HP-UX操作系统安全配置要求及操作指南

Linux IT敢客 1年前 (2017-09-16) 8819次浏览 已收录 0个评论 扫描二维码

HP-UX 操作系统

安全配置要求及操作指南

1 范围

适用于使用 HP-UX 操作系统的设备。本规范明确了安全配置的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同,配置操作有所不同,本规范以 HP-UX11v2\11v3 为例,给出参考配置操作。

2 缩略语

FTP

File Transfer Protocol

文件传输协议

UDP

User Datagram Protocol

用户数据包协议

TCP

Transmission Control Protocol

传输控制协议

3 安全配置要求

  1. 帐号

编号: 1

要求内容

应按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。

操作指南

  1. 参考配置操作为用户创建账号:

    #useradd username  #创建账号

    #passwd username   #设置密码修改权限:

    #chmod 750 directory  #其中 750 为设置的权限,可根据实际情况设置相应的权限,directory 是要更改权限的目录

    使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。

  2. 补充操作说明


     

检测方法

  1. 判定条件能够登录成功并且可以进行常用操作;

  2. 检测操作

    使用不同的账号进行登录并进行一些常用操作;

  3. 补充说明


     

编号: 2

要求内容

应删除或锁定与设备运行、维护等工作无关的账号。

操作指南

  1. 参考配置操作

    删除用户:#userdel username;  

    锁定用户:

    1)修改/etc/shadow 文件,用户名后加 NP

    2)/etc/passwd 文件中的 shell 域设置成/bin/noshell

    3)#passwd -l username

    只有具备超级用户权限的使用者方可使用,#passwd -l username 锁定用户,#passwd –d username 解锁后原有密码失效,登录需输入新密码,修改/etc/shadow 能保留原有密码。

  2. 补充操作说明需要锁定的用户:lp,nuucp,hpdb,www,demon

    注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用)等

检测方法

  1. 判定条件被删除或锁定的账号无法登录成功;

  2. 检测操作

 

使用删除或锁定的与工作无关的账号登录系统;

3、补充说明

需要锁定的用户:lp,nuucp,hpdb,www,demon


 

编号: 3

要求内容

根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。

操作指南

  1. 参考配置操作创建帐户组:

    #groupadd –g GID groupname #创建一个组,并为其设置 GID 号,若不设 GID,系统会自动为该组分配一个 GID 号;

    #usermod –g group username  #将用户 username 分配到 group 组中。

    查询被分配到的组的 GID#id username

    可以根据实际需求使用如上命令进行设置。

  2. 补充操作说明

    可以使用 -g 选项设定新组的 GID0 499 之间的值留给 rootbinmail 这样的系统账号,因此 好指定该值大于 499。如果新组名或者 GID 已经存在,则返回错误信息。

    group_name 字段长度大于八个字符,groupadd 命令会执行失败;当用户希望以其他用户组成员身份出现时,需要使用 newgrp 命令进行更改,如#newgrp sys 即把当前用户以 sys 组身份运行;

检测方法

  1. 判定条件可以查看到用户账号分配到相应的帐户组中;

    或都通过命令检查账号是否属于应有的组:

    #id username

  2. 检测操作

    查看组文件:cat /etc/group

  3. 补充说明

    文件中的格式说明:

    group_name::GID:user_list  

  1. 口令

编号: 1

要求内容

对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 3 类。

操作指南

1 参考配置操作

ch_rc –a -p MIN_PASSWORD_LENGTH=8 /etc/default/security

   ch_rc –a -p PASSWORD_HISTORY_DEPTH=10 \  

       /etc/default/security  

   ch_rc –a –p PASSWORD_MIN_UPPER_CASE_CHARS=1 \  

       /etc/default/security  

 

   ch_rc –a –p PASSWORD_MIN_DIGIT_CHARS=1 \  

       /etc/default/security  

   ch_rc –a –p PASSWORD_MIN_SPECIAL_CHARS=1 \  

       /etc/default/security  

   ch_rc –a –p PASSWORD_MIN_LOWER_CASE_CHARS=1 \  

       /etc/default/security      modprdef -m nullpw=NO      modprdef -m rstrpw=YES  

 

