Wechselt zum Inhalt Deutschland - Deutsch
HP.com Deutschland Startseite Produkte und Services Support und Treiber Lösungen Kaufen
» Kontakt zu HP
Weitere Optionen
HP.com Deutschland Startseite
 Installations- und Aktualisierungshandbuch für HP-UX 11i v2: HP Integrity Server und HP 9000 Server > Kapitel 3 Auswahl einer Installationsmethode

Überlegungen zur Sicherheit
» 

Technische Dokumentation

Gesamtes Buch in PDF
» Kommentare
Text beginnt hier

 » Inhaltsverzeichnis

 » Stichwortverzeichnis

spacerspacerspacer
spacer
spacer
  		 
 

HP-UX Bastille (HPUXBastille) ist als standardmäßig installierte Software auf dem Datenträger zur Betriebsumgebung enthalten und kann mit Ignite-UX oder Update-UX installiert und ausgeführt werden (siehe „Vordefinierte Sicherheitsstufen“).

HP-UX Bastille ist ein Werkzeug zur Absicherung, Berichterstellung und Sperrung und erhöht die Sicherheit des Betriebssystems HP-UX. Es stellt eine angepasste Sperrung (Lockdown) auf Systembasis mit Funktionen ähnlich wie bei Bastion Host und anderen Prüflisten zur Absicherung und Sperrung zur Verfügung.

Weitere Informationen zu HP-UX Bastille finden Sie in der folgenden Dokumentation:

Vordefinierte Sicherheitsstufen

Während der Kaltinstallation oder Aktualisierung können Sie eine der in Tabelle 3-3, „Vordefinierte Sicherheitskonfiguration“ aufgeführten Sicherheitsstufen auswählen, wobei jede Stufe eine höhere Sicherheit bietet:

Tabelle 3-3 Vordefinierte Sicherheitskonfiguration

Sicherheitsstufe

Name der Konfigurationsdatei[1]

Beschreibung

Sec00Tools[2]

Nicht relevantDie Sicherheitsinfrastruktur während der Installation; keine Sicherheitsänderungen.

Sec10Host[3]

HOST.config

Host-basierende Sperre: keine Firewall, einige allgemeine Services mit Klartext werden ausgeschaltet, ausgenommen Telnet und FTP.

Sec20MngDMZ[3]

MANDMZ.config

Sperrung bei gleichzeitiger Sicherheitsverwaltung: IPFilter Firewall blockiert eingehende Verbindungen außer allgemeinen, sicheren Verwaltungsprotokollen.

Sec30DMZ[3]

DMZ.config

Netzwerk-DMZ-Sperre: IPFilter blockiert alle eingehenden Verbindungen außer HP-UX Secure Shell.

[1] Konfigurationsdateien werden unter /etc/opt/sec_mgmt/bastille installiert.

[2] Sec00Tools wird standardmäßig installiert.

[3] Sec10Host, Sec20MngDMZ und Sec30DMZ sind auswählbar.

 

HINWEIS: Bei Auswahl der Sicherheitsstufe Sec30DMZ oder MngDMZ begrenzt IPFilter eingehende Netzwerkverbindungen. Weitere Informationen zum Hinzufügen von Anschlüssen für eingehende Daten zu Ihrer Datei /etc/opt/ipf.customerrules finden Sie im Handbuch HP-UX IPFilter Version A.03.05.09 Administrator's Guide und im Handbuch Verwalten von Systemen und Arbeitsgruppen: Leitfaden für HP-UX Systemverwalter.

Auswahl der Sicherheitsstufen während der Installation

Während der Installation können Sie Ihre Sicherheitsstufen konfigurieren, wenn Sie von „Client Installation Configuration Interface“ auf die Registerkarte System oder die Registerkarte Software gehen. Die Registerkarte „System“ ermöglicht das Konfigurieren für Ihr System gültiger Informationen wie Sicherheitsstufen, Host-Name, IP-Adresse, Root-Kennwort und Zeitzone.

HP empfiehlt die Verwendung der Registerkarte System zur Auswahl der für Ihre Installation geeigneten Sicherheitsstufe wie nachfolgend beschrieben.

  1. Führen Sie eine der folgenden Aktionen aus:

    • Wenn Sie die grafische Benutzeroberfläche von Ignite-UX verwenden, gehen Sie von der Client-Installations-Konfigurationsoberfläche aus zur Registerkarte System und wählen Sie Security Choices aus.

    • Wenn Sie den Install HP-UX Wizard von Ignite verwenden, gehen Sie zur Anzeige Additional Software und wählen Sie „Security Choices“.

    Die vier Sicherheitsstufen werden angezeigt. Sec00Tools ist standardmäßig ausgewählt.

  2. Wählen Sie die für Ihre Installation geeignete Sicherheitsstufe. Siehe hierzu auch „Vordefinierte Sicherheitsstufen“.

  3. Wählen Sie OK aus.

Serviceguard-Konfiguration (nach der Installation) zur Verwendung mit Sicherheitsstufen

Konfigurieren von Sec20MngDMZ oder Sec30DMZ zur Verwendung mit Serviceguard

Serviceguard verwendet dynamische Anschlüsse. Damit der Betrieb möglich ist, muss der Anschlussbereich für mögliche Sicherheitsziele geöffnet werden. Das Öffnen des Anschlussbereichs ist nicht mit den Sicherheitszielen von Sec20MngDMZ (MANDMZ.config) und Sec30DMZ (DMZ.config) vereinbar, da mehrere Services (einschließlich rpc-artiger Anwendungen) möglicherweise denselben Anschlussbereich überwachen. Die Firewall bietet jedoch weiterhin Sicherheitsfunktionen, die dem Sicherheitsimplementierungsmodell von Serviceguard entsprechen, wie dies im Dokument Securing Serviceguard unter folgender Adresse beschrieben wird:

http://docs.hp.com/

Bevor Sie den Anschlussbereich von Serviceguard öffnen, müssen Sie die erforderlichen IPFilter-SG-Regeln kennen, die im HP-UX IPFilter Version A.03.05.09 Administrator's Guide unter folgender Adresse dokumentiert sind:

http://docs.hp.com/en/B9901-90021/B9901-90021.pdf

Wenn der Serviceguard Sicherheits-Patch von 2004 installiert ist, erfordert Serviceguard einen zusätzlichen Service, identd. Aktivieren Sie diesen, indem Sie die im Folgenden beschriebenen Schritte ausführen.

  1. Ändern Sie in der für die nächste Bastille Sperre verwendeten HP-UX Bastille Konfiguration, deren Standardposition beispielsweise: /etc/opt/sec_mgmt/bastille/config ist, die Antwort auf die Frage:

    Should Bastille ensure inetd's ident service does not run on this system?

  2. Ändern Sie die Antwort wie folgt von „Y“ in „N“:

    SecureInetd.deactivate_ident="N"

  3. Wenden Sie die Änderungen der Konfigurationsdatei an. Sie können Ihre Systemkonfiguration manuell oder mit HP-UX Bastille ändern. Bei der ersten Methode sind weniger Schritte für Systeme erforderlich, die nach dem Konfigurieren des Systems mit dem Werkzeug Bastille manuell konfiguriert wurden. Bei der zweiten Methode sind weniger Schritte für Systeme erforderlich, die nach dem Konfigurieren des Systems mit Bastille nicht manuell konfiguriert wurden.

  4. Führen Sie eine der folgenden Aktionen aus:

    • Manuelle Aktualisierung der Systemkonfiguration: Bearbeiten Sie die Datei /etc/inetd.conf, indem Sie die Kennzeichnung als Kommentar in der folgenden Zeile aufheben (das Zeichen # entfernen):

      #auth stream tcp6 wait bin /usr/lbin/identd identd

      Erzwingen Sie ein erneutes Einlesen der Konfiguration durch inetd mit der Ausführung des folgenden Befehls:

      # inetd -c

    • Aktualisierung der Konfiguration mit HP-UX Bastille: Kehren Sie zur vorigen HP-UX Bastille Konfiguration zurück, und wenden Sie anschließend die neue HP-UX Bastille Konfiguration an.
      # bastille -r
      # bastille -b [-f <Pfad der Konfigurationsdatei> ]

Konfigurieren von HP-UX Bastille Sec10Host

Informationen zur Konfiguration von HP-UX Bastille Sec10Host finden Sie im Dokument Securing Serviceguard unter folgender Adresse:

http://docs.hp.com/

ACHTUNG: Beachten Sie bei der Rückkehr zur vorherigen HP-UX Bastille Konfiguration die folgenden Vorsichtsmaßnahmen:

  • Änderungen der Sicherheitskonfiguration werden vorübergehend aufgehoben.

  • Weitere manuelle Konfigurationsänderungen oder die Installation zusätzlicher Software nach der ersten Ausführung von HP-UX Bastille können dazu führen, dass HP-UX Bastille ein manuelles Kombinieren der Konfigurationseinstellungen erfordert.

Abhängigkeiten der Sicherheitsauswahl

Die Sicherheitsstufe Sec00Tools wird standardmäßig auf Ihrem System installiert. Obwohl Sec00Tools während der Kaltinstallation oder Aktualisierung keine Sicherheitsänderungen implementiert, stellt es sicher, dass die erforderliche Software (siehe Abbildung 3-1, „Abhängigkeiten zwischen der Sicherheitssoftware während der Installation“) installiert wird. Die Sicherheitsstufe Sec00Tools enthält die vorgenerierten Konfigurationsdateien, mit denen Sie eine Sicherheitsstufe aufbauen oder die Sie als Vorlage zum Erstellen einer individuellen Sicherheitskonfiguration verwenden können. Die Sicherheitsstufe Sec00Tools stellt außerdem sicher, dass die für diese Sicherheitsstufen erforderliche Software zur Verfügung steht.

Alternativ dazu können Sie Ihr System während der Kaltinstallation oder Aktualisierung mit Hilfe einer der folgenden Sicherheitsstufen sperren:

  • Sec10Host

  • Sec20MngDMZ

  • Sec30DMZ

Sec10Host, Sec20MngDMZ und Sec30DMZ sind abhängig von Sec00Tools.

Abbildung 3-1 Abhängigkeiten zwischen der Sicherheitssoftware während der Installation

Abhängigkeiten zwischen der Sicherheitssoftware während der Installation

Gesicherte Services und Protokolle

Jede Sicherheitsstufe steigert die Sicherheit, indem verschiedene Protokolle und Services gesperrt werden. HP-UX Bastille bestimmt anhand verschiedener Fragen, welche Services und Protokolle gesichert werden sollen. Wenn Sie mit einer der Sicherheitsstufen arbeiten, wird ein Standardsicherheitsprofil angewendet, das den Sperrprozess vereinfacht.

In den folgenden Tabellen sind die Services und Protokolle aufgelistet, auf die sich die jeweiligen Sicherheitsstufen (siehe Tabelle 3-3, „Vordefinierte Sicherheitskonfiguration“) auswirken, wenn Sie eine Sicherheitsstufe während der Kaltinstallation oder der Aktualisierung anwenden.

WICHTIG: Lesen Sie diese Tabellen sorgfältig. Einige der Sperrservices und Protokolle werden möglicherweise von anderen Anwendungen verwendet und haben möglicherweise negative Auswirkungen auf die Funktionalität dieser Anwendungen. HP Systems Insight Manager und ParMgr sind beispielsweise bei der Kommunikation zwischen Hosts von WBEM abhängig; Sec30DMZ blockiert alle eingehenden WBEM-Verbindungen über IPFilter. Die lokale und ausgehende Kommunikation wird jedoch nicht blockiert. Darüber hinaus verarbeiten manche Installationsskripts von anderen Herstellern eventuell den von den Sicherheitsstufen eingestellten konservativeren umask-Wert 027 nicht korrekt.

Sie können die während der Kaltinstallation konfigurierten Sicherheitseinstellungen ändern, indem Sie HP-UX Bastille nach dem Installieren oder Aktualisieren Ihres Systems ändern. Weitere Informationen zur Verwendung von HP-UX Bastille finden Sie im Handbuch Verwalten von Systemen und Arbeitsgruppen: Leitfaden für HP-UX Systemverwalter oder im HP-UX Bastille User’s Guide auf Ihrem System unter: /opt/sec_mgmt/bastille/docs/user_guide.txt

Tabelle 3-4 Host-basierende Sicherheitseinstellungen über Sec10Host während der Installation[1]

Kategorie

Aktionen

Anmeldenamen und Kennwörter

Anmeldung zurückweisen, sofern kein Heimverzeichnis vorhanden ist
Anmeldungen ohne Root-Zugriffsrechte ablehnen, wenn Datei /etc/nologin vorhanden ist
Standardpfad für den Befehl su einstellen
Root-Anmeldungen über Netzwerk-tty deaktivieren
Verschlüsselte Kennwörter verdecken
Anmeldungen von ftpd-Systemkonten deaktivieren
X-Anmeldungen von einem fernen System deaktivieren

Dateisystem, Netzwerk und Systemkern

ndd-Einstellungen [2],[3] ändern
Zugriff von fernen Systemen auf swlist begrenzen
Standardwert für umask einstellen
Kernbasierenden Stapelausführungsschutz aktivieren

Daemon-Prozesse

ptydaemon deaktivieren
pwgrd deaktivieren
rbootd deaktivieren
NFS-Client-Daemon-Prozesse deaktivieren
NFS-Server deaktivieren
NIS-Client-Programme deaktivieren
NIS-Server-Programme deaktivieren
SNMPD deaktivieren

inetd-Services

bootp deaktivieren
Die integrierten Services von inetd deaktivieren
CDE-Helper-Services deaktivieren
finger deaktivieren
ident deaktivieren
klogin und kshell deaktivieren
ntalk deaktivieren
Services für login, shell und exec deaktivieren
swat deaktivieren
printer deaktivieren
recserv deaktivieren
tftp deaktivieren
time deaktivieren
uucp deaktivieren
EMS-Netzwerkkommunikation (Event Monitoring Services) deaktivieren
Protokollieren für alle inetd-Verbindungen aktivieren

sendmail

sendmail über cron ausführen, um Warteschlange zu verarbeiten
Daemon-Modus für sendmail stoppen
Befehle vrfy und expn deaktivieren

Weitere Einstellungen

HP Apache 2.x Web-Server deaktivieren[4]
cron-Job für Security Patch Check konfigurieren[2]

[1] Die hier aufgelisteten Sicherheitseinstellungen gelten auch für Sec20MngDMZ und Sec30DMZ

[2] Möglicherweise müssen manuelle Aktionen zum Abschließen der Konfiguration durchgeführt werden. Weitere Informationen hierzu finden Sie nach dem Installieren oder Aktualisieren im Verzeichnis /etc/opt/sec_mgmt/bastille/TODO.txt.

