2024年2月20日发(作者：计翠巧)

HP-Unix安全配置规范

HP-Unix安全配置规范

1. 概述

1.1. 目的

本规范明确了HP-UX主机安全配置方面的基本要求。为了提高HP-UX主机的安全性而提出的。

1.2. 范围

如无特别说明，本规范适用于HP-UX 10.20以及以上版本。

Page 1 of 10

HP-Unix安全配置规范

2. 配置规范

2.1. 用户账号和环境

2.1.1. 系统账户

UUCP和nuucp账号通常是不需要的，可以把它们删除。其它账号视具体情况而定，选择锁定或者删除。操作命令如下：

for user in uucp nuucp adm daemon bin lp

nobody noaccess hpdb useradm

do

/usr/lbin/modprpw -w "*" "$user"

/usr/sbin/usermod –s /bin/false "$user"

done

2.1.2. 删除属于root用户存在潜在危险文件

/.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，应该使用如下命令删除：

rm /.[rs]hosts /.netrc ~root/.[rs]hosts ~root/.netrc

2.1.3. 用户home权限限制

用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限，因此需要使用以下命令严格限制用户home目录的权限：

logins -ox | cut -f6 -d: | while read home

do chmod og-w "$home"

done

2.1.4. UMASK设置

为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据。设置命令如下：

cd /etc

umask 022

for file in profile e

do

Page 2 of 10

HP-Unix安全配置规范

echo umask 022 >> "$file"

done

2.2. 基线控制

基线控制是利用数据完整性检测工具对系统的变化进行监控。数据完整性检测工具根据管理员设置的一个配置文件对指定要监控的文件进行读取，对每个文件生成相应数字签名，并将这些结果保存在自己的数据库中。

当怀疑系统被入侵时，可由完整性检测工具根据先前生成的系统快照与当前系统的文件特征进行对比，如果文件被替换，则特征不匹配，管理员就明白系统不"干净"了。

HP-UX系统上常用的基线控制工具是Tripwire，有商业和免费两个版本，免费版本通常需要使用源代码安装；相对来说，商业版本的管理能力、稳定性要好得多。

2.3. 补丁管理（适用于HP-UX 11.x）

2.3.1. 获得补丁

HP-UX系统的升级补丁可以从HP-UX Support Plus站点获得，URL是/SUPPORT_PLUS/

对于HP-UX 10.x的版本，补丁叫做General Release for HPUX10.x；对于HP-UX 11.x的版本，补丁叫做Quality Pack (QPK) for HP-UX 11.x。

2.3.2. 安装补丁

HP-UX补丁可以使用swinstall或者SAM安装。例如：

swinstall –s

/tmp/XSW700GR1020_10.20_

-x match_target=true

/tmp/XSW700GR1020_10.20_是一个例子。

Page 3 of 10

HP-Unix安全配置规范

2.3.3. 校验补丁

对于已经安装的补丁，可以使用如下命令输出没有正确配置的补丁：

swlist –l fileset -a state grep -Ev '(configured|^#)'

2.4. 文件/目录控制

2.4.1. mount选项

HP-UX的文件系统支持很多挂载选项，例如：nosuid、ro等。这些选项对于保护系统的安全性有很大的作用。对于通常只用于数据存储的分区（例如：/var）应该使用nosuid挂载，以防止针对SUID/SGID程序的攻击；对于保存系统文件，通常不会进行数据修改操作的分区（例如：/usr）应该使用只读选项挂载，除非需要打补丁或者进行其它修改操作（可通过mount –o remount, rw /usr命令重新以可写方式加载/usr分区）。

修改/etc/fstab文件，/usr、/opt分区应该以使用ro选项挂载；其它分区应该使用ro选项挂载。

2.4.2. 临时目录设置粘着位

临时目录不设置粘着位会导致普通用户可以任意删除其它用户建立的临时文件：

chmod +t /tmp /var/news /var/tmp /var/preserve

/var/spool/sockets /var/spool/sockets/ICE

/var/spool/sockets/X11 /var/spool/sockets/common

/var/X11/Xserver/logs /var/adm/diag

2.5. 系统日志

2.5.1. 开启内核层审计

如果系统已经切换到trusted模式,则可以开启内核级的审计。

cat << EOF >> /etc/.d/auditing

Page 4 of 10

HP-Unix安全配置规范

AUDITING=1

PRI_SWITCH=10000

SEC_SWITCH=10000

EOF

2.5.2. 启用inetd的日志功能

ch_rc -a -p INETD_ARGS=-l /etc/.d/netdaemons

2.6. 系统访问、认证和授权

2.6.1. 转入信任模式

HP-UX的信任模式允许支持shadow口令，并且开启内核级审计功能首先要求系统转换到信任模式，是非常重要的安全模式。命令如下:

