UNIX平台主机访问安全控制方案.doc

UNIX主机访问安全控制方案 目录 1 文档介绍 4 1.1 摘要 4 2 需求概述 5 3 实施方案 6 3.1 限制用户方法 6 3.1.1 HP的实现方法 6 3.1.2 IBM的实现方法 7 3.1.3 Linux的实现方法 8 3.2 对主机的控制访问 9 3.2.1 HP的实现方法 9 3.2.2 IBM的实现方法 9 3.2.3 Linux的实现方法 11 3.3 设置密码规范 11 3.3.1 HP的实现方法 11 3.3.2 IBM的实现方法 13 3.3.3 Linux的实现方法 15 3.4 锁定系统默认账号 15 3.4.1 HP的实现方法 15 3.4.2 IBM的实现方法 15 3.4.3 Linux的实现方法 16 3.5 超时设置 16 3.5.1 HP的实现方法 16 3.5.2 IBM的实现方法 16 3.5.3 Linux的实现方法 16 3.6 Umask 16 3.6.1 HP的实现方法 17 3.6.2 IBM的实现方法 17 3.6.3 Linux的实现方法 17 3.7 不用服务端口关闭及检测方法 17 3.7.1 HP的实现方法 17 3.7.2 IBM的实现方法 19 3.7.3 Linux的实现方法 19 3.8 关闭图形登陆服务 19 3.8.1 HP的实现方法 19 3.8.2 IBM的实现方法 19 3.8.3 Linux的实现方法 19 3.9 启用SSH代替不安全的telnet远程访问方式 19 3.9.1 HP的实现方法 19 3.9.2 IBM的实现方法 20 3.9.3 Linux的实现方法 21 3.10 设置信任模式及影响 21 3.10.1 HP的实现方法 21 3.10.2 IBM的实现方法 22 3.10.3 Linux的实现方法 22 3.11 一些特殊的密码管理方法 22 3.11.1 HP的实现方法 22 3.11.2 IBM的实现方法 22 3.11.3 Linux的实现方法 23 附件：HP平台信任模式概述 24 （一）关于trust system 24 （二）如何判断系统是否是trust system： 24 1 文档介绍 1.1 摘要 本文档详细描述了IBM和HP小型机及Linux服务器实现访问控制的详细步骤和方案，在此将三家公司对同一需求的实现方法放在同一处，这样便于比较这三者的异同，可能对于学习研究几种不同的UNIX系统较有裨益。 HP的实施方法，在没有特别说明的情况下，均可在非信任模式下实现；提及Linux均指SuSE Linux。 27 2 需求概述 要求对承载关键业务系统的小型机访问控制如下： q 远程用户不能通过root用户直接访问主机，只能在console平台下使用root用户，限制只有某个普通用户，比如sm01,可以通过su的方法登陆root用户； q 限制或允许只有某些固定的IP地址可以访问某台小型机； q 设置密码规范，格式如下： - 密码格式：由数字、字母和符号组成 - 无效登录次数：6次无效登录 - 历史密码记忆个数：8-12个 - 密码修改期限：90天 - 密码长度：最小6位 q 锁定系统默认账号 - 对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定 q 超时设置 - 2分钟超时设置 q Umask - 超级用户　027 - 一般用户　022 q 不用服务端口关闭 - 在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，包括FTP, www, telnet, rsh 和 rexec q 关闭图形登陆服务 - dtlogin关闭 q 启用SSH代替不安全的telnet远程访问方式 - 安装所需软件包，配置并启用SSH 3 实施方案 3.1 限制用户方法 - UNIX系统中，计算机安全系统建立在身份验证机制上。如果用户帐号口令失密，系统将会受到侵害，尤其在网络环境中，后果更不堪设想。因此限制用户 root 和其他用户远程登录，对保证计算机系统的安全，具有实际意义。 3.1.1 HP的实现方法 一．限制root用户通过telnet登录： echo "console" >/etc/securetty 二．限制root用户通过ssh登录： 编辑/opt/ssh/etc/sshd_config： PermitRootLogin no 重启sshd: /sbin/init.d/secsh stop /sbin/init.d/secsh start 需要注意的是，设置后，root将不能远程使用telnet/ssh登录，因此在设置之前应进行良好的规划。 ü 对现有系统的影响：对于系统及应用软件的运行没有任何影响，但root用户不能通过远程方式登录，只能通过终端在本地登录。 三．限制普通用户通过telnet登陆主机 1. 创建/etc/NOTLOGIN文件，在文件中加入要限制的用户名，每一行一个用户名。 2．