HP -UNIX主机安全加固方案
2006-09-11 01:38
225 查看
对**公司HP -UNIX主机安全加固方案,流程如下~
1、系统备份及健康检查
1.1、系统备份
1.2、加固前**业务运行情况检查
1.3、加固前系统健康检查
2、安全补丁加载
3、安全工具叠加
4、安全加固-自动加固项
4.1用户安全
4.2端口及服务安全
4.3 访问控制
4.4. 系统日志功能
4.5 网络及内核参数
4.6 警告banner
5、安全加固-手动加固项
5.1新增维护帐号admin 密码为1234
5.2 检查用户环境文件权限是否大于644,如有进行修正
5.3 检查.rhosts是否大于600,如有进行修正
5.4 修改snmp服务commuity 值public为harden值
5.5 设置inetd.sec进行网络访问控制
5.6 设置SSH只允许协议2版本
5.7other用户全局写文件权限修正
5.8 other用户全局写目录修正
6、安全加固验证
6.1加固功能验证
6.2加固后系统健康检查
6.3 加固后业务测试报告
6.3 加固后安全扫描
7、收尾工作
8、加固操作风险回退
1、系统备份及健康检查
1.1、系统备份
协调业务工程师提前准备好备份磁带,做好系统备份.
备份方法:
#make_tape_recovery –Av
1.2、加固前**业务运行情况检查
业务工程师按业务测试方案进行业务测试,测试时与业务工程师协调测试步骤.
测试方法:
1. 备机重新启动测试
2. 把主机业务切换至备机,在备机上进行业务测试
3. 主机重新启动测试
4. 把备机业务切换至主机,在主机进行业务测试
1.3、加固前系统健康检查
HP工程师按<<HP-UX主机安全加固健康报告>>进行加固前系统健康检查。
测试方法:
1. 先在备机上进行系统健康检查
2. 把业务从主机切换至备机
3. 在主机进行系统健康检查
2、安全补丁加载
按安全补丁包,进行安全补丁加载
补丁加载方法:
swinstall –x patch_match_target=true auto_reboot=true –s depot_name
1.在备机进行安全补丁加载
重新启动备机
2.在主机进行安全补丁加载
重新启动主机
3.补丁加载完进行相关检查
3、安全工具叠加
安装SSH工具
4、安全加固-自动加固项
4.1用户安全
4.1.1 删除用户列表:lp uucp mysql nuucp smbnull iwww owww
4.1.2 加固用户列表:bin sys adm daemon nobody hpdb www
4.1.3 限制root用户远程登陆
4.1.4 设置用户密码复杂度策略
4.1.5 设置umask为022
4.2端口及服务安全
4.2.1 关闭的inetd服务列表: chargen daytime discard dtspc echo exec instl_boots klogin kshell login ntalk printer recserv rpc.cmsd rpc.ttdserver swat tftp time
4.2.2 关闭下列系统服务: sendmail nfsserver nfs client nisserver nisclient rbootd ptydaemon vtdaemon cimserver pwgrd
4.3 访问控制
4.3.1设置限制ftp用户列表 root lp uucp mysql nuucp smbnull iwww owww bin sys adm daemon nobody hpdb www
4.3.2设置限制root用户SSH登陆
4.4. 系统日志功能
4.4.1 启用inetd的日志功能
4.4.2 已启用ftpd的日志功能
4.4.3 sylogd服务中,网络日志监听端口关闭
4.5 网络及内核参数
4.5.1设置网络参数
4.5.2 设置内核参数
4.6 警告banner
4.6.1 终端登录Banner设置为警告信息
4.6.2 如果Dtlogin服务被启用,CDE图形登录Banner被设置为警告信息
4.6.3 如果FTP服务被启用,FTP登录Banner被设置为警告信息
4.6.4 如果SSH服务被启用,SSH登录Banner被设置为警告信息
5、安全加固-手动加固项
5.1新增维护帐号maintain 密码为123456
5.2 检查用户环境文件权限是否大于644,如有进行修正
5.2.1检查权限
# find / -name “.profile” –exec –ls –ld {} /;
# find / -name “.cshrc” –exec –ls –ld {} /;
# find / -name “.login” –exec –ls –ld {} /;
5.2.2修正权限
修正前先对权限状态导出至日志文件
# find / -name “.profile” –exec chmod –go-w {} /;
# find / -name “.cshrc” –exec –ls –ld –go-w {} /;
# find / -name “.login” –exec –ls –ld –go-w {} /;
5.3 检查.rhosts是否大于600,如有进行修正
