HP-UNIX 系统安全基线 安全加固操作

编号

ELK-HP-UX-01-01-01

名称

为不同的管理员分配不同的账号

实施目的

根据不同类型用途设置不同的帐户账号，提高系统安全。

问题影响

账号混淆，权限不明确，存在用户越权使用的可能。

系统当前状态

cat /etc/passwd 记录当前用户列表

实施步骤

1、参考配置操作

为用户创建账号：

#useradd username  #创建账号

#passwd username   #设置密码

修改权限：

#chmod 750 directory  #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)

使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。

回退方案

删除新增加的帐户

判断依据

标记用户用途，定期建立用户列表，比较是否有非法用户

实施风险

高

重要等级

★★★

备注

编号

ELK-HP-UX-01-01-02

名称

删除或锁定无效账号

实施目的

删除或锁定无效的账号，减少系统安全隐患。

问题影响

允许非法利用系统默认账号

系统当前状态

cat /etc/passwd 记录当前用户列表， cat /etc/shadow 记录当前密码配置

实施步骤

参考配置操作

删除用户：#userdel username;

锁定用户：

1) 修改/etc/shadow文件，用户名后加*LK*

2) 将/etc/passwd文件中的shell域设置成/bin/false

3) #passwd -l username

只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

回退方案

新建删除用户

判断依据

如上述用户不需要，则锁定。

实施风险

高

重要等级

★★★

备注

编号

ELK-HP-UX-01-01-03

名称

对系统账号进行登录限制

实施目的

对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。

问题影响

可能利用系统进程默认账号登陆，账号越权使用

系统当前状态

cat /etc/shadow查看各账号状态。

实施步骤

1、参考配置操作

禁止账号交互式登录：

修改/etc/shadow文件，用户名后密码列为NP；

删除账号：#userdel username;

2、补充操作说明

禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等

Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell

回退方案

还原/etc/shadow文件配置

判断依据

/etc/shadow中上述账号，如果无特殊情况，密码列为NP

实施风险

高

重要等级

★

备注

可修改 %SSHINSTALL%/etc/sshd_config 中 PermitRootLogin no

注意，禁止root登陆，必须首先建立普通账号，测试普通账号登陆su root 之后才能进行加固。

注意su指令文件的权限必须要有s位

Hp-ux的root 密码如果设置特殊字符比较多也可能 su : sorry

编号

ELK-HP-UX-01-01-04

名称

为空口令用户设置密码

实施目的

禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。

问题影响

用户被非法利用

系统当前状态

cat /etc/passwd

实施步骤

用root用户登陆HP-UX系统，执行passwd命令，给用户增加口令。

例如：passwd test test。

回退方案

Root身份设置用户口令，取消口令

如做了口令策略则失败

判断依据

登陆系统判断

Cat /etc/passwd

实施风险

高

重要等级

★

备注

编号

ELK -HP-UX-01-01-05

名称

删除属于root用户存在潜在危险文件

实施目的

/.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，应该删除

问题影响

无影响

系统当前状态

cat /.rhost

cat /.netr

cat /root/.rhosts

cat /root/.netrc

实施步骤

Mv /.rhost /.rhost.bak

Mv /.netr /.netr.bak

Cd root

Mv .rhost .rhost.bak

Mv .netr .netr.bak

回退方案

Mv /.rhost.bak /.rhost

Mv /.netr.bak /.netr

Cd root

Mv .rhost.bak .rhost

Mv .netr.bak .netr

判断依据

登陆系统判断

Cat /etc/passwd

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-01-02-01

名称

缺省密码长度限制

实施目的

防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位。

问题影响

增加密码被暴力破解的成功率

系统当前状态

运行 cat /etc/default/security  查看状态，并记录。

实施步骤

参考配置操作

vi /etc/default/security ，修改设置如下

MIN_PASSWD_LENGTH = 6 #设定最小用户密码长度为6位

当用root帐户给用户设定口令的时候不受任何限制，只要不超长。

回退方案

vi /etc/default/security ，修改设置到系统加固前状态。

判断依据

MIN_PASSWD_LENGTH 值为6或更高

实施风险

低

重要等级

★★★

备注

编号

ELK-HP-UX-01-02-02

名称

缺省密码复杂度限制

实施目的

防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类。

问题影响

增加密码被暴力破解的成功率

系统当前状态

运行 cat /etc/default/security  查看状态，并记录。

实施步骤

PASSWORD_MIN_UPPER_CASE_CHARS=N
PASSWORD_MIN_LOWER_CASE_CHARS=N
PASSWORD_MIN_DIGIT_CHARS=N
PASSWORD_MIN_SPECIAL_CHARS=N

编辑N为你所需要的设置. 其中, PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N个大写字母; PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N个小写字母; PASSWORD_MIN_DIGIT_CHARS是至少有N个字母; PASSWORD_MIN_SPECIAL_CHARS就是至少要多少个特殊字符.

