Wechselt zum Inhalt Deutschland - Deutsch
HP.com Deutschland Startseite Produkte und Services Support und Treiber Lösungen Kaufen
» Kontakt zu HP
Weitere Optionen
HP.com Deutschland Startseite
 Ignite-UX Verwaltungshandbuch: für HP-UX 11i > Kapitel 6 Sicherheit

Ändern eines über Bastille geschützten Systems für den Betrieb mit Ignite-UX
» 

Technische Dokumentation

Gesamtes Buch in PDF
» Kommentare
Text beginnt hier

 » Inhaltsverzeichnis

 » Glossar

 » Stichwortverzeichnis

spacerspacerspacer
spacer
spacer
  		 
 

HP-UX Bastille ist ein Werkzeug zur Absicherung und Sperrung, mit dem die Sicherheit des Betriebs­systems HP-UX erhöht werden kann. Es stellt eine angepasste Sperrung (Lockdown) auf Systembasis mit Funktionen ähnlich wie bei Center for Internet Security (CIS) Level 1 Benchmark für HP-UX und anderen Prüflisten zur Absicherung und Sperrung zur Verfügung. Die Bastille-Technologie ist in HP-UX 11i v1 und späteren Versionen von HP-UX verfügbar.

Dieser Abschnitt beschreibt, wie Sie sicherstellen, dass die Ignite-UX Anforderungen auf Ihrem Bastille aktiviert sind.

Weitere Informationen zu HP-UX Bastille finden Sie auf den Hilfeseiten bastille(1M) und bastille_drift(1M) sowie im HP-UX System­verwalterhandbuch: Sicherheitsfunktionen, wenn bei Ihnen HP-UX 11i v3 läuft, und im Handbuch Verwalten von Systemen und Arbeitsgruppen: Leitfaden für HP-UX System­verwalter für Systeme, auf denen HP-UX 11i v2 und früher ausgeführt wird.

ACHTUNG: Die Konfigurationsprozesse in diesem Abschnitt ändern die Sicherheitsmerkmale Ihres Systems. Bei der Aktivierung von Services, Protokollen und Anschlüssen sollten Sie sorgsam die Auswirkungen auf Ihre Netzwerk- und Systemsicherheit beachten.

Aktivieren der Ignite-UX Server-Anforderungen

Um sicherzustellen, dass die Ignite-UX Anforderungen auf dem Server aktiviert sind, müssen Sie zuerst Ihren aktuellen Sperrenstatus ermitteln und dann diesen Status ggf. ändern, damit ausgewählte Daemon-Prozesse und Services ausgeführt werden können. Darüber hinaus müssen Sie den Zugriff auf bestimmte Anschlüsse ermöglichen, die von einem Ignite-UX Server verwendet werden.

  1. Ermitteln Sie Ihren Sperrenstatus.

    • Wenn Sie Bastille 3.0 oder später verwenden, erstellen Sie einen Konfigurationsbericht. Der Bericht wird in /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config erstellt.

      # bastille --assessnobrowser

    • Wenn Sie eine frühere Version von Bastille als 3.0 verwenden, rufen Sie die zuletzt von Bastille verwendete Konfigurationsdatei ab.

      # bastille -l

    HINWEIS: Wenn folgende Meldung angezeigt wird:
    NOTE:    The system is in its pre-bastilled state.
    brauchen Sie mit dieser Konfiguration nicht fortzufahren, da die für Ignite-UX erforderlichen Daemon-Prozesse, Services und Anschlüsse in diesem Status („pre-bastille“) nicht gesperrt sind.

  2. Kopieren Sie die zuletzt verwendete Konfigurationsdatei oder den Bewertungsbericht an eine beliebige Position.

  3. Zeigen Sie die letzte Konfiguration in der Bastille-GUI an.

    # bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f Dateiname

  4. Stellen Sie sicher, dass die Einstellungen in Ihrer Konfigurationsdatei für die folgenden Daemon-Prozesse und Services auf No gesetzt sind. Wenn Sie eine Einstellung von Yes in No ändern müssen, müssen Sie wahrscheinlich diesen Daemon-Prozess oder Service auf Ihrem System aktivieren, damit Sie ihn verwenden können. Speichern Sie die Konfigurationsdatei, nachdem Sie Änderungen vorgenommen haben, an einer beliebigen Position.

    Would you like to deactivate the NFS server on this system
Would you like to deactivate NIS client programs?
Should Bastille ensure inetd's bootp service does not run on this system?
Should Bastille ensure inetd's TFTP service does not run on this system?

  5. Gehen Sie wie folgt vor, um Ihre Firewall zu aktualisieren oder um Bastille anzuweisen, eine neue Firewall zu erstellen:

    1. Sichern Sie Ihre Datei /etc/opt/ipf/ipf.conf an einer beliebigen Position.

    2. Aktualisieren Sie die Anschlussinformationen für die Bastille-fähige HP-UX IPFilter-Firewall, indem Sie die Datei /etc/opt/sec_mgmt/bastille/ipf.customrules wie folgt ändern:

      • Fügen Sie die Wörter keep frags an das Ende der Zeile mit der „udp“-Ausgangsregel hinzu, so dass diese wie folgt aussieht:

        pass out quick proto udp all keep state keep frags

      • Entfernen Sie die folgende Zeile oder setzen Sie sie auf Kommentar:

        block in quick proto udp from any to any port = portmap

      • Fügen Sie die folgenden Zeilen nach dem Abschnitt End allow outgoing rules ein.

