HPUX常用安全加固需求
- 格式:doc
- 大小:49.50 KB
- 文档页数:4
一、HP-UX 11.00系统安全补丁升级加固1.PHNE_26096;修补telnetd服务器安全弱点2.PHNE_23949;修补ftpd服务器安全弱点3.PHCO_26089;修补passwd文件被破坏安全弱点4.PHNE_27886;修补TCP/IP堆栈安全弱点5.PHKL_27180;修补Ptrace拒绝服务攻击安全弱点6.PHCO_27132;修补Lp缓冲区溢出系列安全弱点7.PHSS_27869;修补CDE系列安全弱点8.PHSS_26138;修补HP-UX OpenView SNMP agent相关安全弱点9.检查补丁情况swlist –l product二、HP-UX系统配置安全加固1.加固系统TCP/IP配置编辑/etc/rc.config.d/nddconfig文件:TRANSPORT_NAME[1]=ipNDD_NAME[1]=ip_forward_directed_broadcastsNDD_VALUE[1]=0TRANSPORT_NAME[2]=ipNDD_NAME[2]=ip_forward_src_routedNDD_VALUE[2]=0TRANSPORT_NAME[3]=ipNDD_NAME[3]=ip_forwardingNDD_VALUE[3]=0TRANSPORT_NAME[4]=ipNDD_NAME[4]=ip_pmtu_strategyNDD_VALUE[4]=1TRANSPORT_NAME[5]=ipNDD_NAME[5]=ip_send_redirectsNDD_VALUE[5]=0TRANSPORT_NAME[6]=ipNDD_NAME[6]=ip_send_source_quenchNDD_VALUE[6]=0TRANSPORT_NAME[7]=ipNDD_NAME[7]=ip_check_subnet_addressNDD_VALUE[7]=0TRANSPORT_NAME[8]=ipNDD_NAME[8]=ip_respond_to_echo_broadcastNDD_VALUE[8]=0文件保存后运行ndd –c。
LINUX安全加固手册目录1概述 (3)2 安装 (3)3 用户帐号安全Password and account security (4)3.1 密码安全策略 (4)3.2 检查密码是否安全 (4)3.3 Password Shadowing (4)3.4 管理密码 (4)3.5 其它 (5)4 网络服务安全(Network Service Security) (5)4.1服务过滤Filtering (6)4.2 /etc/inetd.conf (7)4.3 R 服务 (7)4.4 Tcp_wrapper (7)4.5 /etc/hosts.equiv 文件 (8)4.6 /etc/services (8)4.7 /etc/aliases (8)4.8 NFS (9)4.9 Trivial ftp (tftp) (9)4.10 Sendmail (9)4.11 finger (10)4.12 UUCP (10)4.13 World Wide Web (WWW) – httpd (10)4.14 FTP安全问题 (11)5 系统设置安全(System Setting Security) (12)5.1限制控制台的使用 (12)5.2系统关闭Ping (12)5.3关闭或更改系统信息 (12)5.4 /etc/securetty文件 (13)5.5 /etc/host.conf文件 (13)5.6禁止IP源路径路由 (13)5.7资源限制 (13)5.8 LILO安全 (14)5.9 Control-Alt-Delete 键盘关机命令 (14)5.10日志系统安全 (15)5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15)6 文件系统安全(File System Security) (15)6.1文件权限 (15)6.2控制mount上的文件系统 (16)6.3备份与恢复 (16)7 其它 (16)7.1使用防火墙 (16)7.2使用第三方安全工具 (16)1概述近几年来Internet变得更加不安全了。
如何进行Linux系统安全加固Linux系统是业界广泛使用的一种操作系统,但是由于其开放源代码的特性,也使得其安全性面临一定的挑战。
为了保护服务器和应用程序的安全,对Linux系统进行安全加固是至关重要的。
本文将介绍如何进行Linux系统的安全加固,以保护系统免受潜在的威胁。
一、更新系统和软件第一步,在进行任何安全加固之前,确保您的Linux系统和软件都是最新的版本。
及时更新系统和软件补丁是保持系统安全的基本要求。
二、限制用户权限1. 禁止root用户登录:root用户是Linux系统的超级管理员,拥有最高权限。
为了防止黑客直接攻击root账号,应禁止root用户登录,并使用普通用户登录系统进行操作。
2. 限制用户权限:给予用户最小的权限,仅赋予其完成工作所需的权限,避免非必要的系统访问权限。
三、配置防火墙配置防火墙可以阻止不明访问和恶意攻击,增强系统安全性。
