?
目錄
賬號管理、認證授權??賬號?ELK-HP-UX-01-01-01
?ELK?-HP-UX-01-01-02
?ELK?-HP-UX-01-01-03
????????ELK-HP-UX-01-01-04
???????ELK-HP-UX-01-01-05
???????口令??ELK-HP-UX-01-02-01
????????ELK-HP-UX-01-02-02
????????ELK-HP-UX-01-02-03
????????ELK-HP-UX-01-02-04
???????ELK-HP-UX-01-02-05
???????授權?ELK-HP-UX-01-03-01
????????ELK-HP-UX-01-03-02
????????ELK-HP-UX-01-03-03
????????ELK-HP-UX-01-03-04
日志配置??ELK-HP-UX-02-01-01
????????ELK-HP-UX-02-01-02
???????ELK-HP-UX-02-01-03
通信協議?IP協議安全?ELK-HP-UX-03-01-01
???????ELK-HP-UX-03-01-02
設備其他安全要求?補丁管理??ELK-HP-UX-04-01-01
???????服務進程和啟動??ELK-HP-UX-04-02-01
????????ELK-HP-UX-04-02-02
????????ELK-HP-UX-04-02-03
????????ELK-HP-UX-04-02-04
???????ELK-HP-UX-04-02-05
????????ELK-HP-UX-04-02-06
???????屏幕保護?ELK-HP-UX-04-03-01
???????內核調整??ELK-HP-UX-04-04-01
????????ELK-HP-UX-04-04-02
???????其他調整??ELK-HP-UX-04-05-01
?
本文檔是HP-UX 操作系統的對于HP-UX操作系統設備賬號認證、日志、協議、補丁升級、文件系統管理等方面的安全配置要求,共29項,對系統的安全配置審計、加固操作起到指導性作用。
賬號管理、認證授權??賬號?ELK-HP-UX-01-01-01
| 編號 | ELK-HP-UX-01-01-01 |
| 名稱 | 為不同的管理員分配不同的賬號 |
| 實施目的 | 根據不同類型用途設置不同的帳戶賬號,提高系統安全。 |
| 問題影響 | 賬號混淆,權限不明確,存在用戶越權使用的可能。 |
| 系統當前狀態 | cat /etc/passwd?記錄當前用戶列表 |
| 實施步驟 | 1、參考配置操作 為用戶創建賬號: #useradd?username ?#創建賬號 #passwd username ??#設置密碼 修改權限: #chmod 750 directory ?#其中755為設置的權限,可根據實際情況設置相應的權限,directory是要更改權限的目錄) 使用該命令為不同的用戶分配不同的賬號,設置不同的口令及權限信息等。 |
| 回退方案 | 刪除新增加的帳戶 |
| 判斷依據 | 標記用戶用途,定期建立用戶列表,比較是否有非法用戶 |
| 實施風險 | 高 |
| 重要等級 | ★★★ |
| 備注 | ? |
????????ELK?-HP-UX-01-01-02
| 編號 | ELK-HP-UX-01-01-02 |
| 名稱 | 刪除或鎖定無效賬號 |
| 實施目的 | 刪除或鎖定無效的賬號,減少系統安全隱患。 |
| 問題影響 | 允許非法利用系統默認賬號 |
| 系統當前狀態 | cat /etc/passwd?記錄當前用戶列表, cat /etc/shadow?記錄當前密碼配置 |
| 實施步驟 | 參考配置操作 刪除用戶:#userdel username; 鎖定用戶: 1) 修改/etc/shadow文件,用戶名后加*LK* 2) 將/etc/passwd文件中的shell域設置成/bin/false 3) #passwd -l username 只有具備超級用戶權限的使用者方可使用,#passwd -l username鎖定用戶,用#passwd –d username解鎖后原有密碼失效,登錄需輸入新密碼,修改/etc/shadow能保留原有密碼。 ? |
| 回退方案 | 新建刪除用戶 |
| 判斷依據 | 如上述用戶不需要,則鎖定。 |
| 實施風險 | 高 |
| 重要等級 | ★★★ |
| 備注 | ? |
?
?
