目录
账号管理、认证授权 账号 ELK-HP-UX-01-01-01
通信协议 IP协议安全 ELK-HP-UX-03-01-01
设备其他安全要求 补丁管理 ELK-HP-UX-04-01-01
服务进程和启动 ELK-HP-UX-04-02-01
屏幕保护 ELK-HP-UX-04-03-01
内核调整 ELK-HP-UX-04-04-01
其他调整 ELK-HP-UX-04-05-01
本文档是HP-UX 操作系统的对于HP-UX操作系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共29项,对系统的安全配置审计、加固操作起到指导性作用。
账号管理、认证授权 账号 ELK-HP-UX-01-01-01
| 编号 | ELK-HP-UX-01-01-01 |
| 名称 | 为不同的管理员分配不同的账号 |
| 实施目的 | 根据不同类型用途设置不同的帐户账号,提高系统安全。 |
| 问题影响 | 账号混淆,权限不明确,存在用户越权使用的可能。 |
| 系统当前状态 | cat /etc/passwd 记录当前用户列表 |
| 实施步骤 | 1、参考配置操作 为用户创建账号: #useradd username #创建账号 #passwd username #设置密码 修改权限: #chmod 750 directory #其中755为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。 |
| 回退方案 | 删除新增加的帐户 |
| 判断依据 | 标记用户用途,定期建立用户列表,比较是否有非法用户 |
| 实施风险 | 高 |
| 重要等级 | ★★★ |
| 备注 |
|
ELK -HP-UX-01-01-02
| 编号 | ELK-HP-UX-01-01-02 |
| 名称 | 删除或锁定无效账号 |
| 实施目的 | 删除或锁定无效的账号,减少系统安全隐患。 |
| 问题影响 | 允许非法利用系统默认账号 |
| 系统当前状态 | cat /etc/passwd 记录当前用户列表, cat /etc/shadow 记录当前密码配置 |
| 实施步骤 | 参考配置操作 删除用户:#userdel username; 锁定用户: 1) 修改/etc/shadow文件,用户名后加*LK* 2) 将/etc/passwd文件中的shell域设置成/bin/false 3) #passwd -l username 只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
|
| 回退方案 | 新建删除用户 |
| 判断依据 | 如上述用户不需要,则锁定。 |
| 实施风险 | 高 |
| 重要等级 | ★★★ |
| 备注 |
|
ELK -HP-UX-01-01-03
| 编号 | ELK-HP-UX-01-01-03 |
| 名称 | 对系统账号进行登录限制 |
| 实施目的 | 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用。 |
| 问题影响 | 可能利用系统进程默认账号登陆,账号越权使用 |
| 系统当前状态 | cat /etc/shadow查看各账号状态。 |
| 实施步骤 | 1、参考配置操作 禁止账号交互式登录: 修改/etc/shadow文件,用户名后密码列为NP; 删除账号:#userdel username; 2、补充操作说明 禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell |
| 回退方案 | 还原/etc/shadow文件配置 |
| 判断依据 | /etc/shadow中上述账号,如果无特殊情况,密码列为NP |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 | 可修改 %SSHINSTALL%/etc/sshd_config 中 PermitRootLogin no 注意,禁止root登陆,必须首先建立普通账号,测试普通账号登陆su root 之后才能进行加固。 注意su指令文件的权限必须要有s位 Hp-ux的root 密码如果设置特殊字符比较多也可能 su : sorry |
ELK-HP-UX-01-01-04
| 编号 | ELK-HP-UX-01-01-04 |
| 名称 | 为空口令用户设置密码 |
| 实施目的 | 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。 |
| 问题影响 | 用户被非法利用 |
| 系统当前状态 | cat /etc/passwd |
| 实施步骤 | 用root用户登陆HP-UX系统,执行passwd命令,给用户增加口令。 例如:passwd test test。 |
| 回退方案 | Root身份设置用户口令,取消口令 如做了口令策略则失败 |
| 判断依据 | 登陆系统判断 Cat /etc/passwd |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-01-01-05
| 编号 | ELK -HP-UX-01-01-05 |
| 名称 | 删除属于root用户存在潜在危险文件 |
| 实施目的 | /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险,应该删除
|
| 问题影响 | 无影响 |
| 系统当前状态 | cat /.rhost cat /.netr cat /root/.rhosts cat /root/.netrc |
| 实施步骤 | Mv /.rhost /.rhost.bak Mv /.netr /.netr.bak Cd root Mv .rhost .rhost.bak Mv .netr .netr.bak |
| 回退方案 | Mv /.rhost.bak /.rhost Mv /.netr.bak /.netr Cd root Mv .rhost.bak .rhost Mv .netr.bak .netr |
| 判断依据 | 登陆系统判断 Cat /etc/passwd |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
口令 ELK-HP-UX-01-02-01
| 编号 | ELK-HP-UX-01-02-01 |
| 名称 | 缺省密码长度限制 |
| 实施目的 | 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位。 |
| 问题影响 | 增加密码被暴力破解的成功率 |
| 系统当前状态 | 运行 cat /etc/default/security 查看状态,并记录。 |
| 实施步骤 | 参考配置操作 vi /etc/default/security ,修改设置如下 MIN_PASSWD_LENGTH = 6 #设定最小用户密码长度为6位 当用root帐户给用户设定口令的时候不受任何限制,只要不超长。 |
| 回退方案 | vi /etc/default/security ,修改设置到系统加固前状态。 |
| 判断依据 | MIN_PASSWD_LENGTH 值为6或更高 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
|
ELK-HP-UX-01-02-02
| 编号 | ELK-HP-UX-01-02-02 |
| 名称 | 缺省密码复杂度限制 |
| 实施目的 | 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类。 |
| 问题影响 | 增加密码被暴力破解的成功率 |
| 系统当前状态 | 运行 cat /etc/default/security 查看状态,并记录。 |
| 实施步骤 | PASSWORD_MIN_UPPER_CASE_CHARS=N 编辑N为你所需要的设置. 其中, PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N个大写字母; PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N个小写字母; PASSWORD_MIN_DIGIT_CHARS是至少有N个字母; PASSWORD_MIN_SPECIAL_CHARS就是至少要多少个特殊字符.
说明: 如果是11.11的系统, 需要有PHCO_24606: s700_800 11.11 libpam_unix cumulative patch 或其替代补丁安装在系统中. 可以用下面的命令检查是否已经有了该补丁: A. # man security B. # swlist -l product | grep libpam |
| 回退方案 | vi /etc/default/security ,修改设置到系统加固前状态。 |
| 判断依据 | PASSWORD_MIN_DIGIT_CHARS =2 或更高 PASSWORD_MIN_SPECIAL_CHARS =1 或更高 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
|
ELK-HP-UX-01-02-03
| 编号 | ELK-HP-UX-01-02-03 |
| 名称 | 缺省密码生存周期限制 |
| 实施目的 | 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患。 |
| 问题影响 | 密码被非法利用,并且难以管理 |
| 系统当前状态 | 运行 cat /etc/default/security 查看状态,并记录。 |
| 实施步骤 | 1、参考配置操作 vi /etc/default/security文件: PASSWORD_MAXDAYS=90 密码最长生存周期90天 |
| 回退方案 | vi /etc/default/security ,修改设置到系统加固前状态。 |
| 判断依据 | PASSWORD_MAXDAYS=90 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
|
ELK-HP-UX-01-02-04
| 编号 | ELK-HP-UX-01-02-04 |
| 名称 | 密码重复使用限制 |
| 实施目的 | 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。 |
| 问题影响 | 密码破解的几率增加 |
| 系统当前状态 | 运行 cat /etc/default/security 查看状态,并记录。 |
| 实施步骤 | 参考配置操作 vi /etc/default/security文件: PASSWORD_HISTORY_DEPTH=5 |
| 回退方案 | vi /etc/default/security ,修改设置到系统加固前状态。 |
| 判断依据 | PASSWORD_HISTORY_DEPTH=5 |
| 实施风险 | 低 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-01-02-05
| 编号 | ELK-HP-UX-01-02-05 |
| 名称 | 密码重试限制 |
| 实施目的 | 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。 |
| 问题影响 | 允许暴力破解密码 |
| 系统当前状态 | 运行 cat /etc/default/security 查看状态,并记录。 |
| 实施步骤 | 参考配置操作 vi /etc/default/security NUMBER_OF_LOGINS_ALLOWED=7
这个参数控制每个用户允许的登录数量。 |
| 回退方案 | vi /etc/default/security修改设置到系统加固前状态。 |
| 判断依据 | NUMBER_OF_LOGINS_ALLOWED=7 |
| 实施风险 | 中 |
| 重要等级 | ★ |
| 备注 |
|
授权 ELK-HP-UX-01-03-01
| 编号 | ELK-HP-UX-01-03-01 |
| 名称 | 设置关键目录的权限 |
| 实施目的 | 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 |
| 问题影响 | 非法访问文件 |
| 系统当前状态 | 运行ls –al /etc/ 记录关键目录的权限 |
| 实施步骤 | 1、参考配置操作 通过chmod命令对目录的权限进行实际设置。 2、补充操作说明 /etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 必须所有用户都可读,root用户可写 –rw-r—r— 使用如下命令设置: chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外) 执行命令#chmod -R go-w /etc
|
| 回退方案 | 通过chmod命令还原目录权限到加固前状态。 |
| 判断依据 | –rw-r—r— etc/passwd –r-------- /etc/shadow –rw-r—r— /etc/group 或权限更小 |
| 实施风险 | 高 |
| 重要等级 | ★★★ |
| 备注 |
|
ELK-HP-UX-01-03-02
| 编号 | ELK-HP-UX-01-03-02 |
| 名称 | 修改umask值 |
| 实施目的 | 控制用户缺省访问权限,当在创建新文件或目录时,屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 |
| 问题影响 | 非法访问目录 |
| 系统当前状态 | 运行 cat /etc/profile cat /etc/csh.login cat /etc/d.profile cat /etc/d.login 记录当前配置 |
| 实施步骤 | 1、参考配置操作 cd /etc umask 027 for file in profile csh.login d.profile d.login do echo umask 027 >> "$file" done 修改文件或目录的权限,操作举例如下: #chmod 444 dir ; #修改目录dir的权限为所有人都为只读。 根据实际情况设置权限; 2、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置 3、补充说明 umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。 umask的计算: umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
|
| 回退方案 | 修改/etc/profile /etc/csh.login /etc/d.profile /etc/d.login配置文件到加固前状态。 |
| 判断依据 | umask 022 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-01-03-03
| 编号 | ELK-HP-UX-01-03-03 |
| 名称 | FTP用户及服务安全 |
| 实施目的 | 控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。 |
| 问题影响 | 非法FTP登陆操作 非法访问目录 |
| 系统当前状态 | 运行 cat /etc/ftpusers cat /etc/ftpd/ftpaccess cat /etc/ftpd/ftpusers cat /etc/passwd 查看状态,并记录。 |