1. 启用iptables:iptables是Linux系统的防火墙工具,使用它可以配置规则来过滤和管理网络通信。
通过配置iptables,可以限制对系统的访问,仅允许必要的端口和协议。
2. 限制网络访问:通过防火墙,限制外部网络对服务器的访问。
例如,可以只开放HTTP和SSH端口,并禁止其他不必要的端口。
四、加密通信为了保护敏感数据的机密性,对Linux系统中的通信进行加密是必要的。
1. 使用SSH协议:SSH(Secure Shell)是一种加密通信协议,可以安全地远程登录和执行命令。
使用SSH协议代替传统的明文传输协议,如Telnet,可以保护用户的登录凭证免受攻击。
2. HTTPS配置:对于运行Web服务器的系统,配置HTTPS协议可以加密网站与用户之间的通信,确保数据的机密性和完整性。
五、强化密码策略强密码是保护系统安全的一个重要环节。
通过实施强密码策略,可以降低系统遭受密码攻击的风险。
1. 密码复杂度要求:要求用户设置复杂的密码,包含大小写字母、数字和特殊字符,并定期更换密码。
一、HPUX设备安全加固项目1、检查是否禁止ip路由转发1、执行备份记录需要修改的可调参数值cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak2、执行下列命令,设置参数使参数在当前系统状态下临时生效:ndd -set /dev/ip ip_forwarding 0建立启动项,使参数重启后永久生效:cd /etc/rc.config.dcat<<EOF >> nddconf# Don't ip forwardingTRANSPOR T_NAME[0]=ipNDD_NAME[0]= ip_forwardingNDD_V A LUE[0]=0EOFchown root:sys nddconfchmod go-w,ug-s nddconf2、检查口令生存周期要求1、执行备份:cp -p /etc/default/security /etc/default/security_bakcp -p /etc/passwd /etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi /etc/default/security修改以下各项参数:PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28或者采用如下方法:以下的shell语句将设置除root外的所有有效登录的账号密码过期和过前期的收到警告设置:logins -ox \ | awk -F: '($8 != "LK" && $1 != "root") { print $1 }' \ | while read logname; do passwd –x 91 –n 7 –w 28 "$logname" /usr/lbin/modprpw -mexptm=90,mintm=7,expwarn=30 \ "$logname" done echoPASSWORD_MAXDAYS=91 >> /etc/default/security echo PASSWORD_MINDAYS=7 >> /etc/default/security echo PASSWORD_WARNDAYS=28 >> /etc/default/security/usr/lbin/modprdef -m exptm=90,mintm=7,expwarn=30用户将在密码过期前的30天收到警告信息(28 天没有运行在HP-UX 的Trusted 模式)不建议操作3、检查是否关闭inetd中不必要服务1、执行备份:#cp -p /etc/inetd.conf /etc/inetd.conf_bak2、禁止非必要服务:#vi /etc/inetd.conf在非必要服务前面加#注释3、重新启动inetd:#/sbin/init.d/inetd restart执行,关闭的服务需确认4、检查用户缺省UMASK设置默认权限:cd /etcfor file in profile csh.login d.profile d.logindo echo umask 027 >> "$file"donech_rc -a -p UMASK=027 /etc/default/security在/etc目录下的profile csh.login d.profile d.login文件尾部增加umask 027修改文件或目录的权限,操作举例如下:#chmod 444 dir #修改目录dir的权限为所有人都为只读。