????????ELK?-HP-UX-01-01-03
| 編號 | ELK-HP-UX-01-01-03 |
| 名稱 | 對系統賬號進行登錄限制 |
| 實施目的 | 對系統賬號進行登錄限制,確保系統賬號僅被守護進程和服務使用。 |
| 問題影響 | 可能利用系統進程默認賬號登陸,賬號越權使用 |
| 系統當前狀態 | cat /etc/shadow查看各賬號狀態。 |
| 實施步驟 | 1、參考配置操作 禁止賬號交互式登錄: 修改/etc/shadow文件,用戶名后密碼列為NP; 刪除賬號:#userdel username; 2、補充操作說明 禁止交互登錄的系統賬號,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 Example: bin:NP:60002:60002:No Access?User:/:/sbin/noshell |
| 回退方案 | 還原/etc/shadow文件配置 |
| 判斷依據 | /etc/shadow中上述賬號,如果無特殊情況,密碼列為NP |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | 可修改 %SSHINSTALL%/etc/sshd_config 中 PermitRootLogin no 注意,禁止root登陸,必須首先建立普通賬號,測試普通賬號登陸su root 之后才能進行加固。 注意su指令文件的權限必須要有s位 Hp-ux的root 密碼如果設置特殊字符比較多也可能 su : sorry |
?
????????ELK-HP-UX-01-01-04
| 編號 | ELK-HP-UX-01-01-04 |
| 名稱 | 為空口令用戶設置密碼 |
| 實施目的 | 禁止空口令用戶,存在空口令是很危險的,用戶不用口令認證就能進入系統。 |
| 問題影響 | 用戶被非法利用 |
| 系統當前狀態 | cat /etc/passwd |
| 實施步驟 | 用root用戶登陸HP-UX系統,執行passwd命令,給用戶增加口令。 例如:passwd test test。 |
| 回退方案 | Root身份設置用戶口令,取消口令 如做了口令策略則失敗 |
| 判斷依據 | 登陸系統判斷 Cat /etc/passwd |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
???????ELK-HP-UX-01-01-05
| 編號 | ELK?-HP-UX-01-01-05 |
| 名稱 | 刪除屬于root用戶存在潛在危險文件 |
| 實施目的 | /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潛在的危險,應該刪除 ? |
| 問題影響 | 無影響 |
| 系統當前狀態 | cat /.rhost cat /.netr cat /root/.rhosts cat /root/.netrc |
| 實施步驟 | Mv /.rhost /.rhost.bak Mv /.netr /.netr.bak Cd root Mv?.rhost .rhost.bak Mv .netr .netr.bak |
| 回退方案 | Mv /.rhost.bak /.rhost Mv /.netr.bak /.netr Cd root Mv?.rhost.bak .rhost Mv .netr.bak .netr |
| 判斷依據 | 登陸系統判斷 Cat /etc/passwd |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
???????口令??ELK-HP-UX-01-02-01
| 編號 | ELK-HP-UX-01-02-01 |
| 名稱 | 缺省密碼長度限制 |
| 實施目的 | 防止系統弱口令的存在,減少安全隱患。對于采用靜態口令認證技術的設備,口令長度至少6位。 |
| 問題影響 | 增加密碼被暴力破解的成功率 |
| 系統當前狀態 | 運行 cat /etc/default/security??查看狀態,并記錄。 |
| 實施步驟 | 參考配置操作 vi /etc/default/security?,修改設置如下 MIN_PASSWD_LENGTH?= 6?#設定最小用戶密碼長度為6位 當用root帳戶給用戶設定口令的時候不受任何限制,只要不超長。 |
| 回退方案 | vi /etc/default/security?,修改設置到系統加固前狀態。 |
| 判斷依據 | MIN_PASSWD_LENGTH?值為6或更高 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 | ? |
?
????????ELK-HP-UX-01-02-02
| 編號 | ELK-HP-UX-01-02-02 |
| 名稱 | 缺省密碼復雜度限制 |
| 實施目的 | 防止系統弱口令的存在,減少安全隱患。對于采用靜態口令認證技術的設備,包括數字、小寫字母、大寫字母和特殊符號4類中至少2類。 |
| 問題影響 | 增加密碼被暴力破解的成功率 |
| 系統當前狀態 | 運行 cat /etc/default/security??查看狀態,并記錄。 |
| 實施步驟 | PASSWORD_MIN_UPPER_CASE_CHARS=N 編輯N為你所需要的設置. 其中, PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N個大寫字母; PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N個小寫字母; PASSWORD_MIN_DIGIT_CHARS是至少有N個字母; PASSWORD_MIN_SPECIAL_CHARS就是至少要多少個特殊字符. ? 說明: 如果是11.11的系統, 需要有PHCO_24606: s700_800 11.11 libpam_unix cumulative patch 或其替代補丁安裝在系統中. 可以用下面的命令檢查是否已經有了該補丁: A. # man security B. # swlist -l product | grep libpam |
| 回退方案 | vi /etc/default/security?,修改設置到系統加固前狀態。 |
| 判斷依據 | PASSWORD_MIN_DIGIT_CHARS?=2?或更高 PASSWORD_MIN_SPECIAL_CHARS?=1?或更高 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 | ? |
?
