/etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r--------
/etc/group 必须所有用户都可读,root用户可写 –rw-r—r— 使用如下命令设置:
chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外) 执行命令#chmod -R go-w /etc
回退方案 通过chmod命令还原目录权限到加固前状态。 判断依据 –rw-r—r— etc/passwd –r-------- /etc/shadow –rw-r—r— /etc/group 或权限更小 实施风险 高 重要等级 ★★★ 备注
1.3.2 SHG-HP-UX-01-03-02 编号 SHG-HP-UX-01-03-02 名称 修改umask值
实施目的 控制用户缺省访问权限,当在创建新文件或目录时,屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 问题影响 非法访问目录
系统当前状态 运行 cat /etc/profile cat /etc/csh.login cat /etc/d.profile cat /etc/d.login 记录当前配置
实施步骤 1、参考配置操作
cd /etc umask 027
for file in profile csh.login d.profile d.login do
echo umask 027 >> \done
修改文件或目录的权限,操作举例如下:
#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。 根据实际情况设置权限; 2、补充操作说明
如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置 3、补充说明
umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。 umask的计算:
umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
回退方案 修改/etc/profile /etc/csh.login /etc/d.profile /etc/d.login配置文件到加固前状态。 判断依据 umask 022 实施风险 高 重要等级 ★ 备注
1.3.3 SHG-HP-UX-01-03-03 编号 SHG-HP-UX-01-03-03 名称 FTP用户及服务安全
实施目的 控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。 问题影响 非法FTP登陆操作 非法访问目录
系统当前状态 运行 cat /etc/ftpusers cat /etc/ftpd/ftpaccess cat /etc/ftpd/ftpusers cat /etc/passwd
查看状态,并记录。 实施步骤 参考配置操作
if [[ \ftpusers=/etc/ftpusers else
ftpusers=/etc/ftpd/ftpusers fi
for name in root daemon bin sys adm lp \\ uucp nuucp nobody hpdb useradm do
echo $name
done >> $ftpusers chmod 600 $ftpusers 回退方案
vi /etc/ftpusers; vi /etc/ftpd/ftpaccess; vi /etc/passwd ,修改设置到系统加固前状态。 判断依据 查看# cat /etc/ftpusers
无特殊需求,在这个列表里边的用户名是不允许ftp登陆的。
Root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4
/etc/ftpd/ftpaccess设置相应的配置 实施风险 高 重要等级 ★ 备注
1.3.4 SHG-HP-UX-01-03-04 编号 SHG-HP-UX-01-03-04 名称 设置目录权限
实施目的 设置目录权限,防止非法访问目录。 问题影响 非法访问目录
系统当前状态 查看重要文件和目录权限:ls –l并记录。 实施步骤 1、参考配置操作 查看重要文件和目录权限:ls –l 更改权限:
对于重要目录,建议执行如下类似操作:
# chmod -R 750 /etc/init.d/*
这样只有root可以读、写和执行这个目录下的脚本。
回退方案 使用chmod 命令还原被修改权限的目录。 判断依据 判断 /etc/init.d/* 下的文件权限750以下 实施风险 高 重要等级 ★ 备注
2 日志配置
2.1.1 SHG-HP-UX-02-01-01 编号 SHG-HP-UX-02-01-01 名称 开启内核层审计
实施目的 通过设置内核层审计,让系统记录内核事件,方便管理员分析 问题影响 记录内核事件
系统当前状态 运行cat /etc/rc.config.d/auditing查看状态,并记录。 实施步骤 1、参考配置操作
cat << EOF >> /etc/rc.config.d/auditing AUDITING=1