说明:

如果是11.11的系统, 需要有PHCO_24606: s700_800 11.11 libpam_unix cumulative patch 或其替代补丁安装在系统中. 可以用下面的命令检查是否已经有了该补丁:

A. # man security
看里面列的参数是否有PASSWORD_MIN_UPPER_CASE_CHARS, PASSWORD_MIN_LOWER_CASE_CHARS, PASSWORD_MIN_DIGIT_CHARS,PASSWORD_MIN_SPECIAL_CHARS这些参数的说明. 如果有, 就表明系统具有这个功能.

B. # swlist -l product | grep libpam
看是否有比PHCO_24606补丁更新的libpam补丁.

回退方案

vi /etc/default/security ，修改设置到系统加固前状态。

判断依据

PASSWORD_MIN_DIGIT_CHARS =2 或更高

PASSWORD_MIN_SPECIAL_CHARS =1 或更高

实施风险

低

重要等级

★★★

备注

编号

ELK-HP-UX-01-02-03

名称

缺省密码生存周期限制

实施目的

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患。

问题影响

密码被非法利用，并且难以管理

系统当前状态

运行 cat /etc/default/security  查看状态，并记录。

实施步骤

1、参考配置操作

vi /etc/default/security文件：

PASSWORD_MAXDAYS=90 密码最长生存周期90天

回退方案

vi /etc/default/security ，修改设置到系统加固前状态。

判断依据

PASSWORD_MAXDAYS=90 

实施风险

低

重要等级

★★★

备注

编号

ELK-HP-UX-01-02-04

名称

密码重复使用限制

实施目的

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

问题影响

密码破解的几率增加

系统当前状态

运行 cat /etc/default/security  查看状态，并记录。

实施步骤

参考配置操作

vi /etc/default/security文件：

PASSWORD_HISTORY_DEPTH=5

回退方案

vi /etc/default/security ，修改设置到系统加固前状态。

判断依据

PASSWORD_HISTORY_DEPTH=5

实施风险

低

重要等级

★

备注

编号

ELK-HP-UX-01-02-05

名称

密码重试限制

实施目的

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

问题影响

允许暴力破解密码

系统当前状态

运行 cat /etc/default/security 查看状态，并记录。

实施步骤

参考配置操作

vi /etc/default/security

NUMBER_OF_LOGINS_ALLOWED=7

这个参数控制每个用户允许的登录数量。
此参数仅适用于非 root 用户。

回退方案

vi /etc/default/security修改设置到系统加固前状态。

判断依据

NUMBER_OF_LOGINS_ALLOWED=7

实施风险

中

重要等级

★

备注

编号

ELK-HP-UX-01-03-01

名称

设置关键目录的权限

实施目的

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

问题影响

非法访问文件

系统当前状态

运行ls –al /etc/ 记录关键目录的权限

实施步骤

1、参考配置操作

通过chmod命令对目录的权限进行实际设置。

2、补充操作说明

/etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r—

/etc/shadow 只有root可读 –r--------

/etc/group 必须所有用户都可读，root用户可写 –rw-r—r—

使用如下命令设置：

chmod 644 /etc/passwd

chmod 600 /etc/shadow

chmod 644 /etc/group

如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）

执行命令#chmod -R go-w /etc

回退方案

通过chmod命令还原目录权限到加固前状态。

判断依据

–rw-r—r— etc/passwd

–r-------- /etc/shadow

–rw-r—r— /etc/group

或权限更小

实施风险

高

重要等级

★★★

备注

编号

ELK-HP-UX-01-03-02

名称

修改umask值

实施目的

控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

问题影响

非法访问目录

系统当前状态

运行 cat /etc/profile cat /etc/csh.login cat /etc/d.profile cat /etc/d.login 记录当前配置