/usr/lbin/tsconvert.

chown –R root:sys /tcb/files/auth

chmod –R 600 /tcb/files/auth

find /tcb/files/auth –type d –exec chmod 700 {} ;

2.6.2. ftp访问限制

/etc/ftpusers文件列出了所有禁止使用ftp的用户的名单,通常root和系统用户都应该禁止使用ftp。

if [[ "$(uname -r)" = B.10* ]]; then

ftpusers=/etc/ftpusers

else

ftpusers=/etc/ftpd/ftpusers

fi

for name in root daemon bin sys adm lp

uucp nuucp nobody hpdb useradm

do

echo $name

done >> $ftpusers

chmod 600 $ftpusers

2.6.3. 限制 at/cron给授权的用户

和文件列出了允许crontab和at命令的用户名单, 在多数系Page 5 of 10

HP-Unix安全配置规范

统上通常只有系统管理员才需要运行这些命令

cd /var/adm/cron

rm -f

cp

cp

echo root >

echo root >

chown root:sys

chmod 400

2.6.4. Crontab文件限制访问权限

系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序

chown –R root:sys /var/spool/cron/crontabs

chmod –R 400 /var/spool/cron/crontabs

chmod 700 /var/spool/cron/crontabs

2.7. 网络服务管理

2.7.1. 关闭inetd启动的不必要服务

 备份/etc/inet/

 编辑/etc/inet/文件，注释掉和没有必要服务、不安全服务相关的内容，这些服务包括：tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、、、 d、、d、、rver等。

 重新启动inetd监控进程：kill –HUP `ps –ef|grep –v inetd`

2.7.2. 关闭NIS/NIS+相关服务

NIS（Network Information System，网络信息服务）服务用于提供名称解析的服务，通常情况下需要关闭。

Page 6 of 10

HP-Unix安全配置规范

修改/etc/.d/namesvrs文件：

NIS_MASTER_SERVER=0

NIS_SLAVE_SERVER=0

NIS_CLIENT=0

NISPLUS_SERVER=0

NISPLUS_CLIENT=0

2.7.3. 关闭打印服务

如果系统不是作为打印服务器，应该关闭打印相关的服务，因为UNIX的打印服务有不良的安全记录，历史上出现过大量的安全漏洞。

ch_rc -a -p XPRINTSERVERS="''" /etc/.d/tps

ch_rc -a -p LP=0 /etc/.d/lp

ch_rc -a -p PD_CLIENT=0 /etc/.d/pd

2.7.4. 关闭sendmail服务

多数Unix/Linux系统只有在作为邮件服务器用时，才会使用sendmail服务。而该软件历史上出现过较多安全漏洞，因此如果没有必要，应该禁止该服务。

echo SENDMAIL_SERVER=0 >> /etc/.d/mailservs

cd /var/spool/cron/crontabs

crontab –l >

echo '0 * * * * /usr/lib/sendmail -q' >>

crontab

rm –f

2.7.5. 关闭NFS相关服务

NFS通常存在漏洞会导致未授权的文件和系统访问，因此应该关闭：

mv /sbin/rc2.d/ /sbin/rc2.d/.

mv /sbin/rc3.d/ /sbin/rc3.d/.

cd /sbin/rc2.d

mv .

