home *** CD-ROM | disk | FTP | other *** search
/ SGI Enlighten DSM 1.1 / SGI EnlightenDSM 1.1.iso / hp904905 / common.z / common / config / suggestions < prev    next >
Text File  |  1998-06-30  |  8KB  |  213 lines
  1.  
  2. 1000
  3.  DUPLICATE UID
  4.  
  5.  Add  users only through the Enlighten interface (from the User Configuration
  6.  Screen),  allowing  Enlighten to select the next available userid by leaving
  7.  that field blank.
  8.  
  9.  Control  user  account  creation  from a single source, rather than allowing
  10.  full  access  to  multiple administrators on a single host. This policy will
  11.  provide better continuity of account assignments.
  12.  
  13.  Perform  the  Duplicate Userid test weekly, and after addition of many users
  14.  (especially from the Multi-User Add window).
  15.  
  16. 1010
  17.  DUPLICATE USERNAME
  18.  
  19.  Add  users only through the Enlighten interface (from the User Configuration
  20.  screen),  allowing  Enlighten to select the next available userid by leaving
  21.  that field blank.
  22.  
  23.  Control  user  account  creation  from a single source, rather than allowing
  24.  full  access  to  multiple administrators on a single host. This policy will
  25.  provide better continuity of account assignments.
  26.  
  27.  Perform  the  Duplicate Userid test weekly, and after addition of many users
  28.  (especially from the Multi-User Add window).
  29.  
  30. 1020
  31.  VULNERABLE DIRECTORIES
  32.  
  33.  Create user accounts through the Enlighten interface; it will make sure that
  34.  the user's home directory is owned by the username of the account.
  35.  
  36.  When  modifying  account userid's (either directly or through Enlighten), be
  37.  sure  to  change  the  ownership  of the home directory and files within the
  38.  directory to match the account change.
  39.  
  40. 1030
  41.  EASY PASSWORDS
  42.  
  43.  Perform  the  Obvious  Password check often. From the Security menu, you can
  44.  select  among  several  levels  of  testing. To reduce time commitments, you
  45.  should set a schedule, doing the weakest security level check often, and the
  46.  strongest security check on a regular but infrequent basis.
  47.  
  48.  Once a quarter send mail to all users stressing the importance of choosing a
  49.  reasonably  secure  password,  with  suggestions  on  methods to improve the
  50.  randomness.  Possibilities include the use of at least one decimal digit and
  51.  one capital or odd symbol in the password.
  52.  
  53.  Obtain a password assignment program that enforces password format policies.
  54.  
  55.  Immediately  "Lock"  users  with  obvious  passwords and reinstate them on a
  56.  demand  basis.  This action is recommended due to the fact that this area is
  57.  so often used by undesirable parties to gain access.
  58.  
  59. 1100
  60.  FULL DISKS
  61.  
  62.  Use ENlighten/Events to monitor file systems.
  63.  
  64.  Rebuild  disk snapshots automatically at night, so information is relatively
  65.  up-to-date, reducing the need to request online rebuilds.
  66.  
  67.  Inform  users  of  company  policy regarding placement of large files. It is
  68.  unwise to use volatile file systems, especially temporary space ("/tmp"), as
  69.  semi-permanent  file storage areas. Separate these file systems, and provide
  70.  frequent user backups.
  71.  
  72. 1110
  73.  SETUID PROGRAMS
  74.  
  75.  When  installing  new  or  updated  programs,  check  files  for the set-uid
  76.  permission  mode.  Maintain  a list of known set-uid programs as a basis for
  77.  later comparison.
  78.  
  79.  Perform  the  Enlighten  check  for  set-uid  files  fairly  often,  as  the
  80.  propensity  for  infection  and  spread  through  software  "virus" by these
  81.  programs is high.
  82.  
  83. 1120
  84.  DEVICES NOT IN "/dev/"
  85.  
  86.  Perform a File Search for such files on a regular basis. Remember to rebuild
  87.  the snapshots as not to check the same data again.
  88.  
  89.  To  perform  the  search,  find files of type "Block Special" and "Character
  90.  Special", and Skip Filenames like "/dev/*". The files found in the resulting
  91.  search  should  be  carefully scrutinized. Try to determine who created them
  92.  and  for  what  purpose.  One  might  want  to  delete them or, change their
  93.  ownership to root and their permissions to 700.
  94.  
  95.  On  some UNIX 5.4 systems, such as SOLARIS 2.x, a secondary device directory
  96.  "/devices" exists. This directory, if on a UNIX 5.4 system, is considered to
  97.  be  a  legal  repository for device files. Consequently, in the File Search,
  98.  filename like "/devices/*" should also be skipped.
  99.  
  100. 1130
  101.  SYSTEM EXECUTABLES
  102.  
