科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道HP-UX安全手册(3)

HP-UX安全手册(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文介绍了HP-UX系统在安全方面的一些常识性内容,同时还提供了安全安装、配置等方面的指导。

作者:51CTO.COM 2007年10月28日

关键字: 远程登录 网络监听 HP-UX

  • 评论
  • 分享微博
  • 分享邮件

  2、禁止其他服务

  防止syslogd网络监听

  安装PHCO_21023补丁可以给syslogd加上-N参数防止网络监听. 编辑/sbin/init.d/syslogd修改为 /usr/sbin/syslogd -DN.

  禁止SNMP服务

  编辑SNMP启动文件:

  /etc/rc.config.d/SnmpHpunix

  Set SNMP_HPUNIX_START to 0: SNMP_HPUNIX_START=0

  /etc/rc.config.d/SnmpMaster

  Set SNMP_MASTER_START to 0: SNMP_MASTER_START=0

  /etc/rc.config.d/SnmpMib2

  Set SNMP_MIB2_START to 0: SNMP_MIB2_START=0

  /etc/rc.config.d/SnmpTrpDst

  Set SNMP_TRAPDEST_START to 0: SNMP_TRAPDEST_START=0

  禁止sendmail进程

  编辑/etc/rc.config.d/mailservs:

  export SENDMAIL_SERVER=0

  禁止rpcbind进程

  # rm /sbin/rc1.d/K600nfs.core

  # rm /sbin/rc2.d/S400nfs.core

  # mv /usr/sbin/rpcbind /usr/sbin/rpcbind.DISABLE

  五、文件系统安全

  1、检查Set-id程序

  # find / \( -perm -4000 -o -perm -2000 \)

  -type f -exec ls -ld {} \;

  # chmod u-s /usr/sbin/swinstall

  # chmod u-s /usr/sbin/vgcreate

  # chmod u-s /sbin/vgcreate

  可以采用下列方法,将所有文件的set-id位去掉,然后对一些需要的程序单独加上suid位(可根据情况选择):

  # find / -perm -4000 -type f -exec chmod u-s {} \;

  # find / -perm -2000 -type f -exec chmod g-s {} \;

  # chmod u+s /usr/bin/su

  # chmod u+s /usr/bin/passwd

  采用这种方法后,普通用户将无法使用很多系统命令,

  如bdf, uptime ,arp等:

  $ bdf /dev/vg00/lvol3

  bdf: /dev/vg00/lvol3: Permission denied

  2. 修改重要文件权限

  # chmod 1777 /tmp /var/tmp /var/preserve (加上粘滞位)

  # chmod 666 /dev/null

  六、网络参数调整

  利用ndd命令,可以检测或者更改网络设备驱动程序的特性。在/etc/rc.config.d/nddconf启动脚本中增加以下各条命令,然后重启系统,可以提高网络的安全性。

  格式如下:

  /usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0

  Network device

  Parameter

  Default value

  Suggested value

  Comment

  /dev/ip

  ip_forward_directed_broadcasts

  1

  0

  不转发定向广播包

  /dev/ip

  ip_forward_src_routed

  1

  0

  不转发原路由包

  /dev/ip

  ip_forwarding

  2

  0

  禁止包转发

  /dev/ip

  ip_pmtu_strategy

  2

  1

  不采用echo-request PMTU策略

  /dev/ip

  ip_send_redirects

  1

  0

  不发ICMP重定向包

  /dev/ip

  ip_send_source_quench

  1

  0

  不发ICMP源结束包

  /dev/tcp

  tcp_conn_request_max

  20

  500

  增加TCP监听数最大值,提高性能

  /dev/tcp

  tcp_syn_rcvd_max

  500

  500

  HP SYN flood保护

  /dev/ip

  ip_respond_to_echo_broadcast

  1

  0

  不响应ICMP echo请求广播包

  由于ndd调用前,已经启动网卡参数,所以可能不能正确设置。

  可以采用下列方法,建立一个启动脚本。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章