Hp-ux安全配置规范答题.doc

HP-UX 安全配置规范 2011年3月概述 适用范围 适用于中国电信使用HP-UX操作系统的设备。本规范明确了安全配置的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同，配置操作有所不同，本规范以HP-UX11v2\11v3为例，给出参考配置操作。 安全配置要求 账号 编号： 1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。 2、补充操作说明 检测方法1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明  编号： 2 要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文件，用户名后加NP 2)将/etc/passwd文件中的shell域设置成/bin/noshell 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：lp,nuucp,hpdb,www,demon。 注：无关的账号主要指测试帐户、共享帐号、长期不用账号（半年以上未用）等检测方法1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：lp,nuucp,hpdb,www,demon。  编号： 3 要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作 创建帐户组： #groupadd –g GID groupname #创建一个组，并为???设置GID号，若不设GID，系统会自动为该组分配一个GID号； #usermod –g group username #将用户username分配到group组中。 查询被分配到的组的GID：#id username 可以根据实际需求使用如上命令进行设置。 2、补充操作说明 可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。 当group_name字段长度大于八个字符，groupadd命令会执行失败； 当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；检测方法1、判定条件 可以查看到用户账号分配到相应的帐户组中； 或都通过命令检查账号是否属于应有的组： #id username 2、检测操作 查看组文件：cat /etc/group 3、补充说明 文件中的格式说明： group_name::GID:user_list  口令 编号： 1 要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1参考配置操作 ch_rc –a -p MIN_PASSWORD_LENGTH=8 /etc/default/security ch_rc –a -p PASSWORD_HISTORY_DEPTH=10 \ /etc/default/security ch_rc –a –p PASSWORD_MIN_UPPER_CASE_CHARS=1 \ /etc/default/security ch_rc –a –p PASSWORD_MIN_DIGIT_CHARS=1 \ /etc/default/security ch_rc –a –p PASSWORD_MIN_SPECIAL_CHARS=1 \ /etc/default/security ch_r