HP-UNIX主机操作系统加固规范V03.doc

HP Unix 主机操作系统加固规范主机操作系统加固规范 20202020 年年 1 1 月月 目目 录录 1账号管理 认证授权账号管理 认证授权 1 1 1账号 1 1 1 1SHG HP UX 01 01 01 1 1 1 2SHG HP UX 01 01 02 2 1 1 3SHG HP UX 01 01 03 3 1 1 4SHG HP UX 01 01 04 4 1 1 5SHG HP UX 01 01 05 4 1 2口令 6 1 2 1SHG HP UX 01 02 01 6 1 2 2SHG HP UX 01 02 02 6 1 2 3SHG HP UX 01 02 03 8 1 2 4SHG HP UX 01 02 04 9 1 2 5SHG HP UX 01 02 05 9 1 3授权 10 1 3 1SHG HP UX 01 03 01 10 1 3 2SHG HP UX 01 03 02 11 1 3 3SHG HP UX 01 03 03 13 1 3 4SHG HP UX 01 03 04 14 2日志配置日志配置 15 2 1 1SHG HP UX 02 01 01 15 2 1 2SHG HP UX 02 01 02 16 2 1 3SHG HP UX 02 01 03 17 3通信协议通信协议 18 3 1IP 协议安全 18 3 1 1SHG HP UX 03 01 01 18 3 1 2SHG HP UX 03 01 02 19 3 2路由协议安全 21 3 2 1SHG HP UX 03 02 01 21 4设备其他安全要求设备其他安全要求 22 4 1补丁管理 22 4 1 1SHG HP UX 04 01 01 22 4 2服务进程和启动 24 4 2 1SHG HP UX 04 02 01 24 4 2 2SHG HP UX 04 02 02 25 4 2 3SHG HP UX 04 02 03 25 4 2 4SHG HP UX 04 02 04 26 4 2 5SHG HP UX 04 02 05 27 4 2 6SHG HP UX 04 02 06 28 4 3屏幕保护 30 4 3 1SHG HP UX 04 03 01 30 4 4内核调整 31 4 4 1SHG HP UX 04 04 01 31 4 4 2SHG HP UX 04 04 02 31 4 5其他调整 32 4 5 1SHG HP UX 04 05 01 32 本文档是 HP UX 操作系统的对于 HP UX 操作系统设备账号认证 日志 协议 补丁升级 文件系统管理等方面的安全配置要求 共 29 项 对系统的安全配置审计 加固操作起到指导性 作用 1 1 1 1 账号管理 认证授权账号管理 认证授权账号管理 认证授权账号管理 认证授权 1 11 11 1账号账号账号账号 1 1 11 1 11 1 11 1 1 SHG HP UX 01 01 01SHG HP UX 01 01 01SHG HP UX 01 01 01SHG HP UX 01 01 01 编号SHG HP UX 01 01 01 名称为不同的管理员分配不同的账号 实施目的根据不同类型用途设置不同的帐户账号 提高系统安全 问题影响账号混淆 权限不明确 存在用户越权使用的可能 系统当前状态cat etc passwd 记录当前用户列表 实施步骤 1 1 参考配置操作 参考配置操作 为用户创建账号 useradd username 创建账号 passwd username 设置密码 修改权限 chmod 750 directory 其中 755 为设置的权限 可根据实际情况 设置相应的权限 directory 是要更改权限的目录 使用该命令为不同的用户分配不同的账号 设置不同的口令及权限 信息等 回退方案删除新增加的帐户 判断依据标记用户用途 定期建立用户列表 比较是否有非法用户 实施风险高 重要等级 备注 1 1 21 1 21 1 21 1 2 SHG HP UX 01 01 02SHG HP UX 01 01 02SHG HP UX 01 01 02SHG HP UX 01 01 02 编号 SHG HP UX 01 01 02 名称删除或锁定无效账号 实施目的删除或锁定无效的账号 减少系统安全隐患 问题影响允许非法利用系统默认账号 系统当前状态 cat etc passwd 记录当前用户列表 cat etc shadow 记录当前 密码配置 实施步骤 参考配置操作参考配置操作 删除用户 userdel username 锁定用户 1 修改 etc shadow 文件 用户名后加 LK 2 将 etc passwd 文件中的 shell 域设置成 bin false 3 passwd l username 只有具备超级用户权限的使用者方可使用 passwd l username 锁定用户 用 passwd d username 解锁后原有密码失效 登录需 输入新密码 修改 etc shadow 能保留原有密码 回退方案新建删除用户 判断依据如上述用户不需要 则锁定 实施风险高 重要等级 备注 1 1 31 1 