MIN_PASSWORD_LENGTH=8 #设定 小用户密码长度为 8 PASSWORD_MIN_UPPER_CASE_CHARS=1 #表示至少包括 1 个大写字母

PASSWORD_MIN_DIGIT_CHARS=1  #表示至少包括 1 个数字

PASSWORD_MIN_SPECIAL_CHARS=1 #表示至少包括 1 个特殊字符(特殊字符可以包括控制符以及诸如星号和斜杠之类的符号)

PASSWORD_MIN_LOWER_CASE_CHARS=1 #表示至少包括 1 个小写字母

 

当用 root 帐户给用户设定口令的时候不受任何限制,只要不超长。

2、补充操作说明

不同的 HP-UX 版本可能会有差异,请查阅当前系统的 man page security(5) 详细说明

检测方法

  1. 判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;

  2. 检测操作

  3. 检查口令强度配置选项是否可以进行如下配置:

    i.
    配置口令的 小长度; ii.
    将口令配置为强口令。

  4. 创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 8 位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。

编号: 2

要求内容

对于采用静态口令认证技术的设备,帐户口令的生存期不长于 90 天。

操作指南

1
参考配置操作以下的 shell 语句将设置除 root 外的所有有效登录的账号密码过期和过前期的收到警告设置: logins -ox \  

 

   | awk -F: '($8 != "LK" && $1 != "root") { print $1 }' \  

   | while read logname; do        passwd –x 91 –n 7 –w 28 "$logname"  

      /usr/lbin/modprpw -m exptm=90,mintm=7,expwarn=30 \  

       "$logname"      done      echo PASSWORD_MAXDAYS=91 >> /etc/default/security      echo PASSWORD_MINDAYS=7 >> /etc/default/security      echo PASSWORD_WARNDAYS=28 >> /etc/default/security      /usr/lbin/modprdef -m exptm=90,expwarn=30  

 

用户将在密码过期前的 30 天收到警告信息(28 天没有运行在

HP-UX Trusted 模式)

2、补充操作说明


 

检测方法

  1. 判定条件登录不成功;

  2. 检测操作使用超过 90 天的帐户口令登录;

  3. 补充说明测试时可以将 90 天的设置缩短来做测试。

编号: 3

要求内容

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用 近 5 次(含 5 次)内已使用的口令。

操作指南

1、参考配置操作

vi /etc/default/passwd ,修改设置如下

HISTORY5

2、补充操作说明

#HISTORY sets the number of prior password changes to keep and

# check for a user when changing passwords.  Setting the HISTORY

# value to zero (0), or removing/commenting out the flag will

# cause all users' prior password history to be discarded at the # next password change by any user.  No password history will # be checked if the flag is not present or has zero value.

# The maximum value of HISTORY is 26.

NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。

检测方法

  1. 判定条件设置密码不成功

  2. 检测操作

    cat /etc/default/passwd ,设置如下

    HISTORY5

 

3、补充说明默认没有 HISTORY 的标记,即不记录以前的密码

NIS 系统无法生效,非 NIS 系统或 NIS+系统能够生效。

编号: 4

要求内容

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用的账号。

操作指南

  1. 参考配置操作

指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:

   logins -ox \  

   | awk -F: '($8 != "LK" && $1 != "root") { print $1 }' \  

   | while read logname; do  

      /usr/lbin/modprpw -m umaxlntr=6 "$logname"      done      modprdef -m umaxlntr=6      echo AUTH_MAXTRIES=6 >> /etc/default/security

root 外的有效账号都将被设置重复登录失败次数为 6

  1. 补充操作说明


 

检测方法

  1. 判定条件帐户被锁定,不再提示让再次登录;

  2. 检测操作

    创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录 6 次以上(不含 6 次);

