HP-UX安全手册(3)

　　2、禁止其他服务

　　防止syslogd网络监听

　　安装PHCO_21023补丁可以给syslogd加上-N参数防止网络监听. 编辑/sbin/init.d/syslogd修改为 /usr/sbin/syslogd -DN.

　　禁止SNMP服务

　　编辑SNMP启动文件:

　　/etc/rc.config.d/SnmpHpunix

　　Set SNMP_HPUNIX_START to 0: SNMP_HPUNIX_START=0

　　/etc/rc.config.d/SnmpMaster

　　Set SNMP_MASTER_START to 0: SNMP_MASTER_START=0

　　/etc/rc.config.d/SnmpMib2

　　Set SNMP_MIB2_START to 0: SNMP_MIB2_START=0

　　/etc/rc.config.d/SnmpTrpDst

　　Set SNMP_TRAPDEST_START to 0: SNMP_TRAPDEST_START=0

　　禁止sendmail进程

　　编辑/etc/rc.config.d/mailservs:

　　export SENDMAIL_SERVER=0

　　禁止rpcbind进程

　　# rm /sbin/rc1.d/K600nfs.core

　　# rm /sbin/rc2.d/S400nfs.core

　　# mv /usr/sbin/rpcbind /usr/sbin/rpcbind.DISABLE

　　五、文件系统安全

　　1、检查Set-id程序

　　# find / \( -perm -4000 -o -perm -2000 \)

　　-type f -exec ls -ld {} \;

　　# chmod u-s /usr/sbin/swinstall

　　# chmod u-s /usr/sbin/vgcreate

　　# chmod u-s /sbin/vgcreate

　　可以采用下列方法，将所有文件的set-id位去掉，然后对一些需要的程序单独加上suid位（可根据情况选择）:

　　# find / -perm -4000 -type f -exec chmod u-s {} \;

　　# find / -perm -2000 -type f -exec chmod g-s {} \;

　　# chmod u+s /usr/bin/su

　　# chmod u+s /usr/bin/passwd

　　采用这种方法后，普通用户将无法使用很多系统命令，

　　如bdf, uptime ，arp等:

　　$ bdf /dev/vg00/lvol3

　　bdf: /dev/vg00/lvol3: Permission denied

　　2. 修改重要文件权限

　　# chmod 1777 /tmp /var/tmp /var/preserve （加上粘滞位）

　　# chmod 666 /dev/null

　　六、网络参数调整

　　利用ndd命令，可以检测或者更改网络设备驱动程序的特性。在/etc/rc.config.d/nddconf启动脚本中增加以下各条命令，然后重启系统，可以提高网络的安全性。

　　格式如下：

　　/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0

　　Network device

　　Parameter

　　Default value

　　Suggested value

　　Comment

　　/dev/ip

　　ip_forward_directed_broadcasts

　　1

　　0

　　不转发定向广播包

　　/dev/ip

　　ip_forward_src_routed

　　1

　　0

　　不转发原路由包

　　/dev/ip

　　ip_forwarding

　　2

　　0

　　禁止包转发

　　/dev/ip

　　ip_pmtu_strategy

　　2

　　1

　　不采用echo-request PMTU策略

　　/dev/ip

　　ip_send_redirects

　　1

　　0

　　不发ICMP重定向包

　　/dev/ip

　　ip_send_source_quench

　　1

　　0

　　不发ICMP源结束包

　　/dev/tcp

　　tcp_conn_request_max

　　20

　　500

　　增加TCP监听数最大值，提高性能

　　/dev/tcp

　　tcp_syn_rcvd_max

　　500

　　500

　　HP SYN flood保护

　　/dev/ip

　　ip_respond_to_echo_broadcast

　　1

　　0

　　不响应ICMP echo请求广播包

　　由于ndd调用前，已经启动网卡参数，所以可能不能正确设置。

　　可以采用下列方法，建立一个启动脚本。