Chinaunix

标题: 我的HP安全管理文档 [打印本页]

作者: sayang 时间: 2006-04-30 02:03
标题: 我的HP安全管理文档
为迎接内控外审做的东西，之前在CU翻帖子无数，^_^

操作系统安全白皮书

1、安全参数设置改变后，一周内更新相关《主机信息卡片》

2、设置密码要求:

HP 使用sam工具：SAM Areas：Auditing and Security：System Security Policies

密码格式：由数字、字母和符号组成

无效登录次数：3次无效登录

密码修改最小期限：14天

密码超期时间：90天

密码长度：最小6位

具体为：

1)    设置密码不能在14天内再次修改,此项设置使用户不能立即修改回上一密码

Time Between Password Changes (days):  14

2)    设置密码在90天内必须修改

Password Expiration Time (days):  90

3)    设置在密码使用80天时,开始提醒用户修改密码

Password Expiration Warning Time (days):  80

4)    设置密码生存期限为120天,期限过后密码从系统中消除,帐户禁用.

5)    用户密码设置必须具备一定的复杂度,6位以上,不能同时为字母、数字或字符，不能使用上次密码。

6)    用户密码尝试3次错误将被封存

3、操作系统用户

   超级管理员：root

数据库用户：sybase

日常维护用户： sayang,使用sam。这个用户具有普通用户权限。

4、超时设置：三分钟不活动用户自动登出：

   HP /etc/profile 增加 TMOUT=180;export TMOUT

5、服务管理：

   注释掉  /etc/inetd.conf 中不用的服务：

   tftp，rlogin,remsh,rexec,ntalk,ident,rlpdaemon, rlogin -K,remsh -K

   使用以下命令检查grep –v “^#” /etc/inetd.conf

6、锁定不需要的用户：

   默认情况下已锁定

   passwd –s –a | grep LK >> /tmp/check/log

7、明确系统管理员及普通维护人员角色及权限，每年初及发生变动后领导确认

8、修改关键参数、执行关键操作的申请和审批记录

修改痕迹在《主机设备信息表》中的“操作系统或软件升级/修改记录”中。

9、默认取消主机信任关系：

cat /.rhosts  >>/tmp/check/log

cat /etc/hosts.equiv >>/tmp/check/log

被信任的主机会以 hostname username形式出现，“++”代表信任所有主机

10、审计HP系统：

在shell下输入：/usr/sbin/sam进入SAM管理界面；

选择"Auditing and Security."－> "Audited Events."

11、Umask值设置：

   对于root：修改/.profile，增加一行： umask 027;export umask

   对于已存在用户：修改$HOME/.profile,增加一行： umask 022;export umask

   对于将来新建用户：修改/etc/skel/.profile, 增加一行： umask 022;export umask

027:  u=rwx,g=rx

022:  u=rwx,g=rx,o=rx

12、检查计划：

1）  每月检查关键参数设置，检查结果请部门主观审核

2）  每月记录并报告安全事件（安全违反记录、非法访问记录）等，检查结果请部门主观审核

3）  每季度联系设备厂家，咨询系统可能存在的漏洞及相应的补丁情况，如有发现，及时进行相关补救措施。

13、限制root用户的登录：

   ＃vi /etc/securetty

            console

                                                                                                      sayang ver1.0

作者: xiaophedap 时间: 2006-04-30 14:07
相当不错！

作者: libertine01 时间: 2006-05-07 00:04
多谢楼主共享

作者: lijin_jin 时间: 2006-05-12 21:49
标题: 楼主是网通的么？
rt

作者: lijin_jin 时间: 2006-05-12 21:59
标题: 补充一下，应该还有限制IP进行telnet或ftp
只允许具有管理员权限的人员的IP地址可以进行telnet和ftp服务（如果不用ssh取代telnet和ftp服务）：
修改/var/adm/inetd.sec文件（如果没有创建）在其中增加相应的内容。也可以通过sam进行设置。

作者: lhyis 时间: 2006-05-15 11:08
看来内控还是有必要的，奶奶的忙的我头都昏了

作者: hwh5240 时间: 2006-05-15 18:48
不错，感谢

作者: 李放 时间: 2006-05-16 12:58
非常不错对于这种好帖子要好好顶

作者: hwwh1999 时间: 2006-05-16 13:29
谢谢共享,真不错!

作者: bwboy 时间: 2008-02-22 11:27
正好用到，谢谢

作者: sinsia 时间: 2008-02-22 23:38
谢谢

作者: spring_jy 时间: 2008-04-17 17:25
俺也在做内控也，痛苦

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)