    1
    补充说明
    root
    账号不在锁定的限制范围内

  1. 授权 编号: 1

要求内容

在设备权限配置能力内,根据用户的业务需要,配置其所需的 小权限。

操作指南

  1. 参考配置操作通过 chmod 命令对目录的权限进行实际设置。

  2. 补充操作说明

    etc/passwd 必须所有用户都可读,root 用户可写 –rw-r—r—  

    /etc/shadow 只有 root 可读 –r——–  

    /etc/group 必须所有用户都可读,root 用户可写 –rw-r—r— 使用如下命令设置:

    chmod 644 /etc/passwd chmod 600 /etc/shadow

 

chmod 644 /etc/group

如果是有写权限,就需移去组及其它用户对/etc 的写权限(特殊情况除外)

执行命令#chmod -R go-w /etc


 

检测方法

1、判定条件

  1. 设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;

  2. 记录能够配置的权限选项内容;

  3. 所配置的权限规则应能够正确应用,即用户无法访问授权范围

    之外的系统资源,而可以访问授权范围之内的系统资源。

    2、检测操作

  4. 利用管理员账号登录系统,并创建 2 个不同的用户;

  5. 创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;

  6. 为两个用户分别配置不同的权限,2 个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;

  7. 分别利用 2 个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。

    3、补充说明


     

编号: 2

要求内容

控制用户缺省访问权限,当在创建新文件或目录时
应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

操作指南

  1. 参考配置操作设置默认权限:

    Vi /etc/default/security 在末尾增加 umask 027

    修改文件或目录的权限,操作举例如下:

    #chmod 444 dir ; #修改目录 dir 的权限为所有人都为只读。

    根据实际情况设置权限;

  2. 补充操作说明如果用户需要使用一个不同于默认全局系统设置的 umask,可以在需要的时候通过命令行设置,或者在用户的 shell 启动文件中配置。

检测方法

  1. 判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;

  2. 检测操作

    查看新建的文件或目录的权限,操作举例如下:

    #ls -l dir ; #查看目录 dir 的权限

    #cat /etc/default/login 查看是否有 umask 027 内容

 

3、补充说明

umask 的默认设置一般为 022,这给新创建的文件默认权限 755 777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。

umask 的计算:

umask 是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码 777 减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码 666 减去需要的默认权限对应的八进制数据代码值。


 

编号:3

要求内容

如果需要启用 FTP 服务,控制 FTP 进程缺省访问权限,当通过 FTP 服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

操作指南

  1. 参考配置操作

       if [[ "$(uname -r)" = B.10* ]]; then         ftpusers=/etc/ftpusers      else         ftpusers=/etc/ftpd/ftpusers      fi      for name in root daemon bin sys adm lp \         uucp nuucp nobody hpdb useradm      do         echo $name      done >> $ftpusers      sort –u $ftpusers > $ftpusers.tmp      cp $ftpusers.tmp $ftpusers      rm –f $ftpusers.tmp      chown bin:bin $ftpusers      chmod 600 $ftpusers

  2. 补充操作说明查看# cat ftpusers 说明:  在这个列表里边的用户名是不允许 ftp 登陆的。 root

    daemon

    bin sys

    adm

    lp

    uucp nuucp

    listen

    nobody

 

hpdb useradm

检测方法

  1. 判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;

  2. 检测操作查看新建的文件或目录的权限,操作举例如下:

    #more /etc/ [/ftpd]/ftpusers      

    #more  /etc/passwd

  3. 补充说明

    查看# cat ftpusers 说明:  在这个列表里边的用户名是不允许 ftp 登陆的。 root

    daemon

    bin sys

    adm

    lp

    uucp nuucp

    listen

    nobody hpdb useradm

  1. 远程维护

    编号:1

要求内容

限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。

操作指南

2
参考配置操作

编辑/etc/securetty,加上:

console  

保存后退出,并限制其他用户对此文本的所有权限: chown root:sys /etc/securetty chmod 600 /etc/securetty

此项只能限制 root 用户远程使用 telnet 登录。用 ssh 登录,修改此项不会看到效果的

2、补充操作说明

如果限制 root 从远程 ssh 登录,修改/etc/ssh/sshd_config 文件,将 PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 服务。

检测方法

1、判定条件
root
远程登录不成功,提示"没有权限";普通用户可以登录成功,而且可以切换到 root 用户;

