中国移动HP-UNIX操作系统安全配置规范

中国移动HP-UNIX操作系统

全配置规范（草稿未发布） 安

Specification for UP-UNIX OS Configuration Used in China Mobile

版本号：1.0.0

网络与信息安全规范编号:【网络与信息安全规范】·【第二层：技术规范·网元类】·【第2501号】

xxx发布 xxx实施

中国移动通信集团公司 发布

中国移动通信集团公司

第 I 页 共 30 页

中国移动HP-UNIX操作系统安全配置规范

目录

1

概述 ........................................................................................................................................................................ 1 1.1 1.2 1.3 1.4 1.5 2

适用范围 ........................................................................................................................................................ 1 内部适用性说明 .......................................................................................................... 错误！未定义书签。 外部引用说明 ................................................................................................................................................ 1 术语和定义 .................................................................................................................................................... 1 符号和缩略语 ................................................................................................................................................ 1

HP-UX设备安全配置要求 .................................................................................................................................. 2 2.1

账号管理、认证授权 .................................................................................................................................... 2

账号 ....................................................................................................................................................... 2 2.1.2 口令 ....................................................................................................................................................... 5 2.1.3 授权 ....................................................................................................................................................... 8 2.2 日志配置要求 .............................................................................................................................................. 11 2.3 IP协议安全配置要求 ................................................................................................................................. 12 2.3.1 IP协议安全 ........................................................................................................................................ 12 2.3.2 路由协议安全 ..................................................................................................................................... 16 2.4 设备其他安全配置要求 .............................................................................................................................. 18 2.4.1 屏幕保护 ............................................................................................................................................. 18 2.4.2 文件系统及访问权限 ......................................................................................................................... 19 2.4.3 物理端口及EEPROM的口令设置 .................................................................................................... 20 2.4.4 补丁管理 ............................................................................................................................................. 20 2.4.5 服务 ..................................................................................................................................................... 21 2.4.6 内核调整 ............................................................................................................................................. 24 2.4.7 启动项 ................................................................................................................................................. 25

2.1.1

中国移动通信集团公司

第 1 页 共 30 页

中国移动HP-UNIX操作系统安全配置规范

前言

中国移动通信集团公司 第 2 页 共 30 页

中国移动HP-UNIX操作系统安全配置规范

1 概述

1.1 适用范围

本规范适用于中国移动通信网、业务系统和支撑系统中使用HP-UX操作系统的设备。本规范明确了HP-UX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的HP-UX操作系统版本。

本规范还针对直接引用《通用规范》的配置要求，给出了在HP-UX操作系统上的具体配置方法和检测方法。

1.2 外部引用说明

《中国移动通用安全功能和配置规范》

1.3 术语和定义

1.4 符号和缩略语

（对于规范出现的英文缩略语或符号在这里统一说明。）

缩写 英文描述 中文描述 1

中国移动HP-UNIX操作系统安全配置规范

2 HP-UX设备安全配置要求

本规范所指的设备为采用HP-UX操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用HP-UX操作系统的设备。

本规范从运行HP-UX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。

2.1 账号管理、认证授权 2.1.1 账号

编号： 安全要求-设备-HP-UX-配置-1 要求内容 操作指南 应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。 2、补充操作说明 1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 检测方法 编号： 安全要求-设备-HP-UX-配置-2 要求内容 操作指南 应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不 可删除的内置账号，包括root,bin等。 1、参考配置操作 删除用户：#userdel username; 锁定用户： 1)修改/etc/shadow文件，用户名后加NP 2

中国移动HP-UNIX操作系统安全配置规范 2)将/etc/passwd文件中的shell域设置成/bin/noshell 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：lp,nuucp,hpdb,www,demon。 检测方法 1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：lp,nuucp,hpdb,www,demon。

编号： 安全要求-设备-HP-UX-配置-3 要求内容 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。 1、 参考配置操作 编辑/etc/securetty，加上： console 保存后退出，并限制其他用户对此文本的所有权限： chown root:sys /etc/securetty chmod 600 /etc/securetty 此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的 2、补充操作说明 如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 1、判定条件 root远程登录不成功，提示“Not on system console”； 普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 3

操作指南 检测方法 中国移动HP-UNIX操作系统安全配置规范

编号： 安全要求-设备-HP-UX-配置-4-可选 要求内容 操作指南 根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。 1、参考配置操作 创建帐户组： #groupadd –g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号； #usermod –g group username #将用户username分配到group组中。 查询被分配到的组的GID：#id username 可以根据实际需求使用如上命令进行设置。 2、补充操作说明 可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。 当group_name字段长度大于八个字符，groupadd命令会执行失败； 当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行； 1、判定条件 可以查看到用户账号分配到相应的帐户组中； 或都通过命令检查账号是否属于应有的组： #id username 2、检测操作 查看组文件：cat /etc/group 3、补充说明 文件中的格式说明： group_name::GID:user_list 检测方法

