当前位置：首页 > news >正文

成都网站建设zmcms鹿城做网站

news 2026/5/1 2:40:53

成都网站建设zmcms,鹿城做网站,广州网站开发外包,免费域名注册商目录账号管理、认证授权账号 ELK-HP-UX-01-01-01 ELK -HP-UX-01-01-02 ELK -HP-UX-01-01-03 ELK-HP-UX-01-01-04 ELK-HP-UX-01-01-05 口令 ELK-HP-UX-01-02-01 ELK-HP-UX-01-02-02 ELK-HP… 目录账号管理、认证授权账号 ELK-HP-UX-01-01-01 ELK -HP-UX-01-01-02 ELK -HP-UX-01-01-03 ELK-HP-UX-01-01-04 ELK-HP-UX-01-01-05 口令 ELK-HP-UX-01-02-01 ELK-HP-UX-01-02-02 ELK-HP-UX-01-02-03 ELK-HP-UX-01-02-04 ELK-HP-UX-01-02-05 授权 ELK-HP-UX-01-03-01 ELK-HP-UX-01-03-02 ELK-HP-UX-01-03-03 ELK-HP-UX-01-03-04 日志配置 ELK-HP-UX-02-01-01 ELK-HP-UX-02-01-02 ELK-HP-UX-02-01-03 通信协议 IP协议安全 ELK-HP-UX-03-01-01 ELK-HP-UX-03-01-02 设备其他安全要求补丁管理 ELK-HP-UX-04-01-01 服务进程和启动 ELK-HP-UX-04-02-01 ELK-HP-UX-04-02-02 ELK-HP-UX-04-02-03 ELK-HP-UX-04-02-04 ELK-HP-UX-04-02-05 ELK-HP-UX-04-02-06 屏幕保护 ELK-HP-UX-04-03-01 内核调整 ELK-HP-UX-04-04-01 ELK-HP-UX-04-04-02 其他调整 ELK-HP-UX-04-05-01 本文档是HP-UX 操作系统的对于HP-UX操作系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求共29项对系统的安全配置审计、加固操作起到指导性作用。账号管理、认证授权账号 ELK-HP-UX-01-01-01 编号 ELK-HP-UX-01-01-01 名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号提高系统安全。问题影响账号混淆权限不明确存在用户越权使用的可能。系统当前状态 cat /etc/passwd 记录当前用户列表实施步骤 1、参考配置操作为用户创建账号 #useradd username #创建账号 #passwd username #设置密码修改权限 #chmod 750 directory #其中755为设置的权限可根据实际情况设置相应的权限directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号设置不同的口令及权限信息等。回退方案删除新增加的帐户判断依据标记用户用途定期建立用户列表比较是否有非法用户实施风险高重要等级 ★★★ 备注 ELK -HP-UX-01-01-02 编号 ELK-HP-UX-01-01-02 名称删除或锁定无效账号实施目的删除或锁定无效的账号减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态 cat /etc/passwd 记录当前用户列表 cat /etc/shadow 记录当前密码配置实施步骤参考配置操作删除用户#userdel username; 锁定用户 1) 修改/etc/shadow文件用户名后加*LK* 2) 将/etc/passwd文件中的shell域设置成/bin/false 3) #passwd -l username 只有具备超级用户权限的使用者方可使用#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效登录需输入新密码修改/etc/shadow能保留原有密码。回退方案新建删除用户判断依据如上述用户不需要则锁定。实施风险高重要等级 ★★★ 备注 ELK -HP-UX-01-01-03 编号 ELK-HP-UX-01-01-03 名称对系统账号进行登录限制实施目的对系统账号进行登录限制确保系统账号仅被守护进程和服务使用。问题影响可能利用系统进程默认账号登陆账号越权使用系统当前状态 cat /etc/shadow查看各账号状态。实施步骤 1、参考配置操作禁止账号交互式登录修改/etc/shadow文件用户名后密码列为NP 删除账号#userdel username; 2、补充操作说明禁止交互登录的系统账号比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell 回退方案还原/etc/shadow文件配置判断依据 /etc/shadow中上述账号如果无特殊情况密码列为NP 实施风险高重要等级 ★ 备注可修改 %SSHINSTALL%/etc/sshd_config 中 PermitRootLogin no 注意禁止root登陆必须首先建立普通账号测试普通账号登陆su root 之后才能进行加固。