2024年2月20日发(作者：钭梦竹)

HP-UX 安全配置标准

2011年3月

第1章 概述

1.1

适用范围

适用于中国电信使用HP-UX操作系统的设备。本标准明确了安全配置的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查标准等文档的参考。

由于版本不同，配置操作有所不同，本标准以HP-UX11v211v3为例，给出参考配置操作。

第2章 安全配置要求

2.1

账号

编号： 1

要求内容

操作指南

应按照不同的用户分配不同的账号，防止不同用户间共享账号，防止用户账号和设备间通信使用的账号共享。

1、参考配置操作

为用户创建账号：

#useradd username #创建账号

#passwd username #设置密码

修改权限：

#chmod 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录

使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。

2、补充操作说明

1、判定条件

能够登录成功并且可以进行常用操作；

2、检测操作

使用不同的账号进行登录并进行一些常用操作；

3、补充说明

检测方法

编号： 2

要求内容

操作指南

应删除或锁定与设备运行、维护等工作无关的账号。

1、参考配置操作

删除用户：#userdel username;

锁定用户：

1)修改/etc/shadow文件，用户名后加NP

2)将/etc/passwd文件中的shell域设置成/bin/noshell

3)#passwd -l username

只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

2、补充操作说明

需要锁定的用户：lp,nuucp,hpdb,www,demon。

注：无关的账号主要指测试帐户、共享帐号、长期不用账号〔半年以上未用〕等

1、判定条件

被删除或锁定的账号无法登录成功；

2、检测操作

使用删除或锁定的与工作无关的账号登录系统；

3、补充说明

需要锁定的用户：lp,nuucp,hpdb,www,demon。

检测方法

编号： 3

要求内容

操作指南

根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。

1、参考配置操作

创建帐户组：

#groupadd –g GID groupname #创建一个组，并为其设置GID号，假设不设GID，系统会自动为该组分配一个GID号；

#usermod –g group username #将用户username分配到group组中。

查询被分配到的组的GID：#id username

可以根据实际需求使用如上命令进行设置。

2、补充操作说明

可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。

当group_name字段长度大于八个字符，groupadd命令会执行失败；

当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；

1、判定条件

可以查看到用户账号分配到相应的帐户组中；

或都通过命令检查账号是否属于应有的组：

检测方法

#id username

2、检测操作

查看组文件：cat /etc/group

3、补充说明

文件中的格式说明：

group_name::GID:user_list

2.2

口令

编号： 1

要求内容

操作指南

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。

1参考配置操作

ch_rc –a -p MIN_PASSWORD_LENGTH=8 /etc/default/security

ch_rc –a -p PASSWORD_HISTORY_DEPTH=10

/etc/default/security

ch_rc –a –p PASSWORD_MIN_UPPER_CASE_CHARS=1

/etc/default/security

ch_rc –a –p PASSWORD_MIN_DIGIT_CHARS=1

/etc/default/security

ch_rc –a –p PASSWORD_MIN_SPECIAL_CHARS=1

/etc/default/security

ch_rc –a –p PASSWORD_MIN_LOWER_CASE_CHARS=1

/etc/default/security

modprdef -m nullpw=NO

modprdef -m rstrpw=YES

MIN_PASSWORD_LENGTH=8 #设定最小用户密码长度为8位

PASSWORD_MIN_UPPER_CASE_CHARS=1 #表示至少包括1个大写字母

PASSWORD_MIN_DIGIT_CHARS=1 #表示至少包括1个数字

PASSWORD_MIN_SPECIAL_CHARS=1 #表示至少包括1个特殊字符〔特殊字符可以包括控制符以及诸如星号和斜杠之类的符号〕

PASSWORD_MIN_LOWER_CASE_CHARS=1 #表示至少包括1个小写字母

当用root帐户给用户设定口令的时候不受任何限制，只要不超长。

2、补充操作说明

不同的HP-UX版本可能会有差异，请查阅当前系统的man page

security(5) 详细说明

检测方法 1、判定条件

不符合密码强度的时候，系统对口令强度要求进行提示；

符合密码强度的时候，可以成功设置；

2、检测操作

1、检查口令强度配置选项是否可以进行如下配置：

i.

配置口令的最小长度；

ii.

将口令配置为强口令。

2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

编号： 2

要求内容

操作指南

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。

1、 参考配置操作

以下的shell语句将设置除root外的所有有效登录的账号密码过期和过前期的收到警告设置：

logins -ox

| awk -F: '($8 != "LK" && $1 != "root") { print $1 }'

| while read logname; do

passwd –x 91 –n 7 –w 28 "$logname"

/usr/lbin/modprpw -m exptm=90,mintm=7,expwarn=30

"$logname"

done

echo PASSWORD_MAXDAYS=91 >> /etc/default/security

echo PASSWORD_MINDAYS=7 >> /etc/default/security

echo PASSWORD_WARNDAYS=28 >> /etc/default/security

/usr/lbin/modprdef -m exptm=90,expwarn=30

用户将在密码过期前的30天收到警告信息〔28 天没有运行在

HP-UX 的Trusted 模式〕

2、补充操作说明

1、判定条件

登录不成功；

2、检测操作

使用超过90天的帐户口令登录；

3、补充说明

测试时可以将90天的设置缩短来做测试。

检测方法

编号： 3

要求内容

操作指南

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次〔含5次〕内已使用的口令。

1、参考配置操作

vi /etc/default/passwd ，修改设置如下

HISTORY＝5

2、补充操作说明

#HISTORY sets the number of prior password changes to keep and

# check for a user when changing passwords. Setting the HISTORY

# value to zero (0), or removing/commenting out the flag will

# cause all users' prior password history to be discarded at the

# next password change by any user. No password history will

# be checked if the flag is not present or has zero value.

# The maximum value of HISTORY is 26.

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

1、判定条件

设置密码不成功

2、检测操作

cat /etc/default/passwd ，设置如下

HISTORY＝5

3、补充说明

默认没有HISTORY的标记，即不记录以前的密码

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

检测方法

编号： 4

要求内容

操作指南

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次〔不含6次〕，锁定该用户使用的账号。

1、参考配置操作

指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：

logins -ox

| awk -F: '($8 != "LK" && $1 != "root") { print $1 }'

| while read logname; do

/usr/lbin/modprpw -m umaxlntr=6 "$logname"