 
  1. 检测操作

    root 从远程使用 telnet 登录;普通用户从远程使用 telnet 登录; root 从远程使用 ssh 登录;

    普通用户从远程使用 ssh 登录;

     

  2. 补充说明限制 root 从远程 ssh 登录,修改/etc/ssh/sshd_config 文件,将

    PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 服务。

编号:2

要求内容

对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密协议,禁止使用 telnet 等明文传输协议进行远程维护;

操作指南

  1. 下载和安装 OpenSSH

在网站上免费获取 OpenSSH http://software.hp.com/
并根据安装文件说明执行安装步骤


 

  1. 完成下面安装后的配置:

             cd /opt/ssh/etc                cp -p sshd_config sshd_config.tmp                awk '  

                /^Protocol/         { $2 = "2" };  

                /^X11Forwarding/   { $2 = "yes" };  

                /^IgnoreRhosts/     { $2 = "yes" };  

                /^RhostsAuthentication/   { $2 = "no" };  

                /^RhostsRSAAuthentication/ { $2 = "no" };  

                /(^#|^)PermitRootLogin/       {  

                         $1 = "PermitRootLogin";  

                         $2 = "no" };  

                /^PermitEmptyPasswords/   { $2 = "no" };  

                /^#Banner/               {  

                         $1 = "Banner";  

                         $2 = "/etc/issue" }  

                { print }' sshd_config.tmp > sshd_config                rm -f sshd_config.tmp                chown root:sys ssh_config sshd_config                chmod go-w ssh_config sshd_config  

先拷贝一份配置,再用 awk 生成一份修改了安全配置的临时文件,

后替换原始配置文件 ssh_config,其中配置含义如下:

Protocol = 2 #使用 ssh2 版本

X11Forwarding #允许窗口图形传输使用 ssh 加密

IgnoreRhosts =yes#完全禁止 SSHD 使用.rhosts 文件

RhostsAuthentication=no #不设置使用基于 rhosts 的安全验证

RhostsRSAAuthentication=no #设置使用 RSA 算法的基于 rhosts

 

安全验证。

3、补充操作说明

查看 SSH 服务状态:

# ps –elf|grep ssh

 

注:禁止使用 telnet 等明文传输协议进行远程维护;如特别需要,需采用访问控制策略对其进行限制;

检测方法

1
判定条件

# ps –ef|grep ssh

是否有 ssh 进程存在是否有 telnet 进程存在
2
、检测操作

查看 SSH 服务状态:

# ps –ef|grep ssh

查看 telnet 服务状态:

# ps –ef|grep telnet

3、补充说明


 

  1. 补丁

    编号: 1

要求内容

应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。

操作指南

  1. 参考配置操作

看版本是否为 新版本。执行下列命令,查看版本及大补丁号。

#uname –a

HP-UXhttp://us-support.external.hp.com/ 执行下列命令,查看各包的补丁号

#swlist  

 

  1. 补充操作说明


 

检测方法

  1. 判定条件

看版本是否为 新版本。

# uname –a 查看版本及大补丁号

#swlist 命令检补丁号

  1. 检测操作

在保证业务及网络安全的前提下,经过实验室测试后,更新使用新版本的操作系统补丁

  1. 补充说明

 


 

  1. 日志

    编号: 1

要求内容

打开 syslog 系统日志审计功能有助于系统的日常维护和故障排除,或者防止被攻击后查看日志采取防护补救措施,增强系统安全日志。

操作指南

  1. 参考配置操作

修改配置文件 vi /etc/syslog.conf

配置如下类似语句:

*.err;kern.debug;daemon.notice;        /var/adm/messages 定义为需要保存的设备相关安全事件。

  1. 补充操作说明


 

检测方法

  1. 判定条件查看/var/adm/messages,记录有需要的设备相关的安全事件。

  2. 检测操作

    修改配置文件 vi /etc/syslog.conf

    配置如下类似语句:

    *.err;kern.debug;daemon.notice;        /var/adm/messages 定义为需要保存的设备相关安全事件。

  3. 补充说明


     

