《HPUX安全手冊(cè)》word版

1、HP-UX安全手冊(cè)一、 基本系統(tǒng)管理1、常用命令1. # ioscan -fn列出各I/O卡及設(shè)備的所有相關(guān)信息：如邏輯單元號(hào)，硬件地址及設(shè)備文件名等。HP-UX安全手冊(cè)一、 基本系統(tǒng)管理1、常用命令1. # ioscan -fn列出各I/O卡及設(shè)備的所有相關(guān)信息：如邏輯單元號(hào)，硬件地址及設(shè)備文件名等。2. # ps -ef列出正在運(yùn)行的所有進(jìn)程的各種信息：如進(jìn)程號(hào)及進(jìn)程名等。3. # netstat -rn列出網(wǎng)卡狀態(tài)及路由信息等。4. # lanscan列出網(wǎng)卡狀態(tài)及網(wǎng)絡(luò)配置信息。5. # bdf列出已加載的邏輯卷及其大小信息。6. # mount列出已加載的邏輯卷及其加載位置。7. #

2、uname -a列出系統(tǒng)ID 號(hào)，OS版本及用戶權(quán)限等信息。8. # hostname列出系統(tǒng)網(wǎng)絡(luò)名稱。9. # pvdisplay -v /dev/dsk/c*t*d*顯示磁盤(pán)各種信息，如磁盤(pán)大小，包含的邏輯卷，設(shè)備名稱等。10. # vgdisplay -v /dev/vg00顯示邏輯卷組信息，如包含哪些物理盤(pán)及邏輯卷等。11. # lvdisplay -v /dev/vg00/lvol1顯示邏輯卷各種信息，如包含哪些盤(pán)，是否有鏡像等。2、網(wǎng)絡(luò)故障診斷1. 如需修改網(wǎng)絡(luò)地址、主機(jī)名等，一定要用set_parms 命令# set_parms hostname# set_parms ip_ad

3、dress2. 查看網(wǎng)卡狀態(tài)： lanscanHardware Station Crd Hardware Net-InterfacePath Address In# state nameunit state8/20/5/1 0 x0800097843FB 0 up lan0 up3. 確認(rèn)網(wǎng)絡(luò)地址：# ifconfig lan04. 啟動(dòng)網(wǎng)卡：# ifconfig lan0 up5. 網(wǎng)絡(luò)不通的診斷過(guò)程：lanscan 查看網(wǎng)卡是否啟動(dòng)(up)ping 自己網(wǎng)卡地址(ip 地址)ping其它機(jī)器地址，如不通，在其機(jī)器上用lanscan 命令得知station address，然后linkloo

4、p station_address 來(lái)確認(rèn)網(wǎng)線及集成器是否有問(wèn)題。在同一網(wǎng)中， subnetmask 應(yīng)一致。6. 配置網(wǎng)關(guān)手動(dòng)加網(wǎng)關(guān)：/usr/sbin/route add default 20.08.28.98 1把網(wǎng)關(guān)自動(dòng)加入系統(tǒng)中vi /etc/rc.config.d / netconf:ROUTE_DESTINATION 0=defaultROUTE_GATEWAY 0=ROUTE_COUNT 0=1:/sbin/init.d/net 將執(zhí)行：/usr/sbin/route add default 20.08.28.98 1命令netstat -rn 查看路由表另外也可用set_pa

5、rms addl_netwrk 來(lái)設(shè)缺省路由。二、安全安裝HP-UX1、 建議在安裝配置過(guò)程中，不要連接到任何不信任的網(wǎng)絡(luò)中。2、 盡可能選擇最小安裝3、 盡可能不要安裝NFS, X window, SNMP等組件（視具體需求而定）4、 安裝完畢，則使用系統(tǒng)命令查看狀態(tài)。# uname a （版本信息）# bdf （邏輯卷狀態(tài)）# ps ef （進(jìn)程狀態(tài)）# netstat -anf inet （端口狀態(tài)）5、 安裝各種驅(qū)動(dòng)等6、 安裝最新的補(bǔ)丁。安裝補(bǔ)丁時(shí)要注意HP的補(bǔ)丁與硬件類(lèi)型和系統(tǒng)版本都相關(guān)，檢查并安裝所有需要的補(bǔ)丁。確認(rèn)需要swlist -l fileset.三、系統(tǒng)基本配置操作系統(tǒng)

