HP-UX安全加固使用手册

1、基本系统管理1、常用命令1. # ioscan -fn列出各 I/O 卡及设备的所有相关信息：如逻辑单元号，硬件地址及设备文件名等。2. # ps -ef 列出正在运行的所有进程的各种信息：如进程号及进程名等。3. # netstat -rn 列出网卡状态及路由信息等。4. # lanscan 列出网卡状态及网络配置信息。5. # bdf 列出已加载的逻辑卷及其大小信息。6. # mount 列出已加载的逻辑卷及其加载位置。7. # uname -a列出系统 ID 号， OS 版本及用户权限等信息。8. # hostname 列出系统网络名称。9. # pvdisplay -v /dev/ds

2、k/c*t*d* 显示磁盘各种信息，如磁盘大小，包含的逻辑卷，设备名称等。10. # vgdisplay -v /dev/vg00 显示逻辑卷组信息，如包含哪些物理盘及逻辑卷等。11. # lvdisplay -v /dev/vg00/lvol1 显示逻辑卷各种信息，如包含哪些盘，是否有镜像等。2、网络故障诊断1. 如需修改网络地址、主机名等，一定要用 set_parms 命令# set_parms hostname# set_parms ip_address2. 查看网卡状态： lanscanHardware Station Crd Hardware Net-InterfacePath Ad

3、dress In# state nameunit state8/20/5/1 0x0800097843FB 0 up lan0 up3. 确认网络地址：# ifconfig lan04. 启动网卡：# ifconfig lan0 up5. 网络不通的诊断过程：lanscan 查看网卡是否启动 (up)ping 自己网卡地址 (ip 地址 )ping 其它机器地址，如不通，在其机器上用 lanscan 命令得知 station address ，然后 linkloop station_address 来确认网线及集成器是否有问题。在同一网中， subnetmask 应一致。6. 配置网关手动加网

4、关：/usr/sbin/route add default 20.08.28.98 1把网关自动加入系统中vi /etc/rc.config.d / netconfROUTE_DESTINATION 0=defaultROUTE_GATEWAY 0=20.08.28.98ROUTE_COUNT 0=1/sbin/init.d/net 将执行：/usr/sbin/route add default 20.08.28.98 1命令 netstat -rn 查看路由表另外也可用 set_parms addl_netwrk 来设缺省路由。二、安全安装 HP-UX1、 建议在安装配置过程中，不要连接到任

5、何不信任的网络中。2、 尽可能选择最小安装3、尽可能不要安装 NFS, X window, SNMP 等组件（视具体需求而定）4、安装完毕，则使用系统命令查看状态。# uname ?Ca （版本信息）# bdf （逻辑卷状态）# ps ?Cef （进程状态）# netstat -anf inet （端口状态）5、安装各种驱动等6、安装最新的补丁。安装补丁时要注意 HP 的补丁与硬件类型和系统版本都相关， 检查并安装所有需要的补 丁。确认需要 swlist -l fileset.三、系统基本配置 操作系统安装并打上补丁后，需要做一些措施来对系统进行一些配置

6、。 删除保存的补丁（可选）缺省情况下，补丁安装完会在 /var/adm/sw/save/ 下备份所有的补丁。可以选择删除这 些补丁文件，但一旦删除就没法使用 swremove 卸载补丁了。# swmodify -x patch_commit=true *.*转换为一个可信系统：# /usr/lbin/tsconvertCreating secure password database.Directories created.Making default files.System default file created.Terminal default file created.Device

7、assignment file created.Moving passwords.secure password database installed.Converting at and crontab jobs.At and crontab files converted.改变全局特权CHOWN可以创HP-UX 有一个特权组， 可以分配给一个组特权 (参见 privgrp(4). 缺省情况下， 是分配给所有组的一个全局特权：$ getprivgrpglobal privileges: CHOWN/sbin/init.d/set_prvgrp 在系统启动时执行 /usr/sbin/setpri

8、vgrp -f /etc /privgroup. 建一个配置文件，删除所有的全局特权 (see setprivgrp(1m):# getprivgrpglobal privileges: CHOWN# echo -n /etc/privgroup# chmod 400 /etc/privgroup# /sbin/init.d/set_prvgrp start# getprivgrpglobal privileges:设置默认 umask.转换到可信系统后，默认 umask 已经改为 07077限制 root 远程登录，只能由 console 登录# echo console /etc/secu

9、retty# chmod 400 /etc/securetty打开 inetd 日志功能在 /etc/rc.config.d/netdaemons 中的 INETD_ARGS 环境变量中增加 l 参数 :export INETD_ARGS=-l删除不需要的系统伪帐户# groupdel lp# groupdel nuucp# groupdel daemon# userdel uucp# userdel lp# userdel nuucp# userdel hpdb# userdel www# userdel daemon对于一些保留的系统伪帐户如： bin, sys ，adm 等 , 应当将需