????????ELK-HP-UX-01-02-03
| 編號 | ELK-HP-UX-01-02-03 |
| 名稱 | 缺省密碼生存周期限制 |
| 實施目的 | 對于采用靜態口令認證技術的設備,帳戶口令的生存期不長于90天,減少口令安全隱患。 |
| 問題影響 | 密碼被非法利用,并且難以管理 |
| 系統當前狀態 | 運行 cat /etc/default/security??查看狀態,并記錄。 |
| 實施步驟 | 1、參考配置操作 vi /etc/default/security文件: PASSWORD_MAXDAYS=90?密碼最長生存周期90天 |
| 回退方案 | vi /etc/default/security?,修改設置到系統加固前狀態。 |
| 判斷依據 | PASSWORD_MAXDAYS=90? |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 | ? |
?
????????ELK-HP-UX-01-02-04
| 編號 | ELK-HP-UX-01-02-04 |
| 名稱 | 密碼重復使用限制 |
| 實施目的 | 對于采用靜態口令認證技術的設備,應配置設備,使用戶不能重復使用最近5次(含5次)內已使用的口令。 |
| 問題影響 | 密碼破解的幾率增加 |
| 系統當前狀態 | 運行 cat /etc/default/security??查看狀態,并記錄。 |
| 實施步驟 | 參考配置操作 vi /etc/default/security文件: PASSWORD_HISTORY_DEPTH=5 |
| 回退方案 | vi /etc/default/security?,修改設置到系統加固前狀態。 |
| 判斷依據 | PASSWORD_HISTORY_DEPTH=5 |
| 實施風險 | 低 |
| 重要等級 | ★ |
| 備注 | ? |
?
???????ELK-HP-UX-01-02-05
| 編號 | ELK-HP-UX-01-02-05 |
| 名稱 | 密碼重試限制 |
| 實施目的 | 對于采用靜態口令認證技術的設備,應配置當用戶連續認證失敗次數超過6次(不含6次),鎖定該用戶使用的賬號。 |
| 問題影響 | 允許暴力破解密碼 |
| 系統當前狀態 | 運行 cat /etc/default/security?查看狀態,并記錄。 |
| 實施步驟 | 參考配置操作 vi /etc/default/security NUMBER_OF_LOGINS_ALLOWED=7 ? 這個參數控制每個用戶允許的登錄數量。 |
| 回退方案 | vi /etc/default/security修改設置到系統加固前狀態。 |
| 判斷依據 | NUMBER_OF_LOGINS_ALLOWED=7 |
| 實施風險 | 中 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
???????授權?ELK-HP-UX-01-03-01
| 編號 | ELK-HP-UX-01-03-01 |
| 名稱 | 設置關鍵目錄的權限 |
| 實施目的 | 在設備權限配置能力內,根據用戶的業務需要,配置其所需的最小權限。 |
| 問題影響 | 非法訪問文件 |
| 系統當前狀態 | 運行ls –al?/etc/?記錄關鍵目錄的權限 |
| 實施步驟 | 1、參考配置操作 通過chmod命令對目錄的權限進行實際設置。 2、補充操作說明 /etc/passwd 必須所有用戶都可讀,root用戶可寫 –rw-r—r— /etc/shadow 只有root可讀 –r-------- /etc/group 必須所有用戶都可讀,root用戶可寫 –rw-r—r— 使用如下命令設置: chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 如果是有寫權限,就需移去組及其它用戶對/etc的寫權限(特殊情況除外) 執行命令#chmod -R go-w /etc ? |
| 回退方案 | 通過chmod命令還原目錄權限到加固前狀態。 |
| 判斷依據 | –rw-r—r— etc/passwd –r-------- /etc/shadow –rw-r—r— /etc/group 或權限更小 |
| 實施風險 | 高 |
| 重要等級 | ★★★ |
| 備注 | ? |
?