6、安裝并打上補(bǔ)丁后，需要做一些措施來(lái)對(duì)系統(tǒng)進(jìn)行一些配置。刪除保存的補(bǔ)?。蛇x）缺省情況下，補(bǔ)丁安裝完會(huì)在/var/adm/sw/save/下備份所有的補(bǔ)丁。可以選擇刪除這些補(bǔ)丁文件，但一旦刪除就沒(méi)法使用swremove卸載補(bǔ)丁了。# swmodify -x patch_commit=true *.*轉(zhuǎn)換為一個(gè)可信系統(tǒng)：# /usr/lbin/tsconvertCreating secure password database.Directories created.Making default files.System default file created.Terminal default

7、file created.Device assignment file created.Moving passwords.secure password database installed.Converting at and crontab jobs.At and crontab files converted.改變?nèi)痔貦?quán)HP-UX 有一個(gè)特權(quán)組，可以分配給一個(gè)組特權(quán)(參見(jiàn)privgrp(4). 缺省情況下，CHOWN是分配給所有組的一個(gè)全局特權(quán)：$ getprivgrpglobal privileges: CHOWN/sbin/init.d/set_prvgrp在系統(tǒng)啟動(dòng)時(shí)執(zhí)行/usr/

8、sbin/setprivgrp -f /etc /privgroup. 可以創(chuàng)建一個(gè)配置文件，刪除所有的全局特權(quán) (see setprivgrp(1m):# getprivgrpglobal privileges: CHOWN# echo -n /etc/privgroup# chmod 400 /etc/privgroup# /sbin/init.d/set_prvgrp start# getprivgrpglobal privileges:設(shè)置默認(rèn)umask.轉(zhuǎn)換到可信系統(tǒng)后，默認(rèn)umask已經(jīng)改為07077限制root遠(yuǎn)程登錄，只能由console登錄# echo console /et

9、c/securetty# chmod 400 /etc/securetty打開(kāi)inetd日志功能在/etc/rc.config.d/netdaemons中的 INETD_ARGS 環(huán)境變量中增加l參數(shù):export INETD_ARGS=-l刪除不需要的系統(tǒng)偽帳戶# groupdel lp# groupdel nuucp# groupdel daemon# userdel uucp# userdel lp# userdel nuucp# userdel hpdb# userdel www# userdel daemon對(duì)于一些保留的系統(tǒng)偽帳戶如：bin, sys，adm等, 應(yīng)當(dāng)將需要禁止帳戶

10、的*用NP代替，并不提供登錄shellExample: bin:NP:60002:60002:No Access User:/:/sbin/noshell將root主目錄從/改為/root.編輯/etc/passwd:root:*:0:3:/root:/sbin/sh創(chuàng)建目錄并修改權(quán)限:# mkdir /root# chmod 700 /root# mv /.profile /root# pwconv四、禁止網(wǎng)絡(luò)服務(wù)1、禁止inetd 服務(wù)由internet服務(wù)器過(guò)程inetd啟動(dòng)的網(wǎng)絡(luò)服務(wù)是由兩個(gè)配置文件/etc/inet/services和/etc/inet/inetd.conf來(lái)配置的。

11、/etc/inet/services文件指定每個(gè)服務(wù)的端口號(hào)和端口類(lèi)型，該配置文件的部分示例如下：ftp 21/tcptelnet 23/tcpsmtp 25/tcp mail/etc/inet/inetd.conf文件指定服務(wù)對(duì)應(yīng)的系統(tǒng)服務(wù)程序，該配置文件部分示例如下：ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpdtelnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd當(dāng)要停止某個(gè)服務(wù)，如ftp、telnet等時(shí)，只要注釋掉文件/etc/inet/services和/e