编号： 安全要求-设备-HP-UX-配置-5-可选 要求内容 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。 1、参考配置操作 禁止账号交互式登录： for user in www sys smbnull iwww owww sshd \\ hpsmh named uucp nuucp adm daemon bin lp \\ nobody noaccess hpdb useradm; do passwd –l \ /usr/sbin/usermod -s /bin/false \ if [[ \ /usr/lbin/modprpw -w \ else /usr/lbin/modprpw -w \ 4

操作指南 中国移动HP-UNIX操作系统安全配置规范 fi done 删除账号：#userdel username; 2、补充操作说明 禁止交互登录的系统账号，比如www sys smbnull iwww owww sshd hpsmh named uucp nuucp adm daemon bin lp nobody noaccess hpdb useradm. 检测方法 1、判定条件 被禁止账号交互式登录的帐户远程登录不成功； 2、检测操作 用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出； 3、补充说明 2.1.2 口令

编号： 安全要求-设备-通用-配置-4

要求内容 操作指南 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 1、参考配置操作 ch_rc –a -p MIN_PASSWORD_LENGTH=6 /etc/default/security ch_rc –a -p PASSWORD_HISTORY_DEPTH=10 \\ /etc/default/security ch_rc –a –p PASSWORD_MIN_UPPER_CASE_CHARS=1 \\ /etc/default/security ch_rc –a –p PASSWORD_MIN_DIGIT_CHARS=1 \\ /etc/default/security ch_rc –a –p PASSWORD_MIN_SPECIAL_CHARS=1 \\ /etc/default/security ch_rc –a –p PASSWORD_MIN_LOWER_CASE_CHARS=1 \\ /etc/default/security modprdef -m nullpw=NO modprdef -m rstrpw=YES MIN_PASSWORD_LENGTH=6 #设定最小用户密码长度为6位 PASSWORD_MIN_UPPER_CASE_CHARS=1 #表示至少包括1个大写字母 PASSWORD_MIN_DIGIT_CHARS=1 #表示至少包括1个数字 PASSWORD_MIN_SPECIAL_CHARS=1 #表示至少包括1个特殊字符（特殊字符可以包括控制符以及诸如星号和斜杠之类的符号） 5

中国移动HP-UNIX操作系统安全配置规范 PASSWORD_MIN_LOWER_CASE_CHARS=1 #表示至少包括1个小写字母 当用root帐户给用户设定口令的时候不受任何限制，只要不超长。 2、补充操作说明 不同的HP-UX版本可能会有差异，请查阅当前系统的man page security(5) 详细说明 检测方法 1、判定条件 不符合密码强度的时候，系统对口令强度要求进行提示； 符合密码强度的时候，可以成功设置； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

编号： 安全要求-设备-通用-配置-5

要求内容 操作指南 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。并且7天内不得更改密码。 1、 参考配置操作 以下的shell语句将设置除root外的所有有效登录的账号密码过期和过前期的收到警告设置： logins -ox \\ | awk -F: '($8 != \ | while read logname; do passwd –x 91 –n 7 –w 28 \ /usr/lbin/modprpw -m exptm=90,mintm=7,expwarn=30 \\ \ done echo PASSWORD_MAXDAYS=91 >> /etc/default/security echo PASSWORD_MINDAYS=7 >> /etc/default/security echo PASSWORD_WARNDAYS=28 >> /etc/default/security /usr/lbin/modprdef -m exptm=90,mintm=7,expwarn=30 用户将在密码过期前的30天收到警告信息（28 天没有运行在 HP-UX 的Trusted 模式） 2、补充操作说明 1、判定条件 6

检测方法 中国移动HP-UNIX操作系统安全配置规范 登录不成功； 2、检测操作 使用超过90天的帐户口令登录； 3、补充说明 测试时可以将90天的设置缩短来做测试。

编号： 安全要求-设备-通用-配置-6-可选

要求内容 操作指南 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。 1、参考配置操作 vi /etc/default/passwd ，修改设置如下 HISTORY＝5 2、补充操作说明 #HISTORY sets the number of prior password changes to keep and # check for a user when changing passwords. Setting the HISTORY # value to zero (0), or removing/commenting out the flag will # cause all users' prior password history to be discarded at the # next password change by any user. No password history will # be checked if the flag is not present or has zero value. # The maximum value of HISTORY is 26. NIS系统无法生效，非NIS系统或NIS+系统能够生效。 1、判定条件 设置密码不成功 2、检测操作 cat /etc/default/passwd ，设置如下 HISTORY＝5 3、补充说明 默认没有HISTORY的标记，即不记录以前的密码 NIS系统无法生效，非NIS系统或NIS+系统能够生效。 检测方法 编号： 安全要求-设备-通用-配置-7-可选

要求内容 操作指南 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 1、参考配置操作 指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定： logins -ox \\ | awk -F: '($8 != \ | while read logname; do /usr/lbin/modprpw -m umaxlntr=6 \ done modprdef -m umaxlntr=6 echo AUTH_MAXTRIES=6 >> /etc/default/security 7

中国移动HP-UNIX操作系统安全配置规范 除root外的有效账号都将被设置重复登录失败次数为6 2、补充操作说明 检测方法 1、判定条件 帐户被锁定，不再提示让再次登录； 2、检测操作 创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）； 2、 补充说明 root账号不在锁定的限制范围内 2.1.3 授权

编号： 安全要求-设备-通用-配置-9

要求内容 操作指南 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 1、参考配置操作 通过chmod命令对目录的权限进行实际设置。 2、补充操作说明 etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 必须所有用户都可读，root用户可写 –rw-r—r— 使用如下命令设置： chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外） 执行命令#chmod -R go-w /etc 1、判定条件 1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行； 2、记录能够配置的权限选项内容； 3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。 2、检测操作 1、利用管理员账号登录系统，并创建2个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项； 3、2个用户的权限差异应能够分为两个用户分别配置不同的权限，别在用户权限级别、可访问系统资源以及可用命令等方面予以体现； 8

检测方法 中国移动HP-UNIX操作系统安全配置规范 4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。 3、补充说明

编号： 安全要求-设备-HP-UX-配置-12-可选

要求内容 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 1、 参考配置操作 设置默认权限： cd /etc for file in profile csh.login d.profile d.login do echo umask 027 >> \ done ch_rc –a -p UMASK=027 /etc/default/security 在/etc目录下的profile csh.login d.profile d.login文件尾部增加 umask 027 修改文件或目录的权限，操作举例如下： #chmod 444 dir ; #修改目录dir的权限为所有人都为只读。 根据实际情况设置权限； 2、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下： #ls -l dir ; #查看目录dir的权限 #cat /etc/default/login 查看是否有umask 027内容 3、补充说明 umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。 umask的计算： umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。 操作指南 检测方法 编号： 安全要求-设备-HP-UX-配置-13-可选

要求内容 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录 9

操作指南 中国移动HP-UNIX操作系统安全配置规范 时应屏蔽掉新文件或目录不应有的访问允许权限。 1、参考配置操作 if [[ \ ftpusers=/etc/ftpusers else ftpusers=/etc/ftpd/ftpusers fi for name in root daemon bin sys adm lp \\ uucp nuucp nobody hpdb useradm do echo $name done >> $ftpusers sort –u $ftpusers > $ftpusers.tmp cp $ftpusers.tmp $ftpusers rm –f $ftpusers.tmp chown bin:bin $ftpusers chmod 600 $ftpusers 2、补充操作说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许ftp登陆的。 root daemon bin sys adm lp uucp nuucp listen nobody hpdb useradm 1、判定条件 权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作 查看新建的文件或目录的权限，操作举例如下： #more /etc/ [/ftpd]/ftpusers #more /etc/passwd 3、补充说明 查看# cat ftpusers 说明: 在这个列表里边的用户名是不允许ftp登陆的。 root daemon bin 10

检测方法 sys adm lp uucp nuucp listen nobody hpdb useradm

中国移动HP-UNIX操作系统安全配置规范 2.2 日志配置要求

本部分对HP-UX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。 编号： 安全要求-设备-通用-配置-24-可选

要求内容 操作指南 设备应配置日志功能，记录对与设备相关的安全事件。 1、参考配置操作 修改配置文件vi /etc/syslog.conf， 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 2、补充操作说明 1、判定条件 查看/var/adm/messages，记录有需要的设备相关的安全事件。 2、检测操作 修改配置文件vi /etc/syslog.conf， 配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 3、补充说明 检测方法 编号： 安全要求-设备-通用-配置-14-可选

要求内容 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服 11

务器。 操作指南 中国移动HP-UNIX操作系统安全配置规范 1、参考配置操作 修改配置文件vi /etc/syslog.conf， 加上这一行： *.* @192.168.0.1 可以将\替换为你实际需要的日志信息。比如：kern.* / mail.* 等等。 可以将此处192.168.0.1替换为实际的IP或域名。 重新启动syslog服务，执行下列命令： /sbin/init.d/syslogd stop | start 2、补充操作说明 注意： *.*和@之间为一个Tab 检测方法 1、判定条件 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。 2、检测操作 查看日志服务器上的所收到的日志文件。 3、补充说明

2.3 IP协议安全配置要求

2.3.1 IP协议安全

编号： 安全要求-设备-通用-配置-17-可选

要求内容 操作指南 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。 1、 下载和安装OpenSSH 在网站上免费获取OpenSSH http://software.hp.com/ ； 并根据安装文件说明执行安装步骤 。 2、完成下面安装后的配置： cd /opt/ssh/etc cp -p sshd_config sshd_config.tmp awk ' /^Protocol/ { $2 = \ /^X11Forwarding/ { $2 = \ 12

中国移动HP-UNIX操作系统安全配置规范 /^IgnoreRhosts/ { $2 = \ /^RhostsAuthentication/ { $2 = \ /^RhostsRSAAuthentication/ { $2 = \ /(^#|^)PermitRootLogin/ { $1 = \ $2 = \ /^PermitEmptyPasswords/ { $2 = \ /^#Banner/ { $1 = \ $2 = \ { print }' sshd_config.tmp > sshd_config rm -f sshd_config.tmp chown root:sys ssh_config sshd_config chmod go-w ssh_config sshd_config 先拷贝一份配置，再用awk生成一份修改了安全配置的临时文件，最后替换原始配置文件ssh_config，其中配置含义如下： Protocol = 2 #使用ssh2版本 X11Forwarding #允许窗口图形传输使用ssh加密 IgnoreRhosts =yes#完全禁止SSHD使用.rhosts文件 RhostsAuthentication=no #不设置使用基于rhosts的安全验证 RhostsRSAAuthentication=no #不设置使用RSA算法的基于rhosts的安全验证。 3、补充操作说明 查看SSH服务状态： # ps –elf|grep ssh 检测方法 1、 判定条件 # ps –elf|grep ssh 是否有ssh进程存在 2、检测操作 查看SSH服务状态： # ps –elf|grep ssh 查看telnet服务状态： # ps –elf|grep telnet 编号： 安全要求-设备-HP-UX-配置-21-可选

要求内容 操作指南 设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。 1、参考配置操作 开放的服务列表 13

中国移动HP-UNIX操作系统安全配置规范 命令: # cat /etc/inetd.conf 开放的端口列表 命令: # netstat -an 服务端口和进程对应表： 命令：cat /etc/services 2、补充操作说明 ftp-data 20/tcp ftp 21/tcp ssh 22/tcp telnet 23/tcp smtp 25/tcp pop2 109/tcp pop3 110/tcp imap 143/tcp ldap 389/udp tftp 69/udp rje 77/tcp finger 79/tcp link 87/tcp supdup 95/tcp iso-tsap 102/tcp x400 103/tcp x400-snd 104/tcp ntp 123/tcp login 513/tcp shell 514/tcp syslog 514/udp 检测方法 1、判定条件 能够列出端口和服务对应表。 2、检测操作 开放的服务列表 命令: # cat /etc/inetd.conf 开放的端口列表 命令: # netstat -an 服务端口和进程对应表： 命令：cat /etc/services 3、补充说明

