 |
» |
|
|
|
Descripción
general | |
Bastille es una herramienta de cierre para el fortalecimiento
de la seguridad que se puede utilizar para hacer más seguro
el sistema operativo HP-UX. Facilita el cierre personalizado
de cada sistema individual mediante una función de codificación
parecida a la del host bastión (consulte la sección «Documentación») y otras listas de
comprobación de fortalecimiento y cierre. Bastille es creación original de la comunidad de
código de origen de acceso público, que lo desarrolló para
su uso en los sistemas Linux. HP aporta la integración
de Bastille en HP-UX. Configura demonios, valores del sistema
y software de cliente, como sendmail, para aumentar la seguridad Desactiva los servicios innecesarios, como pwgrd y la impresión Ayuda a crear «cárceles» chroot que contribuyen a limitar la vulnerabilidad de los servicios
comunes de Internet; por ejemplo, los servidores web y los servidores
de nombres de dominio (DNS) Incorpora una interface educativa de administrador Elimina los valores de seguridad con una característica
de reversión que devuelve la configuración de
seguridad al estado en el que estaba antes de ejecutar Bastille Configura la conversión a sistemas de confianza
o contraseñas ocultas (shadow passwords), según
proceda Configura la herramienta de comprobación
de parches de seguridad (Security Patch Check) para que se ejecute
automáticamente Configura el servidor de seguridad IPFilter
Instalación
de Bastille | |
A partir de HP-UX 11i v2, Bastille se integra como
software instalado por defecto en los medios de los entornos operativos
y se puede instalar con Ignite-UX o Update-UX. Para obtener información
pormenorizada, consulte el manual Guía de instalación
y actualización a HP-UX 11i versión 2. Para las revisiones anteriores de HP-UX 11.x y 11i,
también se dispone de Bastille en el almacén de
software de HP ubicado en la dirección http://www.software.hp.com/. Si realiza la instalación a partir de un medio de
entorno operativo, la instalación por defecto de Bastille
incluye automáticamente Bastille, Perl, Security Patch
Check, IPFilter y Secure Shell. Si descarga Bastille a partir del almacén de software
de HP, es posible que también tenga que transferir los
otros cuatro paquetes. Bastille necesita Perl versión 5.6.1.E
o posterior. Archivos
de configuración predefinidos | |
A partir de HP-UX 11i v2, Bastille incluye tres archivos
de configuración predefinidos (consulte la Tabla 8-4, «Archivos de configuración predefinidos») que aportan un mayor grado de cierre. Los
archivos se suministran en /etc/opt/sec_mgmt/bastille. Tabla 8-4 Archivos de configuración predefinidos Tabla 8-5 HOST.config: configuraciones de seguridad en función
del sistema host Categoría | Acciones |
|---|
Inicios de sesión y
contraseñas | Denegar el inicio de sesión a menos
que exista el directorio inicial Denegar el inicio de sesión
a usuarios que no sean root si el archivo /etc/nologin existe Definir una ruta por defecto
para el comando su Deshabilitar el inicio de
sesión para usuarios root desde el archivo tty de red Ocultar las contraseñas
cifradas Rechazar el inicio de sesión
de la cuenta del sistema ftpd Deshabilitar el inicio de
sesión X (XDMCP) remoto
| Sistema de archivos, red y kernel | Modificar la configuración de
ndd [1] [2] Restringir el acceso remoto
a swlist Definir el comando umask por defecto Habilitar la protección
de ejecución de pila en función del kernel
| Demonios | Deshabilitar los demonios
de cliente NFS Deshabilitar el servidor
NFS Deshabilitar los programas
de cliente NIS Deshabilitar los programas
de servidor NIS
| IPFilter | | Sendmail | Ejecutar sendmail por medio de cron para procesar la cola Interrumpir la ejecución
de sendmail en modo demonio Deshabilitar los comandos
vrfy y expn
| Otras configuraciones | Desactivar HP Apache 2.x Web Server[3] Configurar el trabajo cron para ejecutar la herramienta Security Patch Check[1]