系统安全加固手册1帐户安全配置要求1.1创建/etc/shadow影子口令文件1.2建立多帐户组,将用户账号分配到相应的帐户组1.3删除或锁定可能无用的帐户1.4删除可能无用的用户组1.5检查是否存在空密码的帐户1.6设置口令策略满足复杂度要求1.7设置帐户口令生存周期1.8设定密码历史,不能重复使用最近5次(含5次)内已使用的口令1.9限制root用户远程登录1.10 检查passwd、group文件权限设置1.11系统umask设置2访问、认证安全配置要求2.1远程登录取消telnet采用ssh2.2限制系统帐户FTP登录2.3配置允许访问inetd服务的IP范围或主机名2.4禁止除root外帐户使用at/cron2.5设定连续认证失败次数超过6次(不含6次)锁定该账号3文件系统安全配置要求3.2检查没有所有者的文件或目录4网络服务安全配置要求4.1禁止NIS/NIS+服务以守护方式运行4.2禁用打印服务以守护方式运行4.3禁用SENDMAIL服务以守护方式运行4.4禁用不必要的标准启动服务1执行备份:使用cp命令备份需要修改的文件2、设置参数:执行下列命令,禁用SNAplus2服务#ch_rc -a -p START_SNAPLUS=O -p START_SNANODE=0 -pSTART_SNAINETD=O /etc/rc.co nfig.d/s naplus2执行下列命令,禁用多播路由服务#ch_rc -a -p MROUTED=0 -p RWHOD=0 -p DDFA=0 -pSTART_RBOOTD=0 /etc/rc.co nfig.d/netdaemo ns执行下列命令,禁用DFS分布式文件系统服务#ch_rc -a -p DCE_KRPC=0 -p DFS_CORE=0 -p DFS_CLIENT=0 -p DFS_SERVER=0 -pDFS_EPISODE=0 -p EPIINIT=0 -p DFSEXPORT=0 -p BOSSERVER=0 -p DFSBIND=0 -p FXD=0 -p MEMCACHE=0 -p DFSGWD=0 -p DISKCACHEFORDFS=0 /etc/rc.co nfig.d/dfs执行下列命令,禁用逆地址解析服务操作步骤#ch_rc -a -p RARPD=0 -p RDPD=0 /etc/rc.co nfig.d/netc onf 执行下列命令,禁用响应PTY (伪终端)请求守护进程#ch_rc -a -p PTYDAEMON_START=0 /etc/rc.co nfig.d/ptydaem on 执行下列命令,禁用响应VT (通过LAN登录其他系统)请求守护进程#ch rc -a -p VTDAEMON START=0 /etc/rc.config.d/vt 执行下列命令,禁用域名守护进程#ch_rc -a -p NAMED=0 /etc/rc.co nfig.d/namesvrs执行下列命令,禁用SNMP代理进程#ch_rc -a -p PEER_SNMPD_START=0 /etc/rc.co nfig.d/peer.s nmpd 执行下列命令,禁用授权管理守护进程#ch_rc -a -p START_I4LMD=0 /etc/rc.co nfig.d/i4lmd执行下列命令,禁用X字体服务#ch_rc -a -p RUN_X_FONT_SERVER=0 /etc/rc.co nfig.d/xfs 执行下列命令,禁用语音服务#ch_rc -a -p AUDIO_SERVER=0 /etc/rc.c on fig.d/audio 执行下列命令,禁用SLSD(Single-Logical-Screen-Daemon)服务#ch_rc -a -p SLSD_DAEMON=0 /etc/rc.co nfig.d/slsd 执行下列命令,禁用SAMBA服务4.5禁用不必要的inetd服务5 IP协议安全配置要求5.1关闭IP转发5.2关闭转发源路由包5.3增大最大半连接数防范SYN攻击5.4关闭ICMP重定向5.5关闭响应echo广播5.6关闭响应地址掩码和时间戳广播防止探测6日志安全配置要求6.1非日志服务器禁止接收syslog6.2启用inetd日志记录6.3 配置SYSLOG6.4检查系统日志文件权限7其他安全配置要求7.1字符交互界面帐户超时自动退出7.2图形界面设置默认自动锁屏时间为10分钟。
服务器安全加固的方法和工具随着互联网的快速发展,服务器安全问题日益凸显,黑客攻击、病毒入侵等安全威胁时有发生。
因此,对服务器进行安全加固显得尤为重要。
本文将介绍一些常用的服务器安全加固方法和工具,帮助管理员提升服务器的安全性。
一、操作系统安全加固方法1. 及时更新补丁:定期检查操作系统厂商发布的安全补丁,并及时进行更新,修补系统漏洞,提升系统的安全性。
2. 禁用不必要的服务:关闭不必要的系统服务,减少系统暴露的攻击面,降低被攻击的风险。
3. 配置防火墙:通过配置防火墙,限制网络访问权限,只允许必要的端口和服务对外开放,提高系统的安全性。
4. 强化账户密码策略:设置复杂的密码策略,包括密码长度、复杂度、定期更换等,防止密码被破解。
5. 启用安全审计:开启系统的安全审计功能,记录系统操作日志,及时发现异常行为,加强对系统的监控和管理。
二、数据库安全加固方法1. 更新数据库软件:及时更新数据库软件的补丁,修复已知漏洞,提升数据库的安全性。
2. 配置访问控制:限制数据库的访问权限,只允许授权用户进行操作,避免未授权访问和操作。
3. 数据加密:对重要数据进行加密存储,保护数据的机密性,防止数据泄露。
4. 定期备份数据:建立定期备份机制,确保数据的安全性和可恢复性,防止数据丢失或损坏。
5. 监控数据库性能:监控数据库的性能指标,及时发现异常行为和性能问题,保障数据库的稳定运行。
三、网络安全加固方法1. 使用VPN加密通信:通过使用VPN技术,加密网络通信数据,防止数据被窃取和篡改。
2. 配置网络访问控制列表(ACL):通过配置ACL,限制网络访问权限,只允许授权的主机和用户进行访问,提高网络的安全性。
3. 定期检查网络设备:定期检查网络设备的安全配置,确保设备没有被篡改或感染恶意软件,保障网络的安全运行。
4. 使用入侵检测系统(IDS):部署IDS系统,监控网络流量和行为,及时发现入侵行为,加强对网络的安全防护。
Linux系统的安全加固是一个持续的过程,涉及到多个层面的安全配置和管理。
以下是对Linux系统安全加固的一些关键点的总结:1. 用户与权限管理:禁止root直接登录:通过修改文件禁用root账户远程SSH登录,推荐使用普通用户登录后再通过sudo提权。
设置强密码策略:使用PAM模块如pam_cracklib或pam_passwdqc来实施严格的密码复杂度要求,并设置定期更改密码的策略。
用户口令锁定策略:设定连续登录失败次数限制,超过次数锁定账号,可通过等配置文件实现。
2. 服务和端口管理:关闭不必要的服务和端口:通过systemctl或service命令停止并禁用不需要的服务,如ftp、telnet等不安全的服务,同时在防火墙(iptables或firewalld)中仅开放必要的网络端口。
3. SSH安全加固:使用密钥对验证替代密码验证:启用公钥认证,禁用密码登录以提高安全性。
修改SSH默认端口:将SSH服务监听的端口从22更改为其他非标准端口,增加攻击者猜测难度。
限制SSH访问源地址:通过防火墙规则只允许特定IP或者子网段访问SSH 服务。
4. 文件系统和权限控制:调整umask值:确保新创建的文件和目录具有合理的默认权限,比如将umask设置为027,保证新增内容不会过于开放。
定期检查重要文件权限:例如确保等敏感文件只有特定权限。
5. 日志记录和审计:开启详细的日志记录:调整syslog或rsyslog配置,确保系统和应用程序日志详细且完整。
审计系统:启用auditd进行系统级审计,追踪重要的系统调用和事件。
6. 软件更新与补丁管理:及时更新系统和应用软件:保持操作系统内核及所有安装软件包的最新状态,降低因已知漏洞导致的风险。
7. 备份和恢复策略:制定数据备份计划:定期对重要数据进行备份,确保在发生安全事件后能够快速恢复。
8. 资源和时间限制:设置超时登录:通过TMOUT环境变量限制shell会话空闲时间,防止未授权长时间连接。
Linux系统的系统安全加固和防护措施随着信息技术的飞速发展,网络安全问题日益凸显。
作为一种开放源代码操作系统,Linux系统广泛应用于互联网服务器等重要领域,其系统安全加固和防护措施显得尤为重要。
本文将重点探讨Linux系统的系统安全加固和防护措施。
一、操作系统的安全加固1. 更新操作系统和软件版本:经常检查并更新操作系统和软件的最新版本,以获取最新的安全补丁和功能更新。
同时,及时删除不再使用的软件和插件,减少潜在的漏洞。
2. 强化账户和密码策略:对超级用户(root)账户和其他普通账户设定复杂的密码,并定期更换密码。
此外,禁止使用弱密码和常见密码,提高系统的安全性。
3. 配置文件权限设置:限制普通用户对系统核心配置文件的访问权限,避免恶意代码或攻击者利用改动配置文件来破坏系统稳定性。
4. 禁用不必要的服务和端口:检查系统中运行的服务和开放的端口,禁用不必要的服务和端口,减少系统的攻击面。
5. 安装防火墙:配置和启动防火墙,限制进出系统的网络流量,防止外部攻击和恶意流量的入侵。
二、访问控制和权限管理1. 用户权限管理:为每个用户分配合适的权限,限制其对系统资源和敏感文件的访问。
使用sudo(superuser do)命令,授予合适的特权给普通用户,降低系统被滥用的风险。
2. 使用访问控制列表(ACL):通过使用ACL实现对文件和目录的详细权限控制,限制除所有者和管理员外的其他用户对文件的访问与修改。
3. 文件加密:通过使用加密文件系统或单独对敏感文件进行加密,保护数据的机密性,即使系统受到攻击,攻击者也无法窃取敏感信息。
三、日志和监控1. 日志管理:配置系统日志以记录关键事件和错误信息。
定期检查系统日志,及时发现异常和潜在威胁,并采取相应措施进行应对。
2. 实施入侵检测系统(IDS)和入侵防御系统(IPS):部署IDS和IPS来监控系统的网络流量和行为,及时识别并阻止潜在的攻击。
3. 安全审计:进行定期的系统安全审计,发现系统中的安全漏洞和风险,及时加以修复和改进。