编号： 安全要求-设备-HP-UX-配置-22-可选

要求内容 对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到 14

操作指南 中国移动HP-UNIX操作系统安全配置规范 该设备的IP地址范围进行设定。 1、 参考配置操作 编辑/etc/hosts.allow和/etc/hosts.deny两个文件 vi /etc/hosts.allow 增加一行 : 允许访问的IP；举例如下： all:192.168.4.44:allow #允许单个IP； ssh:192.168.1.:allow #允许192.168.1的整个网段 vi /etc/hosts.deny 增加一行 all:all 重启进程：#pkill -HUP inetd 2、补充操作说明 更改/etc/inetd.conf文件后，重启inetd的命令是： #pkill -HUP inetd #/etc/init.d/inetsvc start 检测方法 1、判定条件 被允许的服务和IP范围可以登录到该设备，其它的都被拒绝。 2、检测操作 查看/etc/hosts.allow和/etc/hosts.deny两个文件 cat /etc/hosts.allow cat /etc/hosts.deny 3、补充说明 Transmission Control Protocol (TCP) Wrappers 为由 inetd 生成的服务提供了增强的安全性。TCP Wrappers 是一种对使用 /etc/inetd.sec 的替换方法。TCP Wrappers 提供防止主机名和主机地址欺骗的保护。欺骗是一种伪装成有效用户或主机以获得对系统进行未经授权的访问的方法。 TCP Wrappers 使用访问控制列表 (ACL) 来防止欺骗。ACL 是 /etc/hosts.allow 和 /etc/hosts.deny 文件中的系统列表。在配置为验证主机名到 IP 地址映射，以及拒绝使用 IP 源路由的软件包时，TCP Wrappers 提供某些防止 IP 欺骗的保护。 但是，TCP Wrappers 不提供口令验证或数据加密。与 inetd 类似，信息是以明文形式传递的。 TCP Wrappers 是 HP-UX Internet Services 软件的一部分。有关详细信息，请参阅《HP-UX Internet Services Administrator's Guide》， http://www.docs.hp.com/en/netcom.html#Internet Services， 以及下列联机帮助页： tcpd(1M)、tcpdmatch(1)、tcpdchk(1)、tcpd.conf(4)、hosts_access(3)、hosts_access(5) 和 hosts_options(5)。

15

中国移动HP-UNIX操作系统安全配置规范

2.3.2 路由协议安全

编号： 安全要求-设备-HP-UX-配置-23-可选

要求内容 操作指南 网络参数优化修改，包括主机系统应该禁止ICMP重定向，采用静态路由，不响应ICMP单播、减少arp缓存时间等。 1、参考配置操作 cd /etc/rc.config.d cat < nddconf # Increase size of half-open connection queue TRANSPORT_NAME[0]=tcp NDD_NAME[0]=tcp_syn_rcvd_max NDD_VALUE[0]=4096 # Reduce timeouts on ARP cache TRANSPORT_NAME[1]=arp NDD_NAME[1]=arp_cleanup_interval NDD_VALUE[1]=60000 # Drop source-routed packets TRANSPORT_NAME[2]=ip NDD_NAME[2]=ip_forward_src_routed NDD_VALUE[2]=0 # Don't forward directed broadcasts TRANSPORT_NAME[3]=ip NDD_NAME[3]=ip_forward_directed_broadcasts NDD_VALUE[3]=0 # Don't respond to unicast ICMP timestamp requests TRANSPORT_NAME[4]=ip NDD_NAME[4]=ip_respond_to_timestamp NDD_VALUE[4]=0 # Don't respond to broadcast ICMP tstamp reqs TRANSPORT_NAME[5]=ip NDD_NAME[5]=ip_respond_to_timestamp_broadcast NDD_VALUE[5]=0 # Don't respond to ICMP address mask requests TRANSPORT_NAME[6]=ip NDD_NAME[6]=ip_respond_to_address_mask_broadcast NDD_VALUE[6]=0 # Don’t respond to broadcast echo requests TRANSPORT_NAME[7]=ip NDD_NAME[7]=ip_respond_to_echo_broadcast NDD_VALUE[7]=0 EOF chown root:sys nddconf 16

中国移动HP-UNIX操作系统安全配置规范 chmod go-w,ug-s nddconf 2、补充操作说明 HP-UX 11.11 版本需要安装补丁PHNE_25644，才能支持arp_cleanup_intervalfrom这个项 检测方法 1、判定条件 在/etc/rc.config.d 查看其中参数是否符合要求 2、检测操作 查看当前的路由信息： #netstat -rn 3、补充说明

编号： 安全要求-设备-HP-UX-配置-24-可选

要求内容 操作指南 对于不做路由功能的系统，应该关闭数据包转发功能。 1、 参考配置操作 cat <> /etc/rc.config.d/nddconf # Don’t act as a router TRANSPORT_NAME[8]=ip NDD_NAME[8]=ip_forwarding NDD_VALUE[8]=0 TRANSPORT_NAME[9]=ip NDD_NAME[9]=ip_send_redirects NDD_VALUE[9]=0 2、补充操作说明 注意：启动过程中IP转发功能关闭前HP-UX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。 以上操作适用于HP-UX 11.x，老版本的HP-UX可用如下语句代替： cat << EOF > /sbin/rc2.d/S339nettune #!/sbin/sh /usr/contrib/bin/nettune -s ip_forwarding 0 EOF 1、判定条件 2、检测操作 查看/etc/rc.config.d/nddconf文件 cat /etc/init.d/inetinit 3、补充说明 注意：启动过程中IP转发功能关闭前HP-UX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。 检测方法

17

本文来源：https://www.bwwdw.com/article/x84f.html