????????ELK-HP-UX-01-03-02
| 編號 | ELK-HP-UX-01-03-02 |
| 名稱 | 修改umask值 |
| 實施目的 | 控制用戶缺省訪問權限,當在創建新文件或目錄時,屏蔽掉新文件或目錄不應有的訪問允許權限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。 |
| 問題影響 | 非法訪問目錄 |
| 系統當前狀態 | 運行 cat /etc/profile cat /etc/csh.login cat /etc/d.profile cat /etc/d.login?記錄當前配置 |
| 實施步驟 | 1、參考配置操作 cd /etc umask 027 for file in profile csh.login d.profile d.login do ??echo umask 027?>> "$file" done 修改文件或目錄的權限,操作舉例如下: #chmod 444 dir ; #修改目錄dir的權限為所有人都為只讀。 根據實際情況設置權限; 2、補充操作說明 如果用戶需要使用一個不同于默認全局系統設置的umask,可以在需要的時候通過命令行設置,或者在用戶的shell啟動文件中配置 3、補充說明 umask的默認設置一般為022,這給新創建的文件默認權限755(777-022=755),這會給文件所有者讀、寫權限,但只給組成員和其他用戶讀權限。 umask的計算: umask是使用八進制數據代碼設置的,對于目錄,該值等于八進制數據代碼777減去需要的默認權限對應的八進制數據代碼值;對于文件,該值等于八進制數據代碼666減去需要的默認權限對應的八進制數據代碼值。 ? |
| 回退方案 | 修改/etc/profile /etc/csh.login /etc/d.profile /etc/d.login配置文件到加固前狀態。 |
| 判斷依據 | umask 022 |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
????????ELK-HP-UX-01-03-03
| 編號 | ELK-HP-UX-01-03-03 |
| 名稱 | FTP用戶及服務安全 |
| 實施目的 | 控制FTP進程缺省訪問權限,當通過FTP服務創建新文件或目錄時應屏蔽掉新文件或目錄不應有的訪問允許權限。 |
| 問題影響 | 非法FTP登陸操作 非法訪問目錄 |
| 系統當前狀態 | 運行 cat /etc/ftpusers?? cat /etc/ftpd/ftpaccess cat /etc/ftpd/ftpusers ?cat /etc/passwd ?????查看狀態,并記錄。 |
| 實施步驟 | 參考配置操作 if [[ "$(uname -r)" = B.10* ]]; then ftpusers=/etc/ftpusers else ftpusers=/etc/ftpd/ftpusers fi for name in root daemon bin sys adm lp \ uucp nuucp nobody hpdb useradm do echo $name done >> $ftpusers chmod 600 $ftpusers |
| 回退方案 | ? vi /etc/ftpusers; vi /etc/ftpd/ftpaccess; vi /etc/passwd ,修改設置到系統加固前狀態。 |
| 判斷依據 | 查看# cat /etc/ftpusers 無特殊需求,在這個列表里邊的用戶名是不允許ftp登陸的。 Root????daemon????bin????sys????adm????lp????uucp????nuucp????listen????nobody????noaccess????nobody4 /etc/ftpd/ftpaccess設置相應的配置 |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
????????ELK-HP-UX-01-03-04
| 編號 | ELK-HP-UX-01-03-04 |
| 名稱 | 設置目錄權限 |
| 實施目的 | 設置目錄權限,防止非法訪問目錄。 |
| 問題影響 | 非法訪問目錄 |
| 系統當前狀態 | 查看重要文件和目錄權限:ls –l并記錄。 |
| 實施步驟 | 1、參考配置操作 查看重要文件和目錄權限:ls –l 更改權限: 對于重要目錄,建議執行如下類似操作: # chmod -R 750 /etc/init.d/* 這樣只有root可以讀、寫和執行這個目錄下的腳本。 ? |
| 回退方案 | 使用chmod?命令還原被修改權限的目錄。 |
| 判斷依據 | 判斷 /etc/init.d/*?下的文件權限750以下 |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
日志配置??ELK-HP-UX-02-01-01
| 編號 | ELK-HP-UX-02-01-01 |
| 名稱 | 開啟內核層審計 |
| 實施目的 | 通過設置內核層審計,讓系統記錄內核事件,方便管理員分析 |
| 問題影響 | 記錄內核事件 |
| 系統當前狀態 | 運行cat /etc/rc.config.d/auditing查看狀態,并記錄。 |
| 實施步驟 | 1、參考配置操作 cat << EOF >> /etc/rc.config.d/auditing AUDITING=1 PRI_SWITCH=10000 SEC_SWITCH=10000 EOF |
| 回退方案 | vi /etc/rc.config.d/auditing,修改設置到系統加固前狀態。 |
| 判斷依據 | AUDITING=1 PRI_SWITCH=10000 SEC_SWITCH=10000 |
| 實施風險 | 低 |
| 重要等級 | ★★★ |
| 備注 | ? |
?