在/etc/profile中加入： NAME1=`grep $LOGNAME /etc/NOTLOGIN` NAME2=`logname` if [ “$NAME1” = “$NAME2” ] then echo “You are not allowed to login in!!!” exit fi 需要说明的是，这种方法对Xmanage等Xwindow图形登陆软件无效。 ü 对现有系统的影响：对于系统及应用软件的运行没有任何影响，但所有用户不能通过远程方式登录，只能通过终端在本地登录或使用SSH软件进行远程登录。 四．限制只有sm01用户可su到root root 执行以下脚本： groupadd –g 600 suroot useradd –u 600 –g suroot –G suroot –d /home/sm01 -s /usr/bin/sh sm01 passwd sm01 echo “SU_ROOT_GROUP=suroot”>/etc/default/security echo “console”>/etc//securetty ü 对现有系统的影响：对于系统及应用软件的运行没有任何影响。 三．限制某个用户通过ftp登录主机： 编辑/etc/ftpd/ftpusers文件，在新行中输入该用户的名称即可；在HP_UX 11.x之前，该文件名称为/etc/ftpusers。 ü 对现有系统的影响：对于系统及应用软件的运行没有任何影响。最好的方法是在/etc/inetd.conf中将该服务屏蔽。远程文件传输可通过SSH替代。 3.1.2 IBM的实现方法 一．限制root用户通过telnet/rlogin登录： chuser rlogin=false root 同样的方法可限制普通用户 二．限制只有sm01用户可su到root： 1． 指定sm01用户属于临时创建的admin用户组。 chuser groups=admin sm01 2. 指定能su到root的用户组，由于admin组只有一个名为sm01的用户，则仅有sm01能su到root。 chuser subgroups=admin root 3. 以上可用脚本实现： mkgroup id=600 admin mkuser id=600 groups=admin home=/home/sm01 shell=/usr/bin/ksh sm01 passwd sm01 chuser sugroups=admin root 三．限制某个用户通过ftp登录主机： 编辑/etc/ftpusers文件，在新行中输入该用户的名称即可。 3.1.3 Linux的实现方法 一．限制root用户通过telnet登录： 默认suse linux是不允许root用户远程telnet的 二．限制root用户通过ssh登录： 编辑/etc/ssh/sshd_config： PermitRootLogin no 重启sshd: /etc/init.d#./sshd reload 需要注意的是，设置后，root将不能远程使用telnet/ssh登录，因此在设置之前应进行良好的规划。 三．限制普通用户通过ssh登陆主机 修改/etc/ssh/sshd_config，配置AllowGroup或者AllowUsers，位于这个选项里面的组或用户才可以ssh 重启 sshd 服务 在/etc/init.d下执行 ./sshd reload 需要说明的是，这种方法对Xmanage等Xwindow图形登陆软件无效。 四．限制只有sm01用户可su到root,sm01 用户属于wheel组 编辑/etc/pam.d/su 文件 加入如下几行： auth required /lib/security/pam_wheel.so use_uid 所有属于wheel组的用户可以su 到root用户。 三．限制某个用户通过ftp登录主机： 编辑/etc/ftpusers文件，在新行中输入该用户的名称即可。 3.2 对主机的控制访问 对于某关键业务系统主机，只允许或限制某几个IP地址访问该系统主机 3.2.1 HP的实现方法 允许telnet，rlogin等服务访问某个主机，修改/var/adm/inetd.sec 文件，在该文件中的每一行包含一个服务名称，权限域（容许或者拒绝），Internet地址或者主机的名称或网络名称。 该文件中的每项格式如下： <service name> <allow/deny> <host/network addresses, host/network names> 例如： telnet allow 10.3-5 192.34.56.5 ahost anetwork 上面的该语句表示 容许下面的主机使用telnet访问系统： q 网络10.3到10.5的主机 q IP地址为192.34.56.5的主机 q 名称为"ahost"的主机 q 网络"anetwork"中的所有主机 mountd deny 192.23.4.3 该语句表示主机IP地址为192.23.4.3 不能存取NFS rpc.mountd 服务器。 需要注意的是网络名称和主机名称必须是官方名称，不能是别名(Aliases)。 