 |
» |
|
|
|
HP-UX Bastille se puede utilizar de forma interactiva o no interactiva para realizar las siguientes acciones: Para cerrar el sistema (crear un archivo de configuración de seguridad o aplicar otro existente), escriba: Para duplicar un archivo de configuración de seguridad en varios equipos, escriba: Para generar informes sobre el estado de configuración del sistema, escriba: Crear puntos de referencia de configuración de HP-UX Bastille y comparar el estado actual del sistema con un punto de referencia guardado. Para guardar un punto de referencia, escriba: # bastille_drift --save_baseline punto_referencia |
Para comparar el estado del sistema con el punto de referencia especificado, escriba: # bastille_drift --from_baseline punto_referenciae |
Para obtener más información, consulte las páginas de manual de bastille(1M) y bastille_drift(1M). | | | |  | NOTA: Vuelva a ejecutar la utilidad bastille_drift siempre que se instalen software o parches nuevos a fin de comprobar y verificar si dichos parches o software han cambiado el estado del sistema. La utilidad bastille_drift también ayuda a identificar el cambio en el estado del sistema cuando swverify se ejecuta mediante la opción -x fix=true o la opción -F para ejecutar secuencias de comandos «fix» específicas del proveedor. | | | | |
Uso interactivo de HP-UX Bastille | |
HP-UX Bastille se ejecuta interactivamente mediante la interface X puesta en ejecución a través de Perl/Tk. La interface necesita un servidor X y ofrece lo siguiente: Acceso aleatorio entre los módulos de preguntas. Indicadores de compleción para mostrar el avance del usuario. Conducción en forma de túnel del tráfico X11 a través de un canal cifrado mediante la siguiente opción: Para obtener más información, consulte la página de manual de ssh(1).
La Figura 3-1 muestra la pantalla principal de la interface de usuario de HP-UX Bastille. La interface de usuario capacita a los usuarios orientándolos por una serie de preguntas agrupadas por módulos (consulte la Tabla 3-1). Cada pregunta explica un problema de seguridad y describe la acción resultante necesaria para cerrar el sistema HP-UX. Cada pregunta también describe, de forma avanzada, el costo y el beneficio de cada decisión, y el usuario decide cómo ha de tratar los problemas la herramienta. Después de contestar a todas las preguntas, HP-UX Bastille proporciona asistencia automatizada para dar cada paso del proceso de cierre. HP-UX Bastille lleva a cabo las acciones que puede ejecutar automáticamente y, a continuación, genera una lista de tareas pendientes con el resto de las acciones manuales que el usuario debe efectuar. Las acciones pendientes deben llevarse a cabo para completar el proceso de cierre de HP-UX Bastille. Tabla 3-1 Módulos de preguntas de HP-UX Bastille | Nombre del módulo | Descripción |
|---|
| Patches Applications (Aplicaciones de parches) | Instala y configura para ayudar con la comprobación de la conformidad con los boletines de seguridad. | | File Permissions (Permisos de archivos) | Ejecuta SUID y otra optimización de los permisos. | | Account Security (Seguridad de cuentas) | Configura los valores de inicio de sesión y el acceso a cron. | | Secure inetd (inetd seguro) | Desactiva los servicios de inetd innecesarios. | | Miscellaneous Daemons (Varios demonios) | Desactiva los servicios que con frecuencia resultan innecesarios o que representan un riesgo para la seguridad. | | sendmail | Configura el correo para que sea más seguro o deja que el usuario lo deshabilite. | | DNS | Desactiva o configura los servidores DNS para que sean más seguros. | | Apache | Configura los servidores Apache Web para que sean más seguros. | | FTP | Configura los servidores FTP para que sean más seguros. | | HP-UX | Lleva a cabo acciones de configuración de la seguridad que son exclusivas de la plataforma HP-UX. | | IPFilter | Crea un servidor de seguridad basado en IPFilter. |
Uso no interactivo de HP-UX Bastille | |
El fortalecimiento de la seguridad se puede realizar directamente a través del motor de configuración. Este método es útil para duplicar una configuración de la seguridad en varios equipos que tengan instalados el mismo sistema operativo y las mismas aplicaciones. El motor de configuración utiliza un archivo de configuración predefinido. Esta opción puede utilizar el archivo creado en la ubicación por defecto por una sesión interactiva o bien un archivo alternativo especificado por la opción -f, como sigue: Configuración de un sistema | |