????????ELK-HP-UX-02-01-02
| 編號 | ELK-HP-UX-02-01-02 |
| 名稱 | 啟用inetd的日志功能 |
| 實施目的 | 記錄系統中inetd操作的日志 |
| 問題影響 | 運行 cat /etc/rc.config.d/netdaemons?查看當前狀態,并記錄。 |
| 系統當前狀態 | 運行 cat /etc/rc.config.d/netdaemons?查看當前狀態,并記錄。 |
| 實施步驟 | 1、參考配置操作 ch_rc -a -p INETD_ARGS=-l /etc/rc.config.d/netdaemons? |
| 回退方案 | vi /etc/rc.config.d/netdaemons?,修改設置到系統加固前狀態。 |
| 判斷依據 | INETD_ARGS=-l |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
???????ELK-HP-UX-02-01-03
| 編號 | ELK-HP-UX-02-01-03 |
| 名稱 | 啟用設備安全日志功能 |
| 實施目的 | 設備應配置日志功能,記錄對與設備相關的安全事件。 |
| 問題影響 | 運行 cat /etc/syslog.conf 查看當前狀態,并記錄。 |
| 系統當前狀態 | 運行 cat /etc/syslog.conf 查看當前狀態,并記錄。 |
| 實施步驟 | 1、參考配置操作 配置如下類似語句: *.err;kern.debug;daemon.notice; ???????/var/adm/messages 定義為需要保存的設備相關安全事件。 查看/var/adm/messages,記錄有需要的設備相關的安全事件。? |
| 回退方案 | cat /etc/syslog.conf ,修改設置到系統加固前狀態。 |
| 判斷依據 | cat /etc/syslog.conf |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
通信協議?IP協議安全?ELK-HP-UX-03-01-01
| 編號? | ELK-HP-UX-03-01-01 |
| 名稱 | 使用ssh加密傳輸 |
| 實施目的 | 提高遠程管理安全性 |
| 問題影響 | 使用非加密通信,內容易被非法監聽 |
| 系統當前狀態 | 運行 # ps –elf|grep ssh ?查看狀態,并記錄。 |
| 實施步驟 | 1、參考配置操作 1、參考配置操作 從http://www.software.hp.com可以得到針對HP-UX的OpenSSH安裝軟件包。然后使用如下命令進行安裝: swinstall -s /var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+64.depot /var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+64.depot是一個示例路徑。 |
| 回退方案 | 卸載SSH、或者停止SSH服務 |
| 判斷依據 | 有SSH進程 |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
???????ELK-HP-UX-03-01-02
| 編號 | ELK-HP-UX-03-01-01 |
| 名稱 | 加強系統的網絡性能 |
| 實施目的 | 調整內核參數,以加強系統的網絡性能 |
| 問題影響 | 有助提高系統網絡性能 |
| 系統當前狀態 | 查看/etc/rc.config.d/nddconf 的配置狀態,并記錄。 |
| 實施步驟 | 1、參考配置操作 對于HP-UX 11i的版本,應該通過如下命令調整內核參數,以加強系統的網絡性能: cd /etc/rc.config.d cat <<EOF > nddconf # Increase size of half-open connection queue TRANSPORT_NAME[0]=tcp NDD_NAME[0]=tcp_syn_rcvd_max NDD_VALUE[0]=4096 # Reduce the half-open timeout TRANSPORT_NAME[1]=tcp NDD_NAME[1]=tcp_ip_abort_cinterval NDD_VALUE[1]=60000 # Reduce timeouts on ARP cache TRANSPORT_NAME[2]=arp NDD_NAME[2]=arp_cleanup_interval NDD_VALUE[2]=60000 # Don't send ICMP redirects TRANSPORT_NAME[3]=ip NDD_NAME[3]=ip_send_redirects NDD_VALUE[3]=0 # Drop source-routed packets TRANSPORT_NAME[4]=ip NDD_NAME[4]=ip_forward_src_routed NDD_VALUE[4]=0 # Don't forward directed broadcasts TRANSPORT_NAME[5]=ip NDD_NAME[5]=ip_forward_directed_broadcasts NDD_VALUE[5]=0 # Don't respond to unicast