★Linux系统深度安全加固author:ayazero drdos@Personal web -- Team's site -- 注:以下内容可能不适用于某些场合,请对号入座1.安装和升级尽量选用最新的Linux发行版本,安装前拔掉网线,断开物理连接,安装时建议用custom自定义方式安装软件包,数量以少为好,一般来说服务器没有必要安装X-windows,在lilo/grub引导器中加入口令限制,防止能够物理接触的恶意用户因为Linux安装光盘的rescue模式可以跳过这个限制,所以还要给bios加上密码或服务器机箱上锁/var,/home,/usr,/root等目录用独立的物理分区,防止垃圾数据和日志填满硬盘而导致D.o.S攻击.root账号给予强壮的口令.安装完毕立即用up2date或apt升级系统软件,有时升级内核也是必要的,因为内核出现问题同样会给攻击者提供机会Apt是Debian GNU Linux下的一个强大的包管理工具,也可用于其他版本的Linux.2.账号如果系统中的用户比较多,可以编辑/etc/login.defs,更改密码策略删除系统中不必要帐户和组,[root@ayazero /]# userdel -r username如果不开匿名ftp则可以把ftp账号也删了最安全的方式是本地维护,可惜不太现实,但还是需要限制root的远程访问,管理员可以用普通账户远程登录,然后su到root,我们可以把使用su的用户加到wheel组来提高安全性在/etc/pam.d/su文件的头部加入下面两行:auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheel然后把可以执行su的用户放入wheel组[root@ayazero /]# usermod -G10 admin编辑/etc/securetty,注释掉所有允许root远程登录的控制台,然后禁止使用所有的控制台程序,[root@ayazero /]# rm -f /etc/security/console.apps/servicename登录采用加密的ssh,如果管理员只从固定的终端登陆,还应限制合法ssh客户端的范围防止嗅探及中间人攻击将命令历史纪录归为零,尽可能的隐藏你做过的事情[root@ayazero /]# unset HISTFILESIZE3.服务最少服务原则,凡是不需要的服务一律注释掉在/etc/inetd.conf中不需要的服务前加"#",较高版本中已经没有inetd而换成了Xinetd;取消开机自动运行服务,把/etc/rc.d/rc3.d下不需要运行的服务第一个字母大写改称小写,或者由setup命令启动的GUI界面中的service更改如果你希望简单一点,可以使用/etc/host.allow,/etc/host.deny这两个文件,但是本文计划用iptables防火墙,所以不在此详述.4.文件系统权限找出系统中所有含"s"位的程序,把不必要得"s"位去掉,或者把根本不用的直接删除[root@ayazero /]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {}[root@ayazero /]# chmod a-s filename防止用户滥用及提升权限的可能性把重要文件加上不可改变属性[root@ayazero /]# chattr +i /etc/passwd[root@ayazero /]# chattr +i /etc/shadow[root@ayazero /]# chattr +i /etc/gshadow[root@ayazero /]# chattr +i /etc/group[root@ayazero /]# chattr +i /etc/inetd.conf[root@ayazero /]# chattr +i /etc/httpd.conf ...............................具体视需要而定,我怀疑现在的入侵者都知道这个命令,有些exploit溢出后往inetd.conf写一条语句绑定shell在一个端口监听,此时这条命令就起了作用,浅薄的入侵者会以为溢出不成功.找出系统中没有属主的文件:[root@ayazero /]# find / -nouser -o -nogroup找出任何人都有写权限的文件和目录:[root@ayazero /]# find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg {} [root@ayazero /]# find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg {} 防止入侵者向其中写入木马语句(诸如一个shell的拷贝)或继承属主权限而非法访问找出并加固那些历来被入侵者利用的文件,比如.rhosts编辑/etc/security/limits.conf,加入或改变如下行:* hard core 0* hard rss 5000* hard nproc 205.Banner伪装入侵者通常通过操作系统,服务及应用程序版本来攻击,漏洞列表和攻击程序也是按此来分类,所以我们有必要作点手脚来加大入侵的难度更改/etc/issue,因为reboot后重新加载,所以编辑/ect/rc.d/rc.local# This will overwrite /etc/issue at every boot. So, make any changes you# want to make to /etc/issue here or you will lose them when you reboot.