HP -UNIX主机安全加固方案

对**公司HP -unix主机安全加固方案,流程如下~

1、系统备份及健康检查   

1.1、系统备份    

1.2、加固前**业务运行情况检查    

1.3、加固前系统健康检查 

2、安全补丁加载

3、安全工具叠加

4、安全加固-自动加固项  

4.1用户安全

4.2端口及服务安全   

4.3 访问控制

4.4. 系统日志功能     

4.5 网络及内核参数  

4.6 警告banner   

5、安全加固-手动加固项  

5.1新增维护帐号admin 密码为1234

5.2 检查用户环境文件权限是否大于644,如有进行修正

5.3 检查.rhosts是否大于600,如有进行修正

5.4 修改snmp服务commuity 值public为harden值  

5.5 设置inetd.sec进行网络访问控制

5.6 设置SSH只允许协议2版本   

5.7other用户全局写文件权限修正  

5.8 other用户全局写目录修正 

6、安全加固验证

6.1加固功能验证

6.2加固后系统健康检查  

6.3 加固后业务测试报告

6.3 加固后安全扫描 

7、收尾工作

8、加固操作风险回退

 

1、系统备份及健康检查

1.1、系统备份

       协调业务工程师提前准备好备份磁带,做好系统备份.

       备份方法:

#make_tape_recovery –Av

1.2、加固前**业务运行情况检查

      业务工程师按业务测试方案进行业务测试,测试时与业务工程师协调测试步骤.

      测试方法:

1.    备机重新启动测试

2.    把主机业务切换至备机,在备机上进行业务测试

3.    主机重新启动测试

4.    把备机业务切换至主机,在主机进行业务测试

1.3、加固前系统健康检查

       HP工程师按<<HP-UX主机安全加固健康报告>>进行加固前系统健康检查。

       测试方法:

       1. 先在备机上进行系统健康检查

       2. 把业务从主机切换至备机

       3. 在主机进行系统健康检查

2、安全补丁加载

      按安全补丁包,进行安全补丁加载

      补丁加载方法:

 swinstall –x patch_match_target=true auto_reboot=true –s depot_name

      1.在备机进行安全补丁加载

重新启动备机

 2.在主机进行安全补丁加载

          重新启动主机

      3.补丁加载完进行相关检查

 

3、安全工具叠加

安装SSH工具

4、安全加固-自动加固项

4.1用户安全

4.1.1 删除用户列表:lp uucp mysql nuucp smbnull iwww owww

4.1.2 加固用户列表:bin sys adm daemon nobody hpdb www

4.1.3 限制root用户远程登陆

4.1.4 设置用户密码复杂度策略

4.1.5 设置umask为022

4.2端口及服务安全

4.2.1 关闭的inetd服务列表: chargen daytime discard dtspc echo exec instl_boots klogin kshell login ntalk printer recserv rpc.cmsd rpc.ttdserver swat tftp time

4.2.2 关闭下列系统服务: sendmail nfsserver nfs client nisserver nisclient rbootd ptydaemon vtdaemon cimserver pwgrd

4.3 访问控制

4.3.1设置限制ftp用户列表 root lp uucp mysql nuucp smbnull iwww owww bin sys adm daemon nobody hpdb www

4.3.2设置限制root用户SSH登陆

4.4. 系统日志功能

4.4.1 启用inetd的日志功能

4.4.2 已启用ftpd的日志功能

4.4.3 sylogd服务中,网络日志监听端口关闭

 

 

4.5 网络及内核参数

4.5.1设置网络参数

4.5.2 设置内核参数

4.6 警告banner

4.6.1 终端登录Banner设置为警告信息  

4.6.2 如果Dtlogin服务被启用,CDE图形登录Banner被设置为警告信息 

4.6.3 如果FTP服务被启用,FTP登录Banner被设置为警告信息     

4.6.4 如果SSH服务被启用,SSH登录Banner被设置为警告信息

5、安全加固-手动加固项

5.1新增维护帐号maintain 密码为123456

5.2 检查用户环境文件权限是否大于644,如有进行修正

5.2.1检查权限

# find / -name “.profile” –exec –ls –ld {} \;

# find / -name “.cshrc” –exec –ls –ld {} \;

# find / -name “.login” –exec –ls –ld {} \;

 

