"HP-UX系统基准安全配置标准"
在HP-UX系统中,基准安全配置标准是为了确保系统安全稳定运行而设立的一套规定和指南。这些标准主要关注以下几个方面:
1. **优化网络服务**
- **禁用不必要的系统服务**:通过编辑`/etc/inetd.conf`文件,关闭所有非必要的网络服务,例如Echo、discard、daytime等,以减少潜在的安全威胁。
- **卸载或禁用网络服务**:不推荐的服务如NIS/NIS+、NFS、GUIlogin(X-Windows)、SNMP应卸载或禁用,除非它们是业务所必需的。对于必要的服务,应保持最新版本以获得安全补丁。
2. **核心参数调整**
- **堆栈保护**:调整系统内核参数以启用堆栈保护功能,增强系统抵御缓冲区溢出攻击的能力。
- **网络参数调整**:优化网络相关参数以提高安全性,例如调整TCP/IP堆栈的大小和超时设置,防止DoS攻击。
3. **文件和目录权限**
- **修改passwd和group文件权限**:对包含用户账户信息的`/etc/passwd`和`/etc/group`文件进行权限控制,确保只有管理员可以读写。
4. **系统访问,认证与授权**
- **限制at/cron使用**:只允许root用户使用`at`和`cron`服务,避免非授权的计划任务执行。
5. **日志审计**
- **启用inetd日志**:开启inetd服务的日志记录,以便跟踪和分析网络活动,发现异常行为。
6. **用户账号和环境**
- **设定密码策略**:实施严格的密码策略,如最小长度、复杂度要求和定期更换密码,提升账户安全性。
- **禁止空口令和弱口令**:确保所有用户账号都具有强密码,不允许存在空口令或已知弱口令。
- **检查UID为0的账号**:确保除root外无其他UID为0的账号,防止特权滥用。
- **清理敏感文件**:删除`.netrc`、`.rhosts`和`.shosts`文件,防止自动登录和权限滥用。
这些标准的制定和维护由TMT中国业务中心负责,每年至少进行一次审视并根据结果修订。标准自发布之日起生效,解释权归该中心所有。为了确保系统安全,所有HP-UX系统服务器都应该遵循这些配置标准,并及时更新安全补丁和软件版本。例如,对于DNS服务,可以通过BIND的官方网站获取最新版本和安全更新。