注意su指令文件的权限必须要有s位 Hp-ux的root 密码如果设置特殊字符比较多也可能 su : sorry ELK-HP-UX-01-01-04 编号 ELK-HP-UX-01-01-04 名称为空口令用户设置密码实施目的禁止空口令用户存在空口令是很危险的用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态 cat /etc/passwd 实施步骤用root用户登陆HP-UX系统执行passwd命令给用户增加口令。例如passwd test test。回退方案 Root身份设置用户口令取消口令如做了口令策略则失败判断依据登陆系统判断 Cat /etc/passwd 实施风险高重要等级 ★ 备注 ELK-HP-UX-01-01-05 编号 ELK -HP-UX-01-01-05 名称删除属于root用户存在潜在危险文件实施目的 /.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险应该删除问题影响无影响系统当前状态 cat /.rhost cat /.netr cat /root/.rhosts cat /root/.netrc 实施步骤 Mv /.rhost /.rhost.bak Mv /.netr /.netr.bak Cd root Mv .rhost .rhost.bak Mv .netr .netr.bak 回退方案 Mv /.rhost.bak /.rhost Mv /.netr.bak /.netr Cd root Mv .rhost.bak .rhost Mv .netr.bak .netr 判断依据登陆系统判断 Cat /etc/passwd 实施风险高重要等级 ★ 备注口令 ELK-HP-UX-01-02-01 编号 ELK-HP-UX-01-02-01 名称缺省密码长度限制实施目的防止系统弱口令的存在减少安全隐患。对于采用静态口令认证技术的设备口令长度至少6位。问题影响增加密码被暴力破解的成功率系统当前状态运行 cat /etc/default/security 查看状态并记录。实施步骤参考配置操作 vi /etc/default/security 修改设置如下 MIN_PASSWD_LENGTH 6 #设定最小用户密码长度为6位当用root帐户给用户设定口令的时候不受任何限制只要不超长。回退方案 vi /etc/default/security 修改设置到系统加固前状态。判断依据 MIN_PASSWD_LENGTH 值为6或更高实施风险低重要等级 ★★★ 备注 ELK-HP-UX-01-02-02 编号 ELK-HP-UX-01-02-02 名称缺省密码复杂度限制实施目的防止系统弱口令的存在减少安全隐患。对于采用静态口令认证技术的设备包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响增加密码被暴力破解的成功率系统当前状态运行 cat /etc/default/security 查看状态并记录。实施步骤 PASSWORD_MIN_UPPER_CASE_CHARSN PASSWORD_MIN_LOWER_CASE_CHARSN PASSWORD_MIN_DIGIT_CHARSN PASSWORD_MIN_SPECIAL_CHARSN 编辑N为你所需要的设置. 其中, PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N个大写字母; PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N个小写字母; PASSWORD_MIN_DIGIT_CHARS是至少有N个字母; PASSWORD_MIN_SPECIAL_CHARS就是至少要多少个特殊字符. 说明: 如果是11.11的系统, 需要有PHCO_24606: s700_800 11.11 libpam_unix cumulative patch 或其替代补丁安装在系统中. 可以用下面的命令检查是否已经有了该补丁: A. # man security 看里面列的参数是否有PASSWORD_MIN_UPPER_CASE_CHARS, PASSWORD_MIN_LOWER_CASE_CHARS, PASSWORD_MIN_DIGIT_CHARS,PASSWORD_MIN_SPECIAL_CHARS这些参数的说明. 如果有, 就表明系统具有这个功能. B. # swlist -l product | grep libpam 看是否有比PHCO_24606补丁更新的libpam补丁. 回退方案 vi /etc/default/security 修改设置到系统加固前状态。判断依据 PASSWORD_MIN_DIGIT_CHARS 2 或更高 PASSWORD_MIN_SPECIAL_CHARS 1 或更高实施风险低重要等级 ★★★ 备注 ELK-HP-UX-01-02-03 编号 ELK-HP-UX-01-02-03 名称缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备帐户口令的生存期不长于90天减少口令安全隐患。问题影响密码被非法利用并且难以管理系统当前状态运行 cat /etc/default/security 查看状态并记录。实施步骤 1、参考配置操作 vi /etc/default/security文件 PASSWORD_MAXDAYS90 密码最长生存周期90天回退方案 vi /etc/default/security 修改设置到系统加固前状态。判断依据 PASSWORD_MAXDAYS90 实施风险低重要等级 ★★★ 备注 ELK-HP-UX-01-02-04 编号 ELK-HP-UX-01-02-04 名称密码重复使用限制实施目的对于采用静态口令认证技术的设备应配置设备使用户不能重复使用最近5次含5次内已使用的口令。