| 实施步骤 | 参考配置操作 if [[ "$(uname -r)" = B.10* ]]; then ftpusers=/etc/ftpusers else ftpusers=/etc/ftpd/ftpusers fi for name in root daemon bin sys adm lp \ uucp nuucp nobody hpdb useradm do echo $name done >> $ftpusers chmod 600 $ftpusers |
| 回退方案 |
vi /etc/ftpusers; vi /etc/ftpd/ftpaccess; vi /etc/passwd ,修改设置到系统加固前状态。 |
| 判断依据 | 查看# cat /etc/ftpusers 无特殊需求,在这个列表里边的用户名是不允许ftp登陆的。 Root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 /etc/ftpd/ftpaccess设置相应的配置 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-01-03-04
| 编号 | ELK-HP-UX-01-03-04 |
| 名称 | 设置目录权限 |
| 实施目的 | 设置目录权限,防止非法访问目录。 |
| 问题影响 | 非法访问目录 |
| 系统当前状态 | 查看重要文件和目录权限:ls –l并记录。 |
| 实施步骤 | 1、参考配置操作 查看重要文件和目录权限:ls –l 更改权限: 对于重要目录,建议执行如下类似操作: # chmod -R 750 /etc/init.d/* 这样只有root可以读、写和执行这个目录下的脚本。
|
| 回退方案 | 使用chmod 命令还原被修改权限的目录。 |
| 判断依据 | 判断 /etc/init.d/* 下的文件权限750以下 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
日志配置 ELK-HP-UX-02-01-01
| 编号 | ELK-HP-UX-02-01-01 |
| 名称 | 开启内核层审计 |
| 实施目的 | 通过设置内核层审计,让系统记录内核事件,方便管理员分析 |
| 问题影响 | 记录内核事件 |
| 系统当前状态 | 运行cat /etc/rc.config.d/auditing查看状态,并记录。 |
| 实施步骤 | 1、参考配置操作 cat << EOF >> /etc/rc.config.d/auditing AUDITING=1 PRI_SWITCH=10000 SEC_SWITCH=10000 EOF |
| 回退方案 | vi /etc/rc.config.d/auditing,修改设置到系统加固前状态。 |
| 判断依据 | AUDITING=1 PRI_SWITCH=10000 SEC_SWITCH=10000 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
|
ELK-HP-UX-02-01-02
| 编号 | ELK-HP-UX-02-01-02 |
| 名称 | 启用inetd的日志功能 |
| 实施目的 | 记录系统中inetd操作的日志 |
| 问题影响 | 运行 cat /etc/rc.config.d/netdaemons 查看当前状态,并记录。 |
| 系统当前状态 | 运行 cat /etc/rc.config.d/netdaemons 查看当前状态,并记录。 |
| 实施步骤 | 1、参考配置操作 ch_rc -a -p INETD_ARGS=-l /etc/rc.config.d/netdaemons |
| 回退方案 | vi /etc/rc.config.d/netdaemons ,修改设置到系统加固前状态。 |
| 判断依据 | INETD_ARGS=-l |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-02-01-03
| 编号 | ELK-HP-UX-02-01-03 |
| 名称 | 启用设备安全日志功能 |
| 实施目的 | 设备应配置日志功能,记录对与设备相关的安全事件。 |
| 问题影响 | 运行 cat /etc/syslog.conf 查看当前状态,并记录。 |
| 系统当前状态 | 运行 cat /etc/syslog.conf 查看当前状态,并记录。 |
| 实施步骤 | 1、参考配置操作 配置如下类似语句: *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 查看/var/adm/messages,记录有需要的设备相关的安全事件。 |
| 回退方案 | cat /etc/syslog.conf ,修改设置到系统加固前状态。 |
| 判断依据 | cat /etc/syslog.conf |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
通信协议 IP协议安全 ELK-HP-UX-03-01-01
| 编号 | ELK-HP-UX-03-01-01 |
| 名称 | 使用ssh加密传输 |
| 实施目的 | 提高远程管理安全性 |
| 问题影响 | 使用非加密通信,内容易被非法监听 |
| 系统当前状态 | 运行 # ps –elf|grep ssh 查看状态,并记录。 |
| 实施步骤 | 1、参考配置操作 1、参考配置操作 从http://www.software.hp.com可以得到针对HP-UX的OpenSSH安装软件包。然后使用如下命令进行安装: swinstall -s /var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+64.depot /var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+64.depot是一个示例路径。 |
| 回退方案 | 卸载SSH、或者停止SSH服务 |
| 判断依据 | 有SSH进程 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-03-01-02
| 编号 | ELK-HP-UX-03-01-01 |
| 名称 | 加强系统的网络性能 |
| 实施目的 | 调整内核参数,以加强系统的网络性能 |
| 问题影响 | 有助提高系统网络性能 |
| 系统当前状态 | 查看/etc/rc.config.d/nddconf 的配置状态,并记录。 |
| 实施步骤 | 1、参考配置操作 对于HP-UX 11i的版本,应该通过如下命令调整内核参数,以加强系统的网络性能: cd /etc/rc.config.d cat <<EOF > nddconf # Increase size of half-open connection queue TRANSPORT_NAME[0]=tcp NDD_NAME[0]=tcp_syn_rcvd_max NDD_VALUE[0]=4096 # Reduce the half-open timeout TRANSPORT_NAME[1]=tcp NDD_NAME[1]=tcp_ip_abort_cinterval NDD_VALUE[1]=60000 # Reduce timeouts on ARP cache TRANSPORT_NAME[2]=arp NDD_NAME[2]=arp_cleanup_interval NDD_VALUE[2]=60000 # Don't send ICMP redirects TRANSPORT_NAME[3]=ip NDD_NAME[3]=ip_send_redirects NDD_VALUE[3]=0 # Drop source-routed packets TRANSPORT_NAME[4]=ip NDD_NAME[4]=ip_forward_src_routed NDD_VALUE[4]=0 # Don't forward directed broadcasts TRANSPORT_NAME[5]=ip NDD_NAME[5]=ip_forward_directed_broadcasts NDD_VALUE[5]=0 # Don't respond to unicast ICMP timestamp requests TRANSPORT_NAME[6]=ip NDD_NAME[6]=ip_respond_to_timestamp NDD_VALUE[6]=0 # Don't respond to broadcast ICMP tstamp reqs TRANSPORT_NAME[7]=ip NDD_NAME[7]=ip_respond_to_timestamp_broadcast NDD_VALUE[7]=0 # Don't respond to ICMP address mask requests TRANSPORT_NAME[8]=ip NDD_NAME[8]=ip_respond_to_address_mask_broadcast NDD_VALUE[8]=0 EOF chmod go-w,ug-s nddconf |
| 回退方案 | 修改/etc/rc.config.d/nddconf的配置到加固之前的状态,删除新创建的/usr/sbin/in.routed文件 |
| 判断依据 | Cat /etc/rc.config.d/nddconf |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
路由协议安全 ELK-HP-UX-03-02-01
| 编号 | ELK-HP-UX-03-02-01 |
| 名称 | 不转发定向广播包 |
| 实施目的 | 利用ndd命令,可以检测或者更改网络设备驱动程序的特性。在/etc/rc.config.d/nddconf启动脚本中增加以下各条命令,然后重启系统,可以提高网络的安全性。 |
| 问题影响 | 提高网络安全性 |
| 系统当前状态 | 查看 cat /etc/rc.config.d/nddconf的配置状态,并记录。
|
