24SGISLOP-SA35-10 HPUX等级保护测评作业指导书(三级).doc

1、信息安全等级保护测评作业指导书HP-UX 主机（三级）版 号： 第 2 版修 改 次 数： 第 0 次生 效 日 期： 2010 年 01 月 06 日中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA35-10控制编号：SGISL/OP-SA35-10中国电力科学研究院信息安全实验室第 1 页 共 15 页第 2 版 第 0 次修订HPUX 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日修改页修订号 控制编号 版号/章节号 修改人 修订原因 批准人 批准日期 备注1 SGISL/OP-SA35-10 郝增帅 按公安部要求修订 詹雄 2010.3.8控制

2、编号：SGISL/OP-SA35-10中国电力科学研究院信息安全实验室第 2 页 共 15 页第 2 版 第 0 次修订HPUX 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日一、身份鉴别1. 用户身份标识和鉴别测评项编号 ADT-OS-HPUX-01 对应要求 应对登录操作系统的用户进行身份标识和鉴别。测评项名称 用户身份标识和鉴别测评分项 1：检查并记录 R 族文件的配置，记录主机信任关系#find / -name .rhosts 对每个.rhosts 文件进行检#find / -name .netrc 对.netrc 文件进行检#more /etc/hosts.

3、equiv适用版本 任何版本操作步骤实施风险 无符合性判定如果不存在信任关系或存在细粒度控制的信任关系，判定结果为符合；如果存在与任意主机任意用户的信任关系，判定结果为不符合。测评分项 2：查看系统是否存在空口令用户# more /etc/passwd 或/etc/shadow 检查空口令帐号，适用版本 任何版本操作步骤实施风险 无符合性判定/etc/passwd 中所有密码位不为空，判定结果为符合；/etc/passwd 中所存在密码位为空，判定结果为不符合。备注2. 账号口令强度测评项编号 ADT-OS-HPUX-02 对应要求 操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂

4、度要求并定期更换测评项名称 账号口令强度控制编号：SGISL/OP-SA35-10中国电力科学研究院信息安全实验室第 3 页 共 15 页第 2 版 第 0 次修订HPUX 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日测评分项 1： 检查系统帐号密码策略执行以下命令：cat /etc/default/security 查看以下值：MIN_PASSWORD_LENGTH适用版本 任何版本操作步骤实施风险 无符合性判定MIN_PASSWORD_LENGTH 配置大于等于 8,判定结果为符合；MIN_PASSWORD_LENGTH 配置小于 8,判定结果为不符合；测评分项

5、 2：检查系统中是否存在空口令或者是弱口令1. 利用扫描工具进行查看2. 询问管理员系统中是否存在弱口令3. 手工尝试密码是否与用户名相同适用版本 任何版本操作步骤实施风险 扫描可能会造成账号被锁定符合性判定系统中不存在弱口令账户，判定结果为符合；系统中存在弱口令账户，判定结果为不符合；备注3. 登录失败处理策略测评项编号 ADT-OS-HPUX-03 对应要求 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施测评项名称 登录失败处理策略测评分项 1： 检查系统帐号登录失败处理策略执行以下命令#more /tcb/files/auth/system/default检查

6、u_maxtries 、t_maxtries、 t_logdelay 值操作步骤适用版本 任何版本控制编号：SGISL/OP-SA35-10中国电力科学研究院信息安全实验室第 4 页 共 15 页第 2 版 第 0 次修订HPUX 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日实施风险 无符合性判定 系统配置了合理的帐号锁定阀值及失败登录间隔时间，判定结果为符合；系统未配置登录失败处理策略，判定结果为不符合；测评分项 2：如果启用了 SSH 远程登录，则检查 SSH 远程用户登录失败处理策略执行以下命令cat /opt/ssh/etc/sshd_config查看 Ma

7、xAuthTries 等参数。LoginGraceTime 1m 帐号锁定时间（建议为 30 分钟）PermitRootLogin no#StrictModes yesMaxAuthTries 3 帐号锁定阀值（建议 5 次）适用版本 任何版本操作步骤实施风险 无符合性判定系统配置了合理的登录失败处理策略，帐号锁定阀值及帐号锁定时间，判定结果为符合；系统未配置登录失败处理策略，判定结果为不符合；备注4. 远程管理方式测评项编号 ADT-OS-HPUX-04 对应要求 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听测评项名称 检查系统远程管理方式测评分项 1： 检查

8、系统帐号登录失败处理策略询问系统管理员，并查看开启的服务中是否包含了不安全的远程管理方式，如telnet, ftp,ssh,VNC 等。执行：#ps ef 查看开启的远程管理服务进程执行：#netstat -a 查看开启的远程管理服务端口适用版本 任何版本操作步骤实施风险 无控制编号：SGISL/OP-SA35-10中国电力科学研究院信息安全实验室第 5 页 共 15 页第 2 版 第 0 次修订HPUX 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日符合性判定系统采用了安全的远程管理方式，如ssh；且关闭了如telnet、ftp 等不安全的远程管理方式，判定结果为符

9、合；系统的开启了telnet、ftp 等不安全的远程管理方式，判定结果为不符合。5. 账户分配及用户名唯一性测评项编号 ADT-OS-HPUX-05 对应要求 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性测评项名称 账户分配及用户名唯一性测评分项 1： 检查系统账户执行以下命令：#cat /etc/passwd#cat /etc/shadow#cat /etc/group查看UID 是否唯一查看系统是否分别建立了系统专用管理帐号，以及帐号的属组情况。适用版本 任何版本操作步骤实施风险 无符合性判定系统管理使用不同的帐户，且系统中不存在重名帐号，UID唯一，判定结果为

