 |
» |
|
|
|
A partir de HP-UX
11i v2, HP-UX Bastille (B6849AA) se integra como software instalado por defecto en los
medios del entorno operativo y se puede instalar con Ignite-UX
o Update-UX. HP-UX Bastille es una herramienta de cierre para
el fortalecimiento de la seguridad que se puede utilizar para hacer
más seguro el sistema operativo HP-UX. Dicha herramienta
facilita el cierre personalizado de cada sistema individual mediante
una función de codificación parecida a la del host
bastión y otras listas de comprobación de fortalecimiento
y cierre. | | | |  | NOTA: Para obtener más información sobre
HP-UX Bastille, consulte el documento HP-UX 11i Version 2 Release Notes y
el manual Administración de
sistemas y grupos de trabajo. | | | | |
En el momento de la instalación o la actualización,
puede seleccionar uno de los siguientes paquetes de configuración
de seguridad con cada paquete a fin de aportar una seguridad cada
vez mayor: Tabla 2-2 Paquetes de configuración de seguridad predefinida Nombre del paquete | Nombre del archivo de configuración[1] | Descripción |
|---|
Sec00Tools[2] | - | La infraestructura de seguridad en el momento
de la instalación; sin cambios de seguridad | Sec10Host[3] | HOST.config | Cierre basado en el host: sin servidor
de seguridad; algunos servicios comunes de texto sin cifrar desactivados,
excluidos Telnet y FTP | Sec20MngDMZ[3] | MANDMZ.config | Cierre: el servidor de seguridad IPFilter
bloquea las conexiones entrantes, excepto los protocolos de administración
comunes protegidos | Sec30DMZ[3] | DMZ.config | Cierre total: IPFilter bloquea todas
las conexiones entrantes salvo HP-UX Secure Shell |
Dependencias
de la selección de seguridad | |
El paquete de infraestructura
de seguridad Sec00Tools se instala por defecto en el sistema. Aunque este paquete
no aplica ningún cambio de seguridad durante la instalación
o la actualización, de hecho garantiza que se instale el
software necesario (consulte la Figura 2-1, «Dependencias del software de seguridad en
el momento de la instalación»). Al instalar Sec00Tools, puede optar por ejecutar HP-UX Bastille en
un momento posterior para cerrar el sistema. Asimismo, puede cerrar el sistema por medio de uno de los
siguientes paquetes seleccionables de configuración de
seguridad en el momento de la instalación o la actualización: Estos paquetes están subordinados al paquete Sec00Tools. Servicios
y protocolos protegidos | |
Cada paquete de configuración
de seguridad aporta una seguridad cada vez mayor al cerrar diversos
protocolos y servicios. HP-UX Bastille utiliza un batería
de preguntas para determinar qué servicios y protocolos proteger.
Al utilizar uno de los paquetes de configuración de seguridad
en el momento de la instalación, se aplica un perfil de
seguridad por defecto, lo que simplifica el proceso de cierre. En las siguientes tablas se detallan los servicios y los protocolos
afectados por los paquetes de seguridad relacionados en la Tabla 2-2, «Paquetes de configuración de seguridad predefinida», si opta por aplicar uno en
el momento de la instalación o la actualización. Tabla 2-3 Configuración de seguridad durante la instalación
con el paquete Sec10Host con cierre basado en host[1] Categoría | Acciones |
|---|
Inicios de sesión y contraseñas | | Denegar el inicio de sesión
a menos que exista el directorio inicial | | Denegar el inicio de sesión a usuarios que no sean
root si el archivo /etc/nologin existe | | Definir una ruta por defecto para el comando su | | Deshabilitar el inicio de sesión para usuarios
root desde el archivo tty de red | | Ocultar las contraseñas cifradas | | Rechazar el inicio de sesión de la cuenta del sistema ftpd | | Deshabilitar el inicio de sesión X remoto |
| Sistema de archivos, red y kernel | | Modificar la configuración
de ndd [2],[3] | | Restringir el acceso remoto a swlist | | Definir el comando umask por defecto | | Habilitar la protección de ejecución de
pila en función del kernel |
| Demonios | | Deshabilitar ptydaemon | | Deshabilitar pwgrd | | Deshabilitar rbootd | | Deshabilitar los demonios de cliente NFS | | Deshabilitar el servidor NFS | | Deshabilitar los programas de cliente NIS | | Deshabilitar los programas de servidor NIS | | Deshabilitar SNMPD |
| Servicios del demonio inetd | | Desactivar bootp | | Desactivar los servicios integrados de inetd | | Desactivar los servicios del auxiliar del entorno CDE | | Desactivar finger | | Desactivar ident | | Desactivar klogin y kshell | | Desactivar ntalk | | Desactivar los servicios login, shell y exec | | Desactivar swat | | Desactivar printer | | Desactivar recserv | | Desactivar tftp | | Desactivar time | | Desactivar uucp | | Habilitar el registro para todas las conexiones inetd |
| sendmail | | Ejecutar sendmail por medio de cron para procesar la cola | | Interrumpir la ejecución de sendmail en modo demonio | | Deshabilitar los comandos vrfy y expn |
| Otras configuraciones | | Desactivar HP Apache 2.x
Web Server[4] | | Configurar el trabajo cron para la herramienta Security Patch Check[2] |
|
Tabla 2-4 Configuración
adicional de seguridad durante la instalación con el paquete Sec20MngDMZ[1] Categoría | Acciones |
|---|
Servicios del demonio inetd | Incluye todos los servicios inetd desactivados en la Tabla 2-3, «Configuración de seguridad durante la instalación
con el paquete Sec10Host con cierre basado en host» y:
| Desactivar ftp | | Desactivar telnet |
| Configuración de IPFilter[2] | | Bloquear conexiones entrantes
de consultas al DNS | | Bloquear conexiones entrantes de administración
del sistema HIDS[3],[4] | | Configurar IPFilter para posibilitar el tráfico
hacia el exterior, bloquear el tráfico hacia el interior
con opciones IP configuradas y el resto del tráfico excepto
para HP-UX Secure Shell, agente HIDS, WBEM, administración
web e inicio automático de administración web.[5] |
|
Tabla 2-5 Configuración
adicional de seguridad durante la instalación con el paquete Sec30DMZ[1] |
Versión para imprimir