cat <> /etc/.d/nfsconf

NFS_SERVER=0

PCNFS_SERVER=0

NUM_NFSD=0

NUM_NFSIOD=0

START_MOUNTD=0

EOF

cat <> /etc/.d/nfsconf

Page 7 of 10

HP-Unix安全配置规范

NFS_CLIENT=0

AUTOFS=0

AUTOMOUNT=0

EOF

2.7.6. 关闭SNMP服务

SNMP能够泄漏系统的敏感信息，应该关闭。如果必需运行SNMP的话,应该更改缺省的community string。

cd /sbin/rc2.d

mv S565OspfMib .NOS565OspfMib

mv S941opcagt .NOS941opcagt

mv S570SnmpFddi .NOS570SnmpFddi

修改/etc/.d/SnmpHpunix文件

SNMP_HPUNIX_START=0

修改/etc/.d/SnmpMaster文件

SNMP_MASTER_START=0

修改/etc/.d/SnmpMib2文件

SNMP_MIB2_START=0

修改/etc/.d/SnmpTrpDst文件

SNMP_TRAPDEST_START=0

2.7.7. TCP_Wrapper

TCP_Wrappers是一个防火墙软件，它能够封装telnet、ftp、finger等服务，限制可以访问这些服务的地址，从而拒绝非信任区域对网络服务的访问。

TCP_Wrappers for HP-UX的软件包，一般需要利用源代码重新编译：

make hpux

mkdir -p /usr/local/sbin /usr/local/include

/usr/local/lib /usr/local/man/man5

/usr/local/man/man1m

chmod 755 /usr/local/sbin /usr/local/include

/usr/local/lib /usr/local/man/man5

/usr/local/man/man1m

for file in safe_finger tcpd tcpdchk

tcpdmatch try-from

do /usr/sbin/install -s -f /usr/local/sbin

-m 0555 -u root -g daemon $file

done

for file in *.5

do /usr/sbin/install -s -f

/usr/local/man/man5

-m 0444 -u root -g daemon $file

done

Page 8 of 10

HP-Unix安全配置规范

for file in *.8

do base=${file%.8}

mv $base.8 $base.1m

/usr/sbin/install -s -f

/usr/local/man/man1m

-m 0444 -u root -g daemon $base.1m

done

/usr/sbin/install -s -f /usr/local/include

-m 0444 -u root -g daemon tcpd.h

/usr/sbin/install -s -f /usr/local/lib

-m 0555 -u root -g daemon libwrap.a

2.7.8. 安装OpenSSH

OpenSSH 是 SSH （Secure Shell） 协议的免费开源实现。它用安全、加密的网络连接工具代替了 telnet、ftp、 rlogin、rsh 和 rcp 工具。使用 OpenSSH 工具将会增加系统安全性。 所有使用 OpenSSH 工具的通讯，包括口令，都会被加密。 telnet

和 ftp 使用纯文本口令，并被明文发送。这些信息可能会被截取，口令可能会被窃取，然后未经授权的人员可能会使用截取的口令登录系统而对系统造成危害。

从可以得到针对HP-UX的OpenSSH安装软件包。然后使用如下命令进行安装：

swinstall -s /var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+

/var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+是一个示例路径。

2.8. 其它配置安全

2.8.1. 调整内核TCP/IP协议栈参数

对于HP-UX 11i的版本，应该通过如下命令调整内核参数，以加强系统的网络性能：

cd /etc/.d

cat < nddconf

# Increase size of half-open connection queue

TRANSPORT_NAME[0]=tcp

NDD_NAME[0]=tcp_syn_rcvd_max

NDD_VALUE[0]=4096

# Reduce the half-open timeout

TRANSPORT_NAME[1]=tcp

NDD_NAME[1]=tcp_ip_abort_cinterval

NDD_VALUE[1]=60000

Page 9 of 10

HP-Unix安全配置规范

# Reduce timeouts on ARP cache

TRANSPORT_NAME[2]=arp

NDD_NAME[2]=arp_cleanup_interval

NDD_VALUE[2]=60000

# Don't send ICMP redirects

TRANSPORT_NAME[3]=ip

NDD_NAME[3]=ip_send_redirects

NDD_VALUE[3]=0

# Drop source-routed packets

TRANSPORT_NAME[4]=ip

NDD_NAME[4]=ip_forward_src_routed

NDD_VALUE[4]=0

# Don't forward directed broadcasts

TRANSPORT_NAME[5]=ip

NDD_NAME[5]=ip_forward_directed_broadcasts

NDD_VALUE[5]=0

# Don't respond to unicast ICMP timestamp requests

TRANSPORT_NAME[6]=ip

NDD_NAME[6]=ip_respond_to_timestamp

NDD_VALUE[6]=0

# Don't respond to broadcast ICMP tstamp reqs

TRANSPORT_NAME[7]=ip

NDD_NAME[7]=ip_respond_to_timestamp_broadcast

NDD_VALUE[7]=0

# Don't respond to ICMP address mask requests

TRANSPORT_NAME[8]=ip

NDD_NAME[8]=ip_respond_to_address_mask_broadcast

NDD_VALUE[8]=0

EOF

chmod go-w,ug-s nddconf

2.8.2. 堆栈保护

打开系统堆栈保护功能，可以降低攻击者利用存在漏洞的SUID程序获得root权限的风险。

/usr/sbin/kmtune -s executable_stack=0 &&mk_kernel &&kmupdate

Page 10 of 10

2024年2月20日发(作者：计翠巧)

HP-Unix安全配置规范

HP-Unix安全配置规范

1. 概述

1.1. 目的

本规范明确了HP-UX主机安全配置方面的基本要求。为了提高HP-UX主机的安全性而提出的。

1.2. 范围

如无特别说明，本规范适用于HP-UX 10.20以及以上版本。

Page 1 of 10

HP-Unix安全配置规范

2. 配置规范

2.1. 用户账号和环境

2.1.1. 系统账户

UUCP和nuucp账号通常是不需要的，可以把它们删除。其它账号视具体情况而定，选择锁定或者删除。操作命令如下：

for user in uucp nuucp adm daemon bin lp

nobody noaccess hpdb useradm

do

/usr/lbin/modprpw -w "*" "$user"

/usr/sbin/usermod –s /bin/false "$user"

done

2.1.2. 删除属于root用户存在潜在危险文件

/.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，应该使用如下命令删除：

rm /.[rs]hosts /.netrc ~root/.[rs]hosts ~root/.netrc

2.1.3. 用户home权限限制

用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限，因此需要使用以下命令严格限制用户home目录的权限：

logins -ox | cut -f6 -d: | while read home

do chmod og-w "$home"

done

2.1.4. UMASK设置

为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据。设置命令如下：

cd /etc

umask 022

for file in profile e

do

Page 2 of 10

HP-Unix安全配置规范

echo umask 022 >> "$file"

done

2.2. 基线控制

基线控制是利用数据完整性检测工具对系统的变化进行监控。数据完整性检测工具根据管理员设置的一个配置文件对指定要监控的文件进行读取，对每个文件生成相应数字签名，并将这些结果保存在自己的数据库中。

当怀疑系统被入侵时，可由完整性检测工具根据先前生成的系统快照与当前系统的文件特征进行对比，如果文件被替换，则特征不匹配，管理员就明白系统不"干净"了。

HP-UX系统上常用的基线控制工具是Tripwire，有商业和免费两个版本，免费版本通常需要使用源代码安装；相对来说，商业版本的管理能力、稳定性要好得多。

2.3. 补丁管理（适用于HP-UX 11.x）

2.3.1. 获得补丁

HP-UX系统的升级补丁可以从HP-UX Support Plus站点获得，URL是/SUPPORT_PLUS/

对于HP-UX 10.x的版本，补丁叫做General Release for HPUX10.x；对于HP-UX 11.x的版本，补丁叫做Quality Pack (QPK) for HP-UX 11.x。

2.3.2. 安装补丁

HP-UX补丁可以使用swinstall或者SAM安装。例如：

swinstall –s

/tmp/XSW700GR1020_10.20_

-x match_target=true

/tmp/XSW700GR1020_10.20_是一个例子。

Page 3 of 10

HP-Unix安全配置规范

2.3.3. 校验补丁

对于已经安装的补丁，可以使用如下命令输出没有正确配置的补丁：

swlist –l fileset -a state grep -Ev '(configured|^#)'

2.4. 文件/目录控制

2.4.1. mount选项

HP-UX的文件系统支持很多挂载选项，例如：nosuid、ro等。这些选项对于保护系统的安全性有很大的作用。对于通常只用于数据存储的分区（例如：/var）应该使用nosuid挂载，以防止针对SUID/SGID程序的攻击；对于保存系统文件，通常不会进行数据修改操作的分区（例如：/usr）应该使用只读选项挂载，除非需要打补丁或者进行其它修改操作（可通过mount –o remount, rw /usr命令重新以可写方式加载/usr分区）。

修改/etc/fstab文件，/usr、/opt分区应该以使用ro选项挂载；其它分区应该使用ro选项挂载。

2.4.2. 临时目录设置粘着位

临时目录不设置粘着位会导致普通用户可以任意删除其它用户建立的临时文件：

chmod +t /tmp /var/news /var/tmp /var/preserve

/var/spool/sockets /var/spool/sockets/ICE

/var/spool/sockets/X11 /var/spool/sockets/common

/var/X11/Xserver/logs /var/adm/diag

2.5. 系统日志

2.5.1. 开启内核层审计

如果系统已经切换到trusted模式,则可以开启内核级的审计。

cat << EOF >> /etc/.d/auditing

Page 4 of 10

HP-Unix安全配置规范

AUDITING=1

PRI_SWITCH=10000

SEC_SWITCH=10000

EOF

2.5.2. 启用inetd的日志功能

ch_rc -a -p INETD_ARGS=-l /etc/.d/netdaemons

2.6. 系统访问、认证和授权

2.6.1. 转入信任模式

HP-UX的信任模式允许支持shadow口令，并且开启内核级审计功能首先要求系统转换到信任模式，是非常重要的安全模式。命令如下:

