欢迎来到天天文库
浏览记录
ID:5323714
大小:298.50 KB
页数:27页
时间:2017-12-08
《unix平台主机访问安全控制方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、UNIX主机访问安全控制方案目录1文档介绍41.1摘要42需求概述53实施方案63.1限制用户方法63.1.1HP的实现方法63.1.2IBM的实现方法73.1.3Linux的实现方法83.2对主机的控制访问93.2.1HP的实现方法93.2.2IBM的实现方法93.2.3Linux的实现方法113.3设置密码规范113.3.1HP的实现方法113.3.2IBM的实现方法133.3.3Linux的实现方法153.4锁定系统默认账号153.4.1HP的实现方法153.4.2IBM的实现方法153.4.3Linux的实现方法163.5超时设置163.5.1HP的实现方法163.5.2IBM
2、的实现方法163.5.3Linux的实现方法163.6Umask163.6.1HP的实现方法173.6.2IBM的实现方法173.6.3Linux的实现方法173.7不用服务端口关闭及检测方法173.7.1HP的实现方法173.7.2IBM的实现方法193.7.3Linux的实现方法193.8关闭图形登陆服务193.8.1HP的实现方法193.8.2IBM的实现方法193.8.3Linux的实现方法193.9启用SSH代替不安全的telnet远程访问方式193.9.1HP的实现方法19273.9.2IBM的实现方法203.9.3Linux的实现方法213.10设置信任模式及影响213.
3、10.1HP的实现方法213.10.2IBM的实现方法223.10.3Linux的实现方法223.11一些特殊的密码管理方法223.11.1HP的实现方法223.11.2IBM的实现方法223.11.3Linux的实现方法23附件:HP平台信任模式概述24(一)关于trustsystem24(二)如何判断系统是否是trustsystem:24271文档介绍1.1摘要本文档详细描述了IBM和HP小型机及Linux服务器实现访问控制的详细步骤和方案,在此将三家公司对同一需求的实现方法放在同一处,这样便于比较这三者的异同,可能对于学习研究几种不同的UNIX系统较有裨益。HP的实施方法,在没有
4、特别说明的情况下,均可在非信任模式下实现;提及Linux均指SuSELinux。271需求概述要求对承载关键业务系统的小型机访问控制如下:q远程用户不能通过root用户直接访问主机,只能在console平台下使用root用户,限制只有某个普通用户,比如sm01,可以通过su的方法登陆root用户;q限制或允许只有某些固定的IP地址可以访问某台小型机;q设置密码规范,格式如下:-密码格式:由数字、字母和符号组成-无效登录次数:6次无效登录-历史密码记忆个数:8-12个-密码修改期限:90天-密码长度:最小6位q锁定系统默认账号-对系统默认帐号(例如:daemon,bin,sys,adm,
5、lp,smtp,uucp,nuucp,listen,nobody,noaccess,guest,nobody,lpd)进行锁定q超时设置-2分钟超时设置qUmask-超级用户 027-一般用户 022q不用服务端口关闭-在/etc/services和/etc/inetd.conf里,对不用的服务端口关闭,包括FTP,www,telnet,rsh和rexecq关闭图形登陆服务-dtlogin关闭q启用SSH代替不安全的telnet远程访问方式-安装所需软件包,配置并启用SSH27实施方案1.1限制用户方法-UNIX系统中,计算机安全系统建立在身份验证机制上。如果用户帐号口令失密,系统将会
6、受到侵害,尤其在网络环境中,后果更不堪设想。因此限制用户 root 和其他用户远程登录,对保证计算机系统的安全,具有实际意义。1.1.1HP的实现方法一.限制root用户通过telnet登录:echo"console">/etc/securetty二.限制root用户通过ssh登录:编辑/opt/ssh/etc/sshd_config:PermitRootLoginno重启sshd:/sbin/init.d/secshstop/sbin/init.d/secshstart需要注意的是,设置后,root将不能远程使用telnet/ssh登录,因此在设置之前应进行良好的规划。ü对现有系统的
7、影响:对于系统及应用软件的运行没有任何影响,但root用户不能通过远程方式登录,只能通过终端在本地登录。三.限制普通用户通过telnet登陆主机1.创建/etc/NOTLOGIN文件,在文件中加入要限制的用户名,每一行一个用户名。2.在/etc/profile中加入:NAME1=`grep$LOGNAME/etc/NOTLOGIN`NAME2=`logname`if[“$NAME1”=“$NAME2”]thenecho“Youarenotall
此文档下载收益归作者所有