金蝶EAS Cloud 操作系统_HP-UNIX主机操作系统加固规范V0.3.doc

HP-Unix主机操作系统加固规范2024年9月目录1账号管理、认证授权............................................................................................11.1账号................................................................................................................11.1.1SHG-HP-UX-01-01-01....................................................................................11.1.2SHG-HP-UX-01-01-02....................................................................................21.1.3SHG-HP-UX-01-01-03....................................................................................31.1.4SHG-HP-UX-01-01-04....................................................................................41.1.5SHG-HP-UX-01-01-05....................................................................................41.2口令................................................................................................................61.2.1SHG-HP-UX-01-02-01....................................................................................61.2.2SHG-HP-UX-01-02-02....................................................................................61.2.3SHG-HP-UX-01-02-03....................................................................................81.2.4SHG-HP-UX-01-02-04....................................................................................91.2.5SHG-HP-UX-01-02-05....................................................................................91.3授权................................................................................................................101.3.1SHG-HP-UX-01-03-01................................................................................101.3.2SHG-HP-UX-01-03-02................................................................................111.3.3SHG-HP-UX-01-03-03................................................................................131.3.4SHG-HP-UX-01-03-04................................................................................142日志配置................................................................................................................152.1.1SHG-HP-UX-02-01-01................................................................................152.1.2SHG-HP-UX-02-01-02................................................................................162.1.3SHG-HP-UX-02-01-03................................................................................173通信协议................................................................................................................183.1IP协议安全....................................................................................................183.1.1SHG-HP-UX-03-01-01................................................................................183.1.2SHG-HP-UX-03-01-02................................................................................193.2路由协议安全................................................