HP-UX Security Checklist.doc

HP UX Security CheckList HP UX Security CheckList第 1 页 共 28 页 HP UX Security CheckList HP UX Security CheckList HP UX Security CheckList第 2 页 共 28 页 目目 录录 HP UX SECURITY CHECKLIST 1 1初级检查评估内容初级检查评估内容 5 1 1系统信息 5 1 1 1系统基本信息 5 1 1 2系统网络设置 5 1 1 3系统当前路由 5 1 1 4检查目前系统开放的端口 6 1 1 5检查当前系统网络连接情况 8 1 1 6系统运行进程 8 1 2物理安全检查 9 1 2 1检查系统单用户运行模式中的访问控制 9 1 3帐号和口令 9 1 3 1检查系统中Uid相同用户情况 9 1 3 2检查用户登录情况 9 1 3 3检查账户登录尝试失效策略 10 1 3 4检查账户登录失败时延策略 10 1 3 5检查所有的系统默认帐户的登录权限 10 1 3 6空口令用户检查 11 1 3 7口令策略设置参数检查 11 1 3 8检查root是否允许从远程登录 11 1 3 9验证已经存在的Passwd强度 11 1 3 10用户启动文件检查 12 1 3 11用户路径环境变量检查 12 1 4网络与服务 12 1 4 1系统启动脚本检查 12 1 4 2TCP UDP小服务 13 1 4 3login rlogin shell rsh exec rexec 13 HP UX Security CheckList HP UX Security CheckList第 3 页 共 28 页 1 4 4comsat talk uucp lp kerbd 14 1 4 5Sadmind Rquotad Ruser Rpc sprayd Rpc walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd 14 1 4 6远程打印服务 14 1 4 7检查是否开放NFS服务 15 1 4 8检查是否Enables NFS port monitoring 15 1 4 9检查是否存在和使用 NIS NIS 15 1 4 10检查sendmail服务 16 1 4 11Expn vrfy 若存在sendmail进程 16 1 4 12SMTP banner 16 1 4 13检查是否限制ftp用户权限 17 1 4 14TCP Wrapper 17 1 4 15信任关系 17 1 5文件系统 18 1 5 1suid文件 18 1 5 2sgid文件 18 1 5 3 etc 目录下可写的文件 18 1 5 4检测重要文件目录下文件权限属性以及 dev下非设备文件系统 19 1 5 5检查 tmp目录存取属性 19 1 5 6检查UMASK 20 1 5 7检查 rhosts文件 20 1 6日志审核 20 1 6 1Cron logged 20 1 6 2 var adm cron 21 1 6 3Log all inetd services 21 1 6 4Syslog conf 21 1 7UUCP 服务 21 1 8XWINDOWS检查 22 2中级检查评估内容中级检查评估内容 23 HP UX Security CheckList HP UX Security CheckList第 4 页 共 28 页 2 1安全增强性 23 2 1 1TCP IP参数检查 23 2 1 2Inetd启动参数检查 24 2 1 3Syslogd启动参数检查 25 2 1 4系统日志文件内容检查 25 2 1 5系统用户口令强度检查 25 2 1 6系统补丁安装情况检查 25 2 1 7系统审计检查 25 3高级检查评估内容高级检查评估内容 26 3 1后门与日志检查 26 3 2系统异常服务进程检查 26 3 3内核情况检查 26 3 4第三方安全产品安装情况 26 HP UX Security CheckList HP UX Security CheckList第 5 页 共 28 页 1 初级检查评估内容初级检查评估内容 1 11 1 系统信息系统信息 1 1 1 系统基本信息系统基本信息 1 1 1 11 1 1 1说明 说明 检查系统的版本和硬件类型等基本信息 1 1 1 21 1 1 2检查方法 检查方法 uname a uname v PATH usr bin bin usr local bin usr sbin sbin export PATH 1 1 2 系统网络设置系统网络设置 1 1 2 11 1 2 1说明 说明 检查系统的网卡是否存在混杂模式 1 1 2 21 1 2 2检查方法 检查方法 ifconfig lan0 1 1 3 系统当前路由系统当前路由 1 1 3 11 1 3 1说明 说明 检查系统当前的路由设定配置 包括默认路由和永久路由 并检查其合法 