欢迎来到天天文库
浏览记录
ID:21024977
大小:159.85 KB
页数:17页
时间:2018-10-18
《unix主机访问安全控制》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、UNIX主机访问安全控制方案目录1翊侧31.1摘S:32誠職43錢旅53.1限制用户方法53.1.1HP的实现方法53.1.2旧M的实现方法63.2对主机的控制访问73.2.1HP的实现方法73.2.2旧M的实现方法83.3设置密码规范93.3.1HP的实现方法93.3.2IBM的实现方法113.4锁定系统默认账号113.4.1HP的实现方法113.4.2IBM的实现方法123.5超时设S123.5.1HP的实现方法123.5.2旧M的实现方法123.6Umask133.6.1HP的实现方法133.6.2IBM的实现方法133.7不川服务端口关W及检测方法133.7.1HP
2、的实现方法133.7.2IBM的实现方法153.8没置信任模式及影响153.8.1HP的实现方法153.8.2旧M的实现方法163.9—些特殊的密码管理方法163.9.1HP的实现方法163.9.2IBM的实现方法163.10安装及使川SSH163.11HPUX停止Xwindows服务171麵建i义171文档介绍1.1摘要本文档详细描述丫IBM和HP小型机实现访问控制的详细步骤和方案,在此将两家公司对同一需求的实现方法放在同一•处,这样便于比较两者的异同,可能对于学习研究两种不同的UNIX系统较有裨益HP的实施方法,在没有特别说明的情况下,均可在非信任模式下实现。2需求概述
3、要求对承载关键业务系统的小型机访问控制如下:□远程川户不能通过root川户直接访问主机,只能在consloe平台下使川root用户,限制只有某个普通用户,比如smOl,可以通过su的方法登陆root用户;□限制或允许只有某些W定的IP地址可以访问某台小型机;□设置密码规范,格式如下:-密码格式:由数字、字母和符号组成-无效登录次数:6次无效登录-历史密码记忆个数:8-12个-密码修改期限:90大-密码长度:最小6位□锁定系统默认账号-系统默汄帐号(例如:daemon,bin,sys,adm,Ip,smtp,uucp,nuucp,listen,nobody,noaccess,
4、guest,nobody,Ipd)进行锁定□超时设置-1分钟超时设置□Umask-超级用户027-一般用户022□不用服务端U关闭-在/etc/services和/etc/inetd.conf里,对不用的服务端口关闭,包括FTP,www,telnet,rsh和rexec3实施方案3.1限制用户方法UNIX系统屮,计算机安全系统建立在身份验证机制上。如果用户帐号口令失密,系统将会受到佼杏,尤其在网络环境中,后果更不堪设想。因此限制用root和其他用广远程登录,对保证计算机系统的安全,具有实际意义。3.1.1HP的实现方法—.限制root用户通过telnet登录:echo"co
5、nsole">/etc/securetty二.限制root用户通过ssh登录:编辑/opt/ssh/etc/sshd_config:PermitRootLoginno重启sshd:/sbin/init.d/secshstop/sbin/init.d/secshstart需要注意的是,设置root将不能远程使用telnet/ssh登录,因此在设置之前应进行良好的规划。对现宥系统的影响:对于系统及应川软件的运行没宥任何影响,似root川户不能通过远程方式登录,只能通过终端4:本地登录。三.限制普通用户通过telnet登陆主机1.创建/etc/NOTLOGIN文件,在文件巾加入要
6、限制的用户名,每一行•一个用户名。2.在/etc/profile中加入:NAMEl='grep5LOCNAME/etc/NOTLOGIN'NAME2='logname'if["SNAME1"="$NAME2"]thenecho"Youarenotallowedtologinin!!"exitfi耑要说明的是,这种方法对Xmanage等Xwindow图形登陆软件无效。对现存系统的影响:对于系统及应用软件的运行没有任何影响,但所杏用户不能通过远程方式登录,只能通过终端在木地登录或使用SSH软件进行远程登录。二.限制只有smOl用户可su到rootroot执行以K脚本:group
7、add-g600surootuseradd-u600-gsuroot-Csuroot-d/home/smOl-s/usr/bin/shsmOlpasswdsmOlecho"SU_ROOT_GROUP=suroot”〉/etc/default/securityecho"console”〉/etc/security对现冇系统的影响:对于系统及应用软件的运行没冇任何影响。三.限制某个用户通过ftp登录主机:编辑/etc/ftpd/ftpusers文件,在新行中输入该用户的名称即可;在HP_UX11.x之前,该文件名称为/
此文档下载收益归作者所有