ICMP timestamp requests TRANSPORT_NAME[6]=ip NDD_NAME[6]=ip_respond_to_timestamp NDD_VALUE[6]=0 # Don't respond to broadcast ICMP tstamp reqs TRANSPORT_NAME[7]=ip NDD_NAME[7]=ip_respond_to_timestamp_broadcast NDD_VALUE[7]=0 # Don't respond to ICMP address mask requests TRANSPORT_NAME[8]=ip NDD_NAME[8]=ip_respond_to_address_mask_broadcast NDD_VALUE[8]=0 EOF chmod go-w,ug-s nddconf? |
| 回退方案 | 修改/etc/rc.config.d/nddconf的配置到加固之前的狀態,刪除新創建的/usr/sbin/in.routed文件 |
| 判斷依據 | Cat /etc/rc.config.d/nddconf |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
???????路由協議安全??ELK-HP-UX-03-02-01
| 編號 | ELK-HP-UX-03-02-01 |
| 名稱 | 不轉發定向廣播包 |
| 實施目的 | 利用ndd命令,可以檢測或者更改網絡設備驅動程序的特性。在/etc/rc.config.d/nddconf啟動腳本中增加以下各條命令,然后重啟系統,可以提高網絡的安全性。 |
| 問題影響 | 提高網絡安全性 |
| 系統當前狀態 | 查看 cat /etc/rc.config.d/nddconf的配置狀態,并記錄。 ? |
| 實施步驟 | 1、參考配置操作 #不轉發定向廣播包 /usr/sbin/ndd -set /dev/ip ip_forward_src_routed 1 0 ??????? # 不轉發原路由包 /usr/sbin/ndd -set /dev/ip ip_forwarding 2 0 ? #禁止包轉發 ???????????? /usr/sbin/ndd -set /dev/ip ip_pmtu_strategy 2 1 ??????????? #不采用echo-request PMTU策略 /usr/sbin/ndd -set /dev/ip ip_send_redirects 1 0 ?????????? #不發ICMP重定向包 /usr/sbin/ndd -set /dev/ip ip_send_source_quench 1 0 ?????? #不發ICMP源結束包 /usr/sbin/ndd -set /dev/ip tcp_conn_request_max 20 500 ????? #增加TCP監聽數最大值,提高性能 /usr/sbin/ndd -set /dev/ip tcp_syn_rcvd_max 500 500 ???????? #HP SYN flood保護 /usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 1 0 不響應ICMP echo請求廣播包 ????由于ndd調用前,已經啟動網卡參數,所以可能不能正確設置。 ????可以采用下列方法,建立一個啟動腳本。 ????# cp /tmp/secconf /etc/rc.config.d? ? |
| 回退方案 | 修改vi /etc/rc.config.d/nddconf的配置到加固之前的狀態 |
| 判斷依據 | Cat /etc/rc.config.d/nddconf |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
設備其他安全要求?補丁管理??ELK-HP-UX-04-01-01
| 編號 | ELK-HP-04-01-01 |
| 名稱 | 安裝補丁 |
| 實施目的 | 安裝系統補丁,增強系統強制,安全性. |
| 問題影響 | 影響系統強制,安全性 |
| 系統當前狀態 | uname -a |
| 實施步驟 | 參考配置操作 1.獲得補丁 HP-UX系統的升級補丁可以從HP-UX Support Plus站點獲得,URL是http://www.software.hp.com/SUPPORT_PLUS/ 對于HP-UX 10.x的版本,補丁叫做General Release for HPUX10.x;對于HP-UX 11.x的版本,補丁叫做Quality Pack (QPK) for HP-UX 11.x。 2 安裝補丁 HP-UX補丁可以使用swinstall或者SAM安裝。例如: swinstall –s \ ????/tmp/XSW700GR1020_10.20_700.depot \ ????-x match_target=true /tmp/XSW700GR1020_10.20_700.depot是一個例子。 3 校驗補丁 對于已經安裝的補丁,可以使用如下命令輸出沒有正確配置的補丁: swlist –l fileset -a state grep -Ev '(configured|^#)' |
| 回退方案 | 重新安全軟件包, |
| 判斷依據 | ? |
| 實施風險 | 高 |
| 重要等級 | ★★ |
| 備注 | ? |
?
?