done

modprdef -m umaxlntr=6

echo AUTH_MAXTRIES=6 >> /etc/default/security

除root外的有效账号都将被设置重复登录失败次数为6

2、补充操作说明

检测方法 1、判定条件

帐户被锁定，不再提示让再次登录；

2、检测操作

创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上〔不含6次〕；

1、 补充说明

root账号不在锁定的限制范围内

2.3

文件与目录权限

编号： 1

要求内容

操作指南

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

1、参考配置操作

通过chmod命令对目录的权限进行实际设置。

2、补充操作说明

etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r—

/etc/shadow 只有root可读 –r--------

/etc/group 必须所有用户都可读，root用户可写 –rw-r—r—

使用如下命令设置：

chmod 644 /etc/passwd

chmod 600 /etc/shadow

chmod 644 /etc/group

如果是有写权限，就需移去组及其它用户对/etc的写权限〔特殊情况除外〕

执行命令#chmod -R go-w /etc

1、判定条件

1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；

2、记录能够配置的权限选项内容；

3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。

2、检测操作

1、利用管理员账号登录系统，并创建2个不同的用户；

2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；

3、2个用户的权限差异应能够分为两个用户分别配置不同的权限，别在用户权限级别、可访问系统资源以及可用命令等方面予以表达；

4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。

检测方法

3、补充说明

编号： 2

要求内容 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

1、 参考配置操作

设置默认权限：

Vi

/etc/default/security在末尾增加umask 027

修改文件或目录的权限，操作举例如下：

#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。

根据实际情况设置权限；

2、补充操作说明

如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。

1、判定条件

权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；

2、检测操作

查看新建的文件或目录的权限，操作举例如下：

#ls -l dir ; #查看目录dir的权限

#cat /etc/default/login 查看是否有umask 027内容

3、补充说明

umask的默认设置一般为022，这给新创建的文件默认权限755〔777-022=755〕，这会给文件所有者读、写权限，但只给组成员和其他用户读权限。

umask的计算：

umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。

操作指南

检测方法

编号：3

要求内容 如果需要启用FTP服务，控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

1、参考配置操作

if [[ "$(uname -r)" = B.10* ]]; then

ftpusers=/etc/ftpusers

else

ftpusers=/etc/ftpd/ftpusers

操作指南

fi

for name in root daemon bin sys adm lp

uucp nuucp nobody hpdb useradm

do

echo $name

done >> $ftpusers

sort –u $ftpusers > $

cp $ $ftpusers

rm –f $

chown bin:bin $ftpusers

chmod 600 $ftpusers

2、补充操作说明

查看# cat ftpusers

说明: 在这个列表里边的用户名是不允许ftp登陆的。

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

hpdb

useradm

检测方法 1、判定条件

权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；

2、检测操作

查看新建的文件或目录的权限，操作举例如下：

#more /etc/ [/ftpd]/ftpusers

#more /etc/passwd

3、补充说明

查看# cat ftpusers

说明: 在这个列表里边的用户名是不允许ftp登陆的。

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

hpdb

useradm

2.4

远程维护

编号：1

要求内容 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。

2、 参考配置操作

编辑/etc/securetty，加上：

console

保存后退出，并限制其他用户对此文本的所有权限：

chown root:sys /etc/securetty

chmod 600 /etc/securetty

此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的

2、补充操作说明

如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。

1、判定条件

root远程登录不成功，提示“没有权限”；

普通用户可以登录成功，而且可以切换到root用户；

2、检测操作

root从远程使用telnet登录；

普通用户从远程使用telnet登录；

root从远程使用ssh登录；

普通用户从远程使用ssh登录；

3、补充说明

限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。

操作指南

检测方法

编号：2

要求内容

操作指南

对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，禁止使用telnet等明文传输协议进行远程维护；

1、 下载和安装OpenSSH

在网站上免费获取OpenSSH :// / ；

并根据安装文件说明执行安装步骤 。

2、完成下面安装后的配置：

cd /opt/ssh/etc

cp -p sshd_config sshd_

awk '

/^Protocol/ { $2 = "2" };

/^X11Forwarding/ { $2 = "yes" };

/^IgnoreRhosts/ { $2 = "yes" };

/^RhostsAuthentication/ { $2 = "no" };

/^RhostsRSAAuthentication/ { $2 = "no" };

/(^#|^)PermitRootLogin/ {

$1 = "PermitRootLogin";

$2 = "no" };

/^PermitEmptyPasswords/ { $2 = "no" };

/^#Banner/ {

$1 = "Banner";

$2 = "/etc/issue" }

{ print }' sshd_ > sshd_config

rm -f sshd_

chown root:sys ssh_config sshd_config

chmod go-w ssh_config sshd_config

先拷贝一份配置，再用awk生成一份修改了安全配置的临时文件，最后替换原始配置文件ssh_config，其中配置含义如下：

Protocol = 2 #使用ssh2版本

X11Forwarding #允许窗口图形传输使用ssh加密

IgnoreRhosts =yes#完全禁止SSHD使用.rhosts文件

RhostsAuthentication=no #不设置使用基于rhosts的安全验证

RhostsRSAAuthentication=no #不设置使用RSA算法的基于rhosts的安全验证。

3、补充操作说明

查看SSH服务状态：

# ps –elf|grep ssh

注：禁止使用telnet等明文传输协议进行远程维护；如特别需要，需采用访问控制策略对其进行限制；

检测方法 1、 判定条件

# ps –ef|grep ssh

是否有ssh进程存在

是否有telnet进程存在

2、检测操作

查看SSH服务状态：

# ps –ef|grep ssh

查看telnet服务状态：

# ps –ef|grep telnet

3、补充说明

2.5

补丁安全

编号： 1

要求内容

操作指南

应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。

1、 参考配置操作

看版本是否为最新版本。

执行以下命令，查看版本及大补丁号。

#uname –a

HP-UX： :// /

执行以下命令，查看各包的补丁号

#swlist

2、补充操作说明

1、 判定条件

看版本是否为最新版本。

# uname –a查看版本及大补丁号

#swlist 命令检补丁号

2、检测操作

在保证业务及网络安全的前提下，经过实验室测试后，更新使用最新版本的操作系统补丁

3、补充说明

检测方法

2.6

日志安全

编号： 1

要求内容 打开syslog系统日志审计功能有助于系统的日常维护和故障排除，或者防止被攻击后查看日志采取防护补救措施，增强系统安全日志。

1、参考配置操作

修改配置文件vi /etc/，

配置如下类似语句：

*.err;;; /var/adm/messages

定义为需要保存的设备相关安全事件。

2、补充操作说明

1、判定条件

操作指南

检测方法

查看/var/adm/messages，记录有需要的设备相关的安全事件。

2、检测操作

修改配置文件vi /etc/，

配置如下类似语句：

*.err;;; /var/adm/messages

定义为需要保存的设备相关安全事件。

3、补充说明

编号：2

要求内容

操作指南

设备应配置权限，控制对日志文件读取、修改和删除等操作。

1、参考配置操作

检查系统日志：

awk < /etc/ '