问题影响密码破解的几率增加系统当前状态运行 cat /etc/default/security 查看状态并记录。实施步骤参考配置操作 vi /etc/default/security文件 PASSWORD_HISTORY_DEPTH5 回退方案 vi /etc/default/security 修改设置到系统加固前状态。判断依据 PASSWORD_HISTORY_DEPTH5 实施风险低重要等级 ★ 备注 ELK-HP-UX-01-02-05 编号 ELK-HP-UX-01-02-05 名称密码重试限制实施目的对于采用静态口令认证技术的设备应配置当用户连续认证失败次数超过6次不含6次锁定该用户使用的账号。问题影响允许暴力破解密码系统当前状态运行 cat /etc/default/security 查看状态并记录。实施步骤参考配置操作 vi /etc/default/security NUMBER_OF_LOGINS_ALLOWED7 这个参数控制每个用户允许的登录数量。此参数仅适用于非 root 用户。回退方案 vi /etc/default/security修改设置到系统加固前状态。判断依据 NUMBER_OF_LOGINS_ALLOWED7 实施风险中重要等级 ★ 备注授权 ELK-HP-UX-01-03-01 编号 ELK-HP-UX-01-03-01 名称设置关键目录的权限实施目的在设备权限配置能力内根据用户的业务需要配置其所需的最小权限。问题影响非法访问文件系统当前状态运行ls –al /etc/ 记录关键目录的权限实施步骤 1、参考配置操作通过chmod命令对目录的权限进行实际设置。 2、补充操作说明 /etc/passwd 必须所有用户都可读root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 必须所有用户都可读root用户可写 –rw-r—r— 使用如下命令设置 chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 如果是有写权限就需移去组及其它用户对/etc的写权限特殊情况除外执行命令#chmod -R go-w /etc 回退方案通过chmod命令还原目录权限到加固前状态。判断依据 –rw-r—r— etc/passwd –r-------- /etc/shadow –rw-r—r— /etc/group 或权限更小实施风险高重要等级 ★★★ 备注 ELK-HP-UX-01-03-02 编号 ELK-HP-UX-01-03-02 名称修改umask值实施目的控制用户缺省访问权限当在创建新文件或目录时屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响非法访问目录系统当前状态运行 cat /etc/profile cat /etc/csh.login cat /etc/d.profile cat /etc/d.login 记录当前配置实施步骤 1、参考配置操作 cd /etc umask 027 for file in profile csh.login d.profile d.login do echo umask 027 $file done 修改文件或目录的权限操作举例如下 #chmod 444 dir ; #修改目录dir的权限为所有人都为只读。根据实际情况设置权限 2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask可以在需要的时候通过命令行设置或者在用户的shell启动文件中配置 3、补充说明 umask的默认设置一般为022这给新创建的文件默认权限755777-022755这会给文件所有者读、写权限但只给组成员和其他用户读权限。 umask的计算 umask是使用八进制数据代码设置的对于目录该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值对于文件该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。回退方案修改/etc/profile /etc/csh.login /etc/d.profile /etc/d.login配置文件到加固前状态。判断依据 umask 022 实施风险高重要等级 ★ 备注 ELK-HP-UX-01-03-03 编号 ELK-HP-UX-01-03-03 名称 FTP用户及服务安全实施目的控制FTP进程缺省访问权限当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。问题影响非法FTP登陆操作非法访问目录系统当前状态运行 cat /etc/ftpusers cat /etc/ftpd/ftpaccess cat /etc/ftpd/ftpusers cat /etc/passwd 查看状态并记录。实施步骤参考配置操作 if [[ $(uname -r) B.10* ]]; then ftpusers/etc/ftpusers else ftpusers/etc/ftpd/ftpusers fi for name in root daemon bin sys adm lp \ uucp nuucp nobody hpdb useradm do echo $name done $ftpusers chmod 600 $ftpusers 回退方案 vi /etc/ftpusers; vi /etc/ftpd/ftpaccess; vi /etc/passwd 修改设置到系统加固前状态。