性 HP UX Security CheckList HP UX Security CheckList第 6 页 共 28 页 1 1 3 21 1 3 2检查方法 检查方法 netstat nr 1 1 3 31 1 3 3结果分析方法 结果分析方法 bash 2 05 netstat nr Routing Table IPv4 Destination Gateway Flags Ref Use Interface 192 168 10 0 192 168 10 113 U 1 35 hme0 default 192 168 10 254 UG 1 78 127 0 0 1 127 0 0 1 UH 2 7246 lo0 1 1 4 检查目前系统开放的端口检查目前系统开放的端口 1 1 4 11 1 4 1说明 说明 检查当前系统运行中开放的服务端口 1 1 4 21 1 4 2检查方法 检查方法 netstat na grep LISTEN 1 1 4 31 1 4 3结果分析方法 结果分析方法 bash 2 05 netstat na grep LISTEN 1 1 5 检查当前系统网络连接情况检查当前系统网络连接情况 1 1 5 11 1 5 1说明 说明 根据显示的网络连接 记录已建立连接establish的数量 地址范围等 记录 listen的端口 记录其它状态 例如timewait finwait closewait等 HP UX Security CheckList HP UX Security CheckList第 7 页 共 28 页 1 1 5 21 1 5 2检查方法 检查方法 netstat na 1 1 6 系统运行进程系统运行进程 1 1 6 11 1 6 1说明 说明 根据显示的当前所有在运行的系统进程 记录每个进程的运行时间 属主 查看相应的实例位置 检查相应的实例的版本 大小 类型等 1 1 6 21 1 6 2检查方法 检查方法 ps elf 1 1 6 31 1 6 3结果分析方法 结果分析方法 ps ef 1 21 2 物理安全检查物理安全检查 1 2 1 检查系统单用户运行模式中的访问控制检查系统单用户运行模式中的访问控制 1 2 1 11 2 1 1说明 说明 检查和发现系统在进入单用户模式是否具备访问控制 1 2 1 21 2 1 2检查方法 检查方法 more tcb files auth system default 如果 d boot authenticate 行的内容大于 0 那么说明系统不需要口令就可以进入单用户模式 1 31 3 帐号和口令帐号和口令 HP UX Security CheckList HP UX Security CheckList第 8 页 共 28 页 1 3 1 检查系统中检查系统中 Uid 相同用户情况相同用户情况 1 3 1 11 3 1 1说明 说明 检查和发现系统中具有相同 uid 的用户情况 特别关注 udi 0 的用户情况 1 3 1 21 3 1 2检查方法 检查方法 pwck s 1 3 2 检查用户登录情况检查用户登录情况 1 3 2 11 3 2 1说明 说明 检查和发现系统用户的登录情况 特别关注 udi 0 的用户情况 1 3 2 21 3 2 2检查方法 检查方法 last R lastb R more 1 3 3 检查账户登录尝试失效策略检查账户登录尝试失效策略 1 3 3 11 3 3 1说明 说明 检查系统允许的单次会话中的登录尝试次数 1 3 3 21 3 3 2检查方法 检查方法 more tcb files auth system default 检查 t maxtrie 变量内容 如果有设定 它将改变默认的 5 次设定 1 3 4 检查账户登录失败时延策略检查账户登录失败时延策略 1 3 4 11 3 4 1说明 说明 检查系统允许的单次会话中的登录失败时延参数 HP UX Security CheckList HP UX Security CheckList第 9 页 共 28 页 1 3 4 21 3 4 2检查方法 检查方法 more tcb files auth system default 检查 t logdelay 变量内容 如果有设定 它将改变默认的 4 秒设定 1 3 5 检查所有的系统默认帐户的登录权限检查所有的系统默认帐户的登录权限 1 3 5 11 3 5 1说明 说明 1 3 5 21 3 5 2检查方法 检查方法 cat etc passwd grep v sh 1 3 5 31 3 5 3结果分析方法 结果分析方法 例 noaccess x 60002 60002 No Access User sbin noshell 1 3 6 空口令用户检查空口令用户检查 1 3 6 11 3 6 1说明 说明 1 3 6 21 3 6 2检查方法 检查方法 authck p pwck s 1 3 7 口令策略设置参数检查口令策略设置参数检查 1 3 7 11 3 7 1说明 说明 