- 论坛徽章:
- 0
|
为迎接内控外审做的东西,之前在CU翻帖子无数,^_^
操作系统安全白皮书
1、安全参数设置改变后,一周内更新相关《主机信息卡片》
2、设置密码要求:
HP 使用sam工具:SAM Areas:Auditing and Security:System Security Policies
密码格式:由数字、字母和符号组成
无效登录次数:3次无效登录
密码修改最小期限:14天
密码超期时间:90天
密码长度:最小6位
具体为:
1) 设置密码不能在14天内再次修改,此项设置使用户不能立即修改回上一密码
Time Between Password Changes (days): 14
2) 设置密码在90天内必须修改
Password Expiration Time (days): 90
3) 设置在密码使用80天时,开始提醒用户修改密码
Password Expiration Warning Time (days): 80
4) 设置密码生存期限为120天,期限过后密码从系统中消除,帐户禁用.
5) 用户密码设置必须具备一定的复杂度,6位以上,不能同时为字母、数字或字符,不能使用上次密码。
6) 用户密码尝试3次错误将被封存
3、操作系统用户
超级管理员:root
数据库用户:sybase
日常维护用户: sayang,使用sam。这个用户具有普通用户权限。
4、超时设置:三分钟不活动用户自动登出:
HP /etc/profile 增加 TMOUT=180;export TMOUT
5、服务管理:
注释掉 /etc/inetd.conf 中不用的服务:
tftp,rlogin,remsh,rexec,ntalk,ident,rlpdaemon, rlogin -K,remsh -K
使用以下命令检查grep –v “^#” /etc/inetd.conf
6、锁定不需要的用户:
默认情况下已锁定
passwd –s –a | grep LK >> /tmp/check/log
7、明确系统管理员及普通维护人员角色及权限,每年初及发生变动后领导确认
8、修改关键参数、执行关键操作的申请和审批记录
修改痕迹在《主机设备信息表》中的“操作系统或软件升级/修改记录”中。
9、默认取消主机信任关系:
cat /.rhosts >>/tmp/check/log
cat /etc/hosts.equiv >>/tmp/check/log
被信任的主机会以 hostname username形式出现,“++”代表信任所有主机
10、审计HP系统:
在shell下输入:/usr/sbin/sam进入SAM管理界面;
选择"Auditing and Security."-> "Audited Events."
11、Umask值设置:
对于root:修改/.profile,增加一行: umask 027;export umask
对于已存在用户:修改$HOME/.profile,增加一行: umask 022;export umask
对于将来新建用户:修改/etc/skel/.profile, 增加一行: umask 022;export umask
027: u=rwx,g=rx
022: u=rwx,g=rx,o=rx
12、检查计划:
1) 每月检查关键参数设置,检查结果请部门主观审核
2) 每月记录并报告安全事件(安全违反记录、非法访问记录)等,检查结果请部门主观审核
3) 每季度联系设备厂家,咨询系统可能存在的漏洞及相应的补丁情况,如有发现,及时进行相关补救措施。
13、限制root用户的登录:
#vi /etc/securetty
console
sayang ver1.0 |
|
免费注册
发表于 2006-04-30 02:03