31 1 31 1 3 SHG HP UX 01 01 0SHG HP UX 01 01 0SHG HP UX 01 01 0SHG HP UX 01 01 03 3 3 3 编号 SHG HP UX 01 01 03 名称对系统账号进行登录限制 实施目的 对系统账号进行登录限制 确保系统账号仅被守护进程和服务使用 问题影响可能利用系统进程默认账号登陆 账号越权使用 系统当前状态cat etc shadow 查看各账号状态 实施步骤 1 1 参考配置操作 参考配置操作 禁止账号交互式登录 修改 etc shadow 文件 用户名后密码列为 NP 删除账号 userdel username 2 2 补充操作说明 补充操作说明 禁止交互登录的系统账号 比如 daemon bin sys adm lp uucp nuucp smmsp 等等 Example bin NP 60002 60002 No Access User sbin noshell 回退方案还原 etc shadow 文件配置 判断依据 etc shadow 中上述账号 如果无特殊情况 密码列为 NP 实施风险高 重要等级 备注 可修改 SSHINSTALL etc sshd config 中 PermitRootLogin no 注意 禁止 root 登陆 必须首先建立普通账号 测试普通账号登陆 su root 之后才能进行加固 注意 su 指令文件的权限必须要有 s 位 Hp ux 的 root 密码如果设置特殊字符比较多也可能 su sorry 1 1 41 1 41 1 41 1 4 SHG HP UX 01 01 04SHG HP UX 01 01 04SHG HP UX 01 01 04SHG HP UX 01 01 04 编号 SHG HP UX 01 01 04 名称为空口令用户设置密码 实施目的 禁止空口令用户 存在空口令是很危险的 用户不用口令认证就能 进入系统 问题影响用户被非法利用 系统当前状态 cat etc passwd 实施步骤 用 root 用户登陆 HP UX 系统 执行 passwd 命令 给用户增加口令 例如 passwd test test 回退方案 Root 身份设置用户口令 取消口令 如做了口令策略则失败 判断依据 登陆系统判断 Cat etc passwd 实施风险高 重要等级 备注 1 1 51 1 51 1 51 1 5 SHG HP UX 01 01 05SHG HP UX 01 01 05SHG HP UX 01 01 05SHG HP UX 01 01 05 编号 SHG HP UX 01 01 05 名称删除属于 root 用户存在潜在危险文件 实施目的 rhost netrc 或 root rhosts root netrc 文件都具有潜在的危险 应该删除 问题影响无影响 系统当前状态 cat rhost cat netr cat root rhosts cat root netrc 实施步骤 Mv rhost rhost bak Mv netr netr bak Cd root Mv rhost rhost bak Mv netr netr bak 回退方案 Mv rhost bak rhost Mv netr bak netr Cd root Mv rhost bak rhost Mv netr bak netr 判断依据 登陆系统判断 Cat etc passwd 实施风险高 重要等级 备注 1 21 21 2口令口令口令口令 1 2 11 2 11 2 11 2 1 SHG HP UX 01 02 01SHG HP UX 01 02 01SHG HP UX 01 02 01SHG HP UX 01 02 01 编号 SHG HP UX 01 02 01 名称缺省密码长度限制 实施目的 防止系统弱口令的存在 减少安全隐患 对于采用静态口令认证技 术的设备 口令长度至少 6 位 问题影响增加密码被暴力破解的成功率 系统当前状态运行 cat etc default security 查看状态 并记录 实施步骤 参考配置操作参考配置操作 vi etc default security 修改设置如下 MIN PASSWD LENGTH 6 设定最小用户密码长度为 6 位 当用 root 帐户给用户设定口令的时候不受任何限制 只要不超长 回退方案vi etc default security 修改设置到系统加固前状态 判断依据MIN PASSWD LENGTH 值为 6 或更高 实施风险低 重要等级 备注 1 2 21 2 21 2 21 2 2 SHG HP UX 01 02 02SHG HP UX 01 02 02SHG HP UX 01 02 02SHG HP UX 01 02 02 编号 SHG HP UX 01 02 02 名称缺省密码复杂度限制 实施目的 防止系统弱口令的存在 减少安全隐患 对于采用静态口令认证技术的设 备 包括数字 小写字母 大写字母和特殊符号 4 类中至少 2 类 问题影响增加密码被暴力破解的成功率 系统当前状态运行 cat etc default security 查看状态 并记录 实施步骤 PASSWORD