编号:2

要求内容

设备应配置权限,控制对日志文件读取、修改和删除等操作。

操作指南

1、参考配置操作

检查系统日志:

awk < /etc/syslog.conf ' $0 !~ /^#/ && $2 ~ "^/" { print $2

}

' | sort -u | while read file

do if [ -d "$file" -o -c "$file" -o \

-b "$file" -o -p "$file" ] then :

elif [ ! -f "$file" ]

then mkdir -p "$(dirname "$file")" touch "$file" chmod 640 "$file" else chmod o-w "$file" fi

 

done

检查其他日志:

hostname=`uname -n` chmod o-w  

/tmp/snmpd.log \

/var/X11/Xserver/logs/X0.log  

/var/X11/Xserver/logs/X1.log  

/var/X11/Xserver/logs/X2.log  

/var/adm/automount.log  

/var/adm/snmpd.log  

/var/opt/dce/svc/error.log  

/var/opt/dce/svc/fatal.log  

/var/opt/dce/svc/warning.log  

/var/opt/dde/dde_error_log  

/var/opt/hppak/hppak_error_log  

/var/opt/ignite/logs/makrec.log1  

/var/opt/ignite/recovery/fstab  

/var/opt/ignite/recovery/group.makrec  

/var/opt/ignite/recovery/passwd.makrec  

/var/sam/hpbottom.dion  

/var/sam/hpbottom.iout  

/var/sam/hpbottom.iout.old  "/var/sam/$hostname.dion"  

"/var/sam/$hostname.iout"  

"/var/sam/$hostname.iout.old"  

/var/sam/lock  

/var/sam/log/samlog  

/var/sam/log/sam_tm_work  

/var/adm/sw  

/var/adm/sw/save  

/var/adm/sw/patch

2、补充操作说明

检测方法

1、判定条件
2
、检测操作使用 ls –l 命令依次检查系统日志的读写权限

3、补充说明

编号:3(可选)

要求内容

设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。

操作指南

1、参考配置操作

修改配置文件 vi /etc/syslog.conf

加上这一行:

 

 *.*   @192.168.0.1

可以将"*.*"替换为你实际需要的日志信息。比如:kern.* / mail.* 等等。可以将此处 192.168.0.1 替换为实际的 IP 或域名。

重新启动 syslog 服务,执行下列命令:

/sbin/init.d/syslogd stop | start

2、补充操作说明注意: *.*@之间为一个 Tab


 

检测方法

  1. 判定条件

设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。

  1. 检测操作

查看日志服务器上的所收到的日志文件。

  1. 补充说明


 

  1. 不必要的服务、端口

要求内容

列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。

操作指南

1、
参考配置操作

参考附录 A,根据具体情况关闭不必要的服务查看所有开启的服务:

#ps –ef  

#chkconfig –list

#cat /etc/inet/inetd.conf

inetd.conf中关闭不用的服务
首先复制/etc/inet/inetd.conf #cp

/etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi编辑器编辑

inetd.conf文件,对于需要注释掉的服务在相应行开头标记"#"字符,重启inetd服务,即可。

检测方法

  1. 判定条件所需的服务都列出来;没有不必要的服务;

  2. 检测操作

    #ps –ef  

    #chkconfig –list

    #cat /etc/inet/inetd.conf

  3. 补充说明在/etc/inetd.conf文件中禁止不必要的基本网络服务。注意:改变了"inetd.conf"文件之后,需要重新启动inetd

    对必须提供的服务采用tcpwapper来保护

  1. 修改 Banner 信息

要求内容

修改系统 Banner 信息

操作指南

  1. 参考配置操作

UNIX 下修改或增加 /etc/motd 文件中的 banner 信息

  1. 补充操作说明


 

检测方法

1、判定条件

检查/etc/motd 文件中的 banner 信息

  1. 登陆超时时间设置

要求内容

对于具备字符交互界面的设备,配置定时帐户自动登出

操作指南

2
参考配置操作

可以在用户的.profile 文件中"HISTFILESIZE="后面增加如下行: vi /etc/profile  

$ TMOUT=300(可根据情况设定);export TMOUT  

改变这项设置后,重新登录才能有效

2、补充操作说明


 

