世界500强企业的主机系统安全配置标准-UNIX.docx

某世界500强公司的主机系统安全配备原则－UNIX
出处：中国安全网  作者：佚名  时间：-01-23  网址：
中国××公司
03 月30 日
文档控制
拟 制:
审 核:
原则化:
读 者：
的文献或拥有全局读写权限的文献。
Root的cron jobs中不能使用到非root帐户拥有的文献或拥有全局读写权限的文献。
对于root所运营的命令必须使用全途径. (例如. /bin/su)，或对于root的$PATH环境变量中不能具有相对目前目录(.), 相对子目录(./)和相对父目录(..)定义；
root 帐号不容许进行远程登录操作，远程需要root的访问需求，必须规定使用一般个人顾客帐号进行登录后通过SU命令切换到root帐号。
REDHAT: 可以通过在/etc/securetty配备文献实现root的登录控制，/etc/securetty文献中涉及了所有的可供root登录的TTY端口，这个配备文献在默认的状态下只涉及了物理终端console TTY
必须有相应的日记记录来跟踪成功或失败的su尝试。这个功能可以通过使用pam_wheel模块来实现。在/etc/ required /lib/security/ debug group=sinoadmin配备信息来保证只有在sinoadmin系统组的成员帐号才可以使用/bin/su命令切换到root。要添加一种顾客到这个系统组，可以使用如下命令来实现：
#usermod -G sinoadmin userid (userid=the userid)
SOLARIS: 对于root的物理终端console登录限制可以通过在/etc/default/login配备文献中添加CONSOLE=/dev/console配备行来实现。
AIX:在/etc/security/user配备文献中的root帐号的配备段落必须存在rlogin = false的配备定义，以此来实现Root的物理终端console登录限制。
默认系统帐户安全原则
对于UID从1到99必须保存给默认系统帐号或应用系统帐号使用，一般对于这些顾客不需要登录访问，故此可以通过在/etc/shadow (REDHAT or SOLARIS) 或/etc/security/passwd (AIX) 文献有关的口令字段中设立“*”号来实现。
REDHAT: 对于安装过程会建立许多一般不需要使用的系统帐号。对于下列的系统顾客帐号可以锁定或删除（如没有有关的使用需求）。
nfsnobody
games
rpc
postgres
nscd
news
gopher
named
rpcuser
SOLARIS: 对于安装过程会建立许多一般不需要使用的系统帐号。对于下列的系统顾客帐号可以锁定或删除（如没有有关的使用需求）。
lp
uucp
nuucp
listen
smtp
对于默认的系统帐号只能是使用如下的UID：
root:0
bin:2
adm:4
noaccess:60002
daemon:1
sys:3
nobody:60001
nobody4:65534
如下的默认系统帐号已经被通过在/etc/shadow文献中的NP – No Password 或 *LK* - Locked的定义来限制其有关的登录访问权限。
daemon:NP:6445::::::
bin:NP:6445::::::
sys:NP:6445::::::
adm:NP:6445::::::
nobody:NP:6445::::::
noaccess:NP:6445::::::
nobody4:NP:6445::::::
AIX: 对于安装过程会建立许多一般不需要使用的系统帐号。对于下列的系统顾客帐号可以锁定或删除（如没有有关的使用需求）
Guest
UUCP
Nuucp
Lpd
Nobody
下列系统顾客和组必须采用如下的UID和GIDs
Userids Groupids
root:0 system:0
daemon:1 security:7
bin:2 bin:2
sys:3 sys:3
adm:4 adm:4
uucp:5 uucp:5
nuucp:6 mail:6
lpd:9 printq:9
imnadm (no assigned UID) cron:8
ipsec (no assigned UID) audit:10
ldap (no assigned UID) shutdown:21
l