#echo "" > /etc/issue#echo "$R" >> /etc/issue#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue##cp -f /etc/issue /etc/#echo >> /etc/issue把以上行前的"#"去掉Apache不回显版本:apache的配置文件,找到ServerTokens和ServerSignature两个directive,修改默认属性:#ServerTokens FullServerTokens Prod <----------#ServerSignature OnServerSignature Off <----------修改uname拿出uname.c的源码,找到如下行print_element (PRINT_SYSNAME, name.sysname);//操作系统名如linuxprint_element (PRINT_NODENAME, name.nodename);//主机名print_element (PRINT_RELEASE, name.release);//发行版本,如:2.4.20-18print_element (PRINT_VERSION, name.version);//print_element (PRINT_MACHINE, name.machine);//机器类型,如i686print_element (PRINT_PROCESSOR, processor);//处理器类型可以修改为print_element (PRINT_SYSNAME,"HP-UX");.......编译后替换/bin/uname其他服务及程序的修改可以查看其配置文件或者源码不要改太多,否则会给系统管理带来大麻烦。
北京移动IGK项目HP-UX系统安全加固需求本文档为HP-UX系统的安全加固的需求,本文未涉及的系统漏洞,参考附件“服务器安全扫描报告”予以补充。
由此形成的HP-UX系统安全加固方案作为北京移动IGK项目HP-UX系统安全加固的施工标准。
对于可能引起系统不稳定等问题的加固操作请标注。
本文档中已列举部分漏洞解决方案仅供参考。
一、HP-UX系统安全补丁升级加固系统已安装最新安全补丁检查补丁情况swlist –l product二、HP-UX 系统配置安全加固1.加固系统TCP/IP 配置编辑/etc/rc.config.d/nddconfig 文件:TRANSPORT_NAME[1]=ipNDD_NAME[1]=ip_forward_directed_broadcastsNDD_V ALUE[1]=0TRANSPORT_NAME[2]=ipNDD_NAME[2]=ip_forward_src_routedNDD_V ALUE[2]=0TRANSPORT_NAME[3]=ipNDD_NAME[3]=ip_forwardingNDD_V ALUE[3]=0TRANSPORT_NAME[4]=ipNDD_NAME[4]=ip_pmtu_strategyNDD_V ALUE[4]=1TRANSPORT_NAME[5]=ipNDD_NAME[5]=ip_send_redirectsNDD_V ALUE[5]=0TRANSPORT_NAME[6]=ipNDD_NAME[6]=ip_send_source_quenchNDD_V ALUE[6]=0TRANSPORT_NAME[7]=ipNDD_NAME[7]=ip_check_subnet_addressNDD_V ALUE[7]=0TRANSPORT_NAME[8]=ipNDD_NAME[8]=ip_respond_to_echo_broadcastNDD_V ALUE[8]=0文件保存后运行ndd –c 。
2.限制全局特权:echo –n > /etc/privgroupchown root:root /etc/privgroupchmod 400 /etc/privgroup/sbin/init.d/set_prvgrp start3.禁止root 远程登录:echo console > /etc/securettychown root:root /etc/securettychmod 400 /etc/securetty4.在/etc/profile 中设定用户自动logoff 的值——TIMEOUT 和UMASK:编辑/etc/profile ,加入:umask 022TMOUT=18005.修改/etc/inetd.conf 文件中的内容,关闭不必要的系统服务,从系统管理的角度而言,一般只需要开放如下的服务:telnet 、ftp;其它服务,除了特殊的应用需要外,都应当禁止使用。