检测方法

1、判定条件

查看/etc/profile 文件的配置,TMOUT=180

  1. 内核调整设置

要求内容

防止堆栈缓冲溢出

操作指南

  1. 参考配置操作

    HP-UX 11iv2 和更后面的版本用以下语句:

    kctune -K executable_stack=0  

    HP-UX 11i 版本用以下语句:

    /usr/sbin/kmtune -s executable_stack=0 &&      mk_kernel &&  kmupdate

    HP-UX 11i 之前的版本不支持,请升级

  2. 补充操作说明内核参数改动后需要重启服务器才生效。

检测方法

  1. 判定条件能够防止堆栈缓冲溢出

  2. 检测操作

  1. 删除潜在危险文件

要求内容

/.rhost/.netrc/root/.rhosts/root/.netrc文件都具有潜在的危险,

 

如果没有应用,应该删除

操作指南

  1. 参考配置操作

    Mv /.rhost /.rhost.bak  

    Mv /.netr /.netr.bak  

    Cd root  

    Mv .rhost .rhost.bak  

    Mv .netr .netr.bak  

  2. 补充操作说明注意系统版本,用相应的方法执行

检测方法

1、判定条件 2、检测操作

登陆系统判断

Cat /etc/passwd

  1. FTP 设置

    编号 1

要求内容

禁止 root 登陆 FTP

操作指南

1、参考配置操作

限制 root 帐户 ftp 登录: 通过修改 ftpusers 文件,增加帐户

#vi  /etc/ftpd/ftpusers
root

检测方法

运行 cat /etc/ftpusers

检查文件中内容是否包含 root

编号 2

要求内容

禁止匿名 ftp

操作指南

1、参考配置操作

/etc/passwd文件中删除匿名用户。

使用文本编辑器打开/etc/passwd文件,删除密码域为*的行,如: ftp*50021Anonymous FTP/home/ftp/usr/bin/false

检测方法

通过 Anonymous 登录会被拒绝。

编号 3

要求内容

修改FTP banner 信息

操作指南

1、参考配置操作

  1. 首先修改/etc/inetd.conf文件

ftp stream tcp nowait root /usr/lbin/ftpd  ftpd -a /etc/ftpd/ftpaccess

  1. 修改/etc/ftpd/ftpaccess

message  [file path] login   #这个字段控制的是显示在用户登录后的信息

 

banner  [file path]          #这个字段控制的是显示在访问FTP

服务时,也就是登录前

suppresshostname yes          #去除显示主机名 suppressversion yes           #去除显示FTP服务器版本

 

3)重新启动inetd.conf

# inetd -c

检测方法

  1. 判断依据

使用FTP登录时,会按照设置显示banner

  1. 检查操作

附录 A:端口及服务

服务名称

端口

应用说明

关闭方法

处置建议

daytime

13/tcp

RFC867 白天协议

#daytime      stream tcp nowait root internal

建议关闭

13/udp

RFC867 白天协议

#daytime      dgram  udp nowait root internal

time

37/tcp

时间协议

#time         stream tcp nowait root internal

echo

7/tcp

RFC862_回声协议

#echo         stream tcp nowait root internal

7/udp

RFC862_回声协议

#echo         dgram  udp nowait root internal

discard

9/tcp

RFC863 废除协议

#discard      stream tcp nowait root internal

9/udp

#discard      dgram  udp nowait root internal

chargen

19/tcp

RFC864 字符产生协议

#chargen      stream tcp nowait root internal

19/udp

#chargen      dgram  udp nowait root internal

ftp

21/tcp

文件传输协议(控制)

#ftp          stream tcp nowait root /usr/lbin/ftpd

根据情况选择开放

telnet

23/tcp

虚拟终端协议

#telnet       stream tcp nowait root

/usr/lbin/telnetd  telnetd  

根据情况选择开放

sendmail

25/tcp

简单邮件发送协议

S540sendmail stop

建议关闭

nameserver

53/udp

域名服务

S370named stop

根据情况选择开放

 