检查系统口令的配置策略 1 3 7 21 3 7 2检查方法 检查方法 more tcb files auth system default HP UX Security CheckList HP UX Security CheckList第 10 页 共 28 页 1 3 8 检查检查 root 是否允许从远程登录是否允许从远程登录 1 3 8 11 3 8 1说明 说明 Root 从远程登录时 可能会被网络 sniffer 窃听到密码 1 3 8 21 3 8 2检查方法 检查方法 cat etc securetty 1 3 8 31 3 8 3结果分析方法 结果分析方法 etc securetty 应当包括 console 或者 dev null 1 3 9 验证已经存在的验证已经存在的 Passwd 强度强度 1 3 9 11 3 9 1说明 说明 检查 etc shadow 文件中 是否存在空密码的帐号 1 3 9 21 3 9 2检查方法 检查方法 cat etc shadow awk F print 1 2 1 3 10用户启动文件检查用户启动文件检查 1 3 10 11 3 10 1说明 说明 检查用户目录下的启动文件 1 3 10 21 3 10 2检查方法 检查方法 检查用户目录下的 cshrc profile emacs exrc Xdefaults Xinit login logout Xsession 等文件的内容 包括 root 用户 HP UX Security CheckList HP UX Security CheckList第 11 页 共 28 页 1 3 11用户路径环境变量检查用户路径环境变量检查 1 3 11 11 3 11 1说明 说明 检查用户路径环境变量下的启动文件 1 3 11 21 3 11 2检查方法 检查方法 切换到用户 echo PATH 检查输出 1 41 4 网络与服务网络与服务 1 4 1 系统启动脚本检查系统启动脚本检查 1 4 1 11 4 1 1说明 说明 检查系统启动脚本 1 4 1 21 4 1 2检查方法 检查方法 more sbin rc d 1 4 2 TCP UDP 小服务小服务 1 4 2 11 4 2 1说明 说明 这些服务通常是用来进行网络调试的 包括 echo discard datetime chargen 1 4 2 21 4 2 2检查方法 检查方法 grep v etc inetd conf 1 4 2 31 4 2 3结果分析方法结果分析方法 echo stream tcp nowait root internal echo dgram udp wait root internal discard stream tcp nowait root internal HP UX Security CheckList HP UX Security CheckList第 12 页 共 28 页 discard dgram udp wait root internal daytime stream tcp nowait root internal daytime dgram udp wait root internal chargen stream tcp nowait root internal chargen dgram udp wait root internal 1 4 3 login rlogin shell rsh exec rexec 1 4 3 11 4 3 1说明 说明 用来方便的登陆或执行远程系统的命令 1 可能被用来获得主机信任关系的信息 2 被入侵者用来留后门 3 成为被 ip 欺骗的服务对象 1 4 3 21 4 3 2检查方法 检查方法 grep v etc inetd conf egrep login shell exec 1 4 4 comsat talk uucp lp kerbd 1 4 4 11 4 4 1说明 说明 以上服务大都不在公开服务器上使用 且存在一定的风险 1 4 4 21 4 4 2检查方法 检查方法 grep v etc inetd conf egrep comsat talk uucp lp kerbd kcms 1 4 5 Sadmind Rquotad Ruser Rpc sprayd Rpc walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd 1 4 5 11 4 5 1说明 说明 在 inetd conf 中启动的 RPC 服务 已经有多次极严重的安全漏洞记录 HP UX Security CheckList HP UX Security CheckList第 13 页 共 28 页 1 4 5 21 4 5 2检查方法 检查方法 grep v etc inetd conf grep rpc 查找 Sadmind ttb sprayd walld cmsd kcms 等字样 以上服务存在多个严重安全隐患 