???????服務進程和啟動??ELK-HP-UX-04-02-01
| 編號 | ELK-HP-UX-04-02-01 |
| 名稱 | 關閉inetd啟動的不必要服務 |
| 實施目的 | 關閉無效的服務,提高系統性能,增加系統安全性。 |
| 問題影響 | 不用的服務會帶來很多安全隱患 |
| 系統當前狀態 | cat /etc/inet/inetd.conf?查看并記錄當前的配置 |
| 實施步驟 | 1、參考配置操作 編輯/etc/inet/inetd.conf文件,注釋掉和沒有必要服務、不安全服務相關的內容,這些服務包括:tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、rpc.rexd、rpc.rstatd、 rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver等。 重新啟動inetd監控進程:kill –HUP `ps –ef|grep –v inetd` ? |
| 回退方案 | 還原/etc/inet/inetd.conf文件到加固前的狀態。 |
| 判斷依據 | 在/etc/inetd.conf文件中禁止下列不必要的基本網絡服務。 tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、rpc.rexd、rpc.rstatd、 rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver標記用戶用途,定期建立用戶列表,比較是否有非法用戶 |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
????????ELK-HP-UX-04-02-02
| 編號 | ELK-HP-UX-04-02-02 |
| 名稱 | 關閉NIS/NIS+相關服務 |
| 實施目的 | 關閉無效的服務,提高系統性能,增加系統安全性。 |
| 問題影響 | 不用的服務會帶來很多安全隱患 |
| 系統當前狀態 | Cat /etc/rc.config.d/namesvrs查看并記錄當前的配置 |
| 實施步驟 | 參考配置操作 Vi /etc/rc.config.d/namesvrs文件: NIS_MASTER_SERVER=0 NIS_SLAVE_SERVER=0 NIS_CLIENT=0 NISPLUS_SERVER=0 NISPLUS_CLIENT=0 |
| 回退方案 | 還原/etc/rc.config.d/namesvrs文件到加固前的狀態。 |
| 判斷依據 | Cat /etc/rc.config.d/namesvrs ? |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
????????ELK-HP-UX-04-02-03
| 編號 | ELK-HP-UX-04-02-03 |
| 名稱 | 關閉打印服務 |
| 實施目的 | 關閉無效的服務進程,提高系統性能,增加系統安全性。 |
| 問題影響 | 不用的服務會帶來很多安全隱患,如果系統不是作為打印服務器,應該關閉打印相關的服務,因為UNIX的打印服務有不良的安全記錄,歷史上出現過大量的安全漏洞。 |
| 系統當前狀態 | Cat /etc/rc.config.d/tps Cat /etc/rc.config.d/lp Cat /etc/rc.config.d/pd 查看并記錄當前的配置 |
| 實施步驟 | ch_rc -a -p XPRINTSERVERS="''" /etc/rc.config.d/tps ch_rc -a -p LP=0 /etc/rc.config.d/lp ch_rc -a -p PD_CLIENT=0 /etc/rc.config.d/pd ? |
| 回退方案 | 還原 /etc/rc.config.d/tps?, /etc/rc.config.d/lp和 /etc/rc.config.d/pd下的腳本文件名到加固前的狀態。 |
| 判斷依據 | Cat /etc/rc.config.d/tps Cat /etc/rc.config.d/lp Cat /etc/rc.config.d/pd ? |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
????????ELK-HP-UX-04-02-04
| 編號 | ELK-HP-UX-04-02-04 |
| 名稱 | 關閉sendmail服務 |
| 實施目的 | 關閉無效的服務,提高系統性能,增加系統安全性。 |
| 問題影響 | 不用的服務會帶來很多安全隱患 |
| 系統當前狀態 | Cat ?/etc/rc.config.d/mailservs查看并記錄當前的配置 |
| 實施步驟 | 參考配置操作 echo SENDMAIL_SERVER=0 >> /etc/rc.config.d/mailservs cd /var/spool/cron/crontabs crontab –l >root.tmp echo '0 * * * * /usr/lib/sendmail -q' >>root.tmp crontab root.tmp rm –f root.tmp |
| 回退方案 | 還原/etc/rc.config.d/mailservs文件到加固前的狀態。 |
| 判斷依據 | Cat /etc/rc.config.d/mailservs ? |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
???????ELK-HP-UX-04-02-05
| 編號 | ELK-HP-UX-04-02-05 |
| 名稱 | 關閉NFS相關服務 |
| 實施目的 | 關閉無效的服務,提高系統性能,增加系統安全性。 |
| 問題影響 | 不用的服務會帶來很多安全隱患 |
| 系統當前狀態 | Cat /etc/rc.config.d/nfsconf查看并記錄當前的配置 |
| 實施步驟 | 參考配置操作 mv /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core mv /sbin/rc3.d/S100nfs.server /sbin/rc3.d/.NOS100nfs.server ? cd /sbin/rc2.d mv S430nfs.client .NOS430nfs.client ? cat <<EOF>> /etc/rc.config.d/nfsconf NFS_SERVER=0 PCNFS_SERVER=0 NUM_NFSD=0 NUM_NFSIOD=0 START_MOUNTD=0 EOF ? cat <<EOF>> /etc/rc.config.d/nfsconf |