MIN UPPER CASE CHARS N PASSWORD MIN LOWER CASE CHARS N PASSWORD MIN DIGIT CHARS N PASSWORD MIN SPECIAL CHARS N 编辑 N 为你所需要的设置 其中 PASSWORD MIN UPPER CASE CHARS 就是至少有 N 个大写字母 PASSWORD MIN LOWER CASE CHARS 就是至少要有 N 个小写字母 PASSWORD MIN DIGIT CHARS 是至少有 N 个字母 PASSWORD MIN SPECIAL CHARS 就是至少要多少个特殊字符 说明 如果是 11 11 的系统 需要有 PHCO 24606 s700 800 11 11 libpam unix cumulative patch 或其替代补丁安装在系统中 可以用下面的命令检查是否 已经有了该补丁 A man security 看里面列的参数是否有 PASSWORD MIN UPPER CASE CHARS PASSWORD MIN LOWER CASE CHARS PASSWORD MIN DIGIT CHARS PASSWORD MIN SPECIAL CHARS 这些参数的说明 如果有 就表明系统具有这个功能 B swlist l product grep libpam 看是否有比 PHCO 24606 补丁更新的 libpam 补丁 回退方案vi etc default security 修改设置到系统加固前状态 判断依据 PASSWORD MIN DIGIT CHARS 2 或更高 PASSWORD MIN SPECIAL CHARS 1 或更高 实施风险低 重要等级 备注 1 2 31 2 31 2 31 2 3 SHG HP UX 01 02 03SHG HP UX 01 02 03SHG HP UX 01 02 03SHG HP UX 01 02 03 编号 SHG HP UX 01 02 03 名称缺省密码生存周期限制 实施目的 对于采用静态口令认证技术的设备 帐户口令的生存期不长于 90 天 减少口令安全隐患 问题影响密码被非法利用 并且难以管理 系统当前状态运行 cat etc default security 查看状态 并记录 实施步骤 1 1 参考配置操作 参考配置操作 vi etc default security 文件 PASSWORD MAXDAYS 90 密码最长生存周期 90 天 回退方案vi etc default security 修改设置到系统加固前状态 判断依据PASSWORD MAXDAYS 90 实施风险低 重要等级 备注 1 2 41 2 41 2 41 2 4 SHG HP UX 01 02 04SHG HP UX 01 02 04SHG HP UX 01 02 04SHG HP UX 01 02 04 编号 SHG HP UX 01 02 04 名称密码重复使用限制 实施目的 对于采用静态口令认证技术的设备 应配置设备 使用户不能重复 使用最近 5 次 含 5 次 内已使用的口令 问题影响密码破解的几率增加 系统当前状态运行 cat etc default security 查看状态 并记录 实施步骤 参考配置操作参考配置操作 vi etc default security 文件 PASSWORD HISTORY DEPTH 5 回退方案 vi etc default security 修改设置到系统加固前状态 判断依据PASSWORD HISTORY DEPTH 5 实施风险低 重要等级 备注 1 2 51 2 51 2 51 2 5 SHG HP UX 01 02 05SHG HP UX 01 02 05SHG HP UX 01 02 05SHG HP UX 01 02 05 编号 SHG HP UX 01 02 05 名称密码重试限制 实施目的 对于采用静态口令认证技术的设备 应配置当用户连续认证失败次 数超过 6 次 不含 6 次 锁定该用户使用的账号 问题影响允许暴力破解密码 系统当前状态运行 cat etc default security 查看状态 并记录 实施步骤 参考配置操作参考配置操作 vi etc default security NUMBER OF LOGINS ALLOWED 7 这个参数控制每个用户允许的登录数量 此参数仅适用于非 root 用户 回退方案 vi etc default security 修改设置到系统加固前状态 判断依据 NUMBER OF LOGINS ALLOWED 7 实施风险中 重要等级 备注 1 31 31 3授权授权授权授权 1 3 11 3 11 3 11 3 1 SHG HP UX 01 03 01SHG HP UX 01 03 01SHG HP UX 01 03 01SHG HP UX 01 03 01 编号 SHG HP UX 01 03 01 名称设置关键目录的权限 实施目的 在设备权限配置能力内 根据用户的业务需要 配置其所需的最小 权限 问题影响非法访问文件 系统当前状态运行 ls al etc 记录关键目录的权限 实施步骤 