$0 !~ /^#/ && $2 ~ "^/" {

print $2

}

' | sort -u | while read file

do if [ -d "$file" -o -c "$file" -o

-b "$file" -o -p "$file" ]

then :

elif [ ! -f "$file" ]

then mkdir -p "$(dirname "$file")"

touch "$file"

chmod 640 "$file"

else chmod o-w "$file"

fi

done

检查其他日志：

hostname=`uname -n`

chmod o-w

/tmp/

/var/X11/Xserver/logs/

/var/X11/Xserver/logs/

/var/X11/Xserver/logs/

/var/adm/

/var/adm/

/var/opt/dce/svc/

/var/opt/dce/svc/

/var/opt/dce/svc/

/var/opt/dde/dde_error_log

/var/opt/hppak/hppak_error_log

/var/opt/ignite/logs/1

/var/opt/ignite/recovery/fstab

/var/opt/ignite/recovery/

/var/opt/ignite/recovery/

/var/sam/

/var/sam/

/var/sam/

"/var/sam/$"

"/var/sam/$"

"/var/sam/$"

/var/sam/lock

/var/sam/log/samlog

/var/sam/log/sam_tm_work

/var/adm/sw

/var/adm/sw/save

/var/adm/sw/patch

2、补充操作说明

检测方法 1、判定条件

2、检测操作

使用ls –l 命令依次检查系统日志的读写权限

3、补充说明

编号：3〔可选〕

要求内容

操作指南

设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

1、参考配置操作

修改配置文件vi /etc/，

加上这一行：

*.* @192.168.0.1

可以将"*.*"替换为你实际需要的日志信息。比方：kern.* / mail.* 等等。

可以将此处192.168.0.1替换为实际的IP或域名。

重新启动syslog服务，执行以下命令：

/sbin/init.d/syslogd stop | start

2、补充操作说明

注意： *.*和@之间为一个Tab

检测方法 1、判定条件

设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

2、检测操作

查看日志服务器上的所收到的日志文件。

3、补充说明

2.7

不必要的服务、端口

编号： 1

要求内容

操作指南

列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。

1、 参考配置操作

参考附表，根据具体情况关闭不必要的服务

查看所有开启的服务：

#ps –ef

#chkconfig --list

#cat /etc/inet/

在中关闭不用的服务 首先复制/etc/inet/。 #cp

/etc/inet/ /etc/inet/ 然后用vi编辑器编辑文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务,即可。

1、判定条件

所需的服务都列出来；

没有不必要的服务；

2、检测操作

#ps –ef

#chkconfig --list

#cat /etc/inet/

3、补充说明

在/etc/文件中禁止不必要的基本网络服务。

注意：改变了“”文件之后，需要重新启动inetd。

对必须提供的服务采用tcpwapper来保护

检测方法

2.8修改Banner信息

要求内容

操作指南

修改系统Banner信息

1、 参考配置操作

在UNIX下修改或增加 /etc/motd文件中的banner信息

2、补充操作说明

1、判定条件

检查/etc/motd文件中的banner信息

检测方法

2.9登录超时时间设置

要求内容

操作指南

对于具备字符交互界面的设备，配置定时帐户自动登出

2、 参考配置操作

可以在用户的.profile文件中"HISTFILESIZE="后面增加如下行：

vi /etc/profile

$ TMOUT=300〔可根据情况设定〕;export TMOUT

改变这项设置后，重新登录才能有效

2、补充操作说明

1、判定条件

查看/etc/profile文件的配置，TMOUT=180

检测方法

2.10调整内核设置〔可选〕

要求内容

操作指南

防止堆栈缓冲溢出

1、参考配置操作

HP-UX 11iv2和更后面的版本用以下语句：

kctune -K executable_stack=0

HP-UX 11i版本用以下语句：

/usr/sbin/kmtune -s executable_stack=0 &&

mk_kernel && kmupdate

HP-UX 11i之前的版本不支持，请升级

2、补充操作说明

内核参数改动后需要重启服务器才生效。

1、判定条件

能够防止堆栈缓冲溢出

2、检测操作

检测方法

2.11删除潜在危险文件

要求内容

操作指南

/.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，如果没有应用，应该删除

1、参考配置操作

Mv /.rhost /.

Mv /.netr /.

Cd root

Mv .rhost .

Mv .netr .

2、补充操作说明

注意系统版本，用相应的方法执行

检测方法 1、判定条件

2、检测操作

登陆系统判断

Cat /etc/passwd

2.12 FTP设置

编号1：

要求内容

操作指南

禁止root登陆FTP

1、参考配置操作

限制root帐户ftp登录:

通过修改ftpusers文件，增加帐户

#vi /etc/ftpd/ftpusers

root

检测方法

编号2：

要求内容

操作指南

运行 cat /etc/ftpusers

检查文件中内容是否包含root

禁止匿名ftp

1、参考配置操作

在/etc/passwd文件中删除匿名用户。

使用文本编辑器打开/etc/passwd文件，删除密码域为*的行，如：

ftp：*：500：21：Anonymous FTP：/home/ftp：/usr/bin/false

通过Anonymous登录会被拒绝。 检测方法

编号3：

要求内容

操作指南

修改FTP banner 信息

1、参考配置操作

1〕首先修改/etc/文件

ftp stream tcp nowait root /usr/lbin/ftpd ftpd -a /etc/ftpd/ftpaccess

2〕修改/etc/ftpd/ftpaccess

message [file path] login #这个字段控制的是显示在用户登录后的信息

banner [file path] #这个字段控制的是显示在访问FTP服务时，也就是登录前

suppresshostname yes #去除显示主机名

suppressversion yes #去除显示FTP服务器版本

3〕重新启动

# inetd -c

检测方法

1、 判断依据

使用FTP登录时，会按照设置显示banner

2、 检查操作

附表：端口及服务

服务名称 端口

13/tcp

daytime

13/udp

time 37/tcp

7/tcp

echo

7/udp

9/tcp

discard

9/udp

19/tcp

chargen

19/udp

ftp 21/tcp

RFC863 废除协议

RFC862_回声协议

RFC867 白天协议

时间协议

RFC862_回声协议

应用说明

RFC867 白天协议

关闭方法

#daytime stream

tcp nowait root internal

#daytime dgram

udp nowait root internal

#time stream

tcp nowait root internal

#echo stream

tcp nowait root internal

#echo dgram

udp nowait root internal

#discard stream tcp

nowait root internal

#discard dgram

udp nowait root internal

#chargen stream

RFC864 字符产生协议

tcp nowait root internal

#chargen dgram

udp nowait root internal

文件传输协议(控制)

