HP-UX系统加固手册

恢复需要的服务备份文件
使用命令“vi /etc/ssh/sshd_config” 编辑配置文件 （1）不允许root直接登录 设置“PermitRootLogin ”的值为yes
使用命令“vi /etc/exports”编辑配置 文件，删除必要的共享注
使用原备份的.rhosts和 /etc/hosts.equiv文件
确认启明记录该 日志
回退步骤
备注
查看系统 信息，无 需操作和 回退
使用命令“sam”，选择 Accounts for users and Groups -> Users -> 选择 要解锁的用户 -> 按tab键 切换到菜单栏，选择 Actions菜单下的 Deactivate，解锁用户
使用命令“vi /etc/security/user”修 改配置文件，恢复所需策 略
使用命令“echo console > /etc/securetty # chmod 400 /etc/securetty”，含义 是只允许root从控制台登 使用命令“vi /etc/ftpd/ftpusers”修 改配置文件，添加行，每 行包含一个用户名，如： 系统用户，禁止这些用户 登录FTP服务，只保留ftp 使用命令“vi /etc/inetd.conf”修改配 置文件，在不需要的服务 的行开头添加注释符号“# ” 使用命令“inetd –c” 修改前备份该文件，将不 需要的服务设置为开机不 启动，例如： mv /sbin/rc2.d/S410nis.ser ver /sbin/rc2.d/s410nis.ser ver 使用命令“vi /etc/ssh/sshd_config” 编辑配置文件 （1）不允许root直接登录 设置“PermitRootLogin ”的值为no （2）修改SSH使用的协议 版本 设置“Protocol”的版本 为2 （3）修改允许密码错误次 数 设置“MaxAuthTries”的 值为3 使用命令“vi /etc/exports”编辑配置 文件，注释不必要的共享
序号
1
加固项说明 查看内核信息 uname -a 查看补丁信息 swlist -l 查看主机名 hostname 系统状态 # /usr/lbin/getprpw 查看系统信 System is not trusted. 息 表示系统处于非可信状态 （untrusted system） 查看网络配置 # lanscan # ifconfig lan0 查看路由表 netstat -nr 查看开放端口 netstat -an
建议不开户root的远程登 录
使用命令“vi /etc/ftpusers”修改配置 文件，删除需要登录的FTP 帐号名，启用此用户登录 FTP服务 使用命令“vi /etc/inetd.conf”修改配 置文件，在需要的服务的 行开头删除注释符号“#” 使用命令“inetd –c” 重新启动inetd服务
修改文件前，备份该文 件，使用命令“vi .rhosts”和“vi /etc/hosts.equiv”修改 配置文件，正确进行授权
影响远程主 确认信任主机名 机的访问 单
使用命令“vi /etc/profile”修改配置 文件，添加行“UMASK 使用命令“umask”查 027”， 即新创建的文件 看பைடு நூலகம்认的UMASK值是否 属主读写执行权限，同组 为027 用户读和执行权限，其他 用户无权限，使用命令“ umask 027”应用设置 使用命令“cat 使用命令“vi /etc/profile |grep /etc/profile”修改配置 TMOUT”查看TMOUT是否 文件，添加行“TMOUT=180 被设置 ”，即超时时间为3分钟 使用命令查看syslog日 志是否设置 # cat /etc/syslog.conf|gre p -v "#" mail.debug /var/adm/syslog/mail .log *.info;mail.none /var/adm/syslog/sysl og.log *.alert /dev/console *.alert root *.emerg * 使用命令查看syslog是 否运行 # ps -eaf|grep syslog root 495 1 0 13:10:38 ? 0:00 /usr/sbin/syslogd -D root 13731 12945 0 15:27:55 pts/tb
使用命令“vi /etc/profile”修改配 置文件，删除行“UMASK 027”
使用命令“vi /etc/profile”修改配置 文件，添加“# TMOUT=” 行开头的注释
查看系 统，无需 操作和回 退
影响用户 访问不同 组用户所 创建的文 件
超过时间阀 值后需重新 登录
确认是否需要