/usr/lbin/tsconvert.

chown –R root:sys /tcb/files/auth

chmod –R 600 /tcb/files/auth

find /tcb/files/auth –type d –exec chmod 700 {} ;

2.6.2. ftp访问限制

/etc/ftpusers文件列出了所有禁止使用ftp的用户的名单,通常root和系统用户都应该禁止使用ftp。

if [[ "$(uname -r)" = B.10* ]]; then

ftpusers=/etc/ftpusers

else

ftpusers=/etc/ftpd/ftpusers

fi

for name in root daemon bin sys adm lp

uucp nuucp nobody hpdb useradm

do

echo $name

done >> $ftpusers

chmod 600 $ftpusers

2.6.3. 限制 at/cron给授权的用户

和文件列出了允许crontab和at命令的用户名单, 在多数系Page 5 of 10

HP-Unix安全配置规范

统上通常只有系统管理员才需要运行这些命令

cd /var/adm/cron

rm -f

cp

cp

echo root >

echo root >

chown root:sys

chmod 400

2.6.4. Crontab文件限制访问权限

系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序

chown –R root:sys /var/spool/cron/crontabs

chmod –R 400 /var/spool/cron/crontabs

chmod 700 /var/spool/cron/crontabs

2.7. 网络服务管理

2.7.1. 关闭inetd启动的不必要服务

 备份/etc/inet/

 编辑/etc/inet/文件，注释掉和没有必要服务、不安全服务相关的内容，这些服务包括：tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time 、echo、discard、chargen、、、 d、、d、、rver等。

 重新启动inetd监控进程：kill –HUP `ps –ef|grep –v inetd`

2.7.2. 关闭NIS/NIS+相关服务

NIS（Network Information System，网络信息服务）服务用于提供名称解析的服务，通常情况下需要关闭。

Page 6 of 10

HP-Unix安全配置规范

修改/etc/.d/namesvrs文件：

NIS_MASTER_SERVER=0

NIS_SLAVE_SERVER=0

NIS_CLIENT=0

NISPLUS_SERVER=0

NISPLUS_CLIENT=0

2.7.3. 关闭打印服务

如果系统不是作为打印服务器，应该关闭打印相关的服务，因为UNIX的打印服务有不良的安全记录，历史上出现过大量的安全漏洞。

ch_rc -a -p XPRINTSERVERS="''" /etc/.d/tps

ch_rc -a -p LP=0 /etc/.d/lp

ch_rc -a -p PD_CLIENT=0 /etc/.d/pd

2.7.4. 关闭sendmail服务

多数Unix/Linux系统只有在作为邮件服务器用时，才会使用sendmail服务。而该软件历史上出现过较多安全漏洞，因此如果没有必要，应该禁止该服务。

echo SENDMAIL_SERVER=0 >> /etc/.d/mailservs

cd /var/spool/cron/crontabs

crontab –l >

echo '0 * * * * /usr/lib/sendmail -q' >>

crontab

rm –f

2.7.5. 关闭NFS相关服务

NFS通常存在漏洞会导致未授权的文件和系统访问，因此应该关闭：

mv /sbin/rc2.d/ /sbin/rc2.d/.

mv /sbin/rc3.d/ /sbin/rc3.d/.

cd /sbin/rc2.d

mv .