1 1 参考配置操作 参考配置操作 通过 chmod 命令对目录的权限进行实际设置 2 2 补充操作说明 补充操作说明 etc passwd 必须所有用户都可读 root 用户可写 rw r r etc shadow 只有 root 可读 r etc group 必须所有用户都可读 root 用户可写 rw r r 使用如下命令设置 chmod 644 etc passwd chmod 600 etc shadow chmod 644 etc group 如果是有写权限 就需移去组及其它用户对 etc 的写权限 特殊情 况除外 执行命令 chmod R go w etc 回退方案 通过 chmod 命令还原目录权限到加固前状态 判断依据 rw r r etc passwd r etc shadow rw r r etc group 或权限更小 实施风险高 重要等级 备注 1 3 21 3 21 3 21 3 2 SHG HP UX 01 03 02SHG HP UX 01 03 02SHG HP UX 01 03 02SHG HP UX 01 03 02 编号 SHG HP UX 01 03 02 名称修改 umask 值 实施目的 控制用户缺省访问权限 当在创建新文件或目录时 屏蔽掉新文件 或目录不应有的访问允许权限 防止同属于该组的其它用户及别的 组的用户修改该用户的文件或更高限制 问题影响非法访问目录 系统当前状态 运行 cat etc profile cat etc csh login cat etc d profile cat etc d login 记录当前配置 实施步骤 1 1 参考配置操作 参考配置操作 cd etc umask 027 for file in profile csh login d profile d login do echo umask 027 file done 修改文件或目录的权限 操作举例如下 chmod 444 dir 修改目录 dir 的权限为所有人都为只读 根据实际情况设置权限 2 2 补充操作说明 补充操作说明 如果用户需要使用一个不同于默认全局系统设置的 umask 可以在 需要的时候通过命令行设置 或者在用户的 shell 启动文件中配置 3 3 补充说明 补充说明 umask 的默认设置一般为 022 这给新创建的文件默认权限 755 777 022 755 这会给文件所有者读 写权限 但只给组成员 和其他用户读权限 umask 的计算 umask 是使用八进制数据代码设置的 对于目录 该值等于八进制 数据代码 777 减去需要的默认权限对应的八进制数据代码值 对于 文件 该值等于八进制数据代码 666 减去需要的默认权限对应的八 进制数据代码值 回退方案 修改 etc profile etc csh login etc d profile etc d login 配置文件到加固 前状态 判断依据 umask 022 实施风险高 重要等级 备注 1 3 31 3 31 3 31 3 3 SHG HP UX 01 03 03SHG HP UX 01 03 03SHG HP UX 01 03 03SHG HP UX 01 03 03 编号 SHG HP UX 01 03 03 名称FTP 用户及服务安全 实施目的 控制 FTP 进程缺省访问权限 当通过 FTP 服务创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限 问题影响 非法 FTP 登陆操作 非法访问目录 系统当前状态 运行 cat etc ftpusers cat etc ftpd ftpaccess cat etc ftpd ftpusers cat etc passwd 查看状态 并记录 实施步骤 参考配置操作参考配置操作 if uname r B 10 then ftpusers etc ftpusers else ftpusers etc ftpd ftpusers fi for name in root daemon bin sys adm lp uucp nuucp nobody hpdb useradm do echo name done ftpusers chmod 600 ftpusers 回退方案vi etc ftpusers vi etc ftpd ftpaccess vi etc passwd 修改设置到系统加固前状态 判断依据 查看 cat etc ftpusers 无特殊需求 在这个列表里边的用户名是不允许 ftp 登陆的 Root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 etc ftpd ftpaccess 设置相应的配置 实施风险高 重要等级 备注 1 3 41 3 41 3 41 3 4 SHG HP UX 01 03 0SHG HP UX 01 03 0SHG HP UX 01 03 0SHG HP UX 01 03 04 4 4 4 编号 SHG HP UX 01 03 04 名称设置目录权限 实施目的设置目录权限 防止非法访问目录 问题影响非法访问目录 系统当前状态查看重要文件和目录权限 