 |
» |
|
|
|
HP-UX Bastille (HPUXBastille) se integra como software recomendado en los medios del
entorno operativo y se puede instalar y ejecutar con Ignite-UX o
Update-UX (consulte la sección «Niveles de seguridad
predefinidos»). HP-UX Bastille es una herramienta de cierre para el fortalecimiento
de la seguridad que se puede utilizar para hacer más seguro
el sistema operativo HP-UX. Dicha herramienta facilita el cierre
personalizado de cada sistema individual mediante una función
de codificación parecida a la del host bastión
y otras listas de comprobación de fortalecimiento y cierre. | | | |  | NOTA: Para obtener más información sobre
HP-UX Bastille, consulte el documento Notas
de la revisión de HP-UX 11i v3 y
la Guía del administrador
de sistemas HP-UX. | | | | |
Niveles de seguridad
predefinidos | |
En el momento de la instalación en frío
o la actualización, puede seleccionar uno de los niveles
de seguridad enumerados en la Tabla 3-2, «Configuración de seguridad predefinida», teniendo en cuenta que cada nivel aporta una seguridad
cada vez mayor. Tabla 3-2 Configuración de seguridad predefinida Nivel de seguridad | Nombre del archivo de configuración[1] | Descripción |
|---|
Sec00Tools[2] | No aplicable | La infraestructura de seguridad en el momento
de la instalación; sin cambios de seguridad. | Sec10Host[3] | HOST.config | Cierre basado en el sistema host: habilitación
previa de servidor de seguridad; algunos servicios comunes de texto
sin cifrar están desactivados, excluidos Telnet y FTP. | Sec20MngDMZ[3] | MANDMZ.config | Cierre al tiempo que se permite la administración segura:
el servidor de seguridad IPFilter bloquea las conexiones entrantes,
excepto los protocolos de administración comunes, relativamente
seguros. | Sec30DMZ[3] | DMZ.config | Cierre con una red de zona desmilitarizada
(DMZ): IPFilter bloquea todas las conexiones entrantes salvo HP-UX
Secure Shell. |
| | | | | NOTA: Cuando se seleccione el nivel de seguridad Sec30DMZ o MngDMZ, IPFilter restringirá las conexiones de red
entrantes. Para obtener más información sobre
cómo agregar puertos entrantes en el archivo /etc/opt/ipf.customerrules, consulte los documentos HP-UX IPFilter Version
A.03.05.09 Administrator's Guide y Guía
del administrador de sistemas HP-UX. | | | | |
Selección de los niveles de seguridad
en el momento de la instalaciónDurante
la instalación, puede configurar los niveles de seguridad obteniendo
acceso a la ficha System o a la ficha Software del cuadro de diálogo Installation and Configuration
de la interface gráfica de usuario de Ignite-UX. La ficha
System le permite configurar información exclusiva del
sistema, por ejemplo, los niveles de seguridad, el nombre de host,
la dirección IP, la contraseña de usuario raíz
y la zona horaria. Para facilitar el uso, HP recomienda utilizar la
ficha System para seleccionar el nivel de seguridad apropiado para
la distribución, según se describe a continuación. Lleve a cabo
una de las acciones siguientes: Si utiliza
la interface gráfica de usuario de Ignite-UX, obtenga acceso
a la ficha System (en el cuadro
de diálogo Installation and Configuration de Ignite-UX)
y seleccione Security Choices. Si utiliza el asistente Install HP-UX Wizard de Ignite, obtenga acceso a la pantalla Additional Software y seleccione Security Choices.
Aparecerán los cuatro niveles de seguridad. Por defecto,
se selecciona Sec00Tools. Seleccione el nivel de seguridad
apropiado para su distribución. Para obtener más
información, consulte la sección «Niveles de seguridad
predefinidos». Seleccione OK.
Configuración de Serviceguard (posterior
a la instalación) para habilitar el uso con niveles de seguridad | |
Configuración
de Sec20MngDMZ o Sec30DMZ para utilizarlos con ServiceguardServiceguard utiliza puertos dinámicos. Para habilitar
el funcionamiento, el intervalo posible de puertos SG debe abrirse.
La apertura del intervalo de puertos no guarda coherencia con los
objetivos de seguridad de Sec20MngDMZ (MANDMZ.config) y Sec30DMZ (DMZ.config), puesto que existe la posibilidad de que varios servicios
(incluidas otras aplicaciones del estilo de las llamadas rpc) también
escuchen este mismo intervalo de puertos. No obstante, el servidor
de seguridad seguirá ofreciendo ventajas de seguridad consecuentes
con el modelo de distribución de seguridad Serviceguard,
tal como se describe en el documento Securing Serviceguard facilitado
en: http://docs.hp.com/ Antes de abrir el intervalo de puertos Serviceguard, asegúrese
de que examina las normas de IPFilter-SG obligatorias, que se documentan
en el documento HP-UX IPFilter (Version A.03.05.09 and
later) Administrator's Guide facilitado en: http://docs.hp.com/en/B9901-90021/B9901-90021.pdf Cuando se instala el parche de seguridad Serviceguard del
año 2004, Serviceguard necesita un servicio adicional: identd. Habilítelo dando los siguientes pasos: Modifique el
archivo de configuración /etc/opt/sec_mgmt/bastille/config HP-UX Bastille cambiando la respuesta a la pregunta: Should Bastille ensure inetd's ident service does not run on this system? Cambie la respuesta de Y
a N como sigue: SecureInetd.deactivate_ident="N" Aplique los cambios del archivo
de configuración. Puede actualizar manualmente la configuración
del sistema o utilizar HP-UX Bastille para hacerlo. Lo primero entrañará dar
menos pasos en los sistemas que se hayan configurado manualmente,
después de que un usuario haya configurado el sistema con
la herramienta Bastille, y lo segundo implicará dar menos
pasos en los sistemas que no se hayan configurado manualmente, después
de que un usuario haya configurado el sistema con la herramienta
Bastille. Lleve a cabo una de las acciones
siguientes: Actualice
manualmente la configuración del sistema: modifique el archivo
/etc/inetd.conf eliminando la marca de comentario (borrando el signo
de número #) de la siguiente línea: #auth stream tcp6 wait bin /usr/lbin/identd identd Haga que el demonio inetd vuelva a leer la configuración ejecutando el
siguiente comando: # inetd -c Utilice HP-UX Bastille para
actualizar la configuración: vuelva a la configuración
HP-UX Bastille anterior y, a continuación, aplique la nueva
configuración HP-UX Bastille.