cat <> /etc/.d/nfsconf

NFS_SERVER=0

PCNFS_SERVER=0

NUM_NFSD=0

NUM_NFSIOD=0

START_MOUNTD=0

EOF

cat <> /etc/.d/nfsconf

Page 7 of 10

HP-Unix安全配置规范

NFS_CLIENT=0

AUTOFS=0

AUTOMOUNT=0

EOF

2.7.6. 关闭SNMP服务

SNMP能够泄漏系统的敏感信息，应该关闭。如果必需运行SNMP的话,应该更改缺省的community string。

cd /sbin/rc2.d

mv S565OspfMib .NOS565OspfMib

mv S941opcagt .NOS941opcagt

mv S570SnmpFddi .NOS570SnmpFddi

修改/etc/.d/SnmpHpunix文件

SNMP_HPUNIX_START=0

修改/etc/.d/SnmpMaster文件

SNMP_MASTER_START=0

修改/etc/.d/SnmpMib2文件

SNMP_MIB2_START=0

修改/etc/.d/SnmpTrpDst文件

SNMP_TRAPDEST_START=0

2.7.7. TCP_Wrapper

TCP_Wrappers是一个防火墙软件，它能够封装telnet、ftp、finger等服务，限制可以访问这些服务的地址，从而拒绝非信任区域对网络服务的访问。

TCP_Wrappers for HP-UX的软件包，一般需要利用源代码重新编译：

make hpux

mkdir -p /usr/local/sbin /usr/local/include

/usr/local/lib /usr/local/man/man5

/usr/local/man/man1m

chmod 755 /usr/local/sbin /usr/local/include

/usr/local/lib /usr/local/man/man5

/usr/local/man/man1m

for file in safe_finger tcpd tcpdchk

tcpdmatch try-from

do /usr/sbin/install -s -f /usr/local/sbin

-m 0555 -u root -g daemon $file

done

for file in *.5

do /usr/sbin/install -s -f

/usr/local/man/man5

-m 0444 -u root -g daemon $file

done

Page 8 of 10

HP-Unix安全配置规范

for file in *.8

do base=${file%.8}

mv $base.8 $base.1m

/usr/sbin/install -s -f

/usr/local/man/man1m

-m 0444 -u root -g daemon $base.1m

done

/usr/sbin/install -s -f /usr/local/include

-m 0444 -u root -g daemon tcpd.h

/usr/sbin/install -s -f /usr/local/lib

-m 0555 -u root -g daemon libwrap.a

2.7.8. 安装OpenSSH

OpenSSH 是 SSH （Secure Shell） 协议的免费开源实现。它用安全、加密的网络连接工具代替了 telnet、ftp、 rlogin、rsh 和 rcp 工具。使用 OpenSSH 工具将会增加系统安全性。 所有使用 OpenSSH 工具的通讯，包括口令，都会被加密。 telnet

和 ftp 使用纯文本口令，并被明文发送。这些信息可能会被截取，口令可能会被窃取，然后未经授权的人员可能会使用截取的口令登录系统而对系统造成危害。

从可以得到针对HP-UX的OpenSSH安装软件包。然后使用如下命令进行安装：

swinstall -s /var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+

/var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+是一个示例路径。

2.8. 其它配置安全

2.8.1. 调整内核TCP/IP协议栈参数

对于HP-UX 11i的版本，应该通过如下命令调整内核参数，以加强系统的网络性能：

cd /etc/.d

cat < nddconf

# Increase size of half-open connection queue

TRANSPORT_NAME[0]=tcp

NDD_NAME[0]=tcp_syn_rcvd_max

NDD_VALUE[0]=4096

# Reduce the half-open timeout

TRANSPORT_NAME[1]=tcp

NDD_NAME[1]=tcp_ip_abort_cinterval

NDD_VALUE[1]=60000

Page 9 of 10

HP-Unix安全配置规范

# Reduce timeouts on ARP cache

TRANSPORT_NAME[2]=arp

NDD_NAME[2]=arp_cleanup_interval

NDD_VALUE[2]=60000

# Don't send ICMP redirects

TRANSPORT_NAME[3]=ip

NDD_NAME[3]=ip_send_redirects

NDD_VALUE[3]=0

# Drop source-routed packets

TRANSPORT_NAME[4]=ip

NDD_NAME[4]=ip_forward_src_routed

NDD_VALUE[4]=0

# Don't forward directed broadcasts

TRANSPORT_NAME[5]=ip

NDD_NAME[5]=ip_forward_directed_broadcasts

NDD_VALUE[5]=0

# Don't respond to unicast ICMP timestamp requests

TRANSPORT_NAME[6]=ip

NDD_NAME[6]=ip_respond_to_timestamp

NDD_VALUE[6]=0

# Don't respond to broadcast ICMP tstamp reqs

TRANSPORT_NAME[7]=ip

NDD_NAME[7]=ip_respond_to_timestamp_broadcast

NDD_VALUE[7]=0

# Don't respond to ICMP address mask requests

TRANSPORT_NAME[8]=ip

NDD_NAME[8]=ip_respond_to_address_mask_broadcast

NDD_VALUE[8]=0

EOF

chmod go-w,ug-s nddconf

2.8.2. 堆栈保护

打开系统堆栈保护功能，可以降低攻击者利用存在漏洞的SUID程序获得root权限的风险。

/usr/sbin/kmtune -s executable_stack=0 &&mk_kernel &&kmupdate

Page 10 of 10