1、系統備份及健康檢查
1.1、系統備份
1.2、加固前**業務運行情況檢查
1.3、加固前系統健康檢查
2、安全補丁加載
3、安全工具疊加
4、安全加固-自動加固項
4.1用戶安全
4.2端口及服務安全
4.3 訪問控制
4.4. 系統日誌功能
4.5 網絡及內核參數
4.6 警告banner
5、安全加固-手動加固項
5.1新增維護帳號admin 密碼爲1234
5.2 檢查用戶環境文件權限是否大於644,如有進行修正
5.3 檢查.rhosts是否大於600,如有進行修正
5.4 修改snmp服務commuity 值public爲harden值
5.5 設置inetd.sec進行網絡訪問控制
5.6 設置SSH只允許協議2版本
5.7other用戶全局寫文件權限修正
5.8 other用戶全局寫目錄修正
6、安全加固驗證
6.1加固功能驗證
6.2加固後系統健康檢查
6.3 加固後業務測試報告
6.3 加固後安全掃描
7、收尾工作
8、加固操作風險回退
1、系統備份及健康檢查
1.1、系統備份
協調業務工程師提前準備好備份磁帶,做好系統備份.
備份方法:
#make_tape_recovery –Av
1.2、加固前**業務運行情況檢查
業務工程師按業務測試方案進行業務測試,測試時與業務工程師協調測試步驟.
測試方法:
1. 備機重新啓動測試
2. 把主機業務切換至備機,在備機上進行業務測試
3. 主機重新啓動測試
4. 把備機業務切換至主機,在主機進行業務測試
1.3、加固前系統健康檢查
HP工程師按<<HP-UX主機安全加固健康報告>>進行加固前系統健康檢查。
測試方法:
1. 先在備機上進行系統健康檢查
2. 把業務從主機切換至備機
3. 在主機進行系統健康檢查
2、安全補丁加載
按安全補丁包,進行安全補丁加載
補丁加載方法:
swinstall –x patch_match_target=true auto_reboot=true –s depot_name
1.在備機進行安全補丁加載
重新啓動備機
2.在主機進行安全補丁加載
重新啓動主機
3.補丁加載完進行相關檢查
3、安全工具疊加
安裝SSH工具
4、安全加固-自動加固項
4.1用戶安全
4.1.1 刪除用戶列表:lp uucp mysql nuucp smbnull iwww owww
4.1.2 加固用戶列表:bin sys adm daemon nobody hpdb www
4.1.3 限制root用戶遠程登陸
4.1.4 設置用戶密碼複雜度策略
4.1.5 設置umask爲022
4.2端口及服務安全
4.2.1 關閉的inetd服務列表: chargen daytime discard dtspc echo exec instl_boots klogin kshell login ntalk printer recserv rpc.cmsd rpc.ttdserver swat tftp time
4.2.2 關閉下列系統服務: sendmail nfsserver nfs client nisserver nisclient rbootd ptydaemon vtdaemon cimserver pwgrd
4.3 訪問控制
4.3.1設置限制ftp用戶列表 root lp uucp mysql nuucp smbnull iwww owww bin sys adm daemon nobody hpdb www
4.3.2設置限制root用戶SSH登陸
4.4. 系統日誌功能
4.4.1 啓用inetd的日誌功能
4.4.2 已啓用ftpd的日誌功能
4.4.3 sylogd服務中,網絡日誌監聽端口關閉
4.5 網絡及內核參數
4.5.1設置網絡參數
4.5.2 設置內核參數
4.6 警告banner
4.6.1 終端登錄Banner設置爲警告信息
4.6.2 如果Dtlogin服務被啓用,CDE圖形登錄Banner被設置爲警告信息
4.6.3 如果FTP服務被啓用,FTP登錄Banner被設置爲警告信息
4.6.4 如果SSH服務被啓用,SSH登錄Banner被設置爲警告信息
5、安全加固-手動加固項
5.1新增維護帳號maintain 密碼爲123456
5.2 檢查用戶環境文件權限是否大於644,如有進行修正
5.2.1檢查權限
# find / -name “.profile” –exec –ls –ld {} /;
# find / -name “.cshrc” –exec –ls –ld {} /;
# find / -name “.login” –exec –ls –ld {} /;
5.2.2修正權限
修正前先對權限狀態導出至日誌文件
# find / -name “.profile” –exec chmod –go-w {} /;
# find / -name “.cshrc” –exec –ls –ld –go-w {} /;
# find / -name “.login” –exec –ls –ld –go-w {} /;
5.3 檢查.rhosts是否大於600,如有進行修正
5.3.1檢查權限
# find / -name “.rhosts” –exec –ls –ld {} /;
5.3.2修正權限
修正前先對權限狀態導出至日誌文件
# find / -name “.rhosts” –exec chmod 600 {} /;
5.4 修改snmp服務commuity 值public爲harden值
# vi /etc/snmp.conf
修改commuity strings: public
爲:
修改commuity strings: harden
5.5 設置inetd.sec進行網絡訪問控制
限制shell ident服務只允許雙機之間訪問
#vi /var/adm/inetd.sec
Shell雙機節點對方IP
ident 雙機節點對方IP
5.6 設置SSH只允許協議2版本
# vi /opt/ssh/sshd_config
增加
protocol 2
5.7 other用戶全局寫文件權限修正
5.2.1檢查權限
# find / -type f –perm –o+w –exec –ls –ld {} /;
5.2.2修正權限
1.修正前先對權限狀態導出至日誌文件
find / -type f –perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.old
2.修正
# chmod –o-w 全局寫文件 (排除業務數據文件)
2.修後導出至日誌文件
find / -type f –perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.new
5.8 other用戶全局寫目錄修正
5.2.1檢查權限
# find / -type d –perm –o+w –exec –ls –ld {} /;
5.2.2修正權限
1.修正前先對權限狀態導出至日誌文件
find / -type d–perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.old
2.修正
# chmod +t 全局寫目錄 (排除 /var/tmp /tmp /var/ /dev目錄及業務目錄)
2.修後導出至日誌文件
find / -type d –perm –o+w –exec –ls –ld {} /; > /tmp/harden/filelist.new
6、安全加固驗證
6.1加固功能驗證
按<<HP UNIX主機安全加固測試、驗收報告>>進行安全加固功能測試。
6.2加固後系統健康檢查
HP工程師按<<HP-UX主機安全加固健康報告>>進行加固後系統健康檢查。
測試方法:
1. 先在備機上進行系統健康檢查
2. 把業務從主機切換至備機
3. 在主機進行系統健康檢查
6.3 加固後業務測試報告
業務工程師按業務測試方案進行業務測試,測試時與業務工程師協調測試步驟.
測試方法:
5. 備機重新啓動測試
6. 把主機業務切換至備機,在備機上進行業務測試
7. 主機重新啓動測試
8. 把備機業務切換至主機,在主機進行業務測試
6.3 加固後安全掃描
用第三方安全掃描軟件進行安全掃描,檢查加固後掃描結果
7、收尾工作
1. 把相關加固操作日誌進行備份,下載本地,進行打包備份.
2. 與業務工程師交代維護帳號變成爲maintain登錄,root用戶不能遠程直接登錄.
8、加固操作風險回退
HP安全定製shell腳本集回退
利用HP安全定製shell腳本集的加固操作回退功能,對系統加固修改項回退到加固前狀態。
備份磁帶恢復目
加固前將會對HP UNIX操作系統根卷做全備份至磁帶,當一級恢復出現異常時,將採用備份磁帶恢復的方式將整個操作系統恢復至加固前狀態。