PRI_SWITCH=10000 SEC_SWITCH=10000 EOF
回退方案 vi /etc/rc.config.d/auditing,修改设置到系统加固前状态。 判断依据 AUDITING=1 PRI_SWITCH=10000 SEC_SWITCH=10000 实施风险 低 重要等级 ★★★ 备注
2.1.2 SHG-HP-UX-02-01-02
编号 SHG-HP-UX-02-01-02 名称 启用inetd的日志功能
实施目的 记录系统中inetd操作的日志
问题影响 运行 cat /etc/rc.config.d/netdaemons 查看当前状态,并记录。 系统当前状态 运行 cat /etc/rc.config.d/netdaemons 查看当前状态,并记录。 实施步骤 1、参考配置操作
ch_rc -a -p INETD_ARGS=-l /etc/rc.config.d/netdaemons
回退方案 vi /etc/rc.config.d/netdaemons ,修改设置到系统加固前状态。 判断依据 INETD_ARGS=-l 实施风险 高 重要等级 ★ 备注
2.1.3 SHG-HP-UX-02-01-03 编号 SHG-HP-UX-02-01-03 名称 启用设备安全日志功能
实施目的 设备应配置日志功能,记录对与设备相关的安全事件。 问题影响 运行 cat /etc/syslog.conf 查看当前状态,并记录。 系统当前状态 运行 cat /etc/syslog.conf 查看当前状态,并记录。 实施步骤 1、参考配置操作 配置如下类似语句:
*.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。
查看/var/adm/messages,记录有需要的设备相关的安全事件。 回退方案 cat /etc/syslog.conf ,修改设置到系统加固前状态。 判断依据 cat /etc/syslog.conf 实施风险 高 重要等级 ★ 备注
3 通信协议
3.1 IP协议安全
3.1.1 SHG-HP-UX-03-01-01 编号 SHG-HP-UX-03-01-01 名称 使用ssh加密传输
实施目的 提高远程管理安全性
问题影响 使用非加密通信,内容易被非法监听
系统当前状态 运行 # ps –elf|grep ssh 查看状态,并记录。 实施步骤 1、参考配置操作 1、参考配置操作
从http://www.software.hp.com可以得到针对HP-UX的OpenSSH安装软件包。然后使用如下命令进行安装:
swinstall -s /var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+64.depot
/var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+64.depot是一个示例路径。
回退方案 卸载SSH、或者停止SSH服务 判断依据 有SSH进程 实施风险 高 重要等级 ★ 备注
3.1.2 SHG-HP-UX-03-01-02 编号 SHG-HP-UX-03-01-01 名称 加强系统的网络性能
实施目的 调整内核参数,以加强系统的网络性能 问题影响 有助提高系统网络性能
系统当前状态 查看/etc/rc.config.d/nddconf 的配置状态,并记录。
实施步骤 1、参考配置操作
对于HP-UX 11i的版本,应该通过如下命令调整内核参数,以加强系统的网络性能: cd /etc/rc.config.d cat < nddconf
# Increase size of half-open connection queue TRANSPORT_NAME[0]=tcp
NDD_NAME[0]=tcp_syn_rcvd_max NDD_VALUE[0]=4096
# Reduce the half-open timeout TRANSPORT_NAME[1]=tcp
NDD_NAME[1]=tcp_ip_abort_cinterval NDD_VALUE[1]=60000
# Reduce timeouts on ARP cache TRANSPORT_NAME[2]=arp
NDD_NAME[2]=arp_cleanup_interval NDD_VALUE[2]=60000
# Don't send ICMP redirects TRANSPORT_NAME[3]=ip
NDD_NAME[3]=ip_send_redirects NDD_VALUE[3]=0
# Drop source-routed packets TRANSPORT_NAME[4]=ip
NDD_NAME[4]=ip_forward_src_routed NDD_VALUE[4]=0
# Don't forward directed broadcasts TRANSPORT_NAME[5]=ip
NDD_NAME[5]=ip_forward_directed_broadcasts NDD_VALUE[5]=0
# Don't respond to unicast ICMP timestamp requests TRANSPORT_NAME[6]=ip
NDD_NAME[6]=ip_respond_to_timestamp