ls l 并记录 实施步骤 1 1 参考配置操作 参考配置操作 查看重要文件和目录权限 ls l 更改权限 对于重要目录 建议执行如下类似操作 chmod R 750 etc init d 这样只有 root 可以读 写和执行这个目录下的脚本 回退方案 使用 chmod 命令还原被修改权限的目录 判断依据判断 etc init d 下的文件权限 750 以下 实施风险高 重要等级 备注 2 2 2 2 日志配置日志配置日志配置日志配置 2 1 12 1 12 1 12 1 1 SHG HP UX 02 01 01SHG HP UX 02 01 01SHG HP UX 02 01 01SHG HP UX 02 01 01 编号 SHG HP UX 02 01 01 名称开启内核层审计 实施目的通过设置内核层审计 让系统记录内核事件 方便管理员分析 问题影响记录内核事件 系统当前状态运行 cat etc rc config d auditing 查看状态 并记录 实施步骤 1 1 参考配置操作 参考配置操作 cat etc rc config d auditing AUDITING 1 PRI SWITCH 10000 SEC SWITCH 10000 EOF 回退方案 vi etc rc config d auditing 修改设置到系统加固前状态 判断依据 AUDITING 1 PRI SWITCH 10000 SEC SWITCH 10000 实施风险低 重要等级 备注 2 1 22 1 22 1 22 1 2 SHG HP UX 02 01 02SHG HP UX 02 01 02SHG HP UX 02 01 02SHG HP UX 02 01 02 编号 SHG HP UX 02 01 02 名称启用 inetd 的日志功能 实施目的记录系统中 inetd 操作的日志 问题影响运行 cat etc rc config d netdaemons 查看当前状态 并记录 系统当前状态运行 cat etc rc config d netdaemons 查看当前状态 并记录 实施步骤 1 1 参考配置操作 参考配置操作 ch rc a p INETD ARGS l etc rc config d netdaemons 回退方案 vi etc rc config d netdaemons 修改设置到系统加固前状态 判断依据INETD ARGS l 实施风险高 重要等级 备注 2 1 32 1 32 1 32 1 3 SHG HP UX 02 01 03SHG HP UX 02 01 03SHG HP UX 02 01 03SHG HP UX 02 01 03 编号 SHG HP UX 02 01 03 名称启用设备安全日志功能 实施目的设备应配置日志功能 记录对与设备相关的安全事件 问题影响运行 cat etc syslog conf 查看当前状态 并记录 系统当前状态运行 cat etc syslog conf 查看当前状态 并记录 实施步骤 1 1 参考配置操作 参考配置操作 配置如下类似语句 err kern debug daemon notice var adm messages 定义为需要保存的设备相关安全事件 查看 var adm messages 记录有需要的设备相关的安全事件 回退方案 cat etc syslog conf 修改设置到系统加固前状态 判断依据cat etc syslog conf 实施风险高 重要等级 备注 3 3 3 3 通信协议通信协议通信协议通信协议 3 13 13 1 IPIPIP 协议安全协议安全协议安全协议安全 3 1 13 1 13 1 13 1 1 SHG HP UX 03 01 01SHG HP UX 03 01 01SHG HP UX 03 01 01SHG HP UX 03 01 01 编号 SHG HP UX 03 01 01 名称使用 ssh 加密传输 实施目的提高远程管理安全性 问题影响使用非加密通信 内容易被非法监听 系统当前状态运行 ps elf grep ssh 查看状态 并记录 实施步骤 1 1 参考配置操作 参考配置操作 1 参考配置操作 参考配置操作 从 可以得到针对 HP UX 的 OpenSSH 安 装软件包 然后使用如下命令进行安装 swinstall s var adm T1471AA A 03 10 002 HP UX B 11 11 32 64 depot var adm T1471AA A 03 10 002 HPUX B 11 11 32 64 depot 是一个 示例路径 回退方案 卸载 SSH 或者停止 SSH 服务 判断依据有 SSH 进程 实施风险高 重要等级 备注 3 1 23 1 23 1 23 1 2 SHG HP UX 03 01 02SHG HP UX 03 01 02SHG HP UX 03 01 02SHG HP UX 03 01 02 编号 SHG HP UX 03 01 01 名称加强系统的网络性能 实施目的调整内核参数 以加强系统的网络性能 问题影响有助提高系统网络性能 系统当前状态 查看 etc rc config d nddconf 的配置状态 并记录 实施步骤 1 参考配置操作 参考配置操作 对于 HP UX 11i 的版本 应该通过如下命令调整内核参数 以加强 系统的网络性能 cd etc rc config d cat nddconf Increase size of half open connection queue TRANSPORT NAME 0 tcp NDD NAME 0 tcp syn rcvd max NDD VALUE 0 4096 Reduce the half open timeout TRANSPORT NAME 1 tcp NDD NAME 1 tcp ip abort cinterval NDD VALUE 1 60000 Reduce timeouts on ARP cache TRANSPORT NAME 2 arp NDD NAME 2 arp cleanup interval NDD VALUE 2 60000 Don t send ICMP redirects TRANSPORT NAME 3 ip NDD NAME 3 ip send redirects NDD VALUE 3 0 Drop source routed packets TRANSPORT NAME 4 ip NDD NAME 4 ip forward src routed NDD VALUE 4 0 Don t forward directed broadcasts TRANSPORT NAME 5 ip NDD NAME 5 ip forward directed broadcasts NDD VALUE 5 0 Don t respond to unicast ICMP timestamp requests TRANSPORT NAME 6 ip NDD NAME 6 ip respond to timestamp NDD VALUE 6 0 Don t respond to broadcast ICMP tstamp reqs TRANSPORT NAME 7 ip NDD NAME 7 ip respond to timestamp broadcast NDD VALUE 7 0 Don t respond to ICMP address mask requests TRANSPORT NAME 8 ip NDD NAME 8 ip respond to address mask broadcast NDD VALUE 8 0 EOF chmod go w ug s nddconf 回退方案 修改 etc rc config d nddconf 的配置到加固之前的状态 删除新创建 的 usr sbin in routed 文件 判断依据 Cat etc rc config d nddconf 实施风险高 重要等级 备注 3 23 23 2路由协议安全路由协议安全路由协议安全路由协议安全 3 2 13 2 13 2 13 2 1 SHG HP UX 03 02 01SHG HP UX 03 02 01SHG HP UX 03 02 01SHG HP UX 03 02 01 编号 SHG HP UX 03 02 01 名称不转发定向广播包 实施目的 利用 ndd 命令 可以检测或者更改网络设备驱动程序的特性 在 etc rc config d nddconf 启动脚本中增加以下各条命令 然后重启系 统 可以提高网络的安全性 问题影响提高网络安全性 系统当前状态 查看 cat etc rc config d nddconf 的配置状态 并记录 实施步骤 1 1 参考配置操作 参考配置操作 不转发定向广播包 usr sbin ndd set dev ip ip forward src routed 1 0 不转发原路由包 usr sbin ndd set dev ip ip forwarding 2 0 禁止包转发 usr sbin ndd set dev ip ip pmtu strategy 2 1 不采用 echo request PMTU 策略 usr sbin ndd set dev ip ip send redirects 1 0 不发 ICMP 重定向包 usr sbin ndd set dev ip ip send source quench 1 0 不发 ICMP 源结束包 usr sbin ndd set dev ip tcp conn request max 20 500 增加 TCP 监听数最大值 提高性能 usr sbin ndd set dev ip tcp syn rcvd max 500 500 HP SYN flood 保护 usr sbin ndd set dev ip ip respond to echo broadcast 1 0 不响应 ICMP echo 请求广播包 由于 ndd 调用前 已经启动网卡参数 所以可能不能正确设置 可以采用下列方法 建立一个启动脚本 cp tmp secconf etc rc config d chmod 444 etc rc config d secconf cp tmp sectune