5.3.1检查权限
# find / -name “.rhosts” –exec –ls –ld {} /;
5.3.2修正权限
修正前先对权限状态导出至日志文件
# find / -name “.rhosts” –exec chmod 600 {} /;
5.4 修改snmp服务commuity 值public为harden值
# vi /etc/snmp.conf
修改commuity strings: public
为:
修改commuity strings: harden
5.5 设置inetd.sec进行网络访问控制
限制shell ident服务只允许双机之间访问
#vi /var/adm/inetd.sec
Shell双机节点对方IP
ident 双机节点对方IP
5.6 设置SSH只允许协议2版本
# vi /opt/ssh/sshd_config
增加
protocol 2
5.7 other用户全局写文件权限修正
5.2.1检查权限
# find / -type f –perm –o+w –exec –ls –ld {} /;
5.2.2修正权限
1.修正前先对权限状态导出至日志文件
find / -type f –perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.old
2.修正
# chmod –o-w 全局写文件 (排除业务数据文件)
2.修后导出至日志文件
find / -type f –perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.new
5.8 other用户全局写目录修正
5.2.1检查权限
# find / -type d –perm –o+w –exec –ls –ld {} /;
5.2.2修正权限
1.修正前先对权限状态导出至日志文件
find / -type d–perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.old
2.修正
# chmod +t 全局写目录 (排除 /var/tmp /tmp /var/ /dev目录及业务目录)
2.修后导出至日志文件
find / -type d –perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.new
6、安全加固验证
6.1加固功能验证
按<<HP UNIX主机安全加固测试、验收报告>>进行安全加固功能测试。
6.2加固后系统健康检查
HP工程师按<<HP-UX主机安全加固健康报告>>进行加固后系统健康检查。
测试方法:
1. 先在备机上进行系统健康检查
2. 把业务从主机切换至备机
3. 在主机进行系统健康检查
6.3 加固后业务测试报告
业务工程师按业务测试方案进行业务测试,测试时与业务工程师协调测试步骤.
测试方法:
5. 备机重新启动测试
6. 把主机业务切换至备机,在备机上进行业务测试
7. 主机重新启动测试
8. 把备机业务切换至主机,在主机进行业务测试
6.3 加固后安全扫描
用第三方安全扫描软件进行安全扫描,检查加固后扫描结果
7、收尾工作
1. 把相关加固操作日志进行备份,下载本地,进行打包备份.
2. 与业务工程师交代维护帐号变成为maintain登录,root用户不能远程直接登录.
8、加固操作风险回退
HP安全定制shell脚本集回退
利用HP安全定制shell脚本集的加固操作回退功能,对系统加固修改项回退到加固前状态。
备份磁带恢复目
加固前将会对HP UNIX操作系统根卷做全备份至磁带,当一级恢复出现异常时,将采用备份磁带恢复的方式将整个操作系统恢复至加固前状态。
1、系统备份及健康检查
1.1、系统备份
1.2、加固前**业务运行情况检查
1.3、加固前系统健康检查
2、安全补丁加载
3、安全工具叠加
4、安全加固-自动加固项
4.1用户安全
4.2端口及服务安全
4.3 访问控制
4.4. 系统日志功能
4.5 网络及内核参数
4.6 警告banner
5、安全加固-手动加固项
5.1新增维护帐号admin 密码为1234
5.2 检查用户环境文件权限是否大于644,如有进行修正
5.3 检查.rhosts是否大于600,如有进行修正
5.4 修改snmp服务commuity 值public为harden值
5.5 设置inetd.sec进行网络访问控制
5.6 设置SSH只允许协议2版本
5.7other用户全局写文件权限修正
5.8 other用户全局写目录修正
6、安全加固验证
6.1加固功能验证
6.2加固后系统健康检查
6.3 加固后业务测试报告
6.3 加固后安全扫描
7、收尾工作
8、加固操作风险回退
1、系统备份及健康检查
1.1、系统备份
协调业务工程师提前准备好备份磁带,做好系统备份.