若不使用以上服务 建议在 inetd 注释以上服 务 1 4 5 31 4 5 3备注 备注 不同的版本的某些 rpc 小服务不一样 而且也因安装方式不同而有异 对于少 见的 rpc 服务 应该征求管理员的意见 1 4 6 远程打印服务远程打印服务 1 4 6 11 4 6 1说明 说明 检查主机远程打印服务的配置 1 4 6 21 4 6 2检查方法 检查方法 more etc hosts equiv more var adm lp rhosts 1 4 7 检查是否开放检查是否开放 NFS 服务服务 1 4 7 11 4 7 1说明 说明 非有明确使用目的 建议停止运行 NFS 的相关服务 1 4 7 21 4 7 2检查方法 检查方法 ps ef grep nfskd showmount e localhost more etc exports more etc exportfs more etc fstab HP UX Security CheckList HP UX Security CheckList第 14 页 共 28 页 1 4 8 检查是否检查是否 Enables NFS port monitoring 1 4 8 11 4 8 1说明 说明 1 4 8 21 4 8 2检查方法 检查方法 more etc rc config d nfsconf 1 4 8 31 4 8 3结果分析方法 结果分析方法 1 4 9 检查是否存在和使用检查是否存在和使用 NIS NIS 1 4 9 11 4 9 1说明 说明 检查 var nis 1 4 9 21 4 9 2检查方法 检查方法 more var nis 1 4 10检查检查 sendmail 服务服务 1 4 10 11 4 10 1说明 说明 检查本地 sendmail 服务开放情况 1 4 10 21 4 10 2检查方法检查方法 ps ef grep sendmail HP UX Security CheckList HP UX Security CheckList第 15 页 共 28 页 1 4 11Expn vrfy 若存在若存在 sendmail 进程进程 1 4 11 11 4 11 1说明 说明 限制用户通过这两个 sendmial 命令来获取系统的信息 1 4 11 21 4 11 2检查方法 检查方法 检查是否存在 sendmail cf 文件 若不存在系统当前 sendmail 配置为系统默认 cat etc sendmail cf grep PrivacyOPtions 是否等于 authwarnigs goaway PrivacyOptions 是否等于 noexpn novrfy authwarnigns Loglevel 等于 5 1 4 12SMTP banner 1 4 12 11 4 12 1说明 说明 在 SMTP banner 中隐藏版本号 HP UX Security CheckList HP UX Security CheckList第 16 页 共 28 页 1 4 12 21 4 12 2检查方法 检查方法 cat etc sendmail cf grep De Mail Server Ready 1 4 12 31 4 12 3结果分析方法 结果分析方法 SMTP login message De Mail Server Ready 1 4 13检查是否限制检查是否限制 ftp 用户权限用户权限 1 4 13 11 4 13 1说明 说明 拒绝系统默认的帐号使用 ftp 服务 1 4 13 21 4 13 2检查方法 检查方法 more etc ftpusers more etc ftpd ftpusers 检查 ftpusers 文件存取权限 以及因该禁用的登陆的用户名 1 4 14TCP Wrapper 1 4 14 11 4 14 1说明 说明 检查 inetd 服务的访问情况 1 4 14 21 4 14 2检查方法 检查方法 more var adm inetd sec 1 4 15信任关系信任关系 1 4 15 11 4 15 1说明 说明 主机之间的可信任问题 可能会导致安全问题 确保 etc hosts equiv 文件的内 容为空 HP UX Security CheckList HP UX Security CheckList第 17 页 共 28 页 1 4 15 21 4 15 2检查方法 检查方法 cat etc hosts equiv 若安装 TCP warpper 并对某些网络服务绑定改服务 请检查 etc hosts allow 和 etc hosts deny 文件是否为空 或者不做策略 1 4 15 31 4 15 3结果分析方法 结果分析方法 文件内容应为空或此文件不存在 1 51 5 文件系统文件系统 1 5 1 suid 文件文件 1 5 1 11 5 1 1说明 说明 检查所有属组为 root uid 0 的 suid 属性文件 并且其执行权限为任意用户可执行 