如果对同一个服务，有多条规则，则只有最后一条生效。 配置文件inetd.sec可以直接复制，同步其他机器。 ü 对现有系统的影响：对于系统及应用软件的运行没有任何影响。如果在/etc/inetd.conf中将该服务屏蔽后，则上述步骤可以忽略。 3.2.2 IBM的实现方法 只允许或限制某几个IP地址访问该系统主机，步骤为： 1． 确定安装了.ipsec.*（在AIX 4.3和5l都有，一般默认情况下已安装）*软件包 2． 启动ip security服务 smit ipsec4—>Start/Stop IP Security —> Start IP Security 回车立即启动服务。 3． 进入配置菜单 smit ipsec4 —> Advanced IP Security Configuration —>Configure IP Security Filter Rules —>Add an IP Security Filter Rule 回车后显示： Add an IP Security Filter Rule Type or select values in entry fields. Press Enter AFTER making all desired changes. [TOP] [Entry Fields] * Rule Action [permit] + * IP Source Address [10.0.0.6] * IP Source Mask [255.255.255.255] IP Destination Address [] IP Destination Mask [] * Interface [all] 4. 以上例子为加入一条允许10.0.0.6访问本机的规则。也可在Rule Action中输入deny,设为限制访问，如想限制10.0.0网段的所有机器访问本机，可分别在IP Source Address和IP Source Mask输入10.0.0.*和255.255.255.0 配置可以导出到文件，导入到其他机器实现同步，方法如下： 1) 通过完成以下步骤使用 SMIT 将过滤规则文件导出到 /tmp 目录中： a) 运行 smitty ipsec4 命令。 b) 选择 Advanced IP Security Configuration—>Configure IP Security Filter Rules—>Export IP Security filter rules。 c) 输入 /tmp 作为目录名。 d) 在 Filter Rules 选项之下按 F4 并从列表选择 all。 e) 按 Enter 键以将过滤规则保存在外部介质上的 /tmp/ipsec_fltr_rule.exp 文件中。 2) 通过完成以下步骤使用 SMIT 将过滤规则文件从 /tmp 目录中导入： a) 运行 smitty ipsec4 命令。 b) 选择 Advanced IP Security Configuration—>Configure IP Security Filter Rules—>Import IP Security filter rules。 c) 输入 /tmp 作为目录名。 d) 在 Filter Rules 选项下按 F4 并从列表中选择 all。 e) 按 Enter 键重新创建过滤规则。 3.2.3 Linux的实现方法 /etc/hosts.allow控制可以访问本机的IP地址，/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突，以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例： ALL:127.0.0.1 #允许本机访问本机所有服务进程 smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务 3.3 设置密码规范 q 密码规范要求： - 密码格式：由数字、字母和符号组成 - 无效登录次数：6次无效登录 - 历史密码记忆个数：8-12个 - 密码修改期限：90天 - 密码长度：最小8位 3.3.1 HP的实现方法 需要注意的是对于密码规范的设置，部分需要在信任模式下进行，关于如何将OS转换为信任模式，参见3.8节。转换为信任模式不需要重新启动系统，如果客户有应用直接从/etc/passwd文件读取OS的用户口令，则可能会对该应用有影响，不能正常获取口令。 一．转换成信任模式，更改全局性的用户密码属性。 