#ftp stream tcp

nowait root /usr/lbin/ftpd

#telnet stream tcp

telnet 23/tcp 虚拟终端协议 nowait root

/usr/lbin/telnetd telnetd

sendmail 25/tcp

53/udp

53/tcp

80/tcp

简单邮件发送协议

域名服务

域名服务

万维网发布服务

远程登录

S540sendmail stop

S370named stop

S370named stop

S825apache stop

#login stream tcp

login 513/tcp nowait root

/usr/lbin/rlogind rlogind

shell 514/tcp 远程命令, no #shell stream tcp 根据情况选择开放

根据情况选择开放

建议关闭

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

建议关闭

处置建议

nameserver

apache

passwd used nowait root

/usr/lbin/remshd

remshd

#exec stream

tcp nowait root

/usr/lbin/rexecd rexecd

#ntalk dgram

udp wait root

/usr/lbin/ntalkd ntalkd

#ident stream tcp

wait bin

/usr/lbin/identd identd

#printer stream tcp

nowait root

/usr/sbin/rlpdaemon

rlpdaemon -i

#bootps dstream

tdp nowait root internal

#bootps dgram

udp nowait root internal

#tftp dgram

udp nowait root internal

#kshell stream tcp nowait

root /usr/lbin/remshd

remshd -K

#klogin stream tcp nowait

root /usr/lbin/rlogind

rlogind -K

#recserv stream tcp

nowait root

/usr/lbin/recserv recserv

建议关闭

建议关闭

建议关闭

建议关闭

建议关闭

根据情况选择开放 exec 512/tcp

remote execution,

passwd required

new talk,

conversation

ntalk 518/udp

ident 113/tcp auth

printer 515/tcp 远程打印缓存 强烈建议关闭

67/udp

bootps

68/udp

tftp 69/udp

引导协议服务端

引导协议客户端

普通文件传输协议

Kerberos remote

shell -kfall

Kerberos rlogin

-kfall

建议关闭

建议关闭

强烈建议关闭

kshell 544/tcp

klogin 543/tcp

recserv

dtspcd

7815/tcp

6112/tcp

X共享接收服务

子进程控制

-display :0

#dtspc stream tcp nowait

root /usr/dt/bin/dtspcd

/usr/dt/bin/dtspcd

#registrar stream tcp

nowait root

/etc/opt/resmon/lbin/registrar

#/etc/opt/resmon/lbin/registrar

#registrar stream tcp

强烈建议关闭

1712/tcp

registrar

资源监控服务 根据情况选择开放

1712/udp 资源监控服务 nowait root

/etc/opt/resmon/lbin/regist根据情况选择开放

rar

/etc/opt/resmon/lbin/registrar

#registrar stream tcp

nowait root

动态端口 资源监控服务

/etc/opt/resmon/lbin/registrar

#/etc/opt/resmon/lbin/registrar

portmap 111/tcp 端口映射 S590Rpcd stop 根据情况选择开放

根据情况选择开放

dced 135/tcp DCE RPC daemon S570dce stop 建议关闭

dced 135/udp DCE RPC daemon S570dce stop 建议关闭

S560SnmpMaster stop

snmp 161/udp

简单网络管理协议〔Agent〕

S565OspfMib stop

S565SnmpHpunix stop

S565SnmpMib2 stop

S560SnmpMaster stop

snmpd 7161/tcp

简单网络管理协议〔Agent〕

简单网络管理协议〔Traps〕

启动图形控制

X 窗口服务

系统日志服务

远程打印缓存

路由信息协议

NFS远程文件系统

S565OspfMib stop

S565SnmpHpunix stop

S565SnmpMib2 stop

snmp-trap 162/udp

177/udp

dtlogin

syslogd

lpd

router

nfs

6000/tcp

514/udp

515/tcp

520/udp

2049/tcp

S565SnmpTrpDst stop

stop

stop

stop

S220syslogd stop

S720lp stop

S510gated stop

stop

stop

stop

stop

stop

#rpc dgram udp wait root

动态端口 rpc服务

/usr/lib/netsvc/rusers/d 100002 1-2

d

强烈建议关闭

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

建议保留

强烈建议关闭

根据情况选择开放

强烈建议关闭

强烈建议关闭

强烈建议关闭

强烈建议关闭

强烈建议关闭

根据情况选择开放

根据情况选择开放

动态端口 启动图形控制

2049/udp NFS远程文件系统

动态端口 rpc服务

动态端口 rpc服务

动态端口 rpc服务

wd

swagentd

动态端口 rpc服务

2121/tcp

68/udp

sw代理

remote boot server

安装引导协议服务1067/udp

installation

bootstrap protocol

server

安装引导协议服务1068/udp

installation

bootstrap protocol

client

stop

S870swagentd stop

S870swagentd stop

START_RBOOTD 0

START_RBOOTD 0

#instl_boots dgram udp

wait root

/usr/lbin/instl_bootd

instl_bootd

#instl_bootc dgram udp

wait root

/usr/lbin/instl_bootc

instl_bootc

samd:23456:respawn:/usr/sam/lbin/samd #

system mgmt daemon

swat stream tcp

nowait.400 root

/opt/samba/bin/swat swat

/sbin/rc3.d/S660xntpd

stop

#rpc xti tcp swait root

/usr/dt/bin/rver

100083 1

/usr/dt/bin/rver

#rpc dgram udp wait root

强烈建议关闭

根据情况选择开放

根据情况选择开放

建议关闭

建议关闭

2121/udp sw代理

1068/udp remote boot server rbootd

建议关闭

instl_boots

建议关闭

samd 3275/tcp

system mgmt

daemon

SAMBA

建议关闭

swat 901/tcp Web-based Admin

Tool

强烈建议关闭

xntpd 123/udp

时间同步服务

HP-UX ToolTalk

database server

根据情况选择开放

rver

动态端口 强烈建议关闭

rpc sd 动态端口 后台进程管理服务 /usr/dt/bin/rpc sd

100068 2-5 rpc sd

/sbin/rc2.d/S605Dmisp

stop

S742diagnostic stop

S742diagnostic stop

S742diagnostic stop

S742diagnostic stop

S742diagnostic stop

S742diagnostic stop

强烈建议关闭

dmisp

diagmond

diaglogd

memlogd

cclogd

dm_memory

RemoteMonitor

psmctd

psmond

动态端口

1508/tcp 硬件诊断监控程序

强烈建议关闭

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

动态端口 硬件诊断程序

动态端口 内存记录服务

动态端口

动态端口

2818/tcp

chassis code

logging daemon

Memory Monitor

Peripheral Status

动态端口 Monitor

client/target

1788/tcp Predictive Monitor

S742diagnostic stop

S742diagnostic stop

根据情况选择开放

根据情况选择开放

Hardware

1788/udp Predictive Monitor

High Availability

(HA) Cluster

hacl-hb

hacl-gs

5300/tcp

5301/tcp

5302/tcp

hacl-cfg

hacl-local

clvm-cfg

heartbeat

HA Cluster General

HA Cluster TCP

S742diagnostic stop 根据情况选择开放

S800cmcluster stop 根据情况选择开放

S800cmcluster stop

Services

S800cmcluster stop

configuration

HA Cluster UDP

HA Cluster

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

S800cmcluster stop

5302/udp configuration

5304/tcp Commands

HA LVM

1476/tcp configuration

S800cmcluster stop

S800cmcluster stop

2024年2月20日发(作者：钭梦竹)

HP-UX 安全配置标准

2011年3月

第1章 概述

1.1

适用范围

适用于中国电信使用HP-UX操作系统的设备。本标准明确了安全配置的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查标准等文档的参考。

由于版本不同，配置操作有所不同，本标准以HP-UX11v211v3为例，给出参考配置操作。

第2章 安全配置要求

2.1

账号

编号： 1

要求内容

操作指南

应按照不同的用户分配不同的账号，防止不同用户间共享账号，防止用户账号和设备间通信使用的账号共享。

1、参考配置操作

为用户创建账号：

#useradd username #创建账号

#passwd username #设置密码

修改权限：

#chmod 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录

使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。

2、补充操作说明

1、判定条件

能够登录成功并且可以进行常用操作；

2、检测操作

使用不同的账号进行登录并进行一些常用操作；

3、补充说明

检测方法

编号： 2

要求内容

操作指南

应删除或锁定与设备运行、维护等工作无关的账号。

1、参考配置操作

删除用户：#userdel username;

锁定用户：

1)修改/etc/shadow文件，用户名后加NP

2)将/etc/passwd文件中的shell域设置成/bin/noshell

3)#passwd -l username

只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

2、补充操作说明

需要锁定的用户：lp,nuucp,hpdb,www,demon。

注：无关的账号主要指测试帐户、共享帐号、长期不用账号〔半年以上未用〕等

1、判定条件

被删除或锁定的账号无法登录成功；

2、检测操作

使用删除或锁定的与工作无关的账号登录系统；

3、补充说明

需要锁定的用户：lp,nuucp,hpdb,www,demon。

检测方法

编号： 3

要求内容

操作指南

根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。

1、参考配置操作

创建帐户组：

#groupadd –g GID groupname #创建一个组，并为其设置GID号，假设不设GID，系统会自动为该组分配一个GID号；

#usermod –g group username #将用户username分配到group组中。

查询被分配到的组的GID：#id username

可以根据实际需求使用如上命令进行设置。

2、补充操作说明

可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。

当group_name字段长度大于八个字符，groupadd命令会执行失败；

当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；

1、判定条件

可以查看到用户账号分配到相应的帐户组中；

或都通过命令检查账号是否属于应有的组：

检测方法

#id username

2、检测操作

查看组文件：cat /etc/group

3、补充说明

文件中的格式说明：

group_name::GID:user_list

2.2

口令

编号： 1

要求内容

操作指南

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。

1参考配置操作

ch_rc –a -p MIN_PASSWORD_LENGTH=8 /etc/default/security

ch_rc –a -p PASSWORD_HISTORY_DEPTH=10

/etc/default/security

ch_rc –a –p PASSWORD_MIN_UPPER_CASE_CHARS=1

/etc/default/security

ch_rc –a –p PASSWORD_MIN_DIGIT_CHARS=1

/etc/default/security

ch_rc –a –p PASSWORD_MIN_SPECIAL_CHARS=1

/etc/default/security

ch_rc –a –p PASSWORD_MIN_LOWER_CASE_CHARS=1

/etc/default/security

modprdef -m nullpw=NO

modprdef -m rstrpw=YES

MIN_PASSWORD_LENGTH=8 #设定最小用户密码长度为8位

PASSWORD_MIN_UPPER_CASE_CHARS=1 #表示至少包括1个大写字母

PASSWORD_MIN_DIGIT_CHARS=1 #表示至少包括1个数字

PASSWORD_MIN_SPECIAL_CHARS=1 #表示至少包括1个特殊字符〔特殊字符可以包括控制符以及诸如星号和斜杠之类的符号〕

PASSWORD_MIN_LOWER_CASE_CHARS=1 #表示至少包括1个小写字母

当用root帐户给用户设定口令的时候不受任何限制，只要不超长。

2、补充操作说明

不同的HP-UX版本可能会有差异，请查阅当前系统的man page

security(5) 详细说明

检测方法 1、判定条件

不符合密码强度的时候，系统对口令强度要求进行提示；

符合密码强度的时候，可以成功设置；

2、检测操作

1、检查口令强度配置选项是否可以进行如下配置：

i.

配置口令的最小长度；

ii.

将口令配置为强口令。

2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

编号： 2

要求内容

操作指南

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。

1、 参考配置操作

以下的shell语句将设置除root外的所有有效登录的账号密码过期和过前期的收到警告设置：

logins -ox

| awk -F: '($8 != "LK" && $1 != "root") { print $1 }'

| while read logname; do

passwd –x 91 –n 7 –w 28 "$logname"

/usr/lbin/modprpw -m exptm=90,mintm=7,expwarn=30

"$logname"

done

echo PASSWORD_MAXDAYS=91 >> /etc/default/security

echo PASSWORD_MINDAYS=7 >> /etc/default/security

echo PASSWORD_WARNDAYS=28 >> /etc/default/security

/usr/lbin/modprdef -m exptm=90,expwarn=30

用户将在密码过期前的30天收到警告信息〔28 天没有运行在

HP-UX 的Trusted 模式〕

2、补充操作说明

1、判定条件

登录不成功；

2、检测操作

使用超过90天的帐户口令登录；

3、补充说明

测试时可以将90天的设置缩短来做测试。

检测方法

编号： 3

要求内容

操作指南

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次〔含5次〕内已使用的口令。

1、参考配置操作

vi /etc/default/passwd ，修改设置如下

HISTORY＝5

2、补充操作说明

#HISTORY sets the number of prior password changes to keep and

# check for a user when changing passwords. Setting the HISTORY

# value to zero (0), or removing/commenting out the flag will

# cause all users' prior password history to be discarded at the

# next password change by any user. No password history will

# be checked if the flag is not present or has zero value.

# The maximum value of HISTORY is 26.

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

1、判定条件

设置密码不成功

2、检测操作

cat /etc/default/passwd ，设置如下

HISTORY＝5

3、补充说明

默认没有HISTORY的标记，即不记录以前的密码

NIS系统无法生效，非NIS系统或NIS+系统能够生效。

检测方法

编号： 4

要求内容

操作指南

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次〔不含6次〕，锁定该用户使用的账号。

1、参考配置操作

指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：

logins -ox

| awk -F: '($8 != "LK" && $1 != "root") { print $1 }'

| while read logname; do

/usr/lbin/modprpw -m umaxlntr=6 "$logname"