非法的普通用户可能会利用这些程序里潜在的漏洞 以 stack format strings heap 等方法来溢出和覆盖缓冲区执行非法代码提升到 root 权限目的 1 5 1 21 5 1 2检查方法 检查方法 find type f perm 4001 user 0 检查风险 1 5 2 sgid 文件文件 1 5 2 11 5 2 1说明 说明 移去所有不需要 sgid 属性的文件 危害性同上 这里是提升组权限到 other 1 5 2 21 5 2 2检查方法 检查方法 find type f perm 2001 group 0 HP UX Security CheckList HP UX Security CheckList第 18 页 共 28 页 1 5 3 etc 目录下可写的文件目录下可写的文件 1 5 3 11 5 3 1说明 说明 将检查 etc 目录下对任何用户和组都可以进行写入文件 这将造成系统风险隐患 1 5 3 21 5 3 2检查方法 检查方法 find etc type f perm 0002 1 5 4 检测重要文件目录下文件权限属性以及检测重要文件目录下文件权限属性以及 dev 下非设备文件系统下非设备文件系统 1 5 4 11 5 4 1说明说明 不安全的文件系统库文件权限将导致被任意用户替换危险 1 检查 usr lib usr lib usr local lib 若存在 目录下对所有用户可写文件 2 检查 dev 下非设备类型的文件 3 检查系统所有 conf 文件权限是否为任意用户可写 以及文件属主 1 5 4 21 5 4 2检查方法检查方法 find usr lib type f perm 0002 find lib type f perm 0002 find usr local lib type f perm 0002 find dev type f find type f perm 0002 name conf 1 5 5 检查检查 tmp 目录存取属性目录存取属性 1 5 5 11 5 5 1说明 说明 在每次重启时 设置 tmp 目录的粘滞位 限制攻击者的部分活动 HP UX Security CheckList HP UX Security CheckList第 19 页 共 28 页 1 5 5 21 5 5 2检查方法 检查方法 ls la grep tmp 1 5 5 31 5 5 3结果分析方法 结果分析方法 bash 2 05 ls la grep tmp drwxrwxrwt 5 root sys 447 5 13 14 08 tmp 1 5 6 检查检查 UMASK 1 5 6 11 5 6 1说明 说明 设置严格的 UMASK 值 增强文件的存取权限 1 5 6 21 5 6 2检查方法 检查方法 more tc profile 1 5 7 检查检查 rhosts 文件文件 1 5 7 11 5 7 1说明 说明 rhosts 文件有一定的安全缺陷 当使用不正确时 可能会导致安全漏洞 推荐 禁止所有的 rhosts 文件 1 5 7 21 5 7 2检查方法 检查方法 find type f name rhosts 1 5 7 31 5 7 3结果分析方法 结果分析方法 没有此文件或文件内容为空 若要使用 rhosts 信任机制 则请确保文件属性为 600 1 5 7 41 5 7 4备注 备注 Cluster 软件可能需要 rhosts 文件 请仔细检查使用 rhosts 文件 HP UX Security CheckList HP UX Security CheckList第 20 页 共 28 页 Add by weiling 2005 11 02 审核 setuid 和 setgid 网络安全审计 hostname yd db1 ll dev ether HP UX Security CheckList HP UX Security CheckList第 21 页 共 28 页 crw rw rw 1 bin bin 5 0 x010001 Nov 16 2000 dev ether1 crw rw rw 1 bin bin 5 0 x020001 Nov 16 2000 dev ether2 crw rw rw 1 bin bin 52 0 x030001 Nov 16 2000 dev ether3 ll ieee ieee not found ll dev ieee dev ieee not found ll dev lan crw rw rw 1 root sys 72 0 x000077 Jan 19 2003 dev lan crw rw rw 1 bin bin 32 0 x000000 Nov 16 2000 dev lan0 crw rw rw 1 bin bin 5 0 x010000 Nov 16 2000 dev lan1 crw rw rw 1 bin bin 5 0 x020000 Nov 16 2000 dev lan2 