启动sam： "Auditing and Security" -> "System Security Policies" 选择各项进行相应的安全设置：（以下都是默认设置） - "Password Format Policies" - Password Selection Options:（根据需要选择） [ ]System Generates Pronounceable [ ]System Generates Character [ ]System Generates Letters Only [ ]User Specifies User-Specified Password Attributes:（根据需要选择） [ ]Use Restriction Rules [ ]Allow Null Passwords Maximum Password Length: 8 （根据需要设定） - "Password Aging Policies"（根据需要选择Disabled or Enabled） - Password Aging: [ Disabled ->] - Password Aging: [ Enabled ->]（根据需要设定） Time Between Password Changes (days): 20 Password Expiration Time (days): 100 Password Expiration Warning Time (days): 20 Password Life Time (days): 150 [ ] Expire All User Passwords Immediately - "General User Account Policies" （可设置无效登陆次数，root用户最好和其他用户分开设置） - Lock Inactive Accounts: （根据需要选择） - < > Enabled - <*> Disabled - Unsuccessful Login Tries Allowed: 3 （根据需要设定） - [ ] Require Login Upon Boot to Single-User State - "Terminal Security Policies"（根据需要设定） - Unsuccessful Login Tries Allowed: 10 - Delay Between Login Tries (sec.): 2 - Login Timeout Value (sec.): 0 或者，通过命令行 /usr/lbin/modprpw - 也可以完成类似的工作，以上须在信任模式下进行 ü 对现有系统的影响：对于系统而言输入口令次数大于设置的无效登陆次数时,该用户会被锁定,对于应用软件的运行没有任何影响。 二．编辑/etc/default/security文件，可以设置密码长度（HP UNIX默认即为6位），如果该文件不存在，请使用Vi创建该文件，该文件对所有用户生效，并且系统无须转换为信任模式。 MIN_PASSWORD_LENGTH=8 － 密码最小位数 PASSWORD_HISTORY_DEPTH=8 － 历史密码记忆个数 PASSWORD_MAXDAYS=90 － 密码修改期限 PASSWORD_MIN_LOWER_CASE_CHARS=2 － 密码中必须有两个小写字母 PASSWORD_MIN_SPECIAL_CHARS=1 － 密码中必须有一个特殊字符 PASSWORD_MIN_DIGIT_CHARS=1 －密码中必须有一个字符 ü 对现有系统的影响：对于从/etc/passwd文件获取口令的应用有影响。 三．转换成信任模式后，更改单个用户的密码属性。 sam: “Accounts for users and groups” -> ”Users” 选择用户名后 选择Actions Modify Security Policies 可修改诸如“提示密码即将到期天数”，“密码的期限”等属性，但不能修改“密码包括的最小字母数”等属性。 ü 对现有系统的影响：对于系统及应用软件的运行没有任何影响。 3.3.2 IBM的实现方法 可用命令实现，如下： chuser histexpire=26 histsize=20 minlen=6 maxage=12 maxexpired =2 maxrepeats =2 minalpha=2 minother=2 minlen=8 pwdwarntime=10 mindiff=4 loginretries=6 username 与 /etc/security/user 文件中用户密码相关的一些安全属性的推荐值 表 1. 用户密码的推荐安全属性值。 属性 描述 规范值 建议值 缺省值 最大值 dictionlist 验证密码是否不包含标准 UNIX® 单词。 /usr/share/dict/words /usr/share/dict/words 无 无 histexpire 密码可重新使用前的星期数。在6个月（26周）内不允许重新使用以前使用过的密码，密码个数由histsize指定 26 26 0 260* histsize 可允许的密码重复次数，即历史密码记忆个数 20 20 0 50 maxage 必须更改密码前的最大星期数。密码修改期限(12周) 12 8 0 52 maxexpired 超过 maxage 后可由用户更改到期密码的最大星期数。（Root 用户例外。） 