................................................213.2.1SHG-HP-UX-03-02-01................................................................................214设备其他安全要求................................................................................................224.1补丁管理........................................................................................................224.1.1SHG-HP-UX-04-01-01................................................................................224.2服务进程和启动............................................................................................244.2.1SHG-HP-UX-04-02-01................................................................................244.2.2SHG-HP-UX-04-02-02................................................................................254.2.3SHG-HP-UX-04-02-03................................................................................254.2.4SHG-HP-UX-04-02-04................................................................................264.2.5SHG-HP-UX-04-02-05................................................................................274.2.6SHG-HP-UX-04-02-06................................................................................284.3屏幕保护........................................................................................................304.3.1SHG-HP-UX-04-03-01................................................................................304.4内核调整........................................................................................................314.4.1SHG-HP-UX-04-04-01................................................................................314.4.2SHG-HP-UX-04-04-02................................................................................314.5其他调整........................................................................................................324.5.1SHG-HP-UX-04-05-01................................................................................32本文档是HP-UX操作系统的对于HP-UX操作系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共29项，对系统的安全配置审计、加固操作起到指导性作用。11账号管理、认证授权账号管理、认证授权1.11.1账号账号1.1.11.1.1SHG-HP-UX-01-01-0SHG-HP-UX-01-01-011编号SHG-HP-UX-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态cat/etc/passwd记录当前用户列表实施步骤1、参考配置操作为用户创建账号：#useraddusername#创建账号#passwdusername#设置密码修改权限：#chmod750directory#其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。回退方案删除新增加的帐户判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★★★备注1.1.21.1.2SHG-HP-UX-01-01-0SHG-HP-UX-01-01-022编号SHG-HP-UX-01-01-02名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态cat/etc/passwd记录当前用户列表，cat/etc/shadow记录当前密码配置实施步骤参考配置操作删除用户：#userdelusername;锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。回退方案新建删除用户判断依据如上述用户不需要，则锁定。实施风险高重要等级★★★备注1.1.31.1.3SHG-HP-UX-01-01-03SHG-HP-UX-01-01-03编号SHG-HP-UX-01-01-03名称对系统账号进行登录限制实施目的对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。问题影响可能利用系统进程默认账号登陆，账号越权使用系统当前状态cat/etc/shadow查看各账号状态。实施步骤1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除账号：#userdelusername;2、补充操作说明禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等Example:bin:NP:60002:60002:NoAccessUser:/:/sbin/noshell回退方案还原/etc/shadow文件配置判断依据/etc/shadow中上述账号，如果无特殊情况，密码列为NP实施风险高重要等级★备注可修改%SSHINSTALL%/etc/sshd_config中PermitRootLoginno注意，禁止root登陆，必须首先建立普通账号，测试普通账号登陆suroot之后才能进行加固。注意su指令文件的权限必须要有s位Hp-ux的root密码如果设置特殊字符比较多也可能su:sorry1.1.41.1.4SHG-HP-UX-01-01-04SHG-HP-UX-01-01-04编号SHG-HP-UX-01-01-04名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat/etc/passwd实施步骤用root用户登陆HP-UX系统，执行passwd命令，给用户增加口令。例如：passwdtesttest。回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断Cat/etc/passwd实施风险高重要等级★备注1.1.51.1.5SHG-HP-UX-01-01-0SHG-HP-UX-01-01-055编号SHG-HP-UX-01-01-05名称删除属于root用户存在潜在危险文件实施目的/.rhost、/.netrc或/root/.rhosts、/root/.netrc文件都具有潜在的危险，应该删除问题影响无影响系统当前状态cat/.rhostcat/.netrcat/root/.rhostscat/root/.netrc实施步骤Mv/.rhost/.rhost.bakMv/.netr/.netr.bakCdrootMv.rhost.rhost.bakMv.netr.netr.bak回退方案Mv/.rhost.bak/.rhostMv/.netr.bak/.netrCdrootMv.rhost.bak.rhostMv.netr.bak.netr判断依据登陆系统判断Cat/etc/passwd实施风险高重要等级★备注1.21.2口令口令1.2.11.2.1SHG-HP-UX-01-02-01SHG-HP-UX-01-02-01编号SHG-HP-UX-01-02-01名称缺省密码长度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位。问题影响增加密码被暴力破解的成功率系统当前状态运行cat/etc/default/security查看状态，并记录。实施步骤参考配置操作vi/etc/default/security，修改设置如下MIN_PASSWD_LENGTH=6#设定最小用户密码长度为6位当用root帐户给用户设定口令的时候不受任何限制，只要不超长。回退方案vi/etc/default/security，修改设置到系统加固前状态。判断依据MIN_PASSWD_LENGTH值为6或更高实施风险低重要等级★★★备注1.2.21.2.2SHG-HP-UX-01-02-0SHG-HP-UX-01-02-022编号SHG-HP-UX-01-02-02名称缺省密码复杂度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响增加密码被暴力破解的成功率系统当前状态运行cat/etc/default/security查看状态，并记录。实施步骤PASSWORD_MIN_UPPER_CASE_CHARS=NPASSWORD_MIN_LOWER_CASE_CHARS=NPASSWORD_MIN_DIGIT_CHARS=NPASSWORD_MIN_SPECIAL_CHARS=N编辑N为你所需要的设置.其中,PASSWORD_MIN_UPPER_CASE_CHARS就是至少有N个大写字母;PASSWORD_MIN_LOWER_CASE_CHARS就是至少要有N个小写字母;PASSWORD_MIN_DIGIT_CHARS是至少有N个字母;PASSWORD_MIN_SPECIAL_CHARS就是至少要多少个特殊字符.说明:如果是11.11的系统,需要有PHCO_24606:s700_80011.11libpam_unixcumulativepatch或其替代补丁安装在系统中.可以用下面的命令检查是否已经有了该补丁:A.#mansecurity看里面列的参数是否有PASSWORD_MIN_UPPER_CASE_CHARS,PASSWORD_MIN_LOWER_CASE_CHARS,PASSWORD_MIN_DIGIT_CHARS,PASSWORD_MIN_SPECIAL_CHARS这些参数的说明.如果有,就表明系统具有这个功能.B.#swlist-lproduct|greplibpam看是否有比PHCO_24606补丁更新的libpam补丁.回退方案vi/etc/default/security，修改设置到系统加固前状态。判断依据PASSWORD_MIN_DIGIT_CHARS=2或更高PASSWORD_MIN_SPECIAL_CHARS=1或更高实施风险低重要等级★★★备注1.2.31.2.3SHG-HP-UX-01-02-0SHG-HP-UX-01-02-033编号SHG-HP-UX-01-02-03名称缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患。问题影响密码被非法利用，并且难以管理系统当前状态运行cat/etc/default/security查看状态，并记录。实施步骤1、参考配置操作vi/etc/default/security文件：PASSWORD_MAXDAYS=90密码最长生存周期90天回退方案vi/etc/default/security，修改设置到系统加固前状态。判断依据PASSWORD_MAXDAYS=90实施风险低重要等级★★★备注1.2.41.2.4SHG-HP-UX-01-02-0SHG-HP-UX-01-02-044编号SHG-HP-UX-01-02-04名称密码重复使用限制实施目的对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。问题影响密码破解的几率增加系统当前状态运行cat/etc/default/security查看状态，并记录。实施步骤参考配置操作vi/etc/default/security文件：PASSWORD_HISTORY_DEPTH=5回退方案vi/etc/default/security，修改设置到系统加固前状态。判断依据PASSWORD_HISTORY_DEPTH=5实施风险低重要等级★备注1.2.51.2.5SHG-HP-UX-01-02-0SHG-HP-UX-01-02-055编号SHG-HP-UX-01-02-05名称密码重试限制实施目的对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。问题影响允许暴力破解密码系统当前状态运行cat/etc/default/security查看状态，并记录。实施步骤参考配置操作vi/etc/default/securityNUMBER_OF_LOGINS_ALLOWED=7这个参数控制每个用户允许的登录数量。此参数仅适用于非root用户。回退方案vi/etc/default/security修改设置到系统加固前状态。判断依据NUMBER_OF_LOGINS_ALLOWED=7实施风险中重要等级★备注1.31.3授权授权1.3.11.3.1SHG-HP-UX-01-03-0SHG-HP-UX-01-03-011编号SHG-HP-UX-01-03-01名称设置关键目录的权限实施目的在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响非法访问文件系统当前状态运行ls–al/etc/记录关键目录的权限实施步骤1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明/etc/passwd必须所有用户都可读，root用户可写–rw-r—r—/etc/shadow只有root可读–r--------/etc/group必须所有用户都可读，root用户可写–rw-r—r—使用如下命令设置：chmod644/etc/passwdchmod600/etc/shadowchmod644/etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod-Rgo-w/etc回退方案通过chmod命令还原目录权限到加固前状态。判断依据–rw-r—r—etc/passwd–r--------/etc/shadow–rw-r—r—/etc/group或权限更小实施风险高重要等级★★★备注1.3.21.3.2SHG-HP-UX-01-03-0SHG-HP-UX-01-03-022编号SHG-HP-UX-01-03-02名称修改umask值实施目的控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响非法访问目录系统当前状态运行cat/etc/profilecat/etc/csh.logincat/etc/d.profilecat/etc/d.login记录当前配置实施步骤1、参考配置操作cd/etcumask027forfileinprofilecsh.logind.profiled.logindoechoumask027>>"$file"done修改文件或目录的权限，操作举例如下：#chmod444dir;#修改目录dir的权限为所有人都为只读。根据实际情况设置权限；2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。回退方案修改/etc/profile/etc/csh.login/etc/d.profile/etc/d.login配置文件到加固前状态。判断依据umask022实施风险高重要等级★备注1.3.31.3.3SHG-HP-UX-01-03-0SHG-HP-UX-01-03-033编号SHG-HP-UX-01-03-03名称FTP用户及服务安全实施目的控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。问题影响非法FTP登陆操作非法访问目录系统当前状态运行cat/etc/ftpuserscat/etc/ftpd/ftpaccesscat/etc/ftpd/ftpuserscat/etc/passwd查看状态，并记录。实施步骤参考配置操作if[["$(uname-r)"=B.10*]];thenftpusers=/etc/ftpuserselseftpusers=/etc/ftpd/ftpusersfifornameinrootdaemonbinsysadmlp\uucpnuucpnobodyhpdbuseradmdoecho$namedone>>$ftpuserschmod600$ftpusers回退方案vi/etc/ftpusers;vi/etc/ftpd/ftpaccess;vi/etc/passwd，修改设置到系统加固前状态。判断依据查看#cat/etc/ftpusers无特殊需求，在这个列表里边的用户名是不允许ftp登陆的。Rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4/etc/ftpd/ftpaccess设置相应的配置实施风险高重要等级★备注1.3.41.3.4SHG-HP-UX-01-03-0SHG-HP-UX-01-03-044编号SHG-HP-UX-01-03-04名称设置目录权限实施目的设置目录权限，防止非法访问目录。问题影响非法访问目录系统当前状态查看重要文件和目录权限：ls–l并记录。实施步骤1、参考配置操作查看重要文件和目录权限：ls–l更改权限：对于重要目录，建议执行如下类似操作：#chmod-R750/etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本。回退方案使用chmod命令还原被修改权限的目录。判断依据判断/etc/init.d/*下的文件权限750以下实施风险高重要等级★备注22日志配置日志配置2.1.12.1.1SHG-HP-UX-02-01-0SHG-HP-UX-02-01-011编号SHG-HP-UX-02-01-01名称开启内核层审计实施目的通过设置内核层审计，让系统记录内核事件，方便管理员分析问题影响记录内核事件系统当前状态运行cat/etc/rc.config.d/auditing查看状态，并记录。实施步骤1、参考配置操作cat<>/etc/rc.config.d/auditingAUDITING=1PRI_SWITCH=10000SEC_SWITCH=10000EOF回退方案vi/etc/rc.config.d/auditing，修改设置到系统加固前状态。判断依据AUDITING=1PRI_SWITCH=10000SEC_SWITCH=10000实施风险低重要等级★★★备注2.1.22.1.2SHG-HP-UX-02-01-0SHG-HP-UX-02-01-022编号SHG-HP-UX-02-01-02名称启用inetd的日志功能实施目的记录系统中inetd操作的日志问题影响运行cat/etc/rc.config.d/netdaemons查看当前状态，并记录。系统当前状态运行cat/etc/rc.config.d/netdaemons查看当前状态，并记录。实施步骤1、参考配置操作ch_rc-a-pINETD_ARGS=-l/etc/rc.config.d/netdaemons回退方案vi/etc/rc.config.d/netdaemons，修改设置到系统加固前状态。判断依据INETD_ARGS=-l实施风险高重要等级★备注2.1.32.1.3SHG-HP-UX-02-01-0SHG-HP-UX-02-01-033编号SHG-HP-UX-02-01-03名称启用设备安全日志功能实施目的设备应配置日志功能，记录对与设备相关的安全事件。问题影响运行cat/etc/syslog.conf查看当前状态，并记录。系统当前状态运行cat/etc/syslog.conf查看当前状态，并记录。实施步骤1、参考配置操作配置如下类似语句：*.err;kern.debug;daemon.notice;/var/adm/messages定义为需要保存的设备相关安全事件。查看/var/adm/messages，记录有需要的设备相关的安全事件。回退方案cat/etc/syslog.conf，修改设置到系统加固前状态。判断依据cat/etc/syslog.conf实施风险高重要等级★备注33通信协议通信协议3.13.1IPIP协议安全协议安全3.1.13.1.1SHG-HP-UX-03-01-0SHG-HP-UX-03-01-011编号SHG-HP-UX-03-01-01名称使用ssh加密传输实施目的提高远程管理安全性问题影响使用非加密通信，内容易被非法监听系统当前状态运行#ps–elf|grepssh查看状态，并记录。实施步骤1、参考配置操作1、参考配置操作从http://www.software.hp.com可以得到针对HP-UX的OpenSSH安装软件包。然后使用如下命令进行安装：swinstall-s/var/adm/T1471AA_A.03.10.002_HP-UX_B.11.11_32+64.depot/var/adm/T1471AA_A.03.10.002_HPUX_B.11.11_32+64.depot是一个示例路径。回退方案卸载SSH、或者停止SSH服务判断依据有SSH进程实施风险高重要等级★备注3.1.23.1.2SHG-HP-UX-03-01-0SHG-HP-UX-03-01-022编号SHG-HP-UX-03-01-01名称加强系统的网络性能实施目的调整内核参数，以加强系统的网络性能问题影响有助提高系统网络性能系统当前状态查看/etc/rc.config.d/nddconf的配置状态，并记录。实施步骤1、参考配置操作对于HP-UX11i的版本，应该通过如下命令调整内核参数，以加强系统的网络性能：cd/etc/rc.config.dcat<nddconf#Increasesizeofhalf-openconnectionqueueTRANSPORT_NAME[0]=tcpNDD_NAME[0]=tcp_syn_rcvd_maxNDD_VALUE[0]=4096#Reducethehalf-opentimeoutTRANSPORT_NAME[1]=tcpNDD_NAME[1]=tcp_ip_abort_cintervalNDD_VALUE[1]=60000#ReducetimeoutsonARPcacheTRANSPORT_NAME[2]=arpNDD_NAME[2]=arp_cleanup_intervalNDD_VALUE[2]=60000#Don'tsendICMPredirectsTRANSPORT_NAME[3]=ipNDD_NAME[3]=ip_send_redirectsNDD_VALUE[3]=0#Dropsource-routedpacketsTRANSPORT_NAME[4]=ipNDD_NAME[4]=ip_forward_src_routedNDD_VALUE[4]=0#Don'tforwarddirectedbroadcastsTRANSPORT_NAME[5]=ipNDD_NAME[5]=ip_forward_directed_broadcastsNDD_VALUE[5]=0#Don'trespondtounicastICMPtimestamprequestsTRANSPORT_NAME[6]=ipNDD_NAME[6]=ip_respond_to_timestampNDD_VALUE[6]=0#Don'trespondtobroadcastICMPtstampreqsTRANSPORT_NAME[7]=ipNDD_NAME[7]=ip_respond_to_timestamp_broadcastNDD_VALUE[7]=0#Don'trespondtoICMPaddressmaskrequestsTRANSPORT_NAME[8]=ipNDD_NAME[8]=ip_respond_to_address_mask_broadcastNDD_VALUE[8]=0EOFchmodgo-w,ug-snddconf回退方案修改/etc/rc.config.d/nddconf的配置到加固之前的状态，删除新创建的/usr/sbin/in.routed文件判断依据Cat/etc/rc.config.d/nddconf实施风险高重要等级★备注3.23.2路由协议安全路由协议安全3.2.13.2.1SHG-HP-UX-03-02-0SHG-HP-UX-03-02-011编号SHG-HP-UX-03-02-01名称不转发定向广播包实施目的利用ndd命令，可以检测或者更改网络设备驱动程序的特性。在/etc/rc.config.d/nddconf启动脚本中增加以下各条命令，然后重启系统，可以提高网络的安全性。问题影响提高网络安全性系统当前状态查看cat/etc/rc.config.d/nddconf的配置状态，并记录。实施步骤1、参考配置操作#不转发定向广播包/usr/sbin/ndd-set/dev/ipip_forward_src_routed10#不转发原路由包/usr/sbin/ndd-set/dev/ipip_forwarding20#禁止包转发/usr/sbin/ndd-set/dev/ipip_pmtu_strategy21#不采用echo-requestPMTU策略/usr/sbin/ndd-set/dev/ipip_send_redirects10#不发ICMP重定向包/usr/sbin/ndd-set/dev/ipip_send_source_quench10#不发ICMP源结束包/usr/sbin/ndd-set/dev/iptcp_conn_request_max20500#增加TCP监听数最大值，提高性能/usr/sbin/ndd-set/dev/iptcp_syn_rcvd_max500500#HPSYNflood保护/usr/sbin/ndd-set/dev/ipip_respond_to_echo_broadcast10不响应ICMPecho请求广播包由于ndd调用前，已经启动网卡参数，所以可能不能正确设置。可以采用下列方法，建立一个启动脚本。#cp/tmp/secconf/etc/rc.config.d#chmod444/etc/rc.config.d/secconf#cp/tmp/sectune/sbin/init.d#chmod555/sbin/init.d/sectune#ln-s/sbin/init.d/sectune/sbin/rc2.d/S009sectune回退方案修改vi/etc/rc.config.d/nddconf的配置到加固之前的状态判断依据Cat/etc/rc.config.d/nddconf实施风险高重要等级★备注44设备其他安全要求设备其他安全要求4.14.1补丁管理补丁管理4.1.14.1.1SHG-HP-UX-04-01-0SHG-HP-UX-04-01-011编号HP-04-01-01名称安装补丁实施目的安装系统补丁,增强系统强制,安全性.问题影响影响系统强制,安全性系统当前状态uname-a实施步骤参考配置操作1.获得补丁HP-UX系统的升级补丁可以从HP-UXSupportPlus站点获得，URL是http://www.software.hp.com/SUPPORT_PLUS/对于HP-UX10.x的版本，补丁叫做GeneralReleaseforHPUX10.x；对于HP-UX11.x的版本，补丁叫做QualityPack(QPK)forHP-UX11.x。2安装补丁HP-UX补丁可以使用swinstall或者SAM安装。例如：swinstall–s\/tmp/XSW700GR1020_10.20_700.depot\-xmatch_target=true/tmp/XSW700GR1020_10.20_700.depot是一个例子。3校验补丁对于已经安装的补丁，可以使用如下命令输出没有正确配置的补丁：swlist–lfileset-astategrep-Ev'(configured|^#)'回退方案重新安全软件包，判断依据实施风险高重要等级★★备注4.24.2服务进程和启动服务进程和启动4.2.14.2.1SHG-HP-UX-04-02-0SHG-HP-UX-04-02-011编号SHG-HP-UX-04-02-01名称关闭inetd启动的不必要服务实施目的关闭无效的服务，提高系统性能，增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态cat/etc/inet/inetd.conf查看并记录当前的配置实施步骤1、参考配置操作编辑/etc/inet/inetd.conf文件，注释掉和没有必要服务、不安全服务相关的内容，这些服务包括：tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time、echo、discard、chargen、rpc.rexd、rpc.rstatd、rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver等。重新启动inetd监控进程：kill–HUP`ps–ef|grep–vinetd`回退方案还原/etc/inet/inetd.conf文件到加固前的状态。判断依据在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。tftp、bootps、finger、login、shell、exec、uucp、ntalk、auth、printer、daytime、time、echo、discard、chargen、rpc.rexd、rpc.rstatd、rpc.rusersd、rpc.rwalld、rpc.rquotad、rpc.sprayd、rpc.ttdbserver标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★备注4.2.24.2.2SHG-HP-UX-04-02-0SHG-HP-UX-04-02-022编号SHG-HP-UX-04-02-02名称关闭NIS/NIS+相关服务实施目的关闭无效的服务，提高系统性能，增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态Cat/etc/rc.config.d/namesvrs查看并记录当前的配置实施步骤参考配置操作Vi/etc/rc.config.d/namesvrs文件：NIS_MASTER_SERVER=0NIS_SLAVE_SERVER=0NIS_CLIENT=0NISPLUS_SERVER=0NISPLUS_CLIENT=0回退方案还原/etc/rc.config.d/namesvrs文件到加固前的状态。判断依据Cat/etc/rc.config.d/namesvrs实施风险高重要等级★备注4.2.34.2.3SHG-HP-UX-04-02-0SHG-HP-UX-04-02-033编号SHG-HP-UX-04-02-03名称关闭打印服务实施目的关闭无效的服务进程，提高系统性能，增加系统安全性。问题影响不用的服务会带来很多安全隐患,如果系统不是作为打印服务器，应该关闭打印相关的服务，因为UNIX的打印服务有不良的安全记录，历史上出现过大量的安全漏洞。系统当前状态Cat/etc/rc.config.d/tpsCat/etc/rc.config.d/lpCat/etc/rc.config.d/pd查看并记录当前的配置实施步骤ch_rc-a-pXPRINTSERVERS="''"/etc/rc.config.d/tpsch_rc-a-pLP=0/etc/rc.config.d/lpch_rc-a-pPD_CLIENT=0/etc/rc.config.d/pd回退方案还原/etc/rc.config.d/tps,/etc/rc.config.d/lp和/etc/rc.config.d/pd下的脚本文件名到加固前的状态。判断依据Cat/etc/rc.config.d/tpsCat/etc/rc.config.d/lpCat/etc/rc.config.d/pd实施风险高重要等级★备注4.2.44.2.4SHG-HP-UX-04-02-0SHG-HP-UX-04-02-044编号SHG-HP-UX-04-02-04名称关闭sendmail服务实施目的关闭无效的服务，提高系统性能，增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态Cat/etc/rc.config.d/mailservs查看并记录当前的配置实施步骤参考配置操作echoSENDMAIL_SERVER=0>>/etc/rc.config.d/mailservscd/var/spool/cron/crontabscrontab–l>root.tmpecho'0****/usr/lib/sendmail-q'>>root.tmpcrontabroot.tmprm–froot.tmp回退方案还原/etc/rc.config.d/mailservs文件到加固前的状态。判断依据Cat/etc/rc.config.d/mailservs实施风险高重要等级★备注4.2.54.2.5SHG-HP-UX-04-02-0SHG-HP-UX-04-02-055编号SHG-HP-UX-04-02-05名称关闭NFS相关服务实施目的关闭无效的服务，提高系统性能，增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态Cat/etc/rc.config.d/nfsconf查看并记录当前的配置实施步骤参考配置操作mv/sbin/rc2.d/S400nfs.core/sbin/rc2.d/.NOS400nfs.coremv/sbin/rc3.d/S100nfs.server/sbin/rc3.d/.NOS100nfs.servercd/sbin/rc2.dmvS430nfs.client.NOS430nfs.clientcat<>/etc/rc.config.d/nfsconfNFS_SERVER=0PCNFS_SERVER=0NUM_NFSD=0NUM_NFSIOD=0START_MOUNTD=0EOFcat<>/etc/rc.config.d/nfsconf回退方案还原/etc/rc.config.d/nfsconf文件到加固前的状态。判断依据Cat/etc/rc.config.d/nfsconf实施风险高重要等级★备注4.2.64.2.6SHG-HP-UX-04-02-0SHG-HP-UX-04-02-066编号SHG-HP-UX-04-02-06名称关闭SNMP服务实施目的关闭无效的服务，提高系统性能，增加系统安全性。问题影响不用的服务会带来很多安全隐患系统当前状态Cat/etc/rc.config.d/SnmpHpunixCat/etc/rc.config.d/SnmpMasterCat/etc/rc.config.d/SnmpTrpDst查看并记录当前的配置实施步骤参考配置操作cd/sbin/rc2.dmvS565OspfMib.NOS565OspfMibmvS941opcagt.NOS941opcagtmvS570SnmpFddi.NOS570SnmpFddivi/etc/rc.config.d/SnmpHpunix文件SNMP_HPUNIX_START=0Vi/etc/rc.config.d/SnmpMaster文件SNMP_MASTER_START=0Vi/etc/rc.config.d/SnmpMib2文件SNMP_MIB2_START=0Vi/etc/rc.config.d/SnmpTrpDst文件SNMP_TRAPDEST_START=0回退方案还原/etc/rc.config.d/SnmpHpunix,/etc/rc.config.d/SnmpMaster和/etc/rc.config.d/SnmpTrpDst文件到加固前的状态。判断依据Cat/etc/rc.config.d/SnmpHpunixCat/etc/rc.config.d/SnmpMasterCat/etc/rc.config.d/SnmpTrpDst实施风险高重要等级★备注4.34.3屏幕保护屏幕保护4.3.14.3.1SHG-HP-UX-04-03-0SHG-HP-UX-04-03-011编号SHG-HP-UX-04-03-01名称设置登录超时时间实施目的对于具备字符交互界面的设备，应配置定时帐户自动登出。问题影响管理员忘记退出被非法利用系统当前状态查看/etc/profile文件的配置状态，并记录。实施步骤参考配置操作可以在用户的.profile文件中"HISTFILESIZE="后面增加如下行：vi/etc/profile$TMOUT=180;exportTMOUT改变这项设置后，重新登录才能有效。回退方案修改/etc/profile的配置到加固之前的状态。判断依据TMOUT=180实施风险中重要等级★备注4.44.4内核调整内核调整4.4.14.4.1SHG-HP-UX-04-04-0SHG-HP-UX-04-04-011编号SHG-HP-UX-04-04-01名称调整内核设置实施目的防止堆栈缓冲溢出问题影响堆栈缓冲溢出系统当前状态实施步骤参考配置操作/usr/sbin/kmtune-sexecutable_stack=0&&mk_kernel&&kmupdate回退方案判断依据executable_stack=0实施风险高重要等级★备注4.4.24.4.2SHG-HP-UX-04-04-02SHG-HP-UX-04-04-02编号SHG-HP-UX-04-04-02名称安装TCP_Wrapper防火墙软件实施目的防止网络攻击问题影响没有影响系统当前状态实施步骤参考配置操作makehpuxmkdir-p/usr/local/sbin/usr/local/include\/usr/local/lib/usr/local/man/man5\/usr/local/man/man1mchmod755/usr/local/sbin/usr/local/include\/usr/local/lib/usr/local/man/man5\/usr/local/man/man1mforfileinsafe_fingertcpdtcpdchk\tcpdmatchtry-fromdo/usr/sbin/install-s-f/usr/local/sbin\-m0555-uroot-gdaemon$filedoneforfilein*.5回退方案卸载TCP_Wrapper判断依据实施风险高重要等级★备注4.54.5其他调整其他调整4.5.14.5.1SHG-HP-UX-04-05-0SHG-HP-UX-04-05-011编号SHG-HP-UX-04-05-01名称引导身份验证实施目的使用引导身份验证功能防止未经授权的访问问题影响未经授权访问系统当前状态cat/etc/default/security|grepBOOT实施步骤参考配置操作BOOT_AUTH=1BOOT_USERS=root,mary,jack,amy,jane回退方案还原/etc/default/security到系统更改前判断依据BOOT_AUTH=1BOOT_USERS=root,mary,jack,amy,jane实施风险高重要等级★备注