HP-Unix安全配置规范
1.概述
1.1. 目的
本规范明确了HP-UX主机安全配置方面的基本要求。为了提高HP-UX主机的安全性而提出的。
1.2. 范围
如无特别说明,本规范适用于HP-UX 10.20以及以上版本。
2.配置规范
2.1. 用户账号和环境
2.1.1.系统账户
UUCP和nuucp账号通常是不需要的,可以把它们删除。其它账号视具体情况而定,选择锁定或者删除。操作命令如下:
for user in uucp nuucp adm daemon bin lp \
nobody noaccess hpdb useradm
do
/usr/lbin/modprpw -w "*" "$user"
/usr/sbin/usermod –s /bin/false "$user"
done
2.1.2.删除属于root用户存在潜在危险文件
/.rhost、/rc或/root/.rhosts、/root/rc文件都具有潜在的危险,应该使用如下命令删除:
rm /.[rs]hosts /rc ~root/.[rs]hosts ~root/rc
2.1.
3.用户home权限限制
用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限,因此需要使用以下命令严格限制用户home目录的权限:
logins -ox | cut -f6 -d: | while read home
do chmod og-w "$home"
done
2.1.4.UMASK设置
为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据。设置命令如下:
cd /etc
umask 022
for file in profile csh.login d.profile d.login
do
echo umask 022 >> "$file"
done
2.2. 基线控制
基线控制是利用数据完整性检测工具对系统的变化进行监控。数据完整性检测工具根据管理员设置的一个配置文件对指定要监控的文件进行读取,对每个文件生成相应数字签名,并将这些结果保存在自己的数据库中。
当怀疑系统被入侵时,可由完整性检测工具根据先前生成的系统快照与当前系统的文件特征进行对比,如果文件被替换,则特征不匹配,管理员就明白系统不"
干净"了。
HP-UX系统上常用的基线控制工具是Tripwire,有商业和免费两个版本,免费版本通常需要使用源代码安装;相对来说,商业版本的管理能力、稳定性要好得多。
2.3. 补丁管理(适用于HP-UX 11.x)
2.3.1.获得补丁
HP-UX系统的升级补丁可以从HP-UX Support Plus站点获得,URL是www.software.hp/SUPPORT_PLUS/
对于HP-UX 10.x的版本,补丁叫做General Release for HPUX10.x;对于HP-UX 11.x的版本,补丁叫做Quality Pack (QPK) for HP-UX 11.x。
2.3.2.安装补丁
HP-UX补丁可以使用swinstall或者SAM安装。例如:
swinstall –s \
/tmp/XSW700GR1020_10.20_700.depot \
-x match_target=true
/tmp/XSW700GR1020_10.20_700.depot是一个例子。
2.3.3.校验补丁
对于已经安装的补丁,可以使用如下命令输出没有正确配置的补丁:
swlist –l fileset -a state grep -Ev '(configured|^#)'
2.4. 文件/目录控制
2.unt选项
HP-UX的文件系统支持很多挂载选项,例如:nosuid、ro等。这些选项对于保护系统的安全性有很大的作用。对于通常只用于数据存储的分区(例如:/var)应该使用nosuid挂载,以防止针对SUID/SGID程序的攻击;对于保存系统文件,通常不会进行数据修改操作的分区(例如:/usr)应该使用只读选项挂载,除非需要打补丁或者进行其它修改操作(可通过mount –o remount, rw /usr命令重新以可写方式加载/usr分区)。
修改/etc/fstab文件,/usr、/opt分区应该以使用ro选项挂载;其它分区应该使用ro选项挂载。
2.4.2.临时目录设置粘着位mv700
临时目录不设置粘着位会导致普通用户可以任意删除其它用户建立的临时文件:
chmod +t /tmp /var/news /var/tmp /var/preserve \
/var/spool/sockets /var/spool/sockets/ICE \
/var/spool/sockets/X11 /var/spool/sockets/common \
/var/X11/Xserver/logs /var/adm/diag
2.5. 系统日志
2.5.1.开启内核层审计
如果系统已经切换到trusted模式,则可以开启内核级的审计。
cat << EOF >> /fig.d/auditing
发布评论