判断依据查看# cat /etc/ftpusers 无特殊需求在这个列表里边的用户名是不允许ftp登陆的。 Root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 /etc/ftpd/ftpaccess设置相应的配置实施风险高重要等级 ★ 备注 ELK-HP-UX-01-03-04 编号 ELK-HP-UX-01-03-04 名称设置目录权限实施目的设置目录权限防止非法访问目录。问题影响非法访问目录系统当前状态查看重要文件和目录权限ls –l并记录。实施步骤 1、参考配置操作查看重要文件和目录权限ls –l 更改权限对于重要目录建议执行如下类似操作 # chmod -R 750 /etc/init.d/* 这样只有root可以读、写和执行这个目录下的脚本。回退方案使用chmod 命令还原被修改权限的目录。判断依据判断 /etc/init.d/* 下的文件权限750以下实施风险高重要等级 ★ 备注日志配置 ELK-HP-UX-02-01-01 编号 ELK-HP-UX-02-01-01 名称开启内核层审计实施目的通过设置内核层审计让系统记录内核事件方便管理员分析问题影响记录内核事件系统当前状态运行cat /etc/rc.config.d/auditing查看状态并记录。实施步骤 1、参考配置操作 cat EOF /etc/rc.config.d/auditing AUDITING1 PRI_SWITCH10000 SEC_SWITCH10000 EOF 回退方案 vi /etc/rc.config.d/auditing修改设置到系统加固前状态。判断依据 AUDITING1 PRI_SWITCH10000 SEC_SWITCH10000 实施风险低重要等级 ★★★ 备注 ELK-HP-UX-02-01-02 编号 ELK-HP-UX-02-01-02 名称启用inetd的日志功能实施目的记录系统中inetd操作的日志问题影响运行 cat /etc/rc.config.d/netdaemons 查看当前状态并记录。系统当前状态运行 cat /etc/rc.config.d/netdaemons 查看当前状态并记录。实施步骤 1、参考配置操作 ch_rc -a -p INETD_ARGS-l /etc/rc.config.d/netdaemons 回退方案 vi /etc/rc.config.d/netdaemons 修改设置到系统加固前状态。判断依据 INETD_ARGS-l 实施风险高重要等级 ★ 备注 ELK-HP-UX-02-01-03 编号 ELK-HP-UX-02-01-03 名称启用设备安全日志功能实施目的设备应配置日志功能记录对与设备相关的安全事件。问题影响运行 cat /etc/syslog.conf 查看当前状态并记录。系统当前状态运行 cat /etc/syslog.conf 查看当前状态并记录。实施步骤 1、参考配置操作配置如下类似语句 *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。查看/var/adm/messages记录有需要的设备相关的安全事件。回退方案 cat /etc/syslog.conf 修改设置到系统加固前状态。判断依据 cat /etc/syslog.conf 实施风险高重要等级 ★ 备注通信协议 IP协议安全 ELK-HP-UX-03-01-01 编号 ELK-HP-UX-03-01-01 名称使用ssh加密传输实施目的提高远程管理安全性问题影响使用非加密通信内容易被非法监听系统当前状态运行 # ps –elf|grep ssh 查看状态并记录。实施步骤 1、参考配置操作 1、参考配置操作从http://www.software.hp.com可以得到针对HP-UX的OpenSSH安装软件包。然后使用如下命令进行安装 swinstall -s /var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_3264.depot /var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_3264.depot是一个示例路径。回退方案卸载SSH、或者停止SSH服务判断依据有SSH进程实施风险高重要等级 ★ 备注 ELK-HP-UX-03-01-02 编号 ELK-HP-UX-03-01-01 名称加强系统的网络性能实施目的调整内核参数以加强系统的网络性能问题影响有助提高系统网络性能系统当前状态查看/etc/rc.config.d/nddconf 的配置状态并记录。