5.2.2修正权限

 

修正前先对权限状态导出至日志文件

 

# find / -name “.profile” –exec chmod –go-w {} \;

# find / -name “.cshrc” –exec –ls –ld –go-w {} \;

# find / -name “.login” –exec –ls –ld –go-w {} \;

 

5.3 检查.rhosts是否大于600,如有进行修正

5.3.1检查权限

# find / -name “.rhosts” –exec –ls –ld {} \;

5.3.2修正权限

修正前先对权限状态导出至日志文件

# find / -name “.rhosts” –exec chmod 600 {} \;

 

5.4 修改snmp服务commuity 值public为harden值

# vi /etc/snmp.conf

修改commuity strings: public

为:

修改commuity strings: harden

5.5 设置inetd.sec进行网络访问控制

限制shell ident服务只允许双机之间访问

#vi /var/adm/inetd.sec

Shell双机节点对方IP

ident 双机节点对方IP

5.6 设置SSH只允许协议2版本

# vi /opt/ssh/sshd_config

增加

protocol 2

5.7 other用户全局写文件权限修正

5.2.1检查权限

# find / -type f –perm –o+w –exec –ls –ld {} \;

 

5.2.2修正权限

 

1.修正前先对权限状态导出至日志文件

find / -type f –perm –o+w –exec –ls –ld {} \; > /tmp/harden/filelist.old

2.修正

# chmod –o-w 全局写文件 (排除业务数据文件)

 

2.修后导出至日志文件

find / -type f –perm –o+w –exec –ls –ld {} \; > /tmp/harden/filelist.new

 

 

5.8 other用户全局写目录修正

5.2.1检查权限

# find / -type d –perm –o+w –exec –ls –ld {} \;

 

5.2.2修正权限

 

1.修正前先对权限状态导出至日志文件

find / -type d–perm –o+w –exec –ls –ld {} \; > /tmp/harden/filelist.old

2.修正

# chmod +t 全局写目录 (排除 /var/tmp /tmp /var/ /dev目录及业务目录)  

2.修后导出至日志文件

find / -type d –perm –o+w –exec –ls –ld {} \; > /tmp/harden/filelist.new

 

 

6、安全加固验证

6.1加固功能验证

   按<<HP UNIX主机安全加固测试、验收报告>>进行安全加固功能测试。

6.2加固后系统健康检查

   HP工程师按<<HP-UX主机安全加固健康报告>>进行加固后系统健康检查。

       测试方法:

       1. 先在备机上进行系统健康检查

       2. 把业务从主机切换至备机

       3. 在主机进行系统健康检查

 

6.3 加固后业务测试报告

   业务工程师按业务测试方案进行业务测试,测试时与业务工程师协调测试步骤.

      测试方法:

5.    备机重新启动测试

6.    把主机业务切换至备机,在备机上进行业务测试

7.    主机重新启动测试

8.    把备机业务切换至主机,在主机进行业务测试

6.3 加固后安全扫描

    用第三方安全扫描软件进行安全扫描,检查加固后扫描结果

7、收尾工作

   1. 把相关加固操作日志进行备份,下载本地,进行打包备份.

   2. 与业务工程师交代维护帐号变成为maintain登录,root用户不能远程直接登录.

8、加固操作风险回退

HP安全定制shell脚本集回退

利用HP安全定制shell脚本集的加固操作回退功能,对系统加固修改项回退到加固前状态。

 

备份磁带恢复目

加固前将会对HP UNIX操作系统根卷做全备份至磁带,当一级恢复出现异常时,将采用备份磁带恢复的方式将整个操作系统恢复至加固前状态。

关键词: unix , 信息安全

上一篇: 安全加固概述
下一篇: phpSPY 2006 最终修改版

相关文章
目前还没有人评论,您发表点看法?
发表评论

评论内容 (必填):