实施步骤

1、参考配置操作

cd /etc

umask 027

for file in profile csh.login d.profile d.login

do

  echo umask 027 >> "$file"

done

修改文件或目录的权限，操作举例如下：

#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。

根据实际情况设置权限；

2、补充操作说明

如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置

3、补充说明

umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。

umask的计算：

umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。

回退方案

修改/etc/profile /etc/csh.login /etc/d.profile /etc/d.login配置文件到加固前状态。

判断依据

umask 022

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-01-03-03

名称

FTP用户及服务安全

实施目的

控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

问题影响

非法FTP登陆操作

非法访问目录

系统当前状态

运行 cat /etc/ftpusers  

cat /etc/ftpd/ftpaccess

cat /etc/ftpd/ftpusers

 cat /etc/passwd

     查看状态，并记录。

实施步骤

参考配置操作

if [[ "$(uname -r)" = B.10* ]]; then

ftpusers=/etc/ftpusers

else

ftpusers=/etc/ftpd/ftpusers

fi

for name in root daemon bin sys adm lp \

uucp nuucp nobody hpdb useradm

do

echo $name

done >> $ftpusers

chmod 600 $ftpusers

回退方案

vi /etc/ftpusers; vi /etc/ftpd/ftpaccess; vi /etc/passwd ，修改设置到系统加固前状态。

判断依据

查看# cat /etc/ftpusers

无特殊需求，在这个列表里边的用户名是不允许ftp登陆的。

Root    daemon    bin    sys    adm    lp    uucp    nuucp    listen    nobody    noaccess    nobody4