6.审查/sbin/rc?.d 中相关的启动服务脚本,关闭不必要的服务:包括但不仅限于以下列表:/sbin/rc2.d:S560SnmpMaster S565SnmpHpunix S565SnmpMib2 S565SnmpTrpDstS440comsec S710hparamgr S710 hparrayS370named S490mrouted S510gated S565OspfMibS520rdpd S525rarpd S530rwhod S610rbootd/sbin/rc1.dK435SnmpHpunix K435SnmpMib2 K435SnmpTrpDst K440SnmpMasterK560comsec K290hparamgr K290hparray K435OspfMibK630named K510mrouted K490gated7.检查/etc/rc.config.d 目录中的相关配置文件,禁用不需要的服务:包括但不仅限于以下内容:编辑下列文件,并将相关参数设为0 :文件参数SnmpHpunix SNMP_HPUNIX_STARTSnmpMaster SNMP_MASTER_STARTSnmpMib2 SNMP_MIB2_STARTSnmpTrpDst SNMP_TRAPDEST_STARTcomsec TTSYNCDhparamgr HPARAMGR_START_STOPhparray HPARRAY_START_STOP8.检查系统中所有的.rhosts ,.netrc ,hosts.equiv 等文件,确保没有存在潜在的信任主机和用户关系,使这些文件内容为空。
for file in /.rhosts /.shosts /.netrc /etc/hosts.equivdocp /dev/null $filechown root:root $filechmod 000 $filedone9.以安全模式加载文件系统:编辑/etc/fstab 文件:在/opt 和/usr 分区选项中添加ro ,在/stand 、/var 和/home 分区选项中添加nosuid10.检查/tmp 、/var/tmp 目录的权限:for temp in /tmp /var/tmpdochown root:sys $tempchmod 1777 $tempdone11.修改系统评估中发现的弱口令。
12.设定系统日志和审计行为:在/etc/syslog.conf 中对系统用户的登陆行为进行日志纪录对系统运行状态行为进行日志纪录对系统守护进程的情况进行日志纪录设定日志纪录行为等级并且设定访问权限比如:在/etc/syslog.conf 中添加相关记录,如: /var/adm/kern.log /var/adm/user.log /var/adm/mail.log /var/adm/daemon.log /var/adm/auth.log /var/adm/syslog.log创建日志文件:cd /var/admfor log in kern user mail daemon auth syslogdotouch $log.logchmod 600 $log.logchown root:sys $log.logdone13.如果系统不是日志服务器,那么修改/etc/rc.config.d/syslogd配置文件,使其不监听UDP514端口(需补丁PHCO_21023):SYSLOGD_OPTS="-DN"14.对ftp登录进行log:编辑/etc/inetd.conf中的ftp行:ftp stream tcp nowait root /usr/lbin/ftpd ftpd -oil15.设置系统登录提示和警告:#echo ' WARNING! UNAUTHORIZED USE PROHIBITED!!' >>/etc/issue编辑/etc/inetd.conf 文件中的telnet 行:telnet stream tcp nowait root /usr/lbin/telnetd telnetd –b /etc/issue重启inetd 读取配置:# inetd -c16.审查/etc/passwd 中的用户,确保下列用户不能登录系统:bin 、daemon 、adm 、sys 、lp 、uucp 、nuucp 、hpdb 、wwwusermod –s /usr/bin/false admusermod –s /usr/bin/false daemonusermod –s /usr/bin/false binusermod –s /usr/bin/false sysusermod –s /usr/bin/false uucpusermod –s /usr/bin/false lpusermod –s /usr/bin/false hpdb17.确保在/etc/ftpd/ftpusers 文件中包含下列用户使其不能登录系统:root 、bin 、daemon 、adm 、sys 、lp 、uucp 、nuucp18.审查root 的PATH 环境变量,确保没有本地目录. 出现。
19.Sendmail缺省sendmail 运行在daemon 方式,如果不用其收信,可以使sendmail 不运行在daemon 方式:编辑/etc/rc.config.d/mail 文件:export SENDMAIL_SERVER=0在cron 加入:crontab –l > /tmp/cronecho ‘0 * * * * /usr/lib/sendmail –q’ >> /tmp/croncrontab < /tmp/cron20.配置/var/adm/inetd.sec 进行主机远程访问控制:<service name> <allow|deny> <host/net addresses, host/net names>login allow 192.168.* or any authorized ip。