| Servicios del demonio inetd | Desactivar los servicios
integrados de inetd Desactivar los servicios
del auxiliar del entorno CDE Desactivar klogin y
kshell Desactivar los servicios
login, shell y
exec Habilitar el registro para
todas las conexiones inetd
|
Tabla 8-6 MANDMZ.config: configuraciones de seguridad adicionales Categoría | Acciones |
|---|
Incluye todas las configuraciones
de seguridad procedentes de HOST.config (Tabla 8-5, «HOST.config: configuraciones de seguridad en función
del sistema host») | Servicios del demonio inetd | Adiciones: | IPFilter[1] | Adiciones: Bloquear
conexiones entrantes de consultas al DNS Bloquear conexiones entrantes
de administración de HIDS[2] Permitir el tráfico
hacia el exterior Bloquear el tráfico
entrante con opciones de IP definidas Bloquear el resto del tráfico
excepto: [3] Inicio automático
de administración web
|
Tabla 8-7 DMZ.config: configuraciones de seguridad adicionales Configuración
de Bastille | |
Después de instalar Bastille, puede configurarlo
para cerrar el sistema de una de las siguientes formas: Si ha optado por utilizar uno de los
módulos de Install-Time Security predefinidos (Tabla 8-4, «Archivos de configuración predefinidos») durante la instalación
con Ignite-UX o Update-UX, Bastille se ha instalado y aplicado durante
el reinicio del sistema. Consulte la sección «Aplicación
de Bastille» para analizar los archivos
de registro y llevar a cabo las operaciones manuales pertinentes. En el directorio /etc/opt/sec_mgmt/bastille, puede copiar uno de los archivos de configuración
predefinidos (consulte la sección «Archivos
de configuración predefinidos») en el archivo config. Para instalar el archivo, consulte la sección «Aplicación
de Bastille». En el directorio /etc/opt/sec_mgmt/bastille, puede copiar una configuración personalizada
en el archivo config (tal vez una configuración elaborada con la
interface interactiva). Para instalar el archivo, consulte la sección «Aplicación
de Bastille». En general, se crea una configuración especial en
un sistema y, a continuación, se copia dicha configuración
en otros sistemas que se deseen proteger exactamente igual. Asimismo,
se debe copiar el archivo TODO.txt modificado para completar el proceso tal como se describe
en la sección «Aplicación
de Bastille». Para que la configuración no sea interactiva, todos
los sistemas deben ejecutar la misma versión del sistema
operativo con los mismos componentes afectados por Bastille instalados.
Si se instala un software diferente que haga que Bastille necesite
más información, Bastille se cerrará y
emitirá un mensaje de error que informa de que necesita
más información. Si, a continuación,
ejecuta Bastille de forma interactiva, verá las marcas
de verificación de información que falta y es
necesaria. Puede utilizar la interface interactiva (consulte
la sección «Configuración
interactiva»)
para crear una configuración nueva o para modificar un
archivo de configuración anterior, o predefinido o personalizado.
Para modificar una configuración, copie la configuración
antigua en el archivo /etc/opt/sec_mgmt/bastille/config.
Configuración
interactiva | |
| | | |  | ATENCIÓN: Puesto que la configuración interactiva
utiliza una interface gráfica de usuario insegura, reviste
importancia repasar las «Consideraciones
sobre la seguridad» antes de continuar. | | | | |
Bastille utiliza una serie de preguntas, extraídas
del archivo /etc/sec_mgmt/bastille/Questions.txt, para preparar un archivo de configuración: /etc/sec_mgmt/bastille/config. Al iniciar Bastille, esta herramienta presenta los siguientes
mensajes: # bastille
NOTE: Valid display found; defaulting to Tk (X) interface.
NOTE: Using Tk user interface module.
NOTE: Only displaying questions relevant to the current configuration. |
Si se trata del primer inicio, Bastille muestra las condiciones
de uso y le pide que las acepte. ...
