1 / 18
文档名称:

世界500强企业的主机系统安全配置标准-UNIX.docx

格式:docx   大小:24KB   页数:18页
下载后只包含 1 个 DOCX 格式的文档,没有任何的图纸或源代码,查看文件列表

如果您已付费下载过本站文档,您可以点这里二次下载

分享

预览

世界500强企业的主机系统安全配置标准-UNIX.docx

上传人:读书百遍 2022/8/10 文件大小:24 KB

下载得到文件列表

世界500强企业的主机系统安全配置标准-UNIX.docx

相关文档

文档介绍

文档介绍:某世界500强公司的主机系统安全配备原则-UNIX
出处:中国安全网  作者:佚名  时间:-01-23  网址:
中国××公司
03 月30 日
文档控制
拟 制:
审 核:
原则化:
读 者:
的文献或拥有全局读写权限的文献。
Root的cron jobs中不能使用到非root帐户拥有的文献或拥有全局读写权限的文献。
对于root所运营的命令必须使用全途径. (例如. /bin/su),或对于root的$PATH环境变量中不能具有相对目前目录(.), 相对子目录(./)和相对父目录(..)定义;
root 帐号不容许进行远程登录操作,远程需要root的访问需求,必须规定使用一般个人顾客帐号进行登录后通过SU命令切换到root帐号。
REDHAT: 可以通过在/etc/securetty配备文献实现root的登录控制,/etc/securetty文献中涉及了所有的可供root登录的TTY端口,这个配备文献在默认的状态下只涉及了物理终端console TTY
必须有相应的日记记录来跟踪成功或失败的su尝试。这个功能可以通过使用pam_wheel模块来实现。在/etc/ required /lib/security/ debug group=sinoadmin配备信息来保证只有在sinoadmin系统组的成员帐号才可以使用/bin/su命令切换到root。要添加一种顾客到这个系统组,可以使用如下命令来实现:
#usermod -G sinoadmin userid (userid=the userid)
SOLARIS: 对于root的物理终端console登录限制可以通过在/etc/default/login配备文献中添加CONSOLE=/dev/console配备行来实现。
AIX:在/etc/security/user配备文献中的root帐号的配备段落必须存在rlogin = false的配备定义,以此来实现Root的物理终端console登录限制。
默认系统帐户安全原则
对于UID从1到99必须保存给默认系统帐号或应用系统帐号使用,一般对于这些顾客不需要登录访问,故此可以通过在/etc/shadow (REDHAT or SOLARIS) 或/etc/security/passwd (AIX) 文献有关的口令字段中设立“*”号来实现。
REDHAT: 对于安装过程会建立许多一般不需要使用的系统帐号。对于下列的系统顾客帐号可以锁定或删除(如没有有关的使用需求)。
nfsnobody
games
rpc
postgres
nscd
news
gopher
named
rpcuser
SOLARIS: 对于安装过程会建立许多一般不需要使用的系统帐号。对于下列的系统顾客帐号可以锁定或删除(如没有有关的使用需求)。
lp
uucp
nuucp
listen
smtp
对于默认的系统帐号只能是使用如下的UID:
root:0
bin:2
adm:4
noaccess:60002
daemon:1
sys:3
nobody:60001
nobody4:65534
如下的默认系统帐号已经被通过在/etc/shadow文献中的NP – No Password 或 *LK* - Locked的定义来限制其有关的登录访问权限。
daemon:NP:6445::::::
bin:NP:6445::::::
sys:NP:6445::::::
adm:NP:6445::::::
nobody:NP:6445::::::
noaccess:NP:6445::::::
nobody4:NP:6445::::::
AIX: 对于安装过程会建立许多一般不需要使用的系统帐号。对于下列的系统顾客帐号可以锁定或删除(如没有有关的使用需求)
Guest
UUCP
Nuucp
Lpd
Nobody
下列系统顾客和组必须采用如下的UID和GIDs
Userids Groupids
root:0 system:0
daemon:1 security:7
bin:2 bin:2
sys:3 sys:3
adm:4 adm:4
uucp:5 uucp:5
nuucp:6 mail:6
lpd:9 printq:9
imnadm (no assigned UID) cron:8
ipsec (no assigned UID) audit:10
ldap (no assigned UID) shutdown:21
l