中国移动HP-UNIX操作系统安全配置规范 /^IgnoreRhosts/ { $2 = \ /^RhostsAuthentication/ { $2 = \ /^RhostsRSAAuthentication/ { $2 = \ /(^#|^)PermitRootLogin/ { $1 = \ $2 = \ /^PermitEmptyPasswords/ { $2 = \ /^#Banner/ { $1 = \ $2 = \ { print }' sshd_config.tmp > sshd_config rm -f sshd_config.tmp chown root:sys ssh_config sshd_config chmod go-w ssh_config sshd_config 先拷贝一份配置,再用awk生成一份修改了安全配置的临时文件,最后替换原始配置文件ssh_config,其中配置含义如下: Protocol = 2 #使用ssh2版本 X11Forwarding #允许窗口图形传输使用ssh加密 IgnoreRhosts =yes#完全禁止SSHD使用.rhosts文件 RhostsAuthentication=no #不设置使用基于rhosts的安全验证 RhostsRSAAuthentication=no #不设置使用RSA算法的基于rhosts的安全验证。 3、补充操作说明 查看SSH服务状态: # ps –elf|grep ssh 检测方法 1、 判定条件 # ps –elf|grep ssh 是否有ssh进程存在 2、检测操作 查看SSH服务状态: # ps –elf|grep ssh 查看telnet服务状态: # ps –elf|grep telnet 编号: 安全要求-设备-HP-UX-配置-21-可选
要求内容 操作指南 设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。 1、参考配置操作 开放的服务列表 13
中国移动HP-UNIX操作系统安全配置规范 命令: # cat /etc/inetd.conf 开放的端口列表 命令: # netstat -an 服务端口和进程对应表: 命令:cat /etc/services 2、补充操作说明 ftp-data 20/tcp ftp 21/tcp ssh 22/tcp telnet 23/tcp smtp 25/tcp pop2 109/tcp pop3 110/tcp imap 143/tcp ldap 389/udp tftp 69/udp rje 77/tcp finger 79/tcp link 87/tcp supdup 95/tcp iso-tsap 102/tcp x400 103/tcp x400-snd 104/tcp ntp 123/tcp login 513/tcp shell 514/tcp syslog 514/udp 检测方法 1、判定条件 能够列出端口和服务对应表。 2、检测操作 开放的服务列表 命令: # cat /etc/inetd.conf 开放的端口列表 命令: # netstat -an 服务端口和进程对应表: 命令:cat /etc/services 3、补充说明
编号: 安全要求-设备-HP-UX-配置-22-可选
要求内容 对于通过IP协议进行远程维护的设备,设备应支持对允许登陆到 14
操作指南 中国移动HP-UNIX操作系统安全配置规范 该设备的IP地址范围进行设定。 1、 参考配置操作 编辑/etc/hosts.allow和/etc/hosts.deny两个文件 vi /etc/hosts.allow 增加一行 : 允许访问的IP;举例如下: all:192.168.4.44:allow #允许单个IP; ssh:192.168.1.:allow #允许192.168.1的整个网段 vi /etc/hosts.deny 增加一行 all:all 重启进程:#pkill -HUP inetd 2、补充操作说明 更改/etc/inetd.conf文件后,重启inetd的命令是: #pkill -HUP inetd #/etc/init.d/inetsvc start 检测方法 1、判定条件 被允许的服务和IP范围可以登录到该设备,其它的都被拒绝。 2、检测操作 查看/etc/hosts.allow和/etc/hosts.deny两个文件 cat /etc/hosts.allow cat /etc/hosts.deny 3、补充说明 Transmission Control Protocol (TCP) Wrappers 为由 inetd 生成的服务提供了增强的安全性。TCP Wrappers 是一种对使用 /etc/inetd.sec 的替换方法。TCP Wrappers 提供防止主机名和主机地址欺骗的保护。欺骗是一种伪装成有效用户或主机以获得对系统进行未经授权的访问的方法。 TCP Wrappers 使用访问控制列表 (ACL) 来防止欺骗。ACL 是 /etc/hosts.allow 和 /etc/hosts.deny 文件中的系统列表。在配置为验证主机名到 IP 地址映射,以及拒绝使用 IP 源路由的软件包时,TCP Wrappers 提供某些防止 IP 欺骗的保护。 但是,TCP Wrappers 不提供口令验证或数据加密。与 inetd 类似,信息是以明文形式传递的。 TCP Wrappers 是 HP-UX Internet Services 软件的一部分。有关详细信息,请参阅《HP-UX Internet Services Administrator's Guide》, http://www.docs.hp.com/en/netcom.html#Internet Services, 以及下列联机帮助页: tcpd(1M)、tcpdmatch(1)、tcpdchk(1)、tcpd.conf(4)、hosts_access(3)、hosts_access(5) 和 hosts_options(5)。
15
中国移动HP-UNIX操作系统安全配置规范
2.3.2 路由协议安全
编号: 安全要求-设备-HP-UX-配置-23-可选
要求内容 操作指南 网络参数优化修改,包括主机系统应该禁止ICMP重定向,采用静态路由,不响应ICMP单播、减少arp缓存时间等。 1、参考配置操作 cd /etc/rc.config.d cat < nddconf # Increase size of half-open connection queue TRANSPORT_NAME[0]=tcp NDD_NAME[0]=tcp_syn_rcvd_max NDD_VALUE[0]=4096 # Reduce timeouts on ARP cache TRANSPORT_NAME[1]=arp NDD_NAME[1]=arp_cleanup_interval NDD_VALUE[1]=60000 # Drop source-routed packets TRANSPORT_NAME[2]=ip NDD_NAME[2]=ip_forward_src_routed NDD_VALUE[2]=0 # Don't forward directed broadcasts TRANSPORT_NAME[3]=ip NDD_NAME[3]=ip_forward_directed_broadcasts NDD_VALUE[3]=0 # Don't respond to unicast ICMP timestamp requests TRANSPORT_NAME[4]=ip NDD_NAME[4]=ip_respond_to_timestamp NDD_VALUE[4]=0 # Don't respond to broadcast ICMP tstamp reqs TRANSPORT_NAME[5]=ip NDD_NAME[5]=ip_respond_to_timestamp_broadcast NDD_VALUE[5]=0 # Don't respond to ICMP address mask requests TRANSPORT_NAME[6]=ip NDD_NAME[6]=ip_respond_to_address_mask_broadcast NDD_VALUE[6]=0 # Don’t respond to broadcast echo requests TRANSPORT_NAME[7]=ip NDD_NAME[7]=ip_respond_to_echo_broadcast NDD_VALUE[7]=0 EOF chown root:sys nddconf 16
中国移动HP-UNIX操作系统安全配置规范 chmod go-w,ug-s nddconf 2、补充操作说明 HP-UX 11.11 版本需要安装补丁PHNE_25644,才能支持arp_cleanup_intervalfrom这个项 检测方法 1、判定条件 在/etc/rc.config.d 查看其中参数是否符合要求 2、检测操作 查看当前的路由信息: #netstat -rn 3、补充说明
编号: 安全要求-设备-HP-UX-配置-24-可选
要求内容 操作指南 对于不做路由功能的系统,应该关闭数据包转发功能。 1、 参考配置操作 cat <> /etc/rc.config.d/nddconf # Don’t act as a router TRANSPORT_NAME[8]=ip NDD_NAME[8]=ip_forwarding NDD_VALUE[8]=0 TRANSPORT_NAME[9]=ip NDD_NAME[9]=ip_send_redirects NDD_VALUE[9]=0 2、补充操作说明 注意:启动过程中IP转发功能关闭前HP-UX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。 以上操作适用于HP-UX 11.x,老版本的HP-UX可用如下语句代替: cat << EOF > /sbin/rc2.d/S339nettune #!/sbin/sh /usr/contrib/bin/nettune -s ip_forwarding 0 EOF 1、判定条件 2、检测操作 查看/etc/rc.config.d/nddconf文件 cat /etc/init.d/inetinit 3、补充说明 注意:启动过程中IP转发功能关闭前HP-UX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。 检测方法
17
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库中国移动HP-UNIX操作系统安全配置规范(4)在线全文阅读。