2 2 -1 52 maxrepeats 在密码中可重复字符的最大数目。 2 2 8 8 minage 密码可被更改前的最小星期数。不应设置此条目为非零值，除非总是能很容易联系到管理员来对一个最近更改过的、意外泄密的密码进行重新设置。 0 0 0 52 minalpha 密码必须包含字母字符的最小数目。（无论大小写） 2 2 0 8 mindiff 密码必须包含唯一字符的最小数目。与上一次使用的密码最少有4个字符不一样 4 4 0 8 minlen 密码长度的最小值。 8 6（对 root 用户是 8） 0 8 minother 密码必须包含非字母字符的最小数目。 2 2 0 8 pwdwarntime 系统发出要求更改密码警告前的天数。密码到期前10天, 用户登陆时提示密码即将到期 10 5 无 无 *pwdchecks 指定一个检查密码质量的定制代码（也称作密码限制方法），在更改密码过程中加以调用，从而可用来增强 passwd 命令。 无 无 无 无 loginretries 最后一次成功登陆后，如果失败的登陆企图超过6次，该用户帐号将被锁定 6 6 *：pwdchecks所指定密码限制方法必须符合特定子例程(subroutine)接口，具体参见扩展密码限制中的内容： 3.3.3 Linux的实现方法 设置密码格式：数字、字母、符号组成；历史密码记忆个数8-12个 通过yast2--security and users -->security setting设置 设置用户的统一过期时间 /etc/login.defs 里面的 PASS_MAX_DAYS 时间 比如：所有用户的密码过期时间是90天 PASS_MAX_DAYS 90 设置无效登陆次数 /etc/login.defs 修改LOGIN_RETRIES 6 登录密码最小长度6位 PASS_MIN_LEN 6 3.4 锁定系统默认账号 q 需求： 对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定 3.4.1 HP的实现方法 在信任模式下，启动sam，对相应需要锁定的账号进行锁定。 在普通模式下，也可以使用下面的命令锁定账号： #passwd –l username 3.4.2 IBM的实现方法 对于普通用户: chuser account_locked=true username 对于bin,sys等系统默认帐号，在/etc/passwd文件中显示： bin:!:2:2::/bin: 在/etc/security/passwd中显示： bin: password = * *号表示该帐号密码设置不当，虽然其属性account_locked=false,但实际该用户帐号不能登陆，系统默认帐号无需通过chuser命令锁定。 3.4.3 Linux的实现方法 在普通模式下，也可以使用下面的命令锁定账号： #passwd –l username (username 此用户不可以直接登录系统，但可以通过root su 到此用户) 3.5 超时设置 q 需求 - 2分钟超时设置 3.5.1 HP的实现方法 编辑/etc/profile文件： readonly TMOUT=120; export TMOUT readonly控制TMOUT不能被用户任意修改。 ü 对现有系统的影响：对于系统及应用软件的运行没有任何影响，如果超过120S没有操作的话，请重新登录。 3.5.2 IBM的实现方法 与HP的实现方法相同，在/etc/profile中设置。如某用户想单独设定自己的超时参数，可在用户的.profile中输入相同语句。 3.5.3 Linux的实现方法 编辑/etc/profile文件： readonly TMOUT=60; export TMOUT （设置后窗口在60秒后自动关闭） 3.6 Umask q 需求 - 超级用户　027 - 一般用户　022 3.6.1 HP的实现方法 对于一般用户，在/etc/profile文件中： umask 022 对于超级用户，在root的.profile文件中： umask 027 ü 对现有系统的影响： 更改后，新创建的文件的默认权限是 －rw-r-----，即文件属主拥有读写权限，用户组拥有读权限，而其它用户没有任何权限（相较022，其它用户被消除了读权限）； 新创建的目录的默认权限是 drwxr-x---，即文件属主拥有全部权限，用户组可以进入（cd）该目录并拥有读权限，而其它用户没有任何权限（相较022，其它用户无法进入该目录并列取文件列表信息） 3.6.2 IBM的实现方法 系统默认umask为022，可通过和HP相同的方法实现 ü 对现有系统的影响：同HP。 