HP-Unix安全配置风险评估检查表.doc

HP-UNIX系统平安配置基线

目录

TOC\o1-3\h\z\u第1章 概述 1

1.1 目的 1

1.2 适用范围 1

1.3 适用版本 1

第2章 账户管理、认证授权 2

2.1 账号 2

默认账号 2

远程登录限制 2

账号清理 3

2.2 口令 3

口令强度要求 3

口令生存周期要求 3

口令历史平安要求 4

登录失败平安要求 4

默认访问权限平安要求 5

2.2.6FTP访问平安要求 5

第3章 审计功能配置 6

3.1 审计日志 6

审计日志功能 6

第4章 IP协议平安配置要求 7

4.1 IP协议 7

远程维护协议平安 7

第5章 设备其他平安配置要求 8

5.1 访问控制 8

5.1.1应用层访问控制 8

5.1.2引导身份验证 8

5.2 效劳 9

5.2.1效劳平安要求 9

概述

目的

本文档规定了HP-Unix操作系统的主机应当遵循的操作系统平安性设置标准，本文档旨在指导系统管理人员或平安检查人员进行HP-UNIX操作系统的平安合规性检查和配置。

适用范围

本配置标准的使用者包括：效劳器系统管理员、应用管理员、网络平安管理员。

适用版本

HP-UNIX系列效劳器；

账户管理、认证授权

账号

默认账号

平安基线工程名称

操作系统HPUnix缺省账户平安基线要求项

平安基线编号

SBL-HPUnix-02-01-01

平安基线项说明

应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不

可删除的内置账号，包括root,bin等。

检测操作步骤

执行cat/etc/shadow

基线符合性判定依据

需要锁定的用户：lp,nuucp,hpdb,www,demon。

备注

远程登录限制

平安基线工程名称

操作系统HPUnix远程登录平安基线要求项

平安基线编号

SBL-HPUnix-02-01-02

平安基线项说明

限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。

检测操作步骤

root从远程使用telnet登录；

普通用户从远程使用telnet登录；

root从远程使用ssh登录；

普通用户从远程使用ssh登录；

基线符合性判定依据

root远程登录不成功，提示“Notonsystemconsole”；

普通用户可以登录成功，而且可以切换到root用户

备注

账号清理

平安基线工程名称

操作系统HPUnix远程登录平安基线要求项

平安基线编号

SBL-HPUnix-02-01-03

平安基线项说明

对系统账号进行登录限制，确保系统账号仅被守护进程和效劳使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或效劳，应删除这些账号。

检测操作步骤

远程登录；

基线符合性判定依据

禁止交互登录的系统账号，wwwsyssmbnulliwwwowwwsshdhpsmhnameduucpnuucpadmdaemonbinlpnobodynoaccesshpdbuseradm.

被禁止账号交互式登录的帐户远程登录不成功

备注

口令

口令强度要求

平安基线工程名称

操作系统HPUnix口令强度平安基线要求项

平安基线编号

SBL-HPUnix-02

平安基线项说明

对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

检测操作步骤

cat/etc/default/security；

基线符合性判定依据

创立一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

备注

口令生存周期要求

平安基线工程名称

操作系统HPUnix口令生存周期平安基线要求项

平安基线编号

SBL-HPUnix-02

平安基线项说明

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。并且7天内不得更改密码。

检测操作步骤

使用超过90天的帐户口令登录；

基线符合性判定依据

登录不成功

备注

口令历史平安要求

平安基线工程名称

操作系统HPUnix口令历史平安基线要求项

平安基线编号

SBL-HPUnix-02

平安基线项说明

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次〔含5次〕内已使用的口令。

检测操作步骤

cat/etc/default/pa