HPUX系统安全配置手册Word格式文档下载.docx

HPUX系统安全配置手册Word格式文档下载.docx

《HPUX系统安全配置手册Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《HPUX系统安全配置手册Word格式文档下载.docx（24页珍藏版）》请在冰豆网上搜索。

操作结果：

推荐将系统默认的用户的模式设置值为锁定，将无须SHELL的用户设定为无SHELL环境。

7002

检查用户口令文件

标准口令文件检查

/etc/passwd

标准系统维护一个口令文件：

/etc/passwd。

所有口令输入后便立即加密，并存储在口令文件/etc/passwd中。

比较时仅使用加密的口令。

口令文件中不允许有任何空的口令字段。

那样会为安全违例提供一个潜在的机会，因为在首次设置口令前任何用户都可以为该帐户设置口令。

不要直接编辑口令文件。

应使用SAM、useradd、userdel或usermod修改口令文件条目。

调整/etc/passwd文件属性只容许root用户可读。

推荐不容许用户直接对/etc/passwd操作，设定/etc/passwd权限值为0400。

2身份验证

7003

设定信任模式

HP-UX的信任模式允许支持shadow口令，并且开启内核级审计功能首先要求系统转换到信任模式，是非常重要的安全模式。

如果可能，将系统转换为trusted模式。

开启trusted模式

使用SAM转换为trusted模式，命令如下：

/usr/lbin/tsconvert.

chown–Rroot:

sys/tcb/files/auth

chmod–R600/tcb/files/auth

find/tcb/files/auth–typed–execchmod700{}\;

使用信任模式，支持shadow口令。

7004

用户检查

查看所有用户是否存在空口令或是特权用户。

/etc/passwd/etc/group

验证没有遗留下来的’+’条目存在于passwd，shadow，group文件中：

grep^+:

/etc/passwd/etc/group

验证是否有账号存在空口令的情况：

logins–p

检查除了root以外是否还有其它账号的UID为0：

logins-d|grep'

0'

推荐检查是否存在空密码用户或是UID为0的非root用户。

7005

检查用户环境

检查是否存在风险环境变量。

用户$SHELL,用户目录权限。

检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录

echo$PATH

删除属于root用户的具有潜在危险的文件：

rm/.[rs]hosts/.netrc~root/.[rs]hosts~root/.netrc

用户的home目录许可权限是否为755或更严格的限制：

logins-ox|cut-f6-d:

|whilereadhome

dochmodog-w"

$home"

Unix/Linux下通常以”.”开头的文件是用户的配置文件，如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限。

dols-d"

$home/"

.[!

.]*|

whilereadfile

doif[-f"

$file"

]

thenchmodgo-w"

fi

.netrc文件中可能会包含未加密的口令

删除用户的.netrc和.rhosts文件：

doforfilein"

$home/.netrc"

$home/.rhosts"

thenecho"

removing$file"

rm-f"

调整umask值为用户设置合适的缺省umask值：

cd/etc

umask022

forfileinprofilecsh.logind.profiled.login

doechoumask022>

>

检查是否存在非法PATH路径，设定用户主目录权限为755，设定默认umask值为022，删除.netrc和.rhosts高风险验证方式的设定文件。

3访问控制

7006

Root登陆设置

中

通常应该以普通用户身份访问系统，然后通过其它授权机制（比如su命令和sudo）来获得更高权限，这样做至少可以对登录事件进行跟踪。

/etc/securetty

限制root只能从console登录

echoconsole>

/etc/securetty

chmod600/etc/securetty

推荐/etc/securetty设置值为600，使得限制root用户只能从console登陆。

7007

at/cron授权控制

对at/cron只容许root授权访问

限制at/cron给授权的用户：

cd/var/adm/cron

rm-fcron.denyat.deny

cpcron.allowcron.allow.save

cpat.allowat.allow.save

echoroot>

cron.allow

at.allow

chownroot:

syscron.allowat.allow\

cron.allow.saveat.allow.save

chmod400cron.allowat.allow\

系统的crontab文件应该只能被cron守护进程（它以超级用户身份运行）来访问，一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序Crontab文件限制访问权限：

sys/var/spool/cron/crontabs

chmod–R400/var/spool/cron/crontabs

chmod700/var/spool/cron/crontabs

at/cron只容许root使用，相应系统文件只容许cron守护进程调用，设顶crontabs的宿主为root:

sys，相关系统文件权限值为700或400。

4数据保护

7008

数据保护和恢复

通过fbackup/frecover方式实现数据保护和恢复。

包括本机系统和数据，远程系统和数据，磁带机等介质系统和数据的备份和恢复。

1、备份内容如果比较复杂，使用fbackup/frecover命令。

A、系统备份命令：

fbackup

1）fbackup的常用方式一：

#fbackup–f/dev/rmt/0m-0iv/dir-I/tmp/sysbk.index

-f:

设备文件名（suchasDDStapedriver）

-i:

要包含的目录

-e:

不包含的目录

-I:

备份内容检索目录

-v:

备份内容详细列表

-0:

零级备份

#fbackup–f/dev/rmt/0m-i/-e/home

备份除了目录/home的所有目录

说明

a、该命令方式对系统当前mounted的文件系统进行备份

b、备份级别说明

备份级别有0～9个级别，如果当前系统采用零级备份，当下一次采用5级备份时，系统仅将会对有变化的文件进行备份。

2）fbackup的常用方式二：

第一步：

#mkdir-p/tmp/fbackupfiles/index

#mkdir-p/tmp/fbackupfiles/log

第二步：

#touch/tmp/fbackupfiles/index/full.`date’+%y%m%d.%H:

%M’`

第三步：

进入单用户

#shutdown–y0

第四步：

对系统进行全备份

# 

fbackup 

–0uv 

/ 

-f 

/dev/rmt/0m 

\ 

-g 

/tmp/fbackupfiles/mygraph 

-I 

/tmp/fbackupfiles/index/full.`date 

’+%y%m%d.%H:

%M’` 

2 

/tmp/fbackupfiles/log/ 

full.`date 

通过该方式可以知道系统备份需要的时间

3）fbackup的常用方式三：

#fbackup–0uv/-f/dev/rmt/0m\

-g/tmp/fbackupfiles/mygraph\

-I/tmp/fbackupfiles/index/full.`date’+%y%m%d.%H:

%M’`\

2>

/tmp/fbackupfiles/log/full.`date’+%y%m%d.%H:

a、文件mygraph:

包含需要备份的目录，格式如下：

/users/data

/home/app

e/oracle/sql

b、参数u:

当备份系统成功时，系统将更新/var/adm/fbackupfiles/dates.

4）fbackup的常用方式四：

备份远程系统

[1]登录在本地系统时

#remshbackup_sysname”fbackup–fDDS_sysname:

/dev/rmt/0m-0vi/”

[2]登录在远程系统时

#fbackup–fbackup_sysname:

/dev/rmt/0m–0vi/

5）fbackup的常用方式五：

压缩方式备份（不建议使用、影响系统性能）

[1]压缩方式备份

#fbackup–0vi/dir-f-|compress|ddof=/dev/rmt/0mobs=10k

“－”:

指向标准输出

[2]查看备份内容

#