 |
» |
|
|
|
HP-UX Bastille es una herramienta de fortalecimiento y cierre de la seguridad que se puede emplear para mejorar la seguridad del sistema operativo HP-UX. Proporciona un cierre personalizado sistema a sistema mediante una funcionalidad de cifrado parecida al punto de referencia Center for Internet Security (CIS) Level 1 Benchmark de HP-UX y otras listas de comprobación de fortalecimiento y cierre. La tecnología Bastille se facilita en HP-UX 11i v1 y las versiones posteriores de HP-UX. Esta sección describe la forma de asegurar que los requisitos de Ignite-UX se habilitan en el sistema Bastille. Para obtener más información sobre HP-UX Bastille, consulte las páginas de manual de bastille(1M) y bastille_drift(1M), y el documento Guía del administrador de sistemas HP-UX: Administración de la seguridad, si utiliza HP-UX 11i v3, y el documento Administración de sistemas y grupos de trabajo: Guía para los administradores de sistemas HP-UX, en el caso de sistemas que ejecuten HP-UX 11i v2 y anteriores. | | | |  | ATENCIÓN: Los procesos de configuración de esta sección cambian las propiedades de seguridad del sistema. Al habilitar servicios, protocolos y puertos, debe prestarse plena atención a la repercusión que pueda haber en la seguridad de la red y el sistema. | | | | |
Habilitación de los requisitos del servidor Ignite-UX | |
Para asegurarse de que se habilitan los requisitos de Ignite-UX en el servidor, primero deberá averiguar el estado de cierre actual y, a continuación, modificar dicho estado, si es necesario, para permitir que los demonios y servicios seleccionados se ejecuten. También deberá permitir el acceso a determinados puertos empleados por un servidor Ignite-UX. Averigüe el estado de cierre actual. Si utiliza Bastille 3.0 o posterior, genere un informe de configuración. El informe se generará en /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config. # bastille --assessnobrowser |
Si utiliza una versión de Bastille anterior a 3.0, obtenga el archivo de configuración más reciente empleado por Bastille.
| | | |  | NOTA: Si obtiene el mensaje NOTE: The system is in its pre-bastilled state. |
no hay necesidad de continuar con esta configuración, ya que los demonios, servicios y puertos que Ignite-UX necesita no están cerrados en el estado anterior a Bastille. | | | | |
Copie el último archivo de configuración utilizado o el informe de valoración (assessment) en un lugar de su elección. Active la configuración más reciente en la interface gráfica de usuario de Bastille. # bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f nombre_archivo |
Asegúrese de que los valores del archivo de configuración para los siguientes demonios y servicios se han definido en No. Tenga en cuenta que si tiene que cambiar un valor de Yes a No, es probable que se le pida que habilite dicho demonio o servicio en el sistema para utilizarlo. Después de efectuar los cambios, guarde el archivo de configuración en un lugar de su elección. Would you like to deactivate the NFS server on this system?
Would you like to deactivate NIS client programs?
Should Bastille ensure inetd's bootp service does not run on this system?
Should Bastille ensure inetd's TFTP service does not run on this system?
|
Para actualizar el servidor de seguridad o hacer que Bastille cree uno nuevo: Realice una copia de seguridad del archivo /etc/opt/ipf/ipf.conf en un lugar de su elección. Actualice la información sobre puertos para el servidor de seguridad HP-UX IPFilter con capacidad para Bastille modificando el archivo /etc/opt/sec_mgmt/bastille/ipf.customrules y efectuando los siguientes cambios: Agregue las palabras keep frags al final del archivo de reglas salientes «udp» para que tenga este aspecto pass out quick proto udp all keep state keep frags |
Quite la siguiente línea o póngale una marca de comentario. block in quick proto udp from any to any port = portmap |
Agregue las siguientes líneas después de la sección End allow outgoing rules. # ports required for Ignite-UX
############################################################
pass in log quick proto udp from any to any port = 69 keep state
pass in log quick proto udp from any port = 68 to any port = 67 keep state
pass in log quick proto udp from any port = 1068 to any port = 1067 keep state
pass in log quick proto tcp/udp from any to any port = 2049 keep frags
pass in log quick proto tcp from any to any port = 2121
pass in log quick proto tcp/udp from any to any port 49152 >< 65535
pass in log quick proto tcp from any to any port = 20
pass in log quick proto tcp from any to any port = 21
pass in log quick proto tcp from any to any port = 22
pass in log quick proto tcp from any to any port = 514
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any port = 514 to any keep state
|
En el módulo IPFilter de Bastille, cambie la siguiente línea a Yes si aún no se ha modificado. Should Bastille setup basic firewall rules with these properties? |
Ejecute Bastille. # bastille -b -f su_archivo_de_configuración |
Si se ha creado un punto de partida de Bastille para el sistema, actualícelo. # bastille_drift --save_baseline punto_partida |
Habilitación de los requisitos del cliente Ignite-UX | |
Para asegurarse de que se habilitan los requisitos de Ignite-UX en el cliente, primero deberá averiguar el estado de cierre actual y, a continuación, modificar dicho estado, si es necesario, para permitir que el demonio NFS y los servicios rtools se ejecuten. También deberá permitir el acceso a determinados puertos empleados por un cliente Ignite-UX. Averigüe el estado de cierre actual. Si utiliza Bastille 3.0 o posterior, genere un informe de configuración. El informe se generará en /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config. # bastille --assessnobrowser |
Si utiliza una versión de Bastille anterior a 3.0, obtenga el archivo de configuración más reciente empleado por Bastille.
| | | | | NOTA: Si obtiene el mensaje NOTE: The system is in its pre-bastilled state. |
no hay necesidad de continuar con esta configuración, ya que los demonios, servicios y puertos que Ignite-UX necesita no están cerrados en el estado anterior a Bastille. | | | | |
Copie el último archivo de configuración utilizado o el informe de valoración en un lugar de su elección. Active la configuración más reciente en la interface gráfica de usuario de Bastille. # bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f nombre_archivo |
Asegúrese de que los valores del archivo de configuración para el demonio NFS y el servicio rtools se han definido en No. Tenga en cuenta que si tiene que cambiar un valor de Yes a No, es probable que se le pida que habilite dicho demonio o servicio en el sistema para utilizarlo. Después de efectuar los cambios, guarde el archivo de configuración en un lugar de su elección. Would you like to deactivate the NFS client daemons?
Should Bastille ensure that the login, shell, and exec services do not run on this system?
|
Para actualizar el servidor de seguridad o hacer que Bastille cree uno nuevo: Realice una copia de seguridad del archivo /etc/opt/ipf/ipf.conf en un lugar de su elección. Actualice la información sobre puertos para el servidor de seguridad HP-UX IPFilter con capacidad para Bastille modificando el archivo /etc/opt/sec_mgmt/bastille/ipf.customrules y efectuando los siguientes cambios: Agregue las palabras keep frags al final del archivo de reglas salientes «udp» para que tenga este aspecto pass out quick proto udp all keep state keep frags |
Agregue las siguientes líneas después de la sección End allow outgoing rules. # ports required for Ignite-UX
############################################################
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any to any port = 512
pass in log quick proto tcp from any to any port = 514
pass in log quick proto tcp/udp from any port = 2049 to any keep frags
pass in log quick proto tcp/udp from any to any port 49152 >< 65535 |
En el módulo IPFilter de Bastille, cambie la siguiente línea a Yes si aún no se ha modificado. Should Bastille setup basic firewall rules with these properties? |
Ejecute Bastille. # bastille -b -f su_archivo_de_configuración |
Si se ha creado un punto de partida de Bastille para el sistema, actualícelo. # bastille_drift --save_baseline punto_partida |
|
Versión para imprimir