实施步骤 1、参考配置操作对于HP-UX 11i的版本应该通过如下命令调整内核参数以加强系统的网络性能 cd /etc/rc.config.d cat EOF nddconf # Increase size of half-open connection queue TRANSPORT_NAME[0]tcp NDD_NAME[0]tcp_syn_rcvd_max NDD_VALUE[0]4096 # Reduce the half-open timeout TRANSPORT_NAME[1]tcp NDD_NAME[1]tcp_ip_abort_cinterval NDD_VALUE[1]60000 # Reduce timeouts on ARP cache TRANSPORT_NAME[2]arp NDD_NAME[2]arp_cleanup_interval NDD_VALUE[2]60000 # Dont send ICMP redirects TRANSPORT_NAME[3]ip NDD_NAME[3]ip_send_redirects NDD_VALUE[3]0 # Drop source-routed packets TRANSPORT_NAME[4]ip NDD_NAME[4]ip_forward_src_routed NDD_VALUE[4]0 # Dont forward directed broadcasts TRANSPORT_NAME[5]ip NDD_NAME[5]ip_forward_directed_broadcasts NDD_VALUE[5]0 # Dont respond to unicast ICMP timestamp requests TRANSPORT_NAME[6]ip NDD_NAME[6]ip_respond_to_timestamp NDD_VALUE[6]0 # Dont respond to broadcast ICMP tstamp reqs TRANSPORT_NAME[7]ip NDD_NAME[7]ip_respond_to_timestamp_broadcast NDD_VALUE[7]0 # Dont respond to ICMP address mask requests TRANSPORT_NAME[8]ip NDD_NAME[8]ip_respond_to_address_mask_broadcast NDD_VALUE[8]0 EOF chmod go-w,ug-s nddconf 回退方案修改/etc/rc.config.d/nddconf的配置到加固之前的状态删除新创建的/usr/sbin/in.routed文件判断依据 Cat /etc/rc.config.d/nddconf 实施风险高重要等级 ★ 备注路由协议安全 ELK-HP-UX-03-02-01 编号 ELK-HP-UX-03-02-01 名称不转发定向广播包实施目的利用ndd命令可以检测或者更改网络设备驱动程序的特性。在/etc/rc.config.d/nddconf启动脚本中增加以下各条命令然后重启系统可以提高网络的安全性。问题影响提高网络安全性系统当前状态查看 cat /etc/rc.config.d/nddconf的配置状态并记录。实施步骤 1、参考配置操作 #不转发定向广播包 /usr/sbin/ndd -set /dev/ip ip_forward_src_routed 1 0 # 不转发原路由包 /usr/sbin/ndd -set /dev/ip ip_forwarding 2 0 #禁止包转发 /usr/sbin/ndd -set /dev/ip ip_pmtu_strategy 2 1 #不采用echo-request PMTU策略 /usr/sbin/ndd -set /dev/ip ip_send_redirects 1 0 #不发ICMP重定向包 /usr/sbin/ndd -set /dev/ip ip_send_source_quench 1 0 #不发ICMP源结束包 /usr/sbin/ndd -set /dev/ip tcp_conn_request_max 20 500 #增加TCP监听数最大值提高性能 /usr/sbin/ndd -set /dev/ip tcp_syn_rcvd_max 500 500 #HP SYN flood保护 /usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 1 0 不响应ICMP echo请求广播包由于ndd调用前已经启动网卡参数所以可能不能正确设置。可以采用下列方法建立一个启动脚本。 # cp /tmp/secconf /etc/rc.config.d # chmod 444 /etc/rc.config.d/secconf # cp /tmp/sectune /sbin/init.d # chmod 555 /sbin/init.d/sectune # ln -s /sbin/init.d/sectune /sbin/rc2.d/S009sectune 回退方案修改vi /etc/rc.config.d/nddconf的配置到加固之前的状态判断依据 Cat /etc/rc.config.d/nddconf 实施风险高重要等级 ★ 备注设备其他安全要求补丁管理 ELK-HP-UX-04-01-01 编号 ELK-HP-04-01-01 名称安装补丁实施目的安装系统补丁,增强系统强制,安全性. 问题影响影响系统强制,安全性系统当前状态 uname -a 实施步骤参考配置操作 1.获得补丁 HP-UX系统的升级补丁可以从HP-UX Support Plus站点获得URL是http://www.software.hp.com/SUPPORT_PLUS/ 对于HP-UX 10.x的版本补丁叫做General Release for HPUX10.x对于HP-UX 11.x的版本补丁叫做Quality Pack (QPK) for HP-UX 11.x。 2 安装补丁 HP-UX补丁可以使用swinstall或者SAM安装。例如 swinstall –s \ /tmp/XSW700GR1020_10.20_700.depot \ -x match_targettrue /tmp/XSW700GR1020_10.20_700.depot是一个例子。 