Para configurar un sistema o crear un archivo de configuración que pueda reutilizarse posteriormente en un sistema diferente, dé los siguientes pasos: Cambie a usuario root, ya que HP-UX Bastille tiene que cambiar la configuración y los valores del sistema. Si HP-UX Bastille no se ejecuta localmente, puede optar por conducir por un túnel el tráfico X11 a través de Secure Shell (ssh) o IPSec para limitar la exposición de la red, o por utilizar una solución de distribución en el escritorio más completa que aborda los ataques de los usuarios locales, así como los remotos. Si va a efectuar cambios en el sistema, decida si HP-UX Bastille debe utilizarse de forma interactiva o de forma no interactiva. Los usuarios neófitos deben ejecutar HP-UX Bastille interactivamente para crear un perfil de configuración, a menos que la distribución incluya la entrega de archivos de configuración precreados, por ejemplo, DMZ.config. Cuente con que necesitará una hora para leer y contestar a todas las preguntas. Para obtener más información sobre el uso interactivo y no interactivo de HP-UX Bastille, consulte la Sección . Siga el procedimiento apropiado (interactivo o no interactivo) en función de la decisión adoptada en el paso 2. Procedimiento interactivoInicie HP-UX Bastille Los usuarios neófitos deben ejecutar HP-UX Bastille interactivamente para crear un perfil de configuración. La herramienta actualiza la variable de entorno PATH al instalarse, así que si ha cerrado una sesión y ha vuelto a iniciarla después de instalar HP-UX Bastille, escriba lo siguiente para iniciar la herramienta: Si la variable de entorno PATH no se ha actualizado, escriba lo siguiente para iniciar HP-UX Bastille: # /opt/sec_mgmt/bastille/bin/bastille |
Sólo se muestran las categorías de preguntas correspondientes a la configuración actual. Conteste a las preguntas Las preguntas se dividen en categorías según la función y se utilizan marcas de verificación como indicadores de compleción para denotar que una categoría se ha terminado. Esto permite realizar un seguimiento del avance por el programa. Al contestar a las preguntas, utilice el menú Explanation-Detail para alternar entre explicaciones más o menos detalladas. No todas las preguntas tienen contestaciones tanto largas como breves. Guarde la configuración y aplique los cambios Puede utilizar la barra de menús en cualquier momento para guardar o cargar un archivo de configuración. El uso de la opción Save As genera un archivo de configuración más grande puesto que la herramienta da por sentado que el usuario no ha tenido por qué terminar o que podría cambiar la configuración posteriormente. El uso de la opción Save/Apply le indica a la herramienta que el usuario ha terminado y que se puede aplicar más filtrado. Aunque el archivo de configuración generado puede tener un tamaño diferente, la funcionalidad de HP-UX Bastille permanece igual en ambos casos. La opción Save/Apply siempre guarda el archivo de configuración en la ubicación actual enumerada en la barra de título de HP-UX Bastille.
Procedimiento no interactivoExamine los archivos de registro Para consultar los archivos de registro en tiempo real, escriba: # tail -f archivo_registro |
El archivo de registro de las acciones, /var/opt/sec_mgmt/bastille/log/action-log, contiene los pasos específicos que HP-UX Bastille dio al efectuar cambios en el sistema. Sólo se crea si se aplican los cambios en el sistema. El archivo de registro de las errores, /var/opt/sec_mgmt/bastille/log/error-log, contiene los errores hallados por HP-UX Bastille al efectuar cambios en el sistema. Sólo se crea si se producen errores durante la ejecución. Lleve a cabo las acciones enumeradas en la lista de tareas pendientes La herramienta, después de llevar a cabo las acciones que puede efectuar automáticamente, genera una lista de tareas pendientes, /var/opt/sec_mgmt/bastille/TODO.txt, que describe las acciones restantes que el usuario debe efectuar manualmente. Esto incluye los reinicios si alguno de los cambios requiere uno. Las acciones de la lista de tareas pendientes deben completarse para garantizar una configuración segura. | | | | | NOTA: La lista de tareas pendientes sólo se crea cuando se aplican los cambios en el sistema. | | | | |
|
Versión para imprimir