crw 1 root root 45 0 x030000 Nov 16 2000 dev lan3 HP UX Security CheckList HP UX Security CheckList第 22 页 共 28 页 1 61 6 日志审核日志审核 1 6 1 Cron logged 1 6 1 11 6 1 1说明 说明 检查所有的 cron 活动是否被记录 1 6 1 21 6 1 2检查方法 检查方法 HP UX 默认开启 1 6 2 var adm cron 1 6 2 11 6 2 1说明 说明 确保 var adm cron 的正确属性为 700 root 用户和 sys 用户可读写 HP UX Security CheckList HP UX Security CheckList第 23 页 共 28 页 1 6 2 21 6 2 2检查方法 检查方法 ls la var grep cron 1 6 3 Log all inetd services 1 6 3 11 6 3 1说明 说明 1 6 3 21 6 3 2检查方法 检查方法 ps elf grep inetd 检查启动参数 1 6 4 Syslog conf 1 6 4 11 6 4 1说明 说明 查看本地日志输出目录功能 1 6 4 21 6 4 2检查方法 检查方法 cat etc syslog conf grep debug 1 71 7 UUCPUUCP 服务服务 1 7 1 11 7 1 1说明 说明 检查 UUCP 服务的使用情况 1 7 1 21 7 1 2检查方法 检查方法 cat etc inetd conf grep UUCP 1 81 8 XwindowsXwindows 检查检查 1 8 1 11 8 1 1说明 说明 检查 Xwindows 的配置情况 HP UX Security CheckList HP UX Security CheckList第 24 页 共 28 页 1 8 1 21 8 1 2检查方法 检查方法 find name Xauthority print xhosts 什么意思啊 说的难道是 find name xhosts HP UX Security CheckList HP UX Security CheckList第 25 页 共 28 页 2 中级检查评估内容中级检查评估内容 2 12 1 安全增强性安全增强性 2 1 1 TCP IP 参数检查参数检查 2 1 1 12 1 1 1检查套接口序列是否防止检查套接口序列是否防止 SYNSYN 攻击攻击 2 1 1 1 12 1 1 1 1 说明 说明 各种网络应用软件一般必须开放一个或者几个端口供外界使用 所以其必 定可以会被恶意攻击者向这几个口发起拒绝服务攻击 其中一个很流行的攻击 就是 SYN FLOOD 在攻击发生时 客户端的来源 IP 地址是经过伪造的 spoofed 现行的 IP 路由机制仅检查目的 IP 地址并进行转发 该 IP 包到达目 的主机后返回路径无法通过路由达到的 于是目的主机无法通过 TCP 三次握手 建立连接 在此期间因为 TCP 套接口缓存队列被迅速填满 而拒绝新的连接请 求 为了防止这些攻击 部分 UNIX 变种采用分离入站的套接口连接请求队列 一队列针对半打开套接口 SYN 接收 SYN ACK 发送 另一队列针对全打开套 借口等待一个 accept 调用 增加这两队列可以很好的缓和这些 SYN FLOOD 攻 击并使对服务器的影响减到最小程度 2 1 1 1 22 1 1 1 2 检查方法检查方法 usr sbin ndd get dev tcp tcp syn rcvd max usr sbin ndd get dev tcp tcp conn request max 2 1 1 22 1 1 2检查检查 RedirectsRedirects 参数参数 2 1 1 2 12 1 1 2 1 说明 说明 恶意用户可以使用 IP 重定向来修改远程主机中的路由表 在设计良好的网络中 末端的重定向设置是不需要的 发送和接受重定向信息包都要关闭 2 1 1 2 22 1 1 2 2 检查方法 检查方法 通过如下命令检查其值是否为 0 HP UX Security CheckList HP UX Security CheckList第 26 页 共 28 页 usr sbin ndd get dev ip ip send redirects 2 1 1 32 1 1 3检查源路由的设置检查源路由的设置 2 1 1 3 12 1 1 3 1 说明 说明 通过源路由 攻击者可以尝试到达内部 IP 地址 包括 RFC1918 中的地址 所 以不接受源路由信息包可以防止你的内部网络被探测 2 1 1 3 22 1 1 3 2 检查方法 检查方法 通过如下命令检查其值是否为 0 ndd get dev ip ip forward src routed 2 1 1 42 1 1 4检查广播检查广播 ECHOECHO 响应响应