/etc/ftpd/ftpaccess设置相应的配置

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-01-03-04

名称

设置目录权限

实施目的

设置目录权限，防止非法访问目录。

问题影响

非法访问目录

系统当前状态

查看重要文件和目录权限：ls –l并记录。

实施步骤

1、参考配置操作

查看重要文件和目录权限：ls –l

更改权限：

对于重要目录，建议执行如下类似操作：

# chmod -R 750 /etc/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

回退方案

使用chmod 命令还原被修改权限的目录。

判断依据

判断 /etc/init.d/* 下的文件权限750以下

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-02-01-01

名称

开启内核层审计

实施目的

通过设置内核层审计，让系统记录内核事件，方便管理员分析

问题影响

记录内核事件

系统当前状态

运行cat /etc/rc.config.d/auditing查看状态，并记录。

实施步骤

1、参考配置操作

cat << EOF >> /etc/rc.config.d/auditing

AUDITING=1

PRI_SWITCH=10000

SEC_SWITCH=10000

EOF

回退方案

vi /etc/rc.config.d/auditing，修改设置到系统加固前状态。

判断依据

AUDITING=1

PRI_SWITCH=10000

SEC_SWITCH=10000

实施风险

低

重要等级

★★★

备注

编号

ELK-HP-UX-02-01-02

名称

启用inetd的日志功能

实施目的

记录系统中inetd操作的日志

问题影响

运行 cat /etc/rc.config.d/netdaemons 查看当前状态，并记录。

系统当前状态

运行 cat /etc/rc.config.d/netdaemons 查看当前状态，并记录。

实施步骤

1、参考配置操作

ch_rc -a -p INETD_ARGS=-l /etc/rc.config.d/netdaemons 

回退方案

vi /etc/rc.config.d/netdaemons ，修改设置到系统加固前状态。

判断依据

INETD_ARGS=-l

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-02-01-03

名称

启用设备安全日志功能

实施目的

设备应配置日志功能，记录对与设备相关的安全事件。

问题影响

运行 cat /etc/syslog.conf 查看当前状态，并记录。

系统当前状态

运行 cat /etc/syslog.conf 查看当前状态，并记录。

实施步骤

1、参考配置操作

配置如下类似语句：

*.err;kern.debug;daemon.notice;        /var/adm/messages

定义为需要保存的设备相关安全事件。

查看/var/adm/messages，记录有需要的设备相关的安全事件。 

回退方案

cat /etc/syslog.conf ，修改设置到系统加固前状态。

判断依据

cat /etc/syslog.conf

实施风险

高

重要等级

★

备注

编号 

ELK-HP-UX-03-01-01

名称

使用ssh加密传输

实施目的

提高远程管理安全性

问题影响

使用非加密通信，内容易被非法监听

系统当前状态

运行 # ps –elf|grep ssh  查看状态，并记录。

实施步骤

1、参考配置操作

1、参考配置操作

从http://www.software.hp.com可以得到针对HP-UX的OpenSSH安装软件包。然后使用如下命令进行安装：

swinstall -s /var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+64.depot

/var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+64.depot是一个示例路径。

回退方案

卸载SSH、或者停止SSH服务

判断依据

有SSH进程

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-03-01-01

名称

加强系统的网络性能

实施目的

调整内核参数，以加强系统的网络性能

问题影响

有助提高系统网络性能

系统当前状态

查看/etc/rc.config.d/nddconf

的配置状态，并记录。

实施步骤

1、参考配置操作

对于HP-UX 11i的版本，应该通过如下命令调整内核参数，以加强系统的网络性能：

cd /etc/rc.config.d

cat <<EOF > nddconf

# Increase size of half-open connection queue

TRANSPORT_NAME[0]=tcp

NDD_NAME[0]=tcp_syn_rcvd_max

NDD_VALUE[0]=4096

# Reduce the half-open timeout

TRANSPORT_NAME[1]=tcp

NDD_NAME[1]=tcp_ip_abort_cinterval

NDD_VALUE[1]=60000

# Reduce timeouts on ARP cache

TRANSPORT_NAME[2]=arp

NDD_NAME[2]=arp_cleanup_interval

NDD_VALUE[2]=60000

# Don't send ICMP redirects

TRANSPORT_NAME[3]=ip

NDD_NAME[3]=ip_send_redirects

NDD_VALUE[3]=0

# Drop source-routed packets

TRANSPORT_NAME[4]=ip

NDD_NAME[4]=ip_forward_src_routed

NDD_VALUE[4]=0

# Don't forward directed broadcasts

TRANSPORT_NAME[5]=ip

NDD_NAME[5]=ip_forward_directed_broadcasts

NDD_VALUE[5]=0

# Don't respond to unicast ICMP timestamp requests

TRANSPORT_NAME[6]=ip

NDD_NAME[6]=ip_respond_to_timestamp

NDD_VALUE[6]=0

# Don't respond to broadcast ICMP tstamp reqs

TRANSPORT_NAME[7]=ip

NDD_NAME[7]=ip_respond_to_timestamp_broadcast

NDD_VALUE[7]=0

# Don't respond to ICMP address mask requests

TRANSPORT_NAME[8]=ip

NDD_NAME[8]=ip_respond_to_address_mask_broadcast

NDD_VALUE[8]=0

EOF

chmod go-w,ug-s nddconf 

回退方案

修改/etc/rc.config.d/nddconf的配置到加固之前的状态，删除新创建的/usr/sbin/in.routed文件

判断依据

Cat /etc/rc.config.d/nddconf

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-03-02-01

名称

不转发定向广播包

实施目的

利用ndd命令，可以检测或者更改网络设备驱动程序的特性。在/etc/rc.config.d/nddconf启动脚本中增加以下各条命令，然后重启系统，可以提高网络的安全性。

问题影响

提高网络安全性

系统当前状态

查看 cat /etc/rc.config.d/nddconf的配置状态，并记录。

实施步骤

1、参考配置操作

#不转发定向广播包

/usr/sbin/ndd -set /dev/ip ip_forward_src_routed 1 0        

# 不转发原路由包

/usr/sbin/ndd -set /dev/ip ip_forwarding 2 0  

#禁止包转发             

/usr/sbin/ndd -set /dev/ip ip_pmtu_strategy 2 1            

#不采用echo-request PMTU策略

/usr/sbin/ndd -set /dev/ip ip_send_redirects 1 0           

#不发ICMP重定向包

/usr/sbin/ndd -set /dev/ip ip_send_source_quench 1 0       

#不发ICMP源结束包

/usr/sbin/ndd -set /dev/ip tcp_conn_request_max 20 500      

#增加TCP监听数最大值，提高性能

/usr/sbin/ndd -set /dev/ip tcp_syn_rcvd_max 500 500         

#HP SYN flood保护

/usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 1 0

不响应ICMP echo请求广播包

    由于ndd调用前，已经启动网卡参数，所以可能不能正确设置。

    可以采用下列方法，建立一个启动脚本。

    # cp /tmp/secconf /etc/rc.config.d 
    # chmod 444 /etc/rc.config.d/secconf 
    # cp /tmp/sectune /sbin/init.d 
    # chmod 555 /sbin/init.d/sectune 
    # ln -s /sbin/init.d/sectune /sbin/rc2.d/S009sectune

回退方案

修改vi /etc/rc.config.d/nddconf的配置到加固之前的状态

判断依据

Cat /etc/rc.config.d/nddconf

实施风险

高

重要等级

★

备注

编号

ELK-HP-04-01-01

名称

安装补丁

实施目的

安装系统补丁,增强系统强制,安全性.

问题影响

影响系统强制,安全性

系统当前状态

uname -a

实施步骤

参考配置操作

1.获得补丁

HP-UX系统的升级补丁可以从HP-UX Support Plus站点获得，URL是http://www.software.hp.com/SUPPORT_PLUS/

对于HP-UX 10.x的版本，补丁叫做General Release for HPUX10.x；对于HP-UX 11.x的版本，补丁叫做Quality Pack (QPK) for HP-UX 11.x。

2 安装补丁

HP-UX补丁可以使用swinstall或者SAM安装。例如：

swinstall –s \

    /tmp/XSW700GR1020_10.20_700.depot \

    -x match_target=true

/tmp/XSW700GR1020_10.20_700.depot是一个例子。

3 校验补丁

对于已经安装的补丁，可以使用如下命令输出没有正确配置的补丁：

swlist –l fileset -a state grep -Ev '(configured|^#)'

回退方案

重新安全软件包，

判断依据

实施风险

高

重要等级

★★

备注

编号

ELK-HP-UX-04-02-01

名称

关闭inetd启动的不必要服务

实施目的

关闭无效的服务，提高系统性能，增加系统安全性。

问题影响

不用的服务会带来很多安全隐患

系统当前状态

cat /etc/inet/inetd.conf 查看并记录当前的配置

实施步骤

1、参考配置操作

编辑/etc/inet/inetd.conf文件，注释掉和没有必要服务、不安全服务相关的内容，这些服务包括：tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、rpc.rexd、rpc.rstatd、 rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver等。

重新启动inetd监控进程：kill –HUP `ps –ef|grep –v inetd`

回退方案

还原/etc/inet/inetd.conf文件到加固前的状态。

判断依据

在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。

tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、rpc.rexd、rpc.rstatd、 rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver标记用户用途，定期建立用户列表，比较是否有非法用户