done

modprdef -m umaxlntr=6

echo AUTH_MAXTRIES=6 >> /etc/default/security

除root外的有效账号都将被设置重复登录失败次数为6

2、补充操作说明

检测方法 1、判定条件

帐户被锁定，不再提示让再次登录；

2、检测操作

创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上〔不含6次〕；

1、 补充说明

root账号不在锁定的限制范围内

2.3

文件与目录权限

编号： 1

要求内容

操作指南

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

1、参考配置操作

通过chmod命令对目录的权限进行实际设置。

2、补充操作说明

etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r—

/etc/shadow 只有root可读 –r--------

/etc/group 必须所有用户都可读，root用户可写 –rw-r—r—

使用如下命令设置：

chmod 644 /etc/passwd

chmod 600 /etc/shadow

chmod 644 /etc/group

如果是有写权限，就需移去组及其它用户对/etc的写权限〔特殊情况除外〕

执行命令#chmod -R go-w /etc

1、判定条件

1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；

2、记录能够配置的权限选项内容；

3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。

2、检测操作

1、利用管理员账号登录系统，并创建2个不同的用户；

2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；

3、2个用户的权限差异应能够分为两个用户分别配置不同的权限，别在用户权限级别、可访问系统资源以及可用命令等方面予以表达；

4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。

检测方法

3、补充说明

编号： 2

要求内容 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

1、 参考配置操作

设置默认权限：

Vi

/etc/default/security在末尾增加umask 027

修改文件或目录的权限，操作举例如下：

#chmod 444 dir ; #修改目录dir的权限为所有人都为只读。

根据实际情况设置权限；

2、补充操作说明

如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。

1、判定条件

权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；

2、检测操作

查看新建的文件或目录的权限，操作举例如下：

#ls -l dir ; #查看目录dir的权限

#cat /etc/default/login 查看是否有umask 027内容

3、补充说明

umask的默认设置一般为022，这给新创建的文件默认权限755〔777-022=755〕，这会给文件所有者读、写权限，但只给组成员和其他用户读权限。

umask的计算：

umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。

操作指南

检测方法

编号：3

要求内容 如果需要启用FTP服务，控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

1、参考配置操作

if [[ "$(uname -r)" = B.10* ]]; then

ftpusers=/etc/ftpusers

else

ftpusers=/etc/ftpd/ftpusers

操作指南

fi

for name in root daemon bin sys adm lp

uucp nuucp nobody hpdb useradm

do

echo $name

done >> $ftpusers

sort –u $ftpusers > $

cp $ $ftpusers

rm –f $

chown bin:bin $ftpusers

chmod 600 $ftpusers

2、补充操作说明

查看# cat ftpusers

说明: 在这个列表里边的用户名是不允许ftp登陆的。

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

hpdb

useradm

检测方法 1、判定条件

权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；

2、检测操作

查看新建的文件或目录的权限，操作举例如下：

#more /etc/ [/ftpd]/ftpusers

#more /etc/passwd

3、补充说明

查看# cat ftpusers

说明: 在这个列表里边的用户名是不允许ftp登陆的。

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

hpdb

useradm

2.4

远程维护

编号：1

要求内容 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。

2、 参考配置操作

编辑/etc/securetty，加上：

console

保存后退出，并限制其他用户对此文本的所有权限：

chown root:sys /etc/securetty

chmod 600 /etc/securetty

此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的

2、补充操作说明

如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。

1、判定条件

root远程登录不成功，提示“没有权限”；

普通用户可以登录成功，而且可以切换到root用户；

2、检测操作

root从远程使用telnet登录；

普通用户从远程使用telnet登录；

root从远程使用ssh登录；

普通用户从远程使用ssh登录；

3、补充说明

限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。

操作指南

检测方法

编号：2

要求内容

操作指南

对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，禁止使用telnet等明文传输协议进行远程维护；

1、 下载和安装OpenSSH

在网站上免费获取OpenSSH :// / ；

并根据安装文件说明执行安装步骤 。

2、完成下面安装后的配置：

cd /opt/ssh/etc

cp -p sshd_config sshd_

awk '

/^Protocol/ { $2 = "2" };

/^X11Forwarding/ { $2 = "yes" };

/^IgnoreRhosts/ { $2 = "yes" };

/^RhostsAuthentication/ { $2 = "no" };

/^RhostsRSAAuthentication/ { $2 = "no" };

/(^#|^)PermitRootLogin/ {

$1 = "PermitRootLogin";

$2 = "no" };

/^PermitEmptyPasswords/ { $2 = "no" };

/^#Banner/ {

$1 = "Banner";

$2 = "/etc/issue" }

{ print }' sshd_ > sshd_config

rm -f sshd_

chown root:sys ssh_config sshd_config

chmod go-w ssh_config sshd_config

先拷贝一份配置，再用awk生成一份修改了安全配置的临时文件，最后替换原始配置文件ssh_config，其中配置含义如下：

Protocol = 2 #使用ssh2版本

X11Forwarding #允许窗口图形传输使用ssh加密

IgnoreRhosts =yes#完全禁止SSHD使用.rhosts文件

RhostsAuthentication=no #不设置使用基于rhosts的安全验证

RhostsRSAAuthentication=no #不设置使用RSA算法的基于rhosts的安全验证。

3、补充操作说明

查看SSH服务状态：

# ps –elf|grep ssh

注：禁止使用telnet等明文传输协议进行远程维护；如特别需要，需采用访问控制策略对其进行限制；

检测方法 1、 判定条件

# ps –ef|grep ssh

是否有ssh进程存在

是否有telnet进程存在

2、检测操作

查看SSH服务状态：

# ps –ef|grep ssh

查看telnet服务状态：

# ps –ef|grep telnet

3、补充说明

2.5

补丁安全

编号： 1

要求内容

操作指南

应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。

1、 参考配置操作

看版本是否为最新版本。

执行以下命令，查看版本及大补丁号。

#uname –a

HP-UX： :// /

执行以下命令，查看各包的补丁号

#swlist

2、补充操作说明

1、 判定条件

看版本是否为最新版本。

# uname –a查看版本及大补丁号

#swlist 命令检补丁号

2、检测操作

在保证业务及网络安全的前提下，经过实验室测试后，更新使用最新版本的操作系统补丁

3、补充说明

检测方法

2.6

日志安全

编号： 1

要求内容 打开syslog系统日志审计功能有助于系统的日常维护和故障排除，或者防止被攻击后查看日志采取防护补救措施，增强系统安全日志。

1、参考配置操作

修改配置文件vi /etc/，

配置如下类似语句：

*.err;;; /var/adm/messages

定义为需要保存的设备相关安全事件。

2、补充操作说明

1、判定条件

操作指南

检测方法

查看/var/adm/messages，记录有需要的设备相关的安全事件。

2、检测操作

修改配置文件vi /etc/，

配置如下类似语句：

*.err;;; /var/adm/messages

定义为需要保存的设备相关安全事件。

3、补充说明

编号：2

要求内容

操作指南

设备应配置权限，控制对日志文件读取、修改和删除等操作。

1、参考配置操作

检查系统日志：

awk < /etc/ '