| 实施步骤 | 1、参考配置操作 #不转发定向广播包 /usr/sbin/ndd -set /dev/ip ip_forward_src_routed 1 0 # 不转发原路由包 /usr/sbin/ndd -set /dev/ip ip_forwarding 2 0 #禁止包转发 /usr/sbin/ndd -set /dev/ip ip_pmtu_strategy 2 1 #不采用echo-request PMTU策略 /usr/sbin/ndd -set /dev/ip ip_send_redirects 1 0 #不发ICMP重定向包 /usr/sbin/ndd -set /dev/ip ip_send_source_quench 1 0 #不发ICMP源结束包 /usr/sbin/ndd -set /dev/ip tcp_conn_request_max 20 500 #增加TCP监听数最大值,提高性能 /usr/sbin/ndd -set /dev/ip tcp_syn_rcvd_max 500 500 #HP SYN flood保护 /usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 1 0 不响应ICMP echo请求广播包 由于ndd调用前,已经启动网卡参数,所以可能不能正确设置。 可以采用下列方法,建立一个启动脚本。 # cp /tmp/secconf /etc/rc.config.d
|
| 回退方案 | 修改vi /etc/rc.config.d/nddconf的配置到加固之前的状态 |
| 判断依据 | Cat /etc/rc.config.d/nddconf |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
设备其他安全要求 补丁管理 ELK-HP-UX-04-01-01
| 编号 | ELK-HP-04-01-01 |
| 名称 | 安装补丁 |
| 实施目的 | 安装系统补丁,增强系统强制,安全性. |
| 问题影响 | 影响系统强制,安全性 |
| 系统当前状态 | uname -a |
| 实施步骤 | 参考配置操作 1.获得补丁 HP-UX系统的升级补丁可以从HP-UX Support Plus站点获得,URL是http://www.software.hp.com/SUPPORT_PLUS/ 对于HP-UX 10.x的版本,补丁叫做General Release for HPUX10.x;对于HP-UX 11.x的版本,补丁叫做Quality Pack (QPK) for HP-UX 11.x。 2 安装补丁 HP-UX补丁可以使用swinstall或者SAM安装。例如: swinstall –s \ /tmp/XSW700GR1020_10.20_700.depot \ -x match_target=true /tmp/XSW700GR1020_10.20_700.depot是一个例子。 3 校验补丁 对于已经安装的补丁,可以使用如下命令输出没有正确配置的补丁: swlist –l fileset -a state grep -Ev '(configured|^#)' |
| 回退方案 | 重新安全软件包, |
| 判断依据 |
|
| 实施风险 | 高 |
| 重要等级 | ★★ |
| 备注 |
|
服务进程和启动 ELK-HP-UX-04-02-01
| 编号 | ELK-HP-UX-04-02-01 |
| 名称 | 关闭inetd启动的不必要服务 |
| 实施目的 | 关闭无效的服务,提高系统性能,增加系统安全性。 |
| 问题影响 | 不用的服务会带来很多安全隐患 |
| 系统当前状态 | cat /etc/inet/inetd.conf 查看并记录当前的配置 |
| 实施步骤 | 1、参考配置操作 编辑/etc/inet/inetd.conf文件,注释掉和没有必要服务、不安全服务相关的内容,这些服务包括:tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、rpc.rexd、rpc.rstatd、 rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver等。 重新启动inetd监控进程:kill –HUP `ps –ef|grep –v inetd`
|
| 回退方案 | 还原/etc/inet/inetd.conf文件到加固前的状态。 |
| 判断依据 | 在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。 tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、rpc.rexd、rpc.rstatd、 rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver标记用户用途,定期建立用户列表,比较是否有非法用户 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-04-02-02
| 编号 | ELK-HP-UX-04-02-02 |
| 名称 | 关闭NIS/NIS+相关服务 |
| 实施目的 | 关闭无效的服务,提高系统性能,增加系统安全性。 |
| 问题影响 | 不用的服务会带来很多安全隐患 |
| 系统当前状态 | Cat /etc/rc.config.d/namesvrs查看并记录当前的配置 |