使用命令查看inetd日 志是否设置 # cat /etc/rc.config.d/net daemons |grep "export INETD_ARGS="
使用命令“vi /etc/rc.config.d/netdae mons”修改配置文件，设 置为开机记录日志 export INETD_ARGS=”-l ” 使用命令“inetd -l”立
加固模块
操作目的
2
账号
禁用无用账号
减少系统无用账号， 降低风险
3
账号
添加口令策略
加强口令的复杂度 等，降低被猜解的可 能性
4
账号
禁止root远程登录
防止root远程登录时 被嗅探到口令
5
账号
限制FTP登录
禁止不必要的用户登 录FTP服务，降低风 险
6
服务
关闭不必要的inetd服务
关闭不必要的inetd 服务，降低风险
7
服务
关闭其他不必要的服务
关闭其他不必要的服 务，例如： sendmail，snmp， NFS服务等
8
服务
检查SSH服务
对SSH服务进行安全 检查
9
服务
查看NFS共享
查看NFS共享
10
服务
检查.rhosts和 /etc/hosts.equiv文件
检查.rhosts和 /etc/hosts.equiv文 件配置错误将导致非 授权的访问
11
文件系统
设置UMASK值
设置默认的UMASK 值，增强安全性
12
文件系统
设置登录超时
设置系统登录后，连 接超时时间，增强安 全性
13
日志
系统日志
查看syslog日志记录 设置
14
日志
inetd日志
查看inetd日志记录 设置，例如：telnet 登录
检查方法
加固方法
业务影响 局方配合事项
使用命令“cat /etc/passwd”查看口 令文件
更改策略后 可能需修改 部分帐号的 确认是否有部分 口令，，而 帐号被某些程序 调用这些帐 调用 号和密码的 程序会受此 影响
使用命令“cat /etc/securetty”查看 配置文件，此文件设置 了允许root从哪些设备 登录 使用命令“cat /etc/ftpd/ftpusers” 查看配置文件，确认是 否包含用户名，含义是 这些用户名不允许登录 FTP服务 使用命令“cat /etc/inetd.conf”查 看配置文件 # cat /etc/inetd.conf|grep -v "#" 分别使用命令“cat /sbin/rc2.d/” “ cat /sbin/rc3.d”和 ““cat /sbin/rc3.d ””查看开机启动的服 务 使用命令“cat /etc/ssh/sshd_config ”查看配置文件 （1）检查是否允许 root直接登录 检查“ PermitRootLogin ”的 值是否为no （2）检查SSH使用的协 议版本 检查“Protocol”的值 （3）检查允许密码错 误次数，超过后断开连 接 使用命令“exportfs” 查看NFS输出的共享目 录
root不能远 确认是否需要用 程登录 root远程登录
确认登录FTP账 影响部分用 户白名单或者黑 户的登录 名单
影响部分用 确认不需要的服 户使用该服 务名单 务
影响部分用 确认不需要的服 户使用该服 务名单 务
影响root用 确认是否需要 户使用SSH root使用SSH远 登录 程登录
影响部分用 确认是否需要使 户使用NFS 用NFS服务 服务
使用命令“passwd –l < 用户名>”，锁定用户；
如果错误禁 止合法账 户，可能会 确认账户白名单 影响调用此 或者黑名单 账户的相关 应用
使用命令“cat /etc/default/security” 修改配置文件 有选择的修改以下策略 MIN_PASSWORD_LENGTH=6 #设定最小用户密码长度为 6位 PASSWORD_MIN_UPPER_CASE _CHARS=1 #表示至少包 括1个大写字母 PASSWORD_MIN_DIGIT_CHAR S=1 #表示至少包括1个 使用命令“cat 数字 /etc/default/securit PASSWORD_MIN_SPECIAL_CH y”查看配置文件 ARS=1 #表示至少包括1个 特殊字符 PASSWORD_MIN_LOWER_CASE _CHARS=1 #表示至少包括 1个小写字母 ALLOW_NULL_PASSWORD=0 #表示密码不能为空 PASSWORD_MAXDAYS=90 # 表示密码最多使用90天 AUTH_MAXTRIES=6 #表 示连续输错6次密码锁定账 号 HISTORY＝5 #表示不能
1）使用“find / name .rhosts -print ”查找.rhosts文件， 若.rhosts文件中包含 远程主机名，则代表允 许该主机通过rlogin等 方式登录本机；如果包 含两个加号，代表任何 主机都可以无需用户名 口令登录本机 （2）使用“cat /etc/hosts.equiv”查 看配置文件，若包含远 程主机名，则代表允许