HP-Unix主机操作系统加固规范

HP-Unix主机操作系统加固规范

1 账号管理、认证授权

1.1 账号

1.1.1 SHG-HP-UX-01-01-01

编号 SHG-HP-UX-01-01-01

名称为不同的管理员分配不同的账号

实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。

问题影响账号混淆，权限不明确，存在用户越权使用的可能。

系统当前状态 cat /etc/passwd 记录当前用户列表

实施步骤 1、参考配置操作

为用户创建账号：

#useradd username #创建账号

#passwd username #设置密码

修改权限：

#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)

使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。

回退方案删除新增加的帐户

判断依据标记用户用途，定期建立用户列表，比较是否有非法用户

实施风险高

重要等级★★★

备注

1.1.2 SHG-HP-UX-01-01-02

编号 SHG-HP-UX-01-01-02

名称删除或锁定无效账号

实施目的删除或锁定无效的账号，减少系统安全隐患。

问题影响允许非法利用系统默认账号

系统当前状态 cat /etc/passwd 记录当前用户列表，cat /etc/shadow 记录当前密码配置实施步骤参考配置操作

删除用户：#userdel username;

锁定用户：

1) 修改/etc/shadow文件，用户名后加*LK*

2) 将/etc/passwd文件中的shell域设置成/bin/false

3) #passwd -l username

只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

回退方案新建删除用户

判断依据如上述用户不需要，则锁定。

实施风险高

重要等级★★★

备注

1.1.3 SHG-HP-UX-01-01-03

编号 SHG-HP-UX-01-01-03

名称对系统账号进行登录限制

实施目的对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。

问题影响可能利用系统进程默认账号登陆，账号越权使用

系统当前状态 cat /etc/shadow查看各账号状态。

实施步骤 1、参考配置操作

禁止账号交互式登录：

修改/etc/shadow文件，用户名后密码列为NP；

删除账号：#userdel username;

2、补充操作说明

禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell

回退方案还原/etc/shadow文件配置

判断依据 /etc/shadow中上述账号，如果无特殊情况，密码列为NP

实施风险高

重要等级★

备注

1.1.4 SHG-HP-UX-01-01-04

编号 SHG-HP-UX-01-01-04

名称为空口令用户设置密码

实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用

系统当前状态 cat /etc/passwd

实施步骤用root用户登陆HP-UX系统，执行passwd命令，给用户增加口令。

例如：passwd test test。

回退方案 Root身份设置用户口令，取消口令

如做了口令策略则失败

判断依据登陆系统判断

Cat /etc/passwd

实施风险高

重要等级★

备注

1.1.5 SHG-HP-UX-01-01-05

编号 SHG-HP-UX-01-01-05

名称删除属于root用户存在潜在危险文件

实施目的 /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，应该删除

问题影响无影响

系统当前状态 cat /.rhost

cat /.netr

cat /root/.rhosts

cat /root/.netrc

实施步骤 Mv /.rhost /.rhost.bak

Mv /.netr /.netr.bak

Cd root

Mv .rhost .rhost.bak

Mv .netr .netr.bak

回退方案 Mv /.rhost.bak /.rhost

Mv /.netr.bak /.netr

Cd root

Mv .rhost.bak .rhost

Mv .netr.bak .netr

判断依据登陆系统判断

Cat /etc/passwd

实施风险高

重要等级★

备注

1.2 口令

1.2.1 SHG-HP-UX-01-02-01

编号 SHG-HP-UX-01-02-01

名称缺省密码长度限制

实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位。

问题影响增加密码被暴力破解的成功率

系统当前状态运行cat /etc/default/security 查看状态，并记录。

实施步骤参考配置操作

vi /etc/default/security ，修改设置如下

MIN_PASSWD_LENGTH = 6 #设定最小用户密码长度为6位

当用root帐户给用户设定口令的时候不受任何限制，只要不超长。

回退方案 vi /etc/default/security ，修改设置到系统加固前状态。

判断依据 MIN_PASSWD_LENGTH 值为6或更高

实施风险低

重要等级★★★

备注

1.2.2 SHG-HP-UX-01-02-02

编号 SHG-HP-UX-01-02-02

名称缺省密码复杂度限制

实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类。

问题影响增加密码被暴力破解的成功率