53/tcp

域名服务

S370named stop

根据情况选择开放

apache

80/tcp

HTTP 万维网发布服务

S825apache stop

根据情况选择开放

login

513/tcp

远程登录

#login        stream tcp nowait root

/usr/lbin/rlogind  rlogind

根据情况选择开放

shell

514/tcp

远程命令, no

passwd used

#shell        stream tcp nowait root /usr/lbin/remshd   remshd

根据情况选择开放

exec

512/tcp

remote execution, passwd required

#exec         stream tcp nowait root

/usr/lbin/rexecd   rexecd

根据情况选择开放

ntalk

518/udp

new talk, conversation

#ntalk        dgram  udp wait   root

/usr/lbin/ntalkd   ntalkd

建议关闭

ident

113/tcp

auth

#ident        stream tcp wait   bin  

/usr/lbin/identd   identd

建议关闭

printer

515/tcp

远程打印缓存

#printer     stream tcp nowait root

/usr/sbin/rlpdaemon  rlpdaemon -i

强烈建议关闭

bootps

67/udp

引导协议服务端

#bootps       dstream tdp nowait root internal

建议关闭

68/udp

引导协议客户端

#bootps       dgram  udp nowait root internal

建议关闭

tftp

69/udp

普通文件传输协议

#tftp         dgram  udp nowait root internal

强烈建议关闭

kshell

544/tcp

Kerberos remote

shell -kfall

#kshell stream tcp nowait root /usr/lbin/remshd remshd -K

建议关闭

klogin

543/tcp

Kerberos rlogin

-kfall

#klogin stream tcp nowait root /usr/lbin/rlogind rlogind -K

建议关闭

recserv

7815/tcp

X 共享接收服务

#recserv stream tcp nowait root

/usr/lbin/recserv recserv  

-display :0

建议关闭

dtspcd

6112/tcp

子进程控制

#dtspc stream tcp nowait root /usr/dt/bin/dtspcd

/usr/dt/bin/dtspcd

强烈建议关闭

 

registrar

1712/tcp

资源监控服务

#registrar stream tcp nowait root

/etc/opt/resmon/lbin/regist rar

#/etc/opt/resmon/lbin/regi strar

根据情况选择开放

1712/udp

资源监控服务

#registrar stream tcp nowait root

/etc/opt/resmon/lbin/regist rar

/etc/opt/resmon/lbin/regist rar

根据情况选择开放

动态端口

资源监控服务

#registrar stream tcp nowait root

/etc/opt/resmon/lbin/regist rar

#/etc/opt/resmon/lbin/regi strar

根据情况选择开放

portmap

111/tcp

端口映射

S590Rpcd stop

根据情况选择开放

dced

135/tcp

DCE RPC daemon

S570dce stop

建议关闭

dced

135/udp

DCE RPC daemon

S570dce stop

建议关闭

snmp

161/udp

简单网络管理协议

Agent

S560SnmpMaster stop

S565OspfMib stop

S565SnmpHpunix stop

S565SnmpMib2 stop

根据情况选择开放

snmpd

7161/tcp

简单网络管理协议

Agent

S560SnmpMaster stop

S565OspfMib stop

S565SnmpHpunix stop

S565SnmpMib2 stop

根据情况选择开放

snmp-trap

162/udp

简单网络管理协议

Traps

S565SnmpTrpDst stop

根据情况选择开放

dtlogin

177/udp

启动图形控制

S900dtlogin.rc stop

根据情况选择开放

6000/tcp

X 窗口服务

S990dtlogin.rc stop

根据情况选择开放

动态端口

启动图形控制

S900dtlogin.rc stop

根据情况选择开放

syslogd

514/udp

系统日志服务

S220syslogd stop

建议保留

lpd

515/tcp

远程打印缓存

S720lp stop

强烈建议关闭

router

520/udp

路由信息协议

S510gated stop

根据情况选择开放

nfs

2049/tcp

NFS 远程文件系统

S100nfs.server stop

强烈建议关闭

 