  103.  Create a special master (known state of the universe) disk snapshot for each
  104.  system early in your use of Enlighten. Maintain this snapshot on backup tape
  105.  for  later  reference,  to  use  as  a  clean basis for comparison of system
  106.  changes.
  107.  
  108.  Update  the  basis  snapshot only when you know the system is consistent and
  109.  clean.
  110.  
  111.  Perform  the  Enlighten check often. Pay particular attention to files which
  112.  grow   without   apparent  cause;  viral  infection  of  these  files  is  a
  113.  possibility.
  114.  
  115.  
  116. 1200
  117.  DOWN PRINTERS
  118.  
  119.  Give  print queues names which associate the type of queue (its purpose) and
  120.  the  printer to which it belongs. It will then be easier to tell which print
  121.  queues  share  a  printer,  and  thus  which should be disabled when certain
  122.  shared queues are enabled.
  123.  
  124. 1210
  125.  LONG PRINT QUEUES
  126.  
  127.  Generate  a  printing policy regarding large print jobs. Inform new users of
  128.  the policy.
  129.  
  130.  Maintain multiple compatible printers, in order to transfer jobs and balance
  131.  the queues.
  132.  
  133. 1220
  134.  LARGE PRINT JOBS
  135.  
  136.  From  the  Queue  Screen, with inappropriate print jobs selected, choose the
  137.  Mail  icon  and  send  a  letter  to the print job owners regarding printing
  138.  policy.
  139.  
  140.  Review  the  queues and survey your users periodically to determine the type
  141.  of  printing  mix  required.  If  more  image  or  volume jobs are required,
  142.  consider purchasing appropriate printers for the tasks.
  143.  
  144.  Create  nightime-only print queues, and encourage users to take advantage of
  145.  them for volume print jobs.
  146.  
  147. 1300
  148.  SERVERS UP
  149.  
  150.  Keep  track  of  server  down  time  and the causes (if trace information is
  151.  available from system logs). Patterns might emerge from the historical data.
  152.  
  153. 1310
  154.  SWAP SPACE
  155.  
  156.  Create  a  policy for computer resource usage, especially regarding game and
  157.  image-related programs.
  158.  
  159.  Processes  tend  to grow in efficient ways over time, causing system stress.
  160.  Suggest  that  users  exit  out of resource-intensive programs periodically.
  161.  This will allow the programs to free their resources and allow the system to
  162.  reallocate resources more efficiently when the programs are restarted
  163.  
  164.  "Cute" programs should be discouraged on production systems.
  165.  
  166. 1400
  167.  HOST ADDRESS CONFLICT
  168.  
  169.  The  hosts  database,  which  contains  a  list  of  known  hosts  and their
  170.  associated IP addresses, has been tested for host names which are associated
  171.  with more than one IP address.
  172.  
  173.  For  host  names which are found to have more than one IP address associated
  174.  with  them,  you  must decide which address is the correct one. You can then
  175.  use  the Host Configuration menu to modify the selected host entries. Either
  176.  modify  the  selected  host  entries to have the proper address, or copy the
  177.  correct address to each host which has an incorrect address.
  178.  
  179.  Run  the  Enlighten  Expert  on  a  regular  basis to check for host address
  180.  conflicts.
  181.  
  182. 1410
  183.  HOST NAME CONFLICT
  184.  
  185.  The  hosts  database,  which  contains  a  list  of  known  hosts  and their
  186.  associated  IP  addresses,  has  been tested for host IP addresses which are
  187.  associated with more than one host name.
  188.  
  189.  For  host  IP  addresses  which  are  found  to have more than one host name
  190.  associated  with  them,  you must decide which host name is the correct one.
  191.  You  can  then  use  the Host Configuration menu to modify the selected host
  192.  entries. Either modify the selected host entries to have the proper name, or
  193.  copy the correct host name to each host which has an incorrect name.
  194.  
  195.  Run  the  Enlighten  Expert  on  a  regular  basis  to  check  for host name
  196.  conflicts.
  197.  
  198. 1420 
  199.  HOST ALIAS CONFLICT
  200.  
  201.  The  hosts  database,  which  contains  a  list  of  known  hosts  and their
  202.  associated  IP  addresses,  has  been  tested  for  host  aliases  which are
  203.  associated with more than one host name.
  204.  
  205.  For  host aliases which are found to have more than one host name associated
  206.  with  them, you must decide which host has the right to use the given alias.
  207.  You  can  then  use  the Host Configuration menu to modify the selected host
  208.  entries.  For  example,  modify the selected host entries to have the proper
  209.  alias.
  210.  
  211.  Run  the  Enlighten  Expert  on  a  regular  basis  to  check for host alias
  212.  conflicts.
  213.