备份方法:
#make_tape_recovery –Av
1.2、加固前**业务运行情况检查
业务工程师按业务测试方案进行业务测试,测试时与业务工程师协调测试步骤.
测试方法:
1. 备机重新启动测试
2. 把主机业务切换至备机,在备机上进行业务测试
3. 主机重新启动测试
4. 把备机业务切换至主机,在主机进行业务测试
1.3、加固前系统健康检查
HP工程师按<<HP-UX主机安全加固健康报告>>进行加固前系统健康检查。
测试方法:
1. 先在备机上进行系统健康检查
2. 把业务从主机切换至备机
3. 在主机进行系统健康检查
2、安全补丁加载
按安全补丁包,进行安全补丁加载
补丁加载方法:
swinstall –x patch_match_target=true auto_reboot=true –s depot_name
1.在备机进行安全补丁加载
重新启动备机
2.在主机进行安全补丁加载
重新启动主机
3.补丁加载完进行相关检查
3、安全工具叠加
安装SSH工具
4、安全加固-自动加固项
4.1用户安全
4.1.1 删除用户列表:lp uucp mysql nuucp smbnull iwww owww
4.1.2 加固用户列表:bin sys adm daemon nobody hpdb www
4.1.3 限制root用户远程登陆
4.1.4 设置用户密码复杂度策略
4.1.5 设置umask为022
4.2端口及服务安全
4.2.1 关闭的inetd服务列表: chargen daytime discard dtspc echo exec instl_boots klogin kshell login ntalk printer recserv rpc.cmsd rpc.ttdserver swat tftp time
4.2.2 关闭下列系统服务: sendmail nfsserver nfs client nisserver nisclient rbootd ptydaemon vtdaemon cimserver pwgrd
4.3 访问控制
4.3.1设置限制ftp用户列表 root lp uucp mysql nuucp smbnull iwww owww bin sys adm daemon nobody hpdb www
4.3.2设置限制root用户SSH登陆
4.4. 系统日志功能
4.4.1 启用inetd的日志功能
4.4.2 已启用ftpd的日志功能
4.4.3 sylogd服务中,网络日志监听端口关闭
4.5 网络及内核参数
4.5.1设置网络参数
4.5.2 设置内核参数
4.6 警告banner
4.6.1 终端登录Banner设置为警告信息
4.6.2 如果Dtlogin服务被启用,CDE图形登录Banner被设置为警告信息
4.6.3 如果FTP服务被启用,FTP登录Banner被设置为警告信息
4.6.4 如果SSH服务被启用,SSH登录Banner被设置为警告信息
5、安全加固-手动加固项
5.1新增维护帐号maintain 密码为123456
5.2 检查用户环境文件权限是否大于644,如有进行修正
5.2.1检查权限
# find / -name “.profile” –exec –ls –ld {} /;
# find / -name “.cshrc” –exec –ls –ld {} /;
# find / -name “.login” –exec –ls –ld {} /;
5.2.2修正权限
修正前先对权限状态导出至日志文件
# find / -name “.profile” –exec chmod –go-w {} /;
# find / -name “.cshrc” –exec –ls –ld –go-w {} /;
# find / -name “.login” –exec –ls –ld –go-w {} /;
5.3 检查.rhosts是否大于600,如有进行修正
5.3.1检查权限
# find / -name “.rhosts” –exec –ls –ld {} /;
5.3.2修正权限
修正前先对权限状态导出至日志文件
# find / -name “.rhosts” –exec chmod 600 {} /;
5.4 修改snmp服务commuity 值public为harden值