10、符合；系统管理使用相同的帐户，系统帐号存在重名情况，UID不唯一，判定结果为不符合。6. 双因子身份鉴别测评项编号 ADT-OS-HPUX-05 对应要求 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别测评项名称 双因子身份鉴别测评分项 1： 检查系统双因子身份鉴别询问系统管理员，系统是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。如：帐户/口令鉴别，生物鉴别、认证服务器鉴别。适用版本 任何版本操作步骤实施风险 无符合性判定 系统采用双因子身份鉴别，判定结果为符合；系统未采用双因子身份鉴别，判定结果为不符合。控制编号：SGISL/OP-SA35-10中国电力科学研究院信息

11、安全实验室第 6 页 共 15 页第 2 版 第 0 次修订HPUX 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日二、访问控制1. 检查文件访问控制策略测评项编号 ADT-OS-HPUX-06 对应要求 应启用访问控制功能，依据安全策略控制用户对资源的访问测评项名称 检查访问控制策略测评分项 1：检查重要配置文件或重要文件目录的访问控制查看系统命令文件和配置文件的访问许可有无被更改例如： #ls -al /etc/shadow /etc/passwd /etc/group /etc/default/security /etc/inetd.conf /var/spoo

12、l/cron/crontabs/* /etc/securetty /sbin/rc*.d/ /etc/login.defs /etc/*.conf 适用版本 任何版本操作步骤实施风险 无符合性判定系统内的配置文件目录 中，所有文件和子目录对组用户和其他用户不提供写权限，判定结果为符合；组用户和其他用户对配置文件目录/etc 中所有（部分）文件和子目录具有写权限，判定结果为不符合。测评分项 2：检查文件初始权限执行以下命令：#umask查看输出文件属主、同组用户、其他用户对于文件的操作权限适用版本 任何版本操作步骤实施风险 无符合性判定umask 值设置合理，为077 或027，判定结果为符合；

13、umask 值为000、002、022等判定结果为不符合。测评分项 3：检查 root 帐号是否允许远程登录查看ssh 服务配置文件是否设置登录失败处理策略，执行以下命令：cat /opt/ssh/etc/ssh_config查看PermitRootLogin 参数cat /etc/securetty 适用版本 任何版本操作步骤实施风险 无符合性判定PermitRootLogin 值为no，/etc/securetty 只包含console或 /dev/null, root 帐号不可以远程登录，判定结果为符合；PermitRootLogin 所属行被注释或值为yes，/etc/securett

14、y 不只包含console或控制编号：SGISL/OP-SA35-10中国电力科学研究院信息安全实验室第 7 页 共 15 页第 2 版 第 0 次修订HPUX 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日/dev/null，root 帐号可以远程登录，判定结果为不符合。2. 数据库系统特权用户权限分离测评项编号 ADT-OS-HPUX-07 对应要求 应实现操作系统和数据库系统特权用户的权限分离测评项名称 特权用户权限分离测评分项 1：检查系统帐户权限设置询问管理员系统定义了哪些角色，是否分配给操作系统和数据库系统特权用户不同的角色适用版本 任何版本操作步骤实施风

15、险 无符合性判定系统为操作系统和数据库系统特权用户的设置了不同的角色，实现了权限分离，判定结果为符合；系统没有为操作系统和数据库系统特权用户分配角色，判定结果为不符合。3. 特权用户权限分离测评项编号 ADT-OS-HPUX-07 对应要求应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；测评项名称 特权用户权限分离测评分项 1：检查系统特权帐户权限设置#sam 进入SAM ，判断系统是否处于Truested模式询问管理员系统定义了哪些管理用户角色，是否仅授予管理用户所需的最小权限适用版本 任何版本操作步骤实施风险 sam 进入 SAM ，判断系统是否处于 T

16、ruested 模式，可能由于系统显示乱码，使操作员产生误操作将系统模式转变符合性判定系统实现管理用户的权限分离，判定结果为符合；系统没有实现管理用户的权限分离，判定结果为不符合。4. 默认账户访问权限控制编号：SGISL/OP-SA35-10中国电力科学研究院信息安全实验室第 8 页 共 15 页第 2 版 第 0 次修订HPUX 等级保护测评作业指导书（三级）发布日期：2010 年 01 月 06 日测评项编号 ADT-OS-HPUX-07 对应要求 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令测评项名称 默认账户访问权限测评分项 1：检查系统帐户权限设置执行：#

17、cat /etc/passwd或者/etc/shadow查看不需要的账号games, news, gopher, ftp 、lp 是否被删除查看不需要的特权账号halt, shutdown, reboot 、who是否被删除适用版本 任何版本操作步骤实施风险 无符合性判定系统删除无用默认账户，判定结果为符合；系统没有删除无用默认账户，判定结果为不符合。5. 多余及过期账户测评项编号 ADT-OS-HPUX-08 对应要求 应及时删除多余的、过期的帐户，避免共享帐户的存在测评项名称 多余及过期账户测评分项 1：检查系统多余及过期账户访谈系统管理员，是否存在无用的多余帐号。同时执行以下命令：cat /etc/passwd或 cat /etc/passwd适用版本 任何版本操作步骤实施风险 无符合性判定系统中不存在多余自建帐户，判定结果为符合；没有删除多余自建账户，判定结果为不符合。6. 基于标记的访问控制测评项编号 ADT-OS-HPUX-08 对应要求 应对重要信息资源设置敏感标记测评项名称 资源敏感标记设置检查测评分项1：检查系统对重要信息资源是否设置了敏感标记操作步骤 询问管理员系统是否对重要信息资源（重要文件、文件夹、重要服务器）设置了敏感标记。并查看标记的设置规则。