[3] Die folgenden ndd-Änderungen werden vorgenommen:

ip_forward_directed_broadcasts=0
ip_forward_src_routed=0
ip_forwarding=0
ip_ire_gw_probe=0
ip_pmtu_strategy=1
ip_send_source_quench=0
tcp_conn_request_max=4096
tcp_syn_rcvd_max=1000

[4] Einstellungen werden nur angewendet, wenn die Software installiert ist

 

Tabelle 3-5 Zusätzliche Sicherheitseinstellungen über Sec20MngDMZ während der Installation[1]

Kategorie

Aktionen

inetd-Services

Umfasst alle deaktivierten inetd-Services aus Tabelle 3-4, „Host-basierende Sicherheitseinstellungen über Sec10Host während der Installation“ und:

ftp deaktivieren
telnet deaktivieren

IPFilter-Konfiguration[2]

Eingehende DNS-Anfrageverbindungen blockieren
Eingehende HIDS-Verwaltungsverbindungen blockieren[3],[4]
IPFilter konfigurieren, um ausgehenden Datenverkehr zuzulassen und eingehenden Datenverkehr mit eingestellten IP-Optionen und sonstigen Datenverkehr außer für HP-UX Secure Shell, HIDS Agent, WBEM, Web-Admin und Web-Admin-Autostart[5], ICMP-Echo zu blockieren.

[1] Wendet alle Sicherheitseinstellungen in Tabelle 3-4, „Host-basierende Sicherheitseinstellungen über Sec10Host während der Installation“ an

[2] IPFilter-Regeln werden über eine Datei mit angepassten Regeln angewendet, die sich im Verzeichnis /etc/opt/sec_mgmt/bastille/ipf.customrules befindet

[3] HP-UX Host IDS ist ein auswählbares Softwarepaket und nur für kommerzielle Server verfügbar

[4] Einstellungen werden nur angewendet, wenn die Software installiert ist

[5] Möglicherweise müssen manuelle Aktionen zum Abschließen der Konfiguration durchgeführt werden. Weitere Informationen hierzu finden Sie nach dem Installieren oder Aktualisieren im Verzeichnis /var/opt/sec_mgmt/bastille/TODO.txt.

 

Tabelle 3-6 Zusätzliche Sicherheitseinstellungen über Sec30DMZ während der Installation[1]

Kategorie

Aktionen

IPFilter-Konfiguration[2]

Enthält alle IPFilter-Einstellungen in Tabelle 3-5, „Zusätzliche Sicherheitseinstellungen über Sec20MngDMZ während der Installation“ und:

Eingehende HIDS-Agent-Verbindungen blockieren[3],[4]
Eingehende WBEM-Verbindungen blockieren[5]
Eingehende Web-Admin-Verbindungen blockieren
Eingehende Web-Admin-Autostart-Verbindungen blockieren
Sämtlichen Datenverkehr außer HP-UX Secure Shell blockieren
Blockierung ICMP-Echo

[1] Wendet alle Sicherheitskonfigurationseinstellungen in Tabelle 3-4, „Host-basierende Sicherheitseinstellungen über Sec10Host während der Installation“ und Tabelle 3-5, „Zusätzliche Sicherheitseinstellungen über Sec20MngDMZ während der Installation“ an

[2] IPFilter-Regeln werden über eine Datei mit angepassten Regeln angewendet, die sich im Verzeichnis /etc/opt/sec_mgmt/bastille/ipf.customrules befindet

[3] Einstellungen werden nur angewendet, wenn die Software installiert ist

[4] HP-UX Host IDS ist ein auswählbares Softwarepaket und nur für kommerzielle Server verfügbar

[5] WBEM ist für verschiedene HP Verwaltungsanwendungen erforderlich, einschließlich HP Systems Insight Manager und ParMgr.

 



Erforderliche Zeit für eine Kaltinstallation oder Aktualisierung
  		 


Online-Diagnosewerkzeuge  
Druckbare Version
Datenschutzerklärung

Impressum		 Mit der Benutzung dieser Website erklären Sie sich mit den entsprechenden Nutzungsbedingungen einverstanden
© 2000-2007 Hewlett-Packard Development Company, L.P.