| 回退方案 | 還原/etc/rc.config.d/nfsconf文件到加固前的狀態。 |
| 判斷依據 | Cat /etc/rc.config.d/nfsconf ? |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
????????ELK-HP-UX-04-02-06
| 編號 | ELK-HP-UX-04-02-06 |
| 名稱 | 關閉SNMP服務 |
| 實施目的 | 關閉無效的服務,提高系統性能,增加系統安全性。 |
| 問題影響 | 不用的服務會帶來很多安全隱患 |
| 系統當前狀態 | Cat /etc/rc.config.d/SnmpHpunix Cat /etc/rc.config.d/SnmpMaster Cat /etc/rc.config.d/SnmpTrpDst 查看并記錄當前的配置 |
| 實施步驟 | 參考配置操作 cd /sbin/rc2.d mv ?S565OspfMib ?.NOS565OspfMib mv ?S941opcagt ??.NOS941opcagt mv ?S570SnmpFddi ?.NOS570SnmpFddi vi /etc/rc.config.d/SnmpHpunix文件 ???SNMP_HPUNIX_START=0 Vi /etc/rc.config.d/SnmpMaster文件 ???SNMP_MASTER_START=0 Vi /etc/rc.config.d/SnmpMib2文件 ???SNMP_MIB2_START=0 Vi /etc/rc.config.d/SnmpTrpDst文件 ???SNMP_TRAPDEST_START=0 |
| 回退方案 | 還原 /etc/rc.config.d/SnmpHpunix , /etc/rc.config.d/SnmpMaster 和/etc/rc.config.d/SnmpTrpDst文件到加固前的狀態。 |
| 判斷依據 | Cat /etc/rc.config.d/SnmpHpunix Cat /etc/rc.config.d/SnmpMaster Cat /etc/rc.config.d/SnmpTrpDst ? |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
???????屏幕保護?ELK-HP-UX-04-03-01
| 編號 | ELK-HP-UX-04-03-01 |
| 名稱 | 設置登錄超時時間 |
| 實施目的 | 對于具備字符交互界面的設備,應配置定時帳戶自動登出。 |
| 問題影響 | 管理員忘記退出被非法利用 |
| 系統當前狀態 | 查看/etc/profile文件的配置狀態,并記錄。 |
| 實施步驟 | 參考配置操作 可以在用戶的.profile文件中"HISTFILESIZE="后面增加如下行: vi /etc/profile $ TMOUT=180;export TMOUT |
| 回退方案 | 修改/etc/profile的配置到加固之前的狀態。 |
| 判斷依據 | TMOUT=180 |
| 實施風險 | 中 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
???????內核調整??ELK-HP-UX-04-04-01
| 編號 | ELK-HP-UX-04-04-01 |
| 名稱 | 調整內核設置 |
| 實施目的 | 防止堆棧緩沖溢出 |
| 問題影響 | 堆棧緩沖溢出 |
| 系統當前狀態 | ? |
| 實施步驟 | 參考配置操作 /usr/sbin/kmtune -s executable_stack=0 &&mk_kernel &&kmupdate |
| 回退方案 | ? |
| 判斷依據 | executable_stack=0 |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
????????ELK-HP-UX-04-04-02
| 編號 | ELK-HP-UX-04-04-02 |
| 名稱 | 安裝TCP_Wrapper防火墻軟件 |
| 實施目的 | 防止網絡攻擊 |
| 問題影響 | 沒有影響 |
| 系統當前狀態 | ? |
| 實施步驟 | 參考配置操作 make hpux mkdir -p /usr/local/sbin /usr/local/include \ /usr/local/lib /usr/local/man/man5 \ /usr/local/man/man1m chmod 755 /usr/local/sbin /usr/local/include \ /usr/local/lib /usr/local/man/man5 \ /usr/local/man/man1m for file in safe_finger tcpd tcpdchk \ tcpdmatch try-from do /usr/sbin/install -s -f /usr/local/sbin \ -m 0555 -u root -g daemon $file done for file in *.5 |
| 回退方案 | 卸載TCP_Wrapper |
| 判斷依據 | ? |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
???????其他調整??ELK-HP-UX-04-05-01
| 編號 | ELK-HP-UX-04-05-01 |
| 名稱 | 引導身份驗證 |
| 實施目的 | 使用引導身份驗證功能防止未經授權的訪問 |
| 問題影響 | 未經授權訪問 |
| 系統當前狀態 | cat /etc/default/security|grep BOOT |
| 實施步驟 | 參考配置操作 BOOT_AUTH=1 BOOT_USERS=root,mary,jack,amy,jane |
| 回退方案 | 還原 /etc/default/security到系統更改前 |
| 判斷依據 | BOOT_AUTH=1 BOOT_USERS=root,mary,jack,amy,jane |
| 實施風險 | 高 |
| 重要等級 | ★ |
| 備注 | ? |
?
?
)
)
(第15講))
)