# bastille -r
# bastille -b
Configuración
de Sec10Host HP-UX BastillePara configurar Sec10 Host HP-UX Bastille, consulte el documento Securing
Serviceguard en: http://docs.hp.com/ Dependencias
de la selección de seguridad | |
El nivel de seguridad Sec00Tools se instala por defecto en el sistema. Aunque Sec00Tools no aplica ningún cambio de seguridad durante
la instalación en frío o la actualización,
de hecho garantiza que se instale el software necesario (Figura 3-1, «Dependencias del software de seguridad en
el momento de la instalación»). El nivel de seguridad Sec00Tools contiene los archivos de configuración precompilados
que se pueden utilizar para crear un nivel de seguridad o como plantilla
para crear una configuración de seguridad personalizada.
El nivel de seguridad Sec00Tools también asegura la presencia del software que
necesiten dichos niveles de seguridad. Asimismo, puede cerrar el sistema por medio de uno de los
siguientes niveles seleccionables de seguridad en el momento de
la instalación en frío o la actualización: Sec10Host, Sec20MngDMZ y Sec30DMZ dependen de Sec00Tools. Servicios
y protocolos protegidos | |
Cada nivel de seguridad
aporta una seguridad cada vez mayor al cerrar diversos protocolos
y servicios. HP-UX Bastille utiliza un batería de preguntas
para determinar qué servicios y protocolos proteger. Al
utilizar uno de los niveles de seguridad, se aplica un perfil de
seguridad por defecto, lo que simplifica el proceso de cierre. En las siguientes tablas se detallan los servicios y los protocolos
afectados por los niveles de seguridad relacionados en la Tabla 3-2, «Configuración de seguridad predefinida», si opta por aplicar
uno en el momento de la instalación en frío o
la actualización: Tabla 3-3 Configuración de seguridad durante la instalación
con el paquete Sec10Host con cierre basado en host[1] Categoría | Acciones |
|---|
Inicios de sesión y contraseñas | | Denegar el inicio de sesión
a menos que exista el directorio inicial | | Denegar el inicio de sesión a usuarios que no sean
root si el archivo /etc/nologin existe | | Definir una ruta por defecto para el comando su | | Deshabilitar el inicio de sesión para usuarios
root desde el archivo tty de red | | Ocultar las contraseñas cifradas | | Rechazar el inicio de sesión de la cuenta del sistema ftpd | | Deshabilitar el inicio de sesión X remoto |
| Sistema de archivos, red y kernel | | Modificar la configuración
de ndd [2],[3] | | Restringir el acceso remoto a swlist | | Definir el comando umask por defecto | | Habilitar la protección de ejecución de
pila en función del kernel |
| Demonios | | Deshabilitar ptydaemon | | Deshabilitar pwgrd | | Deshabilitar rbootd | | Deshabilitar los demonios de cliente NFS | | Deshabilitar el servidor NFS | | Deshabilitar los programas de cliente NIS | | Deshabilitar los programas de servidor NIS | | Deshabilitar SNMPD |
| Servicios del demonio inetd | | Desactivar bootp | | Desactivar los servicios integrados de inetd | | Desactivar los servicios del auxiliar del entorno CDE | | Desactivar finger | | Desactivar ident | | Desactivar klogin y kshell | | Desactivar ntalk | | Desactivar los servicios login, shell y exec | | Desactivar swat | | Desactivar printer | | Desactivar recserv | | Desactivar tftp | | Desactivar time | | Desactivar uucp | | Desactiva la comunicación de red con Event Monitoring
Services (EMS) | | Habilitar el registro para todas las conexiones inetd |
| sendmail | | Ejecutar sendmail por medio de cron para procesar la cola | | Interrumpir la ejecución de sendmail en modo demonio | | Deshabilitar los comandos vrfy y expn |
| Otras configuraciones | | Desactivar HP Apache
2.x Web Server[4] | | Configurar el trabajo cron para la herramienta Security Patch Check[2] |
|
Tabla 3-4 Configuración
adicional de seguridad durante la instalación con el paquete Sec20MngDMZ[1] Categoría | Acciones |
|---|
Servicios del demonio inetd | Incluye todos los servicios inetd desactivados en la Tabla 3-3, «Configuración de seguridad durante la instalación
con el paquete Sec10Host con cierre basado en host» y:
| Desactivar ftp | | Desactivar telnet |
| Configuración de IPFilter[2] | | Bloquear conexiones entrantes
de consultas al DNS | | Bloquear conexiones entrantes de administración
del sistema HIDS[3],[4] | | Configurar IPFilter para posibilitar el tráfico
saliente, bloquear el tráfico entrante con opciones IP
configuradas y el resto del tráfico excepto para HP-UX
Secure Shell, agente HIDS, WBEM, administración web e inicio automático
de administración web[5], y eco ICMP. |
|
Tabla 3-5 Configuración
adicional de seguridad durante la instalación con el paquete Sec30DMZ[1] |
Versión para imprimir
