首页 » 系统安全 » Linux/Unix » HP-UX » 正文

HP-UX 常见加固

1,弱口令检查及加固 

首先将 /etc/shadow 文件复制到检查 PC 上,然后用下面的命令行运行 John the Ripper 工具执行检查:

# 检查用户是否包含简单密码
john shadow --single

# 检查用户是否使用了字典文件 passwd.list 中指定的密码
john shadow --wordlist='passwd.list'

对于检查发现的弱密码用户,可以通过下面的命令重设密码:

passwd 用户名

 

2,禁用不使用的帐号

通过 /etc/passwd 文件分析出服务器上存在的不需要使用的帐号(特别要注意默认的guest帐号),使用下面的命令根据提示来锁定或解锁某个特定的用户。 

# 例如:锁定 guest 用户
passwd -l guest

3,应用程序用户设置

如果用户使用 HP-UX只是为了启动某个应用程序,则他们不需要访问 Shell。这些用户应该只使用应用程序(例如数据库管理系统),而无需访问任何 HP-UX 功能。

要限制对 HP-UX 的访问,请修改 /etc/passwd 文件,使得在用户登录后只执行一条特定命令。下面是一个限制用户只能运行 date 命令的示例。

vi /etc/passwd

username:rc70x.4,sx2:20:1:run only date command:/home/date:/usr/bin/date

4,密码策略配置

4.1 启用影子密码

由于 /etc/passwd 允许任何被用户访问,如果将密码存储在该文件会被所有用户访问到,攻击者可以利用一些密码解密工具来破解用户密码,因此可以将密码转储到 /etc/shadow 中保存,可以有效防止普通用户获取到密码的散列值。

检查服务器是否已经启用了影子密码,如果没有的话可以通过命令 pwconv 来启用。

4.2 密码复杂度及过期策略

vi /etc/default/security

# 最小密码长度
MIN_PASSWORD_LENGTH=6
# 至少包含的大写字母数量
PASSWORD_MIN_UPPER_CASE_CHARS=1
# 至少包含的数字数量
PASSWORD_MIN_DIGIT_CHARS=1
# 至少包含的特殊字符数量
PASSWORD_MIN_SPECIAL_CHARS=1
# 至少包含的小写字母数量
PASSWORD_MIN_LOWER_CASE_CHARS=1
# 密码不能为空
ALLOW_NULL_PASSWORD=0
# 密码最长使用天数
PASSWORD_MAXDAYS=90
# 不能重复使用最近的密码个数
HISTORY=5

4. 认证设置

 为了防止用户口令被暴力猜解,建议根据实际需要设定登录失败锁定帐号策略:

vi /etc/default/security

# 导致帐号锁定的密码错误次数
AUTH_MAXTRIES=6

5. 登录会话超时

 vi /etc/profile

# 限制登录会话超时时间为 180秒
TMOUT = 180

6. 禁止 root 远程登录

仅允许 root 用户从控制台登录, 需要远程以 root 权限的,可以先通过普通用户登录,然后使用 su 切换至 root 用户。

echo console > /etc/securetty

7. 关闭不必要的 inetd 服务 

修改  /etc/inetd.conf 配置文件,建议将其中不需要使用的服务行注释后,然后重启 inetd 服务。下列服务一般不常使用,建议关闭。

echo、discard、datetime、chargen、finger、login(rlogin)、shell(rsh)、exec(rexec)、kshell、klogin、comsat、uucp、bootps、systat、netstat、tftp、talk、ntalk、dtspc、telnet
# 重启服务
/sbin/init.d/inetd restart
或
inetd -c

8. 关闭不必要的服务

使用下面的命令查看以大写字母 S 开头的链接文件,检查这些文件是否为需要启动的服务:

cat /sbin/rc2.d/
cat /sbin/rc3.d/
cat /sbin/rc5.d/

将需要关闭的服务的链接文件按下面的方式重命名:

mv /sbin/rc2.d/Sxxxxxx /sbin/rc2.d/sxxxxxx

9. 关闭不必要的 NFS 共享

 修改 /etc/exports 文件,删除其中不需要的共享。

10. 设置 umask 值

vi /etc/profile

# umask 默认值为022
umask  027

更多有关 HP-UX 安全管理方面的知识,请参考下列官方文档。

http://h20566.www2.hp.com/portal/site/hpsc/template.BINARYPORTLET/public/kb/docDisplay/resource.process/?spf_p.tpst=kbDocDisplay_ws_BI&spf_p.rid_kbDocDisplay=docDisplayResURL&javax.portlet.begCacheTok=com.vignette.cachetoken&spf_p.rst_kbDocDisplay=wsrp-resourceState%3DdocId%253Demr_na-c02460898%257CdocLocale%253Dzh_CN&javax.portlet.endCacheTok=com.vignette.cachetoken

发表评论