3.6.3 Linux的实现方法 对于一般用户，在/etc/profile文件中： umask 022 对于超级用户，在root的.profile文件中： umask 027 3.7 不用服务端口关闭及检测方法 q 需求 - 在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，如FTP, www, telnet, rsh or rexec 3.7.1 HP的实现方法 编辑/etc/inetd.conf文件，注释不需要的服务的行，然后执行： inetd -c 通常inetd可能启动的服务有： telnet (tcp 23) ftp (tcp 21) login (tcp 513) shell (tcp 514) exec tftp ntalk printer daytime (udp & tcp) time echo (udp & tcp) discard (udp & tcp) chargen (udp & tcp) kshell klogin dtspc rpc.ttdbserver rpc.cmsd swat registrar recserv instl_boots ident (tcp 113) (cmviewcl需要该服务) hacl-probe (tcp 5303) hacl-cfg (tcp & udp 5302) bpcd (tcp 13782) vnetd (tcp 13724) vopied (tcp 13783) bpjava-msvc (tcp 13722) 其中大部分的服务可以关闭，以下的服务可能会用到： telnet/ftp 通常用来管理，建议使用ssh代替。 rlogin/remsh 通常用在双机环境中或用来管理。 对于前者，需要设置网络访问控制策略限制对于rlogin/remsh的访问； 对于后者，建议使用ssh代替； MC/SG双机使用的服务； ident (tcp 113) hacl-probe (tcp 5303) hacl-cfg (tcp & udp 5302) ü 对现有系统的影响：根据应用程序的要求而定 检测方法：可利用netstat –a观察相应的服务是否关闭。 3.7.2 IBM的实现方法 对于不使用的服务，可通过 编辑/etc/services和 /etc/inetd.conf文件，注释不需要的服务的行，然后执行 refresh –s inetd刷新配置 或通过 smitty stopserver来实现 命令行： stopsrc –t subserver_type 3.7.3 Linux的实现方法 chkconfig 服务名 on ( off ) 3.8 关闭图形登陆服务 3.8.1 HP的实现方法 1、修改/etc/rc.config.d/desktop文件，修改DESKTOP=0。 2、修改/sbin/rc3.d/S990dtlogin.rc文件，将其文件名变为s990dtlogin.rc.bak，这一步可以执行，也可以不执行。 3、为了使改动立即生效，执行/sbin/init.d/dtlogin.rc stop。 ü 对现有系统的影响：对于系统及应用软件的运行没有任何影响。 3.8.2 IBM的实现方法 将/etc/inittab中下述内容加以注释： dt:2:wait:/etc/rc.dt 停止CDE服务：stopsrc –s dtsrc 3.8.3 Linux的实现方法 暂无 3.9 启用SSH代替不安全的telnet远程访问方式 3.9.1 HP的实现方法 1. HP提供SSH软件包，SSH是rlogin、telnet、ftp、rcp等命令的安全替换 2. #swinsall –s /tmp/ SSH_HP-UX_B.11.11.depot，安装相应的软件包 3. 在客户端安装相应的SSH工具，在windows上的SSH工具有很多，且都是免费的 4. #ssh 192.168.1.1可以远程登录192.168.1.1这台服务器 5. #scp 192.168.1.1可以与192.168.1.1这台服务器传输文件 6. 由于SSH是一个功能强大的工具，有很多使用方法，具体情况可参考SSH文档。互联网上这类文档有很多，各厂家的SSH工具的使用方法都一样。 ü 对现有系统的影响：对于系统及应用软件的运行没有任何影响。远程操作如登录，文件传输都将通过SSH完成。 3.9.2 IBM的实现方法 1. 下载对应AIX版本的OPENSSL和OPENSSH软件包 参见文档《how to get aix ssh .doc》，对于农行环境，标准安装包将包含并已经安装好。 2. 安装openssl和openssh a) 安装openssl软件包。 安装openssl需要使用rpm命令（包含在rpm.rte文件集中）。您可以用lslpp命令来检查rpm.rte是否已经安装在您的系统上： # lslpp -l rpm.rte 如果您在运行这条命令时系统提示您rpm.rte没有安装，您需要先从AIX系统光盘中安装rpm.rte文件集。 使用以下命令安装OPENSSL软件包： # rpm -ivh openssl-0.9.7l-2.aix5.1.ppc.rpm b) 安装openssh软件包 在AIX操作系统上新建一个目录，并将下载的openssh软件包放置在这个目录中。切换到这个目录，执行以下操作： # uncompress openssh-4.3p2-r2.tar.Z # tar -x