sbin init d chmod 555 sbin init d sectune ln s sbin init d sectune sbin rc2 d S009sectune 回退方案 修改 vi etc rc config d nddconf 的配置到加固之前的状态 判断依据 Cat etc rc config d nddconf 实施风险高 重要等级 备注 4 4 4 4 设备其他安全要求设备其他安全要求设备其他安全要求设备其他安全要求 4 14 14 1 补丁管理补丁管理补丁管理补丁管理 4 1 14 1 14 1 14 1 1 SHG HP UX 04 01 01SHG HP UX 04 01 01SHG HP UX 04 01 01SHG HP UX 04 01 01 编号 HP 04 01 01 名称安装补丁 实施目的安装系统补丁 增强系统强制 安全性 问题影响影响系统强制 安全性 系统当前状态 uname a 实施步骤 参考配置操作参考配置操作 1 获得补丁 HP UX 系统的升级补丁可以从 HP UX Support Plus 站点获得 URL 是 对于 HP UX 10 x 的版本 补丁叫做 General Release for HPUX10 x 对于 HP UX 11 x 的版本 补丁叫做 Quality Pack QPK for HP UX 11 x 2安装补丁 HP UX 补丁可以使用 swinstall 或者 SAM 安装 例如 swinstall s tmp XSW700GR1020 10 20 700 depot x match target true tmp XSW700GR1020 10 20 700 depot 是一个例子 3校验补丁 对于已经安装的补丁 可以使用如下命令输出没有正确配置的补丁 swlist l fileset a state grep Ev configured 回退方案 重新安全软件包 判断依据 实施风险高 重要等级 备注 4 24 24 2 服务服务服务服务进程和启动进程和启动进程和启动进程和启动 4 2 14 2 14 2 14 2 1 SHG HP UX 04 02 01SHG HP UX 04 02 01SHG HP UX 04 02 01SHG HP UX 04 02 01 编号 SHG HP UX 04 02 01 名称关闭 inetd 启动的不必要服务 实施目的关闭无效的服务 提高系统性能 增加系统安全性 问题影响不用的服务会带来很多安全隐患 系统当前状态cat etc inet inetd conf 查看并记录当前的配置 实施步骤 1 1 参考配置操作 参考配置操作 编辑 etc inet inetd conf 文件 注释掉和没有必要服务 不安全服务 相关的内容 这些服务包括 tftp bootps finger login shell exec uucp ntalk auth printer daytime time echo discard chargen rpc rexd rpc rstatd rpc rusersd rpc rwalld rpc rquotad rpc sprayd rpc ttdbserver 等 重新启动 inetd 监控进程 kill HUP ps ef grep v inetd 回退方案 还原 etc inet inetd conf 文件到加固前的状态 判断依据 在 etc inetd conf文件中禁止下列不必要的基本网络服务 tftp bootps finger login shell exec uucp ntalk auth printer daytime time echo discard chargen rpc rexd rpc rstatd rpc rusersd rpc rwalld rpc rquotad rpc sprayd rpc ttdbserver 标记 用户用途 定期建立用户列表 比较是否有非法用户 实施风险高 重要等级 备注 4 2 24 2 24 2 24 2 2 SHG HP UX 04 02 0SHG HP UX 04 02 0SHG HP UX 04 02 0SHG HP UX 04 02 02 2 2 2 编号 SHG HP UX 04 02 02 名称关闭 NIS NIS 相关服务 实施目的关闭无效的服务 提高系统性能 增加系统安全性 问题影响不用的服务会带来很多安全隐患 系统当前状态 Cat etc rc config d namesvrs 查看并记录当前的配置 实施步骤 参考配置操作参考配置操作 Vi etc rc config d namesvrs 文件 NIS MASTER SERVER 0 NIS SLAVE SERVER 0 NIS CLIENT 0 NISPLUS SERVER 0 NISPLUS CLIENT 0 回退方案 还原 etc rc config d namesvrs 文件到加固前的状态 判断依据 Cat etc rc config d namesvrs 实施风险高 重要等级 备注 4 2 34 2 34 2 34 2 3 SHG HP UX 04 02 0SHG HP UX 