3 校验补丁对于已经安装的补丁可以使用如下命令输出没有正确配置的补丁 swlist –l fileset -a state grep -Ev (configured|^#) 回退方案重新安全软件包判断依据实施风险高重要等级 ★★ 备注服务进程和启动 ELK-HP-UX-04-02-01 编号 ELK-HP-UX-04-02-01 名称关闭inetd启动的不必要服务实施目的关闭无效的服务提高系统性能增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态 cat /etc/inet/inetd.conf 查看并记录当前的配置实施步骤 1、参考配置操作编辑/etc/inet/inetd.conf文件注释掉和没有必要服务、不安全服务相关的内容这些服务包括tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、rpc.rexd、rpc.rstatd、 rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver等。重新启动inetd监控进程kill –HUP ps –ef|grep –v inetd 回退方案还原/etc/inet/inetd.conf文件到加固前的状态。判断依据在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。 tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、rpc.rexd、rpc.rstatd、 rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver标记用户用途定期建立用户列表比较是否有非法用户实施风险高重要等级 ★ 备注 ELK-HP-UX-04-02-02 编号 ELK-HP-UX-04-02-02 名称关闭NIS/NIS相关服务实施目的关闭无效的服务提高系统性能增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态 Cat /etc/rc.config.d/namesvrs查看并记录当前的配置实施步骤参考配置操作 Vi /etc/rc.config.d/namesvrs文件 NIS_MASTER_SERVER0 NIS_SLAVE_SERVER0 NIS_CLIENT0 NISPLUS_SERVER0 NISPLUS_CLIENT0 回退方案还原/etc/rc.config.d/namesvrs文件到加固前的状态。判断依据 Cat /etc/rc.config.d/namesvrs 实施风险高重要等级 ★ 备注 ELK-HP-UX-04-02-03 编号 ELK-HP-UX-04-02-03 名称关闭打印服务实施目的关闭无效的服务进程提高系统性能增加系统安全性。问题影响不用的服务会带来很多安全隐患,如果系统不是作为打印服务器应该关闭打印相关的服务因为UNIX的打印服务有不良的安全记录历史上出现过大量的安全漏洞。系统当前状态 Cat /etc/rc.config.d/tps Cat /etc/rc.config.d/lp Cat /etc/rc.config.d/pd 查看并记录当前的配置实施步骤 ch_rc -a -p XPRINTSERVERS /etc/rc.config.d/tps ch_rc -a -p LP0 /etc/rc.config.d/lp ch_rc -a -p PD_CLIENT0 /etc/rc.config.d/pd 回退方案还原 /etc/rc.config.d/tps , /etc/rc.config.d/lp和 /etc/rc.config.d/pd下的脚本文件名到加固前的状态。判断依据 Cat /etc/rc.config.d/tps Cat /etc/rc.config.d/lp Cat /etc/rc.config.d/pd 实施风险高重要等级 ★ 备注 ELK-HP-UX-04-02-04 编号 ELK-HP-UX-04-02-04 名称关闭sendmail服务实施目的关闭无效的服务提高系统性能增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态 Cat /etc/rc.config.d/mailservs查看并记录当前的配置实施步骤参考配置操作 echo SENDMAIL_SERVER0 /etc/rc.config.d/mailservs cd /var/spool/cron/crontabs crontab –l root.tmp echo 0 * * * * /usr/lib/sendmail -q root.tmp crontab root.tmp rm –f root.tmp 回退方案还原/etc/rc.config.d/mailservs文件到加固前的状态。判断依据 Cat /etc/rc.config.d/mailservs 实施风险高重要等级 ★ 备注 ELK-HP-UX-04-02-05 编号 ELK-HP-UX-04-02-05 名称关闭NFS相关服务实施目的关闭无效的服务提高系统性能增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态 Cat /etc/rc.config.d/nfsconf查看并记录当前的配置实施步骤参考配置操作 mv /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core mv /sbin/rc3.d/S100nfs.server /sbin/rc3.d/.NOS100nfs.server cd /sbin/rc2.d mv S430nfs.client .NOS430nfs.client cat EOF /etc/rc.config.d/nfsconf NFS_SERVER0 PCNFS_SERVER0 NUM_NFSD0 NUM_NFSIOD0 START_MOUNTD0 EOF cat EOF /etc/rc.config.d/nfsconf 回退方案还原/etc/rc.config.d/nfsconf文件到加固前的状态。