12、tc/inet/inetd.conf中的相應(yīng)條目，也就是在那一行的開(kāi)頭加上字符，然后讓inetd重新讀配置文件，過(guò)程示例如下：# ps -ef |grep inetdroot 149 1 0 Jan 18 ? 0:00 /usr/sbin/inetd -sroot 24621 24605 0 15:53:01 pts/1 0:00 grep inetd# kill HUP 149以上第一條命令是為了獲得inetd的進(jìn)程號(hào)，示例中輸出的第二列內(nèi)容就是進(jìn)程號(hào)(149)，然后將該進(jìn)程號(hào)填入第二條命令的相應(yīng)位置?？梢允褂胠sof i來(lái)查看監(jiān)聽(tīng)進(jìn)程和端口信息:# lsof -iCOMMAND PID U

13、SER FD TYPE DEVICE SIZE/OFF NODE NAMEsyslogd 261 root 5u inet 0 x10191e868 0t0 UDP *:syslog (Idle)rpcbind 345 root 4u inet 72,0 x73 0t0 UDP *:portmap (Idle)rpcbind 345 root 6u inet 72,0 x73 0t0 UDP *:49158 (Idle)rpcbind 345 root 7u inet 72,0 x72 0t0 TCP *:portmap (LISTEN)sendmail: 397 root 5u inet 0

14、 x10222b668 0t0 TCP *:smtp (LISTEN)snmpdm 402 root 3u inet 0 x10221a268 0t0 TCP *:7161 (LISTEN)snmpdm 402 root 5u inet 0 x10222a268 0t0 UDP *:snmp (Idle)snmpdm 402 root 6u inet 0 x10221f868 0t0 UDP *:* (Unbound)mib2agt 421 root 0u inet 0 x10223e868 0t0 UDP *:* (Unbound)swagentd 453 root 6u inet 0 x1

15、019d3268 0t0 UDP *:2121 (Idle)2、禁止其他服務(wù)防止syslogd網(wǎng)絡(luò)監(jiān)聽(tīng)安裝PHCO_21023補(bǔ)丁可以給syslogd加上-N參數(shù)防止網(wǎng)絡(luò)監(jiān)聽(tīng). 編輯/sbin/init.d/syslogd修改為 /usr/sbin/syslogd -DN.禁止SNMP服務(wù)編輯SNMP啟動(dòng)文件:Set SNMP_HPUNIX_START to 0: SNMP_HPUNIX_START=0Set SNMP_MASTER_START to 0: SNMP_MASTER_START=0Set SNMP_MIB2_START to 0: SNMP_MIB2_START=0Set SNM

16、P_TRAPDEST_START to 0: SNMP_TRAPDEST_START=0禁止sendmail進(jìn)程編輯/etc/rc.config.d/mailservs:export SENDMAIL_SERVER=0禁止rpcbind進(jìn)程# rm /sbin/rc1.d/K600nfs.core# rm /sbin/rc2.d/S400nfs.core# mv /usr/sbin/rpcbind /usr/sbin/rpcbind.DISABLE五、文件系統(tǒng)安全1、檢查Set-id程序# find / ( -perm -4000 -o -perm -2000 ) -type f -exec

17、ls -ld ;# chmod u-s /usr/sbin/swinstall# chmod u-s /usr/sbin/vgcreate# chmod u-s /sbin/vgcreate可以采用下列方法，將所有文件的set-id位去掉，然后對(duì)一些需要的程序單獨(dú)加上suid位（可根據(jù)情況選擇）:# find / -perm -4000 -type f -exec chmod u-s ;# find / -perm -2000 -type f -exec chmod g-s ;# chmod u+s /usr/bin/su# chmod u+s /usr/bin/passwd采用這種方法后，普

18、通用戶將無(wú)法使用很多系統(tǒng)命令，如bdf, uptime ，arp等:$ bdf /dev/vg00/lvol3bdf: /dev/vg00/lvol3: Permission denied2. 修改重要文件權(quán)限# chmod 1777 /tmp /var/tmp /var/preserve （加上粘滯位）# chmod 666 /dev/null六、網(wǎng)絡(luò)參數(shù)調(diào)整利用ndd命令，可以檢測(cè)或者更改網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序的特性。在/etc/rc.config.d/nddconf啟動(dòng)腳本中增加以下各條命令，然后重啟系統(tǒng)，可以提高網(wǎng)絡(luò)的安全性。格式如下：/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcast