检测方法 中国移动HP-UNIX操作系统安全配置规范 作和文件传输。 1、判定条件 所需的服务都列出来; 没有不必要的服务; 2、检测操作 查看所有开启的服务:cat /etc/inet/inetd.conf,cat /etc/inet/services 3、补充说明 在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。 echo discard daytime chargen dtspc exec ntalk finger uucp ident auth instl_boots registrar recserv rpc.rstatd rpc.rusersd rpc.rwalld rpc.sprayd rpc.cmsd kcms_server printer shell login telnet ftp tftp bootps kshell klogin rpc.rquotad rpc.ttdbserver 注意:改变了―inetd.conf‖文件之后,需要重新启动inetd。 对必须提供的服务采用tcpwapper来保护。 并且为了防止服务取消后断线,一定要启用SSHD服务,用以登录操作和文件传输。
编号: 安全要求-设备-HP-UX-配置-34-可选
要求内容 操作指南 如果网络中存在信任的NTP服务器,应该配置系统使用NTP服务保持时间同步。 1、 参考配置操作 A.ntp 的配置文件: /etc/inet/ntp.conf #vi /etc/inet/ntp.conf server IP地址(提供ntp服务的机器) #touch /var/ntp/ntp.drift (建drift文件及相关目录,这个文件是用于在ntp重起的时候快速的和服务器进行同步) B.通过rcmgr命令那个便捷/etc/rc.config文件 #/usr/sbin/rcmgr set XNTPD_CONF YES #/usr/sbin/rcmgr set XNTP_SERV1 host1 #/usr/sbin/rcmgr set XNTP_SERV2 host2 #/usr/sbin/rcmgr set XNTPD_OPTS “-g1” C.编辑/etc/rc.config.d/netdaemons,更改两个参数的值: export XNTPD=1 (1表示启动xntpd;0表示不启动xntpd) D.启动ntp进程 #/etc/init.d/xntpd start 2、 也可以通过Sam来配置, 最后一项 time --> NTP network time source,大概5-10分钟才会同步。 3、 补充操作说明 /etc/ntp.conf默认是没有的,需要做server的话,就把ntp.server拷贝一份成ntp.conf。如果做client的话,就把ntp.client拷贝一份到ntp.conf。 23
检测方法 中国移动HP-UNIX操作系统安全配置规范 1、判定条件 与NTP服务器保持时间同步; 2、检测操作 查看ntp 的配置文件:#cat /etc/inet/ntp.conf 查看xntpd进程:#ps –elf|grep ntp 3、补充说明
编号: 安全要求-设备-HP-UX-配置-35-可选
要求内容 操作指南 NFS服务:如果没有必要,需要停止NFS服务;如果需要NFS服务,需要限制能够访问NFS服务的IP范围。 1、参考配置操作 在NFS服务器禁止nfs服务 ch_rc -a -p NFS_SERVER=0 /etc/rc.config.d/nfsconf 在NFS客户端禁止nfs服务 ch_rc -a -p NFS_CLIENT=0 /etc/rc.config.d/nfsconf 以上选项 0为禁用,1为开启 如果必须使用,则限制能够访问NFS服务的IP范围: 编辑文件:vi /etc/hosts.allow 增加一行: nfs: 允许访问的IP 2、补充操作说明 请根据本机的角色来执行相应的关闭语句 检测方法 1、判定条件 查看 /etc/rc.config.d/nfsconf 是否为NFS_CLIENT=0 或NFS_SERVER=0 2、检测操作 查看nfs服务: #ps –elf|grep nfs 若需要NFS服务,查看能够访问NFS服务的IP范围: 查看文件:cat /etc/hosts.allow 3、补充说明
2.4.6 内核调整
编号: 安全要求-设备-HP-UX-配置-36-可选
24
要求内容 操作指南 中国移动HP-UNIX操作系统安全配置规范 防止堆栈缓冲溢出 1、参考配置操作 HP-UX 11iv2和更后面的版本用以下语句: kctune -K executable_stack=0 HP-UX 11i版本用以下语句: /usr/sbin/kmtune -s executable_stack=0 && mk_kernel && kmupdate HP-UX 11i之前的版本不支持,请升级 2、补充操作说明 注意系统版本,用相应的方法执行 1、判定条件 能够防止堆栈缓冲溢出 2、检测操作 检测方法
2.4.7 启动项
编号: 安全要求-设备-HP-UX-配置-37-可选
要求内容 操作指南 列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。 1、参考配置操作 A.关闭NIS/NIS+ ch_rc -a -p NIS_MASTER_SERVER=0 -p NIS_SLAVE_SERVER=0 \\ -p NIS_CLIENT=0 -p NISPLUS_SERVER=0 \\ -p NISPLUS_CLIENT=0 /etc/rc.config.d/namesvrs B.关闭printer后台服务 ch_rc -a -p XPRINTSERVERS=\ ch_rc -a -p LP=0 /etc/rc.config.d/lp ch_rc -a -p PD_CLIENT=0 /etc/rc.config.d/pd C.关闭GUI登录界面 ch_rc -a -p DESKTOP=\ chmod go-w,ug-s /usr/dt/bin/dtaction \\ /usr/dt/bin/dtappgather /usr/dt/bin/dtprintinfo \\ /usr/dt/bin/dtsession D.关闭email服务 ch_rc -a -p SENDMAIL_SERVER=0 /etc/rc.config.d/mailservs cd /var/spool/cron/crontabs crontab -l >root.tmp echo '0 * * * * /usr/lib/sendmail -q' >>root.tmp 25
中国移动HP-UNIX操作系统安全配置规范 crontab root.tmp rm -f root.tmp E.关闭SNMP服务和OpenView Agents 1.cd /sbin/rc2.d for file in S565OspfMib S941opcagt S570SnmpFddi do mv -f $file .NO$file done ch_rc -a -p SNMP_HPUNIX_START=0 \\ /etc/rc.config.d/SnmpHpunix ch_rc -a -p SNMP_MASTER_START=0 \\ /etc/rc.config.d/SnmpMaster ch_rc -a -p SNMP_MIB2_START=0 \\ /etc/rc.config.d/SnmpMib2 ch_rc -a -p SNMP_TRAPDEST_START=0 \\ /etc/rc.config.d/SnmpTrpDst 2、补充操作说明 如上关闭了: NIS/NIS+ Printer GUI登录界面 email服务 SNMP服务和OpenView Agents 请根据服务器的需要进行选择性关闭 检测方法 1、判定条件 所列进程和服务都是必需的; 2、检测操作 NIS/NIS+服务的关闭状态,检查/etc/rc.config.d/namesvrs如下字段: NIS_MASTER_SERVER=0 NIS_SLAVE_SERVER=0 NIS_CLIENT=0 NISPLUS_SERVER=0 NISPLUS_CLIENT=0 关闭printer后台程序关闭,请检查/etc/rc.config.d/tps 包含如下字段: XPRINTSERVERS=\/etc/rc.config.d/lp包含如下字段: LP=0 /etc/rc.config.d/pd包含如下字段: PD_CLIENT=0 GUI登录界面关闭,检查/etc/rc.config.d/desktop包含如下字段: DESKTOP=\ 26
中国移动HP-UNIX操作系统安全配置规范 Email服务关闭,检查/etc/rc.config.d/mailservs包含如下字段: SENDMAIL_SERVER=0 SNMP服务和OpenView Agents关闭,检查目录/sbin/rc2.d下是否有:S565OspfMib S941opcagt S570SnmpFddi 3、补充说明
27
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库中国移动HP-UNIX操作系统安全配置规范(6)在线全文阅读。
相关推荐: