科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道HP-UX安全手册(2)

HP-UX安全手册(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文介绍了HP-UX系统在安全方面的一些常识性内容,同时还提供了安全安装、配置等方面的指导。

作者:51CTO.COM 2007年10月28日

关键字: 远程登录 网络监听 HP-UX

  • 评论
  • 分享微博
  • 分享邮件

  三、系统基本配置

  操作系统安装并打上补丁后,需要做一些措施来对系统进行一些配置。

  删除保存的补丁(可选)

  缺省情况下,补丁安装完会在/var/adm/sw/save/下备份所有的补丁。可以选择删除这些补丁文件,但一旦删除就没法使用swremove卸载补丁了。

  # swmodify -x patch_commit=true *.*

  转换为一个可信系统:

  # /usr/lbin/tsconvert

  Creating secure password database...

  Directories created.

  Making default files.

  System default file created...

  Terminal default file created...

  Device assignment file created...

  Moving passwords...

  secure password database installed.

  Converting at and crontab jobs...

  At and crontab files converted.

  改变全局特权

  HP-UX 有一个特权组,可以分配给一个组特权(参见privgrp(4)). 缺省情况下,CHOWN是分配给所有组的一个全局特权:

  $ getprivgrp

  global privileges: CHOWN

  /sbin/init.d/set_prvgrp在系统启动时执行/usr/sbin/setprivgrp -f /etc /privgroup.

  可以创建一个配置文件,删除所有的全局特权 (see setprivgrp(1m)):

  # getprivgrp

  global privileges: CHOWN

  # echo -n >;/etc/privgroup

  # chmod 400 /etc/privgroup

  # /sbin/init.d/set_prvgrp start

  # getprivgrp

  global privileges:

  设置默认umask.

  转换到可信系统后,默认umask已经改为07077

  限制root远程登录,只能由console登录

  # echo console >;/etc/securetty

  # chmod 400 /etc/securetty

  打开inetd日志功能

  在/etc/rc.config.d/netdaemons中的 INETD_ARGS 环境变量中增加-l参数:

  export INETD_ARGS=-l

  删除不需要的系统伪帐户

  # groupdel lp

  # groupdel nuucp

  # groupdel daemon

  # userdel uucp

  # userdel lp

  # userdel nuucp

  # userdel hpdb

  # userdel www

  # userdel daemon

  对于一些保留的系统伪帐户如:bin, sys,adm等, 应当将需要禁止帐户的**用NP代替,并不提供登录shell

  Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell

  将root主目录从/改为/root.

  编辑/etc/passwd:

  root:*:0:3::/root:/sbin/sh

  创建目录并修改权限:

  # mkdir /root

  # chmod 700 /root

  # mv /.profile /root

  # pwconv

  四、禁止网络服务

  1、禁止inetd 服务

  由internet服务器过程inetd启动的网络服务是由两个配置文件/etc/inet/services和/etc/inet/inetd.conf来配置的。/etc/inet/services文件指定每个服务的端口号和端口类型,该配置文件的部分示例如下:

  …

  ftp 21/tcp

  telnet 23/tcp

  smtp 25/tcp mail

  …

  /etc/inet/inetd.conf

  文件指定服务对应的系统服务程序,该配置文件部分示例如下:

  …

  ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd

  telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

  …

  当要停止某个服务,如ftp、telnet等时,只要注释掉文件/etc/inet/services和/etc/inet/inetd.conf中的相应条目,也就是在那一行的开头加上#字符,然后让inetd重新读配置文件,过程示例如下:

  # ps -ef |grep inetd

  root 149 1 0 Jan 18 ? 0:00 /usr/sbin/inetd -s

  root 24621 24605 0 15:53:01 pts/1 0:00 grep inetd

  # kill –HUP 149

  以上第一条命令是为了获得inetd的进程号,示例中输出的第二列内容就是进程号(149),然后将该进程号填入第二条命令的相应位置。

  可以使用lsof –i来查看监听进程和端口信息:

  # lsof -i

  COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

  syslogd 261 root 5u inet 0x10191e868 0t0 UDP *:syslog (Idle)

  rpcbind 345 root 4u inet 72,0x73 0t0 UDP *:portmap (Idle)

  rpcbind 345 root 6u inet 72,0x73 0t0 UDP *:49158 (Idle)

  rpcbind 345 root 7u inet 72,0x72 0t0 TCP *:portmap (LISTEN)

  sendmail: 397 root 5u inet 0x10222b668 0t0 TCP *:smtp (LISTEN)

  snmpdm 402 root 3u inet 0x10221a268 0t0 TCP *:7161 (LISTEN)

  snmpdm 402 root 5u inet 0x10222a268 0t0 UDP *:snmp (Idle)

  snmpdm 402 root 6u inet 0x10221f868 0t0 UDP *:* (Unbound)

  mib2agt 421 root 0u inet 0x10223e868 0t0 UDP *:* (Unbound)

  swagentd 453 root 6u inet 0x1019d3268 0t0 UDP *:2121 (Idle)

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章