04 02 0SHG HP UX 04 02 0SHG HP UX 04 02 03 3 3 3 编号 SHG HP UX 04 02 03 名称关闭打印服务 实施目的关闭无效的服务进程 提高系统性能 增加系统安全性 问题影响不用的服务会带来很多安全隐患 如果系统不是作为打印服务器 应 该关闭打印相关的服务 因为 UNIX 的打印服务有不良的安全记录 历史上出现过大量的安全漏洞 系统当前状态 Cat etc rc config d tps Cat etc rc config d lp Cat etc rc config d pd 查看并记录当前的配置 实施步骤 ch rc a p XPRINTSERVERS etc rc config d tps ch rc a p LP 0 etc rc config d lp ch rc a p PD CLIENT 0 etc rc config d pd 回退方案 还原 etc rc config d tps etc rc config d lp 和 etc rc config d pd 下的脚本 文件名到加固前的状态 判断依据 Cat etc rc config d tps Cat etc rc config d lp Cat etc rc config d pd 实施风险高 重要等级 备注 4 2 44 2 44 2 44 2 4 SHG HP UX 04 02 04SHG HP UX 04 02 04SHG HP UX 04 02 04SHG HP UX 04 02 04 编号 SHG HP UX 04 02 04 名称关闭 sendmail 服务 实施目的关闭无效的服务 提高系统性能 增加系统安全性 问题影响不用的服务会带来很多安全隐患 系统当前状态 Cat etc rc config d mailservs 查看并记录当前的配置 实施步骤 参考配置操作参考配置操作 echo SENDMAIL SERVER 0 etc rc config d mailservs cd var spool cron crontabs crontab l root tmp echo 0 usr lib sendmail q root tmp crontab root tmp rm f root tmp 回退方案 还原 etc rc config d mailservs 文件到加固前的状态 判断依据 Cat etc rc config d mailservs 实施风险高 重要等级 备注 4 2 54 2 54 2 54 2 5 SHG HP UX 04 02 05SHG HP UX 04 02 05SHG HP UX 04 02 05SHG HP UX 04 02 05 编号 SHG HP UX 04 02 05 名称关闭 NFS 相关服务 实施目的关闭无效的服务 提高系统性能 增加系统安全性 问题影响不用的服务会带来很多安全隐患 系统当前状态 Cat etc rc config d nfsconf 查看并记录当前的配置 实施步骤 参考配置操作参考配置操作 mv sbin rc2 d S400nfs core sbin rc2 d NOS400nfs core mv sbin rc3 d S100nfs server sbin rc3 d NOS100nfs server cd sbin rc2 d mv S430nfs client NOS430nfs client cat etc rc config d nfsconf NFS SERVER 0 PCNFS SERVER 0 NUM NFSD 0 NUM NFSIOD 0 START MOUNTD 0 EOF cat etc rc config d nfsconf 回退方案 还原 etc rc config d nfsconf 文件到加固前的状态 判断依据 Cat etc rc config d nfsconf 实施风险高 重要等级 备注 4 2 64 2 64 2 64 2 6 SHG HP UX 04 02 06SHG HP UX 04 02 06SHG HP UX 04 02 06SHG HP UX 04 02 06 编号 SHG HP UX 04 02 06 名称关闭 SNMP 服务 实施目的关闭无效的服务 提高系统性能 增加系统安全性 问题影响不用的服务会带来很多安全隐患 系统当前状态 Cat etc rc config d SnmpHpunix Cat etc rc config d SnmpMaster Cat etc rc config d SnmpTrpDst 查看并记录当前的配置 实施步骤 参考配置操作参考配置操作 cd sbin rc2 d mv S565OspfMib NOS565OspfMib mv S941opcagt NOS941opcagt mv S570SnmpFddi NOS570SnmpFddi vi etc rc config d SnmpHpunix 文件 SNMP HPUNIX START 0 Vi etc rc config d SnmpMaster 文件 SNMP MASTER START 0 Vi etc rc confi