10、要禁止帐户的 *用 NP 代替， 并不提供登录 shellExample: bin:NP:60002:60002:No Access User:/:/sbin/noshell将 root 主目录从 / 改为 /root.编辑 /etc/passwd:root:*:0:3:/root:/sbin/sh创建目录并修改权限 :# mkdir /root# chmod 700 /root# mv /.profile /root# pwconv四、禁止网络服务1、禁止 inetd 服务由 internet 服务器过程 inetd 启动的网络服务是由两个配置文件 /etc/inet/services 和

11、/etc/inet/inetd.conf 来配置的。 /etc/inet/services 文件指定每个服务的端口号和端口类型， 该配置文件的部分示例如下：ftp 21/tcptelnet 23/tcpsmtp 25/tcp mail/etc/inet/inetd.conf 文件指定服务对应的系统服务程序，该配置文件部分示例如下：ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpdtelnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd当要停止某个服务，如 ftp 、 teln

12、et 等时，只要注释掉文件 /etc/inet/services 和 /etc/inet/inetd.conf 中的相应条目， 也就是在那一行的开头加上字符， 然后让 inetd 重新读 配置文件，过程示例如下：# ps -ef |grep inetdroot 149 1 0 Jan 18 ? 0:00 /usr/sbin/inetd -sroot 24621 24605 0 15:53:01 pts/1 0:00 grep inetd# kill ?CHUP 149以上第一条命令是为了获得 inetd 的进程号， 示例中输出的第二列内容就是进程号 (149) ， 然后将该进程号填入第二条命令

13、的相应位置。可以使用 lsof ?Ci 来查看监听进程和端口信息 :# lsof -iCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMEsyslogd 261 root 5u inet 0x10191e868 0t0 UDP *:syslog (Idle)rpcbind 345 root 4u inet 72,0x73 0t0 UDP *:portmap (Idle)rpcbind 345 root 6u inet 72,0x73 0t0 UDP *:49158 (Idle)rpcbind 345 root 7u inet 72,0x72 0t

14、0 TCP *:portmap (LISTEN) sendmail: 397 root 5u inet 0x10222b668 0t0 TCP *:smtp (LISTEN) snmpdm 402 root 3u inet 0x10221a268 0t0 TCP *:7161 (LISTEN) snmpdm 402 root 5u inet 0x10222a268 0t0 UDP *:snmp (Idle) snmpdm 402 root 6u inet 0x10221f868 0t0 UDP *:* (Unbound) mib2agt 421 root 0u inet 0x10223e868

15、 0t0 UDP *:* (Unbound) swagentd 453 root 6u inet 0x1019d3268 0t0 UDP *:2121 (Idle) 2、禁止其他服务 防止 syslogd 网络监听安装 PHCO_21023 补丁可以给 syslogd 加上 -N 参数防止网络监听 . 编辑 /sbin/init.d/syslogd 修改为 /usr/sbin/syslogd -DN.禁止 SNMP 服务编辑 SNMP 启动文件 :/etc/rc.config.d/SnmpHpunixSet SNMP_HPUNIX_START to 0: SNMP_HPUNIX_START=0

16、 /etc/rc.config.d/SnmpMasterSet SNMP_MASTER_START to 0: SNMP_MASTER_START=0 /etc/rc.config.d/SnmpMib2Set SNMP_MIB2_START to 0: SNMP_MIB2_START=0 /etc/rc.config.d/SnmpTrpDstSet SNMP_TRAPDEST_START to 0: SNMP_TRAPDEST_START=0禁止 sendmail 进程编辑 /etc/rc.config.d/mailservs:export SENDMAIL_SERVER=0禁止 rpcbin

17、d 进程# rm /sbin/rc1.d/K600nfs.core# rm /sbin/rc2.d/S400nfs.core# mv /usr/sbin/rpcbind /usr/sbin/rpcbind.DISABLE五、文件系统安全1、检查 Set-id 程序# find / （ -perm -4000 -o -perm -2000 ） -type f -exec ls -ld ;# chmod u-s /usr/sbin/swinstall# chmod u-s /usr/sbin/vgcreate# chmod u-s /sbin/vgcreate可以采用下列方法，将所有文件的 set

18、-id 位去掉，然后对一些需要的程序单独加上 suid 位 （可根据情况选择） :# find / -perm -4000 -type f -exec chmod u-s ;# find / -perm -2000 -type f -exec chmod g-s ;# chmod u+s /usr/bin/su# chmod u+s /usr/bin/passwd采用这种方法后，普通用户将无法使用很多系统命令，如 bdf, uptime ，arp 等:$ bdf /dev/vg00/lvol3bdf: /dev/vg00/lvol3: Permission denied2. 修改重要文件权限# chmod 1777 /tmp /var/tmp /var/preserve（加上粘滞位）# chmod 666 /dev/null六、网络参数调整利用 ndd 命令，可以检测或者更改网络设备驱动程序的特性。在 /etc/rc.config.d/nddconf 启动脚本中增加以下各条命令，然后重启系统，可以提高网络的安全性。格式如下：/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0Network deviceParameterDefault valueSuggested valueC