2049/udp

NFS 远程文件系统

S100nfs.server stop

强烈建议关闭

rpc.mount

动态端口

rpc 服务

S430nfs.client  stop

强烈建议关闭

rpc.statd

动态端口

rpc 服务

S430nfs.client  stop

强烈建议关闭

rpc.lockd

动态端口

rpc 服务

S430nfs.client  stop

强烈建议关闭

rpc.ruserd

动态端口

rpc 服务

#rpc dgram udp wait root /usr/lib/netsvc/rusers/rpc.r usersd 100002 1-2 rpc.rusersd

强烈建议关闭

rpc.yppass wd

动态端口

rpc 服务

S410nis.server stop

强烈建议关闭

swagentd

2121/tcp

sw 代理

S870swagentd stop

根据情况选择开放

2121/udp

sw 代理

S870swagentd stop

根据情况选择开放

rbootd

68/udp

remote boot server

START_RBOOTD 0

建议关闭

1068/udp

remote boot server

START_RBOOTD 0

建议关闭

instl_boots

1067/udp

安装引导协议服务

installation bootstrap protocol server

#instl_boots dgram udp wait root

/usr/lbin/instl_bootd instl_bootd

建议关闭

1068/udp

安装引导协议服务

installation bootstrap protocol client

#instl_bootc dgram udp wait root

/usr/lbin/instl_bootc instl_bootc

建议关闭

samd

3275/tcp

system mgmt daemon

samd:23456:respawn:/usr /sam/lbin/samd  # system mgmt daemon

建议关闭

swat

901/tcp

SAMBA

Web-based Admin

Tool

swat    stream tcp   nowait.400 root

/opt/samba/bin/swat swat

强烈建议关闭

xntpd

123/udp  

时间同步服务

/sbin/rc3.d/S660xntpd stop

根据情况选择开放

rpc.ttdbserv er

动态端口

HP-UX ToolTalk database server

#rpc xti tcp swait root

/usr/dt/bin/rpc.ttdbserver 100083 1

/usr/dt/bin/rpc.ttdbserver

强烈建议关闭

rpc.cmsd

动态端口

后台进程管理服务

#rpc dgram udp wait root

/usr/dt/bin/rpc.cmsd

100068 2-5 rpc.cmsd

强烈建议关闭

dmisp

动态端口



 

/sbin/rc2.d/S605Dmisp stop

强烈建议关闭

diagmond

1508/tcp

硬件诊断监控程序

S742diagnostic stop

根据情况选择开放

diaglogd

动态端口

硬件诊断程序

S742diagnostic stop

根据情况选择开放

memlogd

动态端口

内存记录服务

S742diagnostic stop

根据情况选择开放

cclogd

动态端口

chassis code logging daemon

S742diagnostic stop

根据情况选择开放

dm_memor

y

动态端口

Memory Monitor

S742diagnostic stop

根据情况选择开放

RemoteMo

nitor

2818/tcp



 

S742diagnostic stop

根据情况选择开放

psmctd

动态端口

Peripheral Status Monitor client/target

S742diagnostic stop

根据情况选择开放

psmond

1788/tcp  

Predictive Monitor

S742diagnostic stop

根据情况选择开放

1788/udp  

Hardware

Predictive Monitor

S742diagnostic stop

根据情况选择开放

hacl-hb

5300/tcp

High Availability (HA) Cluster heartbeat

S800cmcluster stop

根据情况选择开放

hacl-gs

5301/tcp

HA Cluster General

Services          

S800cmcluster stop

根据情况选择开放

hacl-cfg

5302/tcp

HA Cluster TCP configuration      

S800cmcluster stop


 

根据情况选择开放

5302/udp

HA Cluster UDP configuration      

S800cmcluster stop


 

根据情况选择开放

hacl-local

5304/tcp  

HA Cluster

Commands

S800cmcluster stop

根据情况选择开放

clvm-cfg

1476/tcp  

HA LVM

configuration

S800cmcluster stop

根据情况选择开放


IT 敢客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:HP-UX 操作系统安全配置要求及操作指南
喜欢 (155)
[313176056@qq.com]
分享 (0)
IT敢客
关于作者:
“我所做的一切都是为了方便我的生活~~~“
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址