| 实施步骤 | 参考配置操作 Vi /etc/rc.config.d/namesvrs文件: NIS_MASTER_SERVER=0 NIS_SLAVE_SERVER=0 NIS_CLIENT=0 NISPLUS_SERVER=0 NISPLUS_CLIENT=0 |
| 回退方案 | 还原/etc/rc.config.d/namesvrs文件到加固前的状态。 |
| 判断依据 | Cat /etc/rc.config.d/namesvrs
|
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-04-02-03
| 编号 | ELK-HP-UX-04-02-03 |
| 名称 | 关闭打印服务 |
| 实施目的 | 关闭无效的服务进程,提高系统性能,增加系统安全性。 |
| 问题影响 | 不用的服务会带来很多安全隐患,如果系统不是作为打印服务器,应该关闭打印相关的服务,因为UNIX的打印服务有不良的安全记录,历史上出现过大量的安全漏洞。 |
| 系统当前状态 | Cat /etc/rc.config.d/tps Cat /etc/rc.config.d/lp Cat /etc/rc.config.d/pd 查看并记录当前的配置 |
| 实施步骤 | ch_rc -a -p XPRINTSERVERS="''" /etc/rc.config.d/tps ch_rc -a -p LP=0 /etc/rc.config.d/lp ch_rc -a -p PD_CLIENT=0 /etc/rc.config.d/pd
|
| 回退方案 | 还原 /etc/rc.config.d/tps , /etc/rc.config.d/lp和 /etc/rc.config.d/pd下的脚本文件名到加固前的状态。 |
| 判断依据 | Cat /etc/rc.config.d/tps Cat /etc/rc.config.d/lp Cat /etc/rc.config.d/pd
|
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-04-02-04
| 编号 | ELK-HP-UX-04-02-04 |
| 名称 | 关闭sendmail服务 |
| 实施目的 | 关闭无效的服务,提高系统性能,增加系统安全性。 |
| 问题影响 | 不用的服务会带来很多安全隐患 |
| 系统当前状态 | Cat /etc/rc.config.d/mailservs查看并记录当前的配置 |
| 实施步骤 | 参考配置操作 echo SENDMAIL_SERVER=0 >> /etc/rc.config.d/mailservs cd /var/spool/cron/crontabs crontab –l >root.tmp echo '0 * * * * /usr/lib/sendmail -q' >>root.tmp crontab root.tmp rm –f root.tmp |
| 回退方案 | 还原/etc/rc.config.d/mailservs文件到加固前的状态。 |
| 判断依据 | Cat /etc/rc.config.d/mailservs
|
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-04-02-05
| 编号 | ELK-HP-UX-04-02-05 |
| 名称 | 关闭NFS相关服务 |
| 实施目的 | 关闭无效的服务,提高系统性能,增加系统安全性。 |
| 问题影响 | 不用的服务会带来很多安全隐患 |
| 系统当前状态 | Cat /etc/rc.config.d/nfsconf查看并记录当前的配置 |
| 实施步骤 | 参考配置操作 mv /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core mv /sbin/rc3.d/S100nfs.server /sbin/rc3.d/.NOS100nfs.server
cd /sbin/rc2.d mv S430nfs.client .NOS430nfs.client
cat <<EOF>> /etc/rc.config.d/nfsconf NFS_SERVER=0 PCNFS_SERVER=0 NUM_NFSD=0 NUM_NFSIOD=0 START_MOUNTD=0 EOF
cat <<EOF>> /etc/rc.config.d/nfsconf |
| 回退方案 | 还原/etc/rc.config.d/nfsconf文件到加固前的状态。 |
| 判断依据 | Cat /etc/rc.config.d/nfsconf
|
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-04-02-06
| 编号 | ELK-HP-UX-04-02-06 |
| 名称 | 关闭SNMP服务 |
| 实施目的 | 关闭无效的服务,提高系统性能,增加系统安全性。 |
| 问题影响 | 不用的服务会带来很多安全隐患 |
| 系统当前状态 | Cat /etc/rc.config.d/SnmpHpunix Cat /etc/rc.config.d/SnmpMaster Cat /etc/rc.config.d/SnmpTrpDst 查看并记录当前的配置 |
| 实施步骤 | 参考配置操作 cd /sbin/rc2.d mv S565OspfMib .NOS565OspfMib mv S941opcagt .NOS941opcagt mv S570SnmpFddi .NOS570SnmpFddi vi /etc/rc.config.d/SnmpHpunix文件 SNMP_HPUNIX_START=0 Vi /etc/rc.config.d/SnmpMaster文件 SNMP_MASTER_START=0 Vi /etc/rc.config.d/SnmpMib2文件 SNMP_MIB2_START=0 Vi /etc/rc.config.d/SnmpTrpDst文件 SNMP_TRAPDEST_START=0 |
| 回退方案 | 还原 /etc/rc.config.d/SnmpHpunix , /etc/rc.config.d/SnmpMaster 和/etc/rc.config.d/SnmpTrpDst文件到加固前的状态。 |
| 判断依据 | Cat /etc/rc.config.d/SnmpHpunix Cat /etc/rc.config.d/SnmpMaster Cat /etc/rc.config.d/SnmpTrpDst
|
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
屏幕保护 ELK-HP-UX-04-03-01
| 编号 | ELK-HP-UX-04-03-01 |
| 名称 | 设置登录超时时间 |
| 实施目的 | 对于具备字符交互界面的设备,应配置定时帐户自动登出。 |
| 问题影响 | 管理员忘记退出被非法利用 |
| 系统当前状态 | 查看/etc/profile文件的配置状态,并记录。 |
| 实施步骤 | 参考配置操作 可以在用户的.profile文件中"HISTFILESIZE="后面增加如下行: vi /etc/profile $ TMOUT=180;export TMOUT |
| 回退方案 | 修改/etc/profile的配置到加固之前的状态。 |
| 判断依据 | TMOUT=180 |
| 实施风险 | 中 |
| 重要等级 | ★ |
| 备注 |
|
内核调整 ELK-HP-UX-04-04-01
| 编号 | ELK-HP-UX-04-04-01 |
| 名称 | 调整内核设置 |
| 实施目的 | 防止堆栈缓冲溢出 |
| 问题影响 | 堆栈缓冲溢出 |
| 系统当前状态 |
|
| 实施步骤 | 参考配置操作 /usr/sbin/kmtune -s executable_stack=0 &&mk_kernel &&kmupdate |
| 回退方案 |
|
| 判断依据 | executable_stack=0 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
ELK-HP-UX-04-04-02
| 编号 | ELK-HP-UX-04-04-02 |
| 名称 | 安装TCP_Wrapper防火墙软件 |
| 实施目的 | 防止网络攻击 |
| 问题影响 | 没有影响 |
| 系统当前状态 |
|
| 实施步骤 | 参考配置操作 make hpux mkdir -p /usr/local/sbin /usr/local/include \ /usr/local/lib /usr/local/man/man5 \ /usr/local/man/man1m chmod 755 /usr/local/sbin /usr/local/include \ /usr/local/lib /usr/local/man/man5 \ /usr/local/man/man1m for file in safe_finger tcpd tcpdchk \ tcpdmatch try-from do /usr/sbin/install -s -f /usr/local/sbin \ -m 0555 -u root -g daemon $file done for file in *.5 |
| 回退方案 | 卸载TCP_Wrapper |
| 判断依据 |
|
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
其他调整 ELK-HP-UX-04-05-01
| 编号 | ELK-HP-UX-04-05-01 |
| 名称 | 引导身份验证 |
| 实施目的 | 使用引导身份验证功能防止未经授权的访问 |
| 问题影响 | 未经授权访问 |
| 系统当前状态 | cat /etc/default/security|grep BOOT |
| 实施步骤 | 参考配置操作 BOOT_AUTH=1 BOOT_USERS=root,mary,jack,amy,jane |
| 回退方案 | 还原 /etc/default/security到系统更改前 |
| 判断依据 | BOOT_AUTH=1 BOOT_USERS=root,mary,jack,amy,jane |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
|
1432
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
