控制对日志文件读取、修改和删除等操作。 操作指南 1、参考配置操作 检查系统日志： awk & /etc/syslog.conf ' $0 !~ /^#/ && $2 ~ &^/& { print $2 } ' | sort -u | while read file do if [ -d &$file& -o -c &$file& -o \ -b &$file& -o -p &$file& ] then : elif [ ! -f &$file& ] then mkdir -p &$(dirname &$file&)& touch &$file& chmod 640 &$file& else chmod o-w &$file&fi 13 done 检查其他日志： hostname=`uname -n` chmod o-w /tmp/snmpd.log \ /var/X11/Xserver/logs/X0.log /var/X11/Xserver/logs/X1.log /var/X11/Xserver/logs/X2.log /var/adm/automount.log /var/adm/snmpd.log /var/opt/dce/svc/error.log /var/opt/dce/svc/fatal.log /var/opt/dce/svc/warning.log /var/opt/dde/dde_error_log /v