        # ports required for Ignite-UX
############################################################
pass in log quick proto udp from any to any port = 69 keep state
pass in log quick proto udp from any port = 68 to any port = 67 keep state
pass in log quick proto udp from any port = 1068 to any port = 1067 keep state
pass in log quick proto tcp/udp from any to any port = 2049 keep frags
pass in log quick proto tcp from any to any port = 2121
pass in log quick proto tcp/udp from any to any port 49152 >< 65535
pass in log quick proto tcp from any to any port = 20
pass in log quick proto tcp from any to any port = 21
pass in log quick proto tcp from any to any port = 22
pass in log quick proto tcp from any to any port = 514
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any port = 514 to any keep state

    3. Ändern Sie im IPFilter Module von Bastille die folgende Zeile in Yes, falls dieser Wert noch nicht aktiv ist.

      Should Bastille setup basic firewall rules with these properties?

    4. Starten Sie Bastille.

      # bastille -b -f Ihre_Konfigurationsdatei

  6. Wenn eine Bastille-Basis für Ihr System erstellt wurde, aktualisieren Sie diese Basis.

    # bastille_drift --save_baseline Basis

Aktivieren der Ignite-UX Client-Anforderungen

Um sicherzustellen, dass die Ignite-UX Anforderungen auf dem Client aktiviert sind, müssen Sie zuerst Ihren aktuellen Sperrenstatus ermitteln und dann diesen Status ggf. ändern, damit der NFS-Daemon-Prozesse und die rtools-Services ausgeführt werden können. Darüber hinaus müssen Sie den Zugriff auf bestimmte Anschlüsse ermöglichen, die von einem Ignite-UX Client verwendet werden.

  1. Ermitteln Sie Ihren Sperrenstatus.

    • Wenn Sie Bastille 3.0 oder später verwenden, erstellen Sie einen Konfigurationsbericht. Der Bericht wird in /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config erstellt.

      # bastille --assessnobrowser

    • Wenn Sie eine frühere Version von Bastille als 3.0 verwenden, rufen Sie die zuletzt von Bastille verwendete Konfigurationsdatei ab.

      # bastille -l

    HINWEIS: Wenn folgende Meldung angezeigt wird:
    NOTE:    The system is in its pre-bastilled state.
    brauchen Sie mit dieser Konfiguration nicht fortzufahren, da die für Ignite-UX erforderlichen Daemon-Prozesse, Services und Anschlüsse in diesem Status („pre-bastille“) nicht gesperrt sind.

  2. Kopieren Sie die zuletzt verwendete Konfigurationsdatei oder den Bewertungsbericht an eine beliebige Position.

  3. Zeigen Sie die letzte Konfiguration in der Bastille-GUI an.

    # bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f Dateiname

  4. Stellen Sie sicher, dass die Einstellungen in Ihrer Konfigurationsdatei für den NFS-Daemon-Prozess und die rtools-Services auf No gesetzt sind. Wenn Sie eine Einstellung von Yes in No ändern müssen, müssen Sie wahrscheinlich diesen Daemon-Prozess oder Service auf Ihrem System aktivieren, damit Sie ihn verwenden können. Speichern Sie die Konfigurationsdatei, nachdem Sie Änderungen vorgenommen haben, an einer beliebigen Position.

    Would you like to deactivate the NFS client daemons?
Should Bastille ensure that the login, shell, and exec services do not run on this system?

  5. Gehen Sie wie folgt vor, um Ihre Firewall zu aktualisieren oder um Bastille anzuweisen, eine neue Firewall zu erstellen:

    1. Sichern Sie Ihre Datei /etc/opt/ipf/ipf.conf an einer beliebigen Position.

    2. Aktualisieren Sie die Anschlussinformationen für die Bastille-fähige HP-UX IPFilter-Firewall, indem Sie die Datei /etc/opt/sec_mgmt/bastille/ipf.customrules wie folgt ändern:

      • Fügen Sie die Wörter keep frags an das Ende der Zeile mit der „udp“-Ausgangsregel hinzu, so dass diese wie folgt aussieht:

        pass out quick proto udp all keep state keep frags

      • Fügen Sie die folgenden Zeilen nach dem Abschnitt End allow outgoing rules ein.

        # ports required for Ignite-UX
############################################################
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any to any port = 512
pass in log quick proto tcp from any to any port = 514
pass in log quick proto tcp/udp from any port = 2049 to any keep frags
pass in log quick proto tcp/udp from any to any port 49152 >< 65535

    3. Ändern Sie im IPFilter Module von Bastille die folgende Zeile in Yes, falls dieser Wert noch nicht aktiv ist.

      Should Bastille setup basic firewall rules with these properties?

    4. Starten Sie Bastille.

      # bastille -b -f Ihre_Konfigurationsdatei

  6. Wenn eine Bastille-Basis für Ihr System erstellt wurde, aktualisieren Sie diese Basis.

    # bastille_drift --save_baseline Basis



Anschlüsse des Ignite-UX Servers
  		 


Kapitel 7 Starten und Installieren von HP-UX vom Server aus mit der Client-Konsole  
Druckbare Version
Datenschutzerklärung

Impressum		 Mit der Benutzung dieser Website erklären Sie sich mit den entsprechenden Nutzungsbedingungen einverstanden
© Hewlett-Packard Development Company, L.P.