世界500强企业的主机系统安全配置标准

如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。

任何变更草案将由中国××公司IT管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。

2 适用版本

AIX 版本5.1, 5.2, 5.3；

Solaris 7,8,9

Redhat Linux 7.2, 7.3

3 业务使用警告

要求设置业务使用提示警告：

系统值/参数 内容

/etc/motd 中国××公司内部生产系统只能因中国××公司业务需要而使用，经由管理层授权。中国××公司管理层将随时监测此系统的使用。

或

SinoPEC production server can only be used for business purpose, with appropriate manager team s authorization. SinoPEC manager team will monitor the usage of this system.

4 用户帐户设置

4.1 UID－用户ID基本要求

系统值/参数 描述 设置要求

UID 适用于所有的UID 每个UID必须只能用一次，并唯一对应一个操作系统用户帐号。

4.2 UNIX中Root安全标准

对于系统Root帐户必须满足以下要求：

Root帐户的UID必须是唯一的0；

Root帐户是root组的唯一用户；

Root帐户必须在每个系统本地有相关定义；

Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件，如果存在也必须为空，而且文件所有者和所有组必须为root和root组。其相关权限为r-------； Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。

Root的cron jobs中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。

对于root所运行的命令必须使用全路径. (例如. /bin/su)，或对于root的$PATH环境变量中不能含有相对当前目录(.), 相对子目录(./)和相对父目录(..)定义；