$0 !~ /^#/ && $2 ~ "^/" {

print $2

}

' | sort -u | while read file

do if [ -d "$file" -o -c "$file" -o

-b "$file" -o -p "$file" ]

then :

elif [ ! -f "$file" ]

then mkdir -p "$(dirname "$file")"

touch "$file"

chmod 640 "$file"

else chmod o-w "$file"

fi

done

检查其他日志：

hostname=`uname -n`

chmod o-w

/tmp/

/var/X11/Xserver/logs/

/var/X11/Xserver/logs/

/var/X11/Xserver/logs/

/var/adm/

/var/adm/

/var/opt/dce/svc/

/var/opt/dce/svc/

/var/opt/dce/svc/

/var/opt/dde/dde_error_log

/var/opt/hppak/hppak_error_log

/var/opt/ignite/logs/1

/var/opt/ignite/recovery/fstab

/var/opt/ignite/recovery/

/var/opt/ignite/recovery/

/var/sam/

/var/sam/

/var/sam/

"/var/sam/$"

"/var/sam/$"

"/var/sam/$"

/var/sam/lock

/var/sam/log/samlog

/var/sam/log/sam_tm_work

/var/adm/sw

/var/adm/sw/save

/var/adm/sw/patch

2、补充操作说明

检测方法 1、判定条件

2、检测操作

使用ls –l 命令依次检查系统日志的读写权限

3、补充说明

编号：3〔可选〕

要求内容

操作指南

设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

1、参考配置操作

修改配置文件vi /etc/，

加上这一行：

*.* @192.168.0.1

可以将"*.*"替换为你实际需要的日志信息。比方：kern.* / mail.* 等等。

可以将此处192.168.0.1替换为实际的IP或域名。

重新启动syslog服务，执行以下命令：

/sbin/init.d/syslogd stop | start

2、补充操作说明

注意： *.*和@之间为一个Tab

检测方法 1、判定条件

设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

2、检测操作

查看日志服务器上的所收到的日志文件。

3、补充说明

2.7

不必要的服务、端口

编号： 1

要求内容

操作指南

列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。

1、 参考配置操作

参考附表，根据具体情况关闭不必要的服务

查看所有开启的服务：

#ps –ef

#chkconfig --list

#cat /etc/inet/

在中关闭不用的服务 首先复制/etc/inet/。 #cp

/etc/inet/ /etc/inet/ 然后用vi编辑器编辑文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务,即可。

1、判定条件

所需的服务都列出来；

没有不必要的服务；

2、检测操作

#ps –ef

#chkconfig --list

#cat /etc/inet/

3、补充说明

在/etc/文件中禁止不必要的基本网络服务。

注意：改变了“”文件之后，需要重新启动inetd。

对必须提供的服务采用tcpwapper来保护

检测方法

2.8修改Banner信息

要求内容

操作指南

修改系统Banner信息

1、 参考配置操作

在UNIX下修改或增加 /etc/motd文件中的banner信息

2、补充操作说明

1、判定条件

检查/etc/motd文件中的banner信息

检测方法

2.9登录超时时间设置

要求内容

操作指南

对于具备字符交互界面的设备，配置定时帐户自动登出

2、 参考配置操作

可以在用户的.profile文件中"HISTFILESIZE="后面增加如下行：

vi /etc/profile

$ TMOUT=300〔可根据情况设定〕;export TMOUT

改变这项设置后，重新登录才能有效

2、补充操作说明

1、判定条件

查看/etc/profile文件的配置，TMOUT=180

检测方法

2.10调整内核设置〔可选〕

要求内容

操作指南

防止堆栈缓冲溢出

1、参考配置操作

HP-UX 11iv2和更后面的版本用以下语句：

kctune -K executable_stack=0

HP-UX 11i版本用以下语句：

/usr/sbin/kmtune -s executable_stack=0 &&

mk_kernel && kmupdate

HP-UX 11i之前的版本不支持，请升级

2、补充操作说明

内核参数改动后需要重启服务器才生效。

1、判定条件

能够防止堆栈缓冲溢出

2、检测操作

检测方法

2.11删除潜在危险文件

要求内容

操作指南

/.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，如果没有应用，应该删除

1、参考配置操作

Mv /.rhost /.

Mv /.netr /.

Cd root

Mv .rhost .

Mv .netr .

2、补充操作说明

注意系统版本，用相应的方法执行

检测方法 1、判定条件

2、检测操作

登陆系统判断

Cat /etc/passwd

2.12 FTP设置

编号1：

要求内容

操作指南

禁止root登陆FTP

1、参考配置操作

限制root帐户ftp登录:

通过修改ftpusers文件，增加帐户

#vi /etc/ftpd/ftpusers

root

检测方法

编号2：

要求内容

操作指南

运行 cat /etc/ftpusers

检查文件中内容是否包含root

禁止匿名ftp

1、参考配置操作

在/etc/passwd文件中删除匿名用户。

使用文本编辑器打开/etc/passwd文件，删除密码域为*的行，如：

ftp：*：500：21：Anonymous FTP：/home/ftp：/usr/bin/false

通过Anonymous登录会被拒绝。 检测方法

编号3：

要求内容

操作指南

修改FTP banner 信息

1、参考配置操作

1〕首先修改/etc/文件

ftp stream tcp nowait root /usr/lbin/ftpd ftpd -a /etc/ftpd/ftpaccess

2〕修改/etc/ftpd/ftpaccess

message [file path] login #这个字段控制的是显示在用户登录后的信息

banner [file path] #这个字段控制的是显示在访问FTP服务时，也就是登录前

suppresshostname yes #去除显示主机名

suppressversion yes #去除显示FTP服务器版本

3〕重新启动

# inetd -c

检测方法

1、 判断依据

使用FTP登录时，会按照设置显示banner

2、 检查操作

附表：端口及服务

服务名称 端口

13/tcp

daytime

13/udp

time 37/tcp

7/tcp

echo

7/udp

9/tcp

discard

9/udp

19/tcp

chargen

19/udp

ftp 21/tcp

RFC863 废除协议

RFC862_回声协议

RFC867 白天协议

时间协议

RFC862_回声协议

应用说明

RFC867 白天协议

关闭方法

#daytime stream

tcp nowait root internal

#daytime dgram

udp nowait root internal

#time stream

tcp nowait root internal

#echo stream

tcp nowait root internal

#echo dgram

udp nowait root internal

#discard stream tcp

nowait root internal

#discard dgram

udp nowait root internal

#chargen stream

RFC864 字符产生协议

tcp nowait root internal

#chargen dgram

udp nowait root internal

文件传输协议(控制)