判断依据 Cat /etc/rc.config.d/nfsconf 实施风险高重要等级 ★ 备注 ELK-HP-UX-04-02-06 编号 ELK-HP-UX-04-02-06 名称关闭SNMP服务实施目的关闭无效的服务提高系统性能增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态 Cat /etc/rc.config.d/SnmpHpunix Cat /etc/rc.config.d/SnmpMaster Cat /etc/rc.config.d/SnmpTrpDst 查看并记录当前的配置实施步骤参考配置操作 cd /sbin/rc2.d mv S565OspfMib .NOS565OspfMib mv S941opcagt .NOS941opcagt mv S570SnmpFddi .NOS570SnmpFddi vi /etc/rc.config.d/SnmpHpunix文件 SNMP_HPUNIX_START0 Vi /etc/rc.config.d/SnmpMaster文件 SNMP_MASTER_START0 Vi /etc/rc.config.d/SnmpMib2文件 SNMP_MIB2_START0 Vi /etc/rc.config.d/SnmpTrpDst文件 SNMP_TRAPDEST_START0 回退方案还原 /etc/rc.config.d/SnmpHpunix , /etc/rc.config.d/SnmpMaster 和/etc/rc.config.d/SnmpTrpDst文件到加固前的状态。判断依据 Cat /etc/rc.config.d/SnmpHpunix Cat /etc/rc.config.d/SnmpMaster Cat /etc/rc.config.d/SnmpTrpDst 实施风险高重要等级 ★ 备注屏幕保护 ELK-HP-UX-04-03-01 编号 ELK-HP-UX-04-03-01 名称设置登录超时时间实施目的对于具备字符交互界面的设备应配置定时帐户自动登出。问题影响管理员忘记退出被非法利用系统当前状态查看/etc/profile文件的配置状态并记录。实施步骤参考配置操作可以在用户的.profile文件中HISTFILESIZE后面增加如下行 vi　/etc/profile $ TMOUT180;export TMOUT 改变这项设置后重新登录才能有效。回退方案修改/etc/profile的配置到加固之前的状态。判断依据 TMOUT180 实施风险中重要等级 ★ 备注内核调整 ELK-HP-UX-04-04-01 编号 ELK-HP-UX-04-04-01 名称调整内核设置实施目的防止堆栈缓冲溢出问题影响堆栈缓冲溢出系统当前状态实施步骤参考配置操作 /usr/sbin/kmtune -s executable_stack0 mk_kernel kmupdate 回退方案判断依据 executable_stack0 实施风险高重要等级 ★ 备注 ELK-HP-UX-04-04-02 编号 ELK-HP-UX-04-04-02 名称安装TCP_Wrapper防火墙软件实施目的防止网络攻击问题影响没有影响系统当前状态实施步骤参考配置操作 make hpux mkdir -p /usr/local/sbin /usr/local/include \ /usr/local/lib /usr/local/man/man5 \ /usr/local/man/man1m chmod 755 /usr/local/sbin /usr/local/include \ /usr/local/lib /usr/local/man/man5 \ /usr/local/man/man1m for file in safe_finger tcpd tcpdchk \ tcpdmatch try-from do /usr/sbin/install -s -f /usr/local/sbin \ -m 0555 -u root -g daemon $file done for file in *.5 回退方案卸载TCP_Wrapper 判断依据实施风险高重要等级 ★ 备注其他调整 ELK-HP-UX-04-05-01 编号 ELK-HP-UX-04-05-01 名称引导身份验证实施目的使用引导身份验证功能防止未经授权的访问问题影响未经授权访问系统当前状态 cat /etc/default/security|grep BOOT 实施步骤参考配置操作 BOOT_AUTH1 BOOT_USERSroot,mary,jack,amy,jane 回退方案还原 /etc/default/security到系统更改前判断依据 BOOT_AUTH1 BOOT_USERSroot,mary,jack,amy,jane 实施风险高重要等级 ★ 备注

查看全文

http://www.hkea.cn/news/14482807/