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-04-02-02

名称

关闭NIS/NIS+相关服务

实施目的

关闭无效的服务，提高系统性能，增加系统安全性。

问题影响

不用的服务会带来很多安全隐患

系统当前状态

Cat /etc/rc.config.d/namesvrs查看并记录当前的配置

实施步骤

参考配置操作

Vi /etc/rc.config.d/namesvrs文件：

NIS_MASTER_SERVER=0

NIS_SLAVE_SERVER=0

NIS_CLIENT=0

NISPLUS_SERVER=0

NISPLUS_CLIENT=0

回退方案

还原/etc/rc.config.d/namesvrs文件到加固前的状态。

判断依据

Cat /etc/rc.config.d/namesvrs

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-04-02-03

名称

关闭打印服务

实施目的

关闭无效的服务进程，提高系统性能，增加系统安全性。

问题影响

不用的服务会带来很多安全隐患,如果系统不是作为打印服务器，应该关闭打印相关的服务，因为UNIX的打印服务有不良的安全记录，历史上出现过大量的安全漏洞。

系统当前状态

Cat /etc/rc.config.d/tps

Cat /etc/rc.config.d/lp

Cat /etc/rc.config.d/pd

查看并记录当前的配置

实施步骤

ch_rc -a -p XPRINTSERVERS="''" /etc/rc.config.d/tps

ch_rc -a -p LP=0 /etc/rc.config.d/lp

ch_rc -a -p PD_CLIENT=0 /etc/rc.config.d/pd

回退方案

还原

/etc/rc.config.d/tps , /etc/rc.config.d/lp和 /etc/rc.config.d/pd下的脚本文件名到加固前的状态。

判断依据

Cat /etc/rc.config.d/tps

Cat /etc/rc.config.d/lp

Cat /etc/rc.config.d/pd

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-04-02-04

名称

关闭sendmail服务

实施目的

关闭无效的服务，提高系统性能，增加系统安全性。

问题影响

不用的服务会带来很多安全隐患

系统当前状态

Cat  /etc/rc.config.d/mailservs查看并记录当前的配置

实施步骤

参考配置操作

echo SENDMAIL_SERVER=0 >> /etc/rc.config.d/mailservs

cd /var/spool/cron/crontabs

crontab –l >root.tmp

echo '0 * * * * /usr/lib/sendmail -q' >>root.tmp

crontab root.tmp

rm –f root.tmp

回退方案

还原/etc/rc.config.d/mailservs文件到加固前的状态。

判断依据

Cat /etc/rc.config.d/mailservs

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-04-02-05

名称

关闭NFS相关服务

实施目的

关闭无效的服务，提高系统性能，增加系统安全性。

问题影响

不用的服务会带来很多安全隐患

系统当前状态

Cat /etc/rc.config.d/nfsconf查看并记录当前的配置

实施步骤

参考配置操作

mv /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core

mv /sbin/rc3.d/S100nfs.server /sbin/rc3.d/.NOS100nfs.server

cd /sbin/rc2.d

mv S430nfs.client .NOS430nfs.client

cat <<EOF>> /etc/rc.config.d/nfsconf

NFS_SERVER=0

PCNFS_SERVER=0

NUM_NFSD=0

NUM_NFSIOD=0

START_MOUNTD=0

EOF

cat <<EOF>> /etc/rc.config.d/nfsconf

回退方案

还原/etc/rc.config.d/nfsconf文件到加固前的状态。

判断依据

Cat /etc/rc.config.d/nfsconf

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-04-02-06

名称

关闭SNMP服务

实施目的

关闭无效的服务，提高系统性能，增加系统安全性。

问题影响

不用的服务会带来很多安全隐患

系统当前状态

Cat /etc/rc.config.d/SnmpHpunix

Cat /etc/rc.config.d/SnmpMaster

Cat /etc/rc.config.d/SnmpTrpDst

查看并记录当前的配置

实施步骤

参考配置操作

cd /sbin/rc2.d

mv  S565OspfMib  .NOS565OspfMib

mv  S941opcagt   .NOS941opcagt

mv  S570SnmpFddi  .NOS570SnmpFddi

vi /etc/rc.config.d/SnmpHpunix文件

   SNMP_HPUNIX_START=0

Vi /etc/rc.config.d/SnmpMaster文件

   SNMP_MASTER_START=0

Vi /etc/rc.config.d/SnmpMib2文件

   SNMP_MIB2_START=0

Vi /etc/rc.config.d/SnmpTrpDst文件

   SNMP_TRAPDEST_START=0

回退方案

还原

/etc/rc.config.d/SnmpHpunix , /etc/rc.config.d/SnmpMaster

和/etc/rc.config.d/SnmpTrpDst文件到加固前的状态。

判断依据

Cat /etc/rc.config.d/SnmpHpunix

Cat /etc/rc.config.d/SnmpMaster

Cat /etc/rc.config.d/SnmpTrpDst

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-04-03-01

名称

设置登录超时时间

实施目的

对于具备字符交互界面的设备，应配置定时帐户自动登出。

问题影响

管理员忘记退出被非法利用

系统当前状态

查看/etc/profile文件的配置状态，并记录。

实施步骤

参考配置操作

可以在用户的.profile文件中"HISTFILESIZE="后面增加如下行：

vi　/etc/profile

$ TMOUT=180;export TMOUT
改变这项设置后，重新登录才能有效。

回退方案

修改/etc/profile的配置到加固之前的状态。

判断依据

TMOUT=180

实施风险

中

重要等级

★

备注

编号

ELK-HP-UX-04-04-01

名称

调整内核设置

实施目的

防止堆栈缓冲溢出

问题影响

堆栈缓冲溢出

系统当前状态

实施步骤

参考配置操作

/usr/sbin/kmtune -s executable_stack=0 &&mk_kernel &&kmupdate

回退方案

判断依据

executable_stack=0

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-04-04-02

名称

安装TCP_Wrapper防火墙软件

实施目的

防止网络攻击

问题影响

没有影响

系统当前状态

实施步骤

参考配置操作

make hpux

mkdir -p /usr/local/sbin /usr/local/include \

/usr/local/lib /usr/local/man/man5 \

/usr/local/man/man1m

chmod 755 /usr/local/sbin /usr/local/include \

/usr/local/lib /usr/local/man/man5 \

/usr/local/man/man1m

for file in safe_finger tcpd tcpdchk \

tcpdmatch try-from

do /usr/sbin/install -s -f /usr/local/sbin \

-m 0555 -u root -g daemon $file

done

for file in *.5

回退方案

卸载TCP_Wrapper

判断依据

实施风险

高

重要等级

★

备注

编号

ELK-HP-UX-04-05-01

名称

引导身份验证

实施目的

使用引导身份验证功能防止未经授权的访问

问题影响

未经授权访问

系统当前状态

cat /etc/default/security|grep BOOT

实施步骤

参考配置操作

BOOT_AUTH=1

BOOT_USERS=root,mary,jack,amy,jane

回退方案

还原 /etc/default/security到系统更改前

判断依据

BOOT_AUTH=1

BOOT_USERS=root,mary,jack,amy,jane

实施风险

高

重要等级

★

备注