#ftp stream tcp

nowait root /usr/lbin/ftpd

#telnet stream tcp

telnet 23/tcp 虚拟终端协议 nowait root

/usr/lbin/telnetd telnetd

sendmail 25/tcp

53/udp

53/tcp

80/tcp

简单邮件发送协议

域名服务

域名服务

万维网发布服务

远程登录

S540sendmail stop

S370named stop

S370named stop

S825apache stop

#login stream tcp

login 513/tcp nowait root

/usr/lbin/rlogind rlogind

shell 514/tcp 远程命令, no #shell stream tcp 根据情况选择开放

根据情况选择开放

建议关闭

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

建议关闭

处置建议

nameserver

apache

passwd used nowait root

/usr/lbin/remshd

remshd

#exec stream

tcp nowait root

/usr/lbin/rexecd rexecd

#ntalk dgram

udp wait root

/usr/lbin/ntalkd ntalkd

#ident stream tcp

wait bin

/usr/lbin/identd identd

#printer stream tcp

nowait root

/usr/sbin/rlpdaemon

rlpdaemon -i

#bootps dstream

tdp nowait root internal

#bootps dgram

udp nowait root internal

#tftp dgram

udp nowait root internal

#kshell stream tcp nowait

root /usr/lbin/remshd

remshd -K

#klogin stream tcp nowait

root /usr/lbin/rlogind

rlogind -K

#recserv stream tcp

nowait root

/usr/lbin/recserv recserv

建议关闭

建议关闭

建议关闭

建议关闭

建议关闭

根据情况选择开放 exec 512/tcp

remote execution,

passwd required

new talk,

conversation

ntalk 518/udp

ident 113/tcp auth

printer 515/tcp 远程打印缓存 强烈建议关闭

67/udp

bootps

68/udp

tftp 69/udp

引导协议服务端

引导协议客户端

普通文件传输协议

Kerberos remote

shell -kfall

Kerberos rlogin

-kfall

建议关闭

建议关闭

强烈建议关闭

kshell 544/tcp

klogin 543/tcp

recserv

dtspcd

7815/tcp

6112/tcp

X共享接收服务

子进程控制

-display :0

#dtspc stream tcp nowait

root /usr/dt/bin/dtspcd

/usr/dt/bin/dtspcd

#registrar stream tcp

nowait root

/etc/opt/resmon/lbin/registrar

#/etc/opt/resmon/lbin/registrar

#registrar stream tcp

强烈建议关闭

1712/tcp

registrar

资源监控服务 根据情况选择开放

1712/udp 资源监控服务 nowait root

/etc/opt/resmon/lbin/regist根据情况选择开放

rar

/etc/opt/resmon/lbin/registrar

#registrar stream tcp

nowait root

动态端口 资源监控服务

/etc/opt/resmon/lbin/registrar

#/etc/opt/resmon/lbin/registrar

portmap 111/tcp 端口映射 S590Rpcd stop 根据情况选择开放

根据情况选择开放

dced 135/tcp DCE RPC daemon S570dce stop 建议关闭

dced 135/udp DCE RPC daemon S570dce stop 建议关闭

S560SnmpMaster stop

snmp 161/udp

简单网络管理协议〔Agent〕

S565OspfMib stop

S565SnmpHpunix stop

S565SnmpMib2 stop

S560SnmpMaster stop

snmpd 7161/tcp

简单网络管理协议〔Agent〕

简单网络管理协议〔Traps〕

启动图形控制

X 窗口服务

系统日志服务

远程打印缓存

路由信息协议

NFS远程文件系统

S565OspfMib stop

S565SnmpHpunix stop

S565SnmpMib2 stop

snmp-trap 162/udp

177/udp

dtlogin

syslogd

lpd

router

nfs

6000/tcp

514/udp

515/tcp

520/udp

2049/tcp

S565SnmpTrpDst stop

stop

stop

stop

S220syslogd stop

S720lp stop

S510gated stop

stop

stop

stop

stop

stop

#rpc dgram udp wait root

动态端口 rpc服务

/usr/lib/netsvc/rusers/d 100002 1-2

d

强烈建议关闭

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

建议保留

强烈建议关闭

根据情况选择开放

强烈建议关闭

强烈建议关闭

强烈建议关闭

强烈建议关闭

强烈建议关闭

根据情况选择开放

根据情况选择开放

动态端口 启动图形控制

2049/udp NFS远程文件系统

动态端口 rpc服务

动态端口 rpc服务

动态端口 rpc服务

wd

swagentd

动态端口 rpc服务

2121/tcp

68/udp

sw代理

remote boot server

安装引导协议服务1067/udp

installation

bootstrap protocol

server

安装引导协议服务1068/udp

installation

bootstrap protocol

client

stop

S870swagentd stop

S870swagentd stop

START_RBOOTD 0

START_RBOOTD 0

#instl_boots dgram udp

wait root

/usr/lbin/instl_bootd

instl_bootd

#instl_bootc dgram udp

wait root

/usr/lbin/instl_bootc

instl_bootc

samd:23456:respawn:/usr/sam/lbin/samd #

system mgmt daemon

swat stream tcp

nowait.400 root

/opt/samba/bin/swat swat

/sbin/rc3.d/S660xntpd

stop

#rpc xti tcp swait root

/usr/dt/bin/rver

100083 1

/usr/dt/bin/rver

#rpc dgram udp wait root

强烈建议关闭

根据情况选择开放

根据情况选择开放

建议关闭

建议关闭

2121/udp sw代理

1068/udp remote boot server rbootd

建议关闭

instl_boots

建议关闭

samd 3275/tcp

system mgmt

daemon

SAMBA

建议关闭

swat 901/tcp Web-based Admin

Tool

强烈建议关闭

xntpd 123/udp

时间同步服务

HP-UX ToolTalk

database server

根据情况选择开放

rver

动态端口 强烈建议关闭

rpc sd 动态端口 后台进程管理服务 /usr/dt/bin/rpc sd

100068 2-5 rpc sd

/sbin/rc2.d/S605Dmisp

stop

S742diagnostic stop

S742diagnostic stop

S742diagnostic stop

S742diagnostic stop

S742diagnostic stop

S742diagnostic stop

强烈建议关闭

dmisp

diagmond

diaglogd

memlogd

cclogd

dm_memory

RemoteMonitor

psmctd

psmond

动态端口

1508/tcp 硬件诊断监控程序

强烈建议关闭

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

动态端口 硬件诊断程序

动态端口 内存记录服务

动态端口

动态端口

2818/tcp

chassis code

logging daemon

Memory Monitor

Peripheral Status

动态端口 Monitor

client/target

1788/tcp Predictive Monitor

S742diagnostic stop

S742diagnostic stop

根据情况选择开放

根据情况选择开放

Hardware

1788/udp Predictive Monitor

High Availability

(HA) Cluster

hacl-hb

hacl-gs

5300/tcp

5301/tcp

5302/tcp

hacl-cfg

hacl-local

clvm-cfg

heartbeat

HA Cluster General

HA Cluster TCP

S742diagnostic stop 根据情况选择开放

S800cmcluster stop 根据情况选择开放

S800cmcluster stop

Services

S800cmcluster stop

configuration

HA Cluster UDP

HA Cluster

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

根据情况选择开放

S800cmcluster stop

5302/udp configuration

5304/tcp Commands

HA LVM

1476/tcp configuration

S800cmcluster stop

S800cmcluster stop