# vi /etc/snmp.conf
修改commuity strings: public
为:
修改commuity strings: harden
5.5 设置inetd.sec进行网络访问控制
限制shell ident服务只允许双机之间访问
#vi /var/adm/inetd.sec
Shell双机节点对方IP
ident 双机节点对方IP
5.6 设置SSH只允许协议2版本
# vi /opt/ssh/sshd_config
增加
protocol 2
5.7 other用户全局写文件权限修正
5.2.1检查权限
# find / -type f –perm –o+w –exec –ls –ld {} /;
5.2.2修正权限
1.修正前先对权限状态导出至日志文件
find / -type f –perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.old
2.修正
# chmod –o-w 全局写文件 (排除业务数据文件)
2.修后导出至日志文件
find / -type f –perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.new
5.8 other用户全局写目录修正
5.2.1检查权限
# find / -type d –perm –o+w –exec –ls –ld {} /;
5.2.2修正权限
1.修正前先对权限状态导出至日志文件
find / -type d–perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.old
2.修正
# chmod +t 全局写目录 (排除 /var/tmp /tmp /var/ /dev目录及业务目录)
2.修后导出至日志文件
find / -type d –perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.new
6、安全加固验证
6.1加固功能验证
按<<HP UNIX主机安全加固测试、验收报告>>进行安全加固功能测试。
6.2加固后系统健康检查
HP工程师按<<HP-UX主机安全加固健康报告>>进行加固后系统健康检查。
测试方法:
1. 先在备机上进行系统健康检查
2. 把业务从主机切换至备机
3. 在主机进行系统健康检查
6.3 加固后业务测试报告
业务工程师按业务测试方案进行业务测试,测试时与业务工程师协调测试步骤.
测试方法:
5. 备机重新启动测试
6. 把主机业务切换至备机,在备机上进行业务测试
7. 主机重新启动测试
8. 把备机业务切换至主机,在主机进行业务测试
6.3 加固后安全扫描
用第三方安全扫描软件进行安全扫描,检查加固后扫描结果
7、收尾工作
1. 把相关加固操作日志进行备份,下载本地,进行打包备份.
2. 与业务工程师交代维护帐号变成为maintain登录,root用户不能远程直接登录.
8、加固操作风险回退
HP安全定制shell脚本集回退
利用HP安全定制shell脚本集的加固操作回退功能,对系统加固修改项回退到加固前状态。
备份磁带恢复目
加固前将会对HP UNIX操作系统根卷做全备份至磁带,当一级恢复出现异常时,将采用备份磁带恢复的方式将整个操作系统恢复至加固前状态。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Oracle数据库主机巡检之 HP_UNIX系统中 TOP/Vmstat/iostat/Glance 命令详解
- WIN2003服务器安全加固方案
- SSL虚拟主机安全方案
- 主机安全加固--升级openssh及openssl
- WIN2003服务器安全加固方案
- HP-UNIX 修改主机名称
- Linux系统主机安全加固
- 【安全运维】 linux 系统账户,网络,简易安全加固方案(第一部分),经测试可行
- SSL虚拟主机安全方案
- Windows 2003服务器安全加固方案
- LINUX主机安全加固
- Linux下网站安全加固方案
- redis安全加固方案
- SSL虚拟主机安全方案
- CentOS7 系统安全加固实施方案介绍
- Unix主机安全漏洞及漏洞扫描器介绍(1)
- 基于御安全APK加固的游戏反外挂方案
- Unix主机安全漏洞及漏洞扫描器介绍(2)
- 网络主机防泄密安全保护方案