You must accept the terms of this disclaimer to use
Bastille. Type "accept" (without quotes) within 5
minutes to accept the terms of the above disclaimer
> |
A continuación, Bastille analiza el sistema a fin
de determinar el estado de cierre actual y las preguntas que acarrearán
el aumento del grado de cierre. NOTE: Bastille is scanning the system configuration... |
Si no hay ningún archivo de configuración,
Bastille prepara las preguntas con respuestas por defecto. NOTE: Could not open config file /etc/opt/sec_mgmt/bastille/config, defaults used. |
Si el archivo de configuración existe, Bastille utiliza
las respuestas del archivo en calidad de respuestas iniciales a
las preguntas. NOTE: Existing config file found. Populating answers... |
Al llegar a este punto, Bastille presenta la pantalla de título
(Figura 8-2, «Pantalla Title Screen de Bastille») de la interface gráfica. Después de la pantalla de título, Bastille
muestra siempre la pantalla de comprobación
de parches de seguridad (Security Patch Check) (Figura 8-3, «Pantalla Security Patch Check de Bastille
(larga)»). Esto permite reconfigurar este importante
software. NavegaciónPara retroceder a una pregunta anterior, seleccione el botón
Back. Para avanzar a la pregunta siguiente, utilice el botón
OK. La mayoría de las preguntas aceptan Yes o No por respuesta,
así que haga clic en el botón apropiado. Para
ciertas preguntas es obligatorio escribir una respuesta en la ventana
Answer. Al hacer clic en el botón Restore Defaults, se restablece
la respuesta por defecto. Explicaciones largas y abreviadasMuchas de las pantallas de preguntas presentan explicaciones
abreviadas y largas. Los botones Explain Less/Explain More permiten
alternar entre ellas. La Figura 8-3, «Pantalla Security Patch Check de Bastille
(larga)» ilustra
la versión larga y la Figura 8-4, «Pantalla Security Patch Check de Bastille
(abreviada)» muestra la versión abreviada correspondiente. Marcas de verificación de progresoA medida que se completa una sección de las preguntas,
Bastille coloca una marca de verificación en la lista Modules,
tal como se ilustra en la Figura 8-5, «Casillas de verificación de Bastille».
Todos los módulos deben presentar la marca de verificación (excepto
End Screen) para que la configuración sea válida.
Para desplazarse entre los módulos, haga clic en un nombre
de la lista Modules. Al llegar al (o seleccionar el) módulo End Screen,
puede retroceder y efectuar más modificaciones (mediante
la selección de Back o No) o puede completar la sesión
(mediante la selección de Yes y OK). En la pantalla Save Configuration Changes? (Figura 8-7, «Pantalla Save Configuration Changes? de Bastille»), se dan tres opciones: retroceder
y seguir haciendo modificaciones, salir sin guardar la configuración
actual o guardar la configuración actual en /etc/opt/sec_mgmt/bastille/config y continuar. Si guarda los cambios, la pantalla Finishing Up (Figura 8-8, «Pantalla Finishing Up de Bastille») presenta tres opciones: otra oportunidad
más para cambiar la configuración, salir sin aplicar
la configuración nueva o hacer que la configuración
nueva se aplique inmediatamente. Al salir de la configuración interactiva mediante
la selección de «Apply Configuration to System» en
la pantalla Finishing Up (Figura 8-8, «Pantalla Finishing Up de Bastille»), Bastille
ejecuta automáticamente el comando bastille -b. Consulte la sección «Aplicación
de Bastille» para obtener información pormenorizada,
analizar los archivos de registro y llevar a cabo las operaciones
manuales pertinentes. Aplicación
de Bastille | |
Después de preparar el archivo de configuración
(consulte la sección «Configuración
de Bastille»), debe aplicar la configuración. Dicha
aplicación consta de dos pasos: ejecutar Bastille y poner
en práctica las recomendaciones del archivo TODO.txt. Ejecute Bastille. Bastille aplica los cambios que puede efectuar automáticamente
y crea una lista de acciones en el archivo TODO.txt que usted debe aplicar manualmente en el sistema. Este comando se ejecuta automáticamente si Bastille
se ha instalado con una opción de seguridad por medio de
Ignite-UX o Update-UX, o si se ha seleccionado «Apply
the configuration to the system» al final de la
configuración interactiva. Por ejemplo: NOTE: Entering Critical Code Execution.
Bastille has disabled keyboard interrupts.
NOTE: Bastille is scanning the system configuration...
Bastille is now locking down your system in accordance with your
answers in the "config" file. Please be patient as some modules
may take a number of minutes, depending on the speed of your machine.
Executing File Permissions Specific Configuration
Executing Account Security Specific Configuration
Executing Inetd Specific Configuration
Executing Daemon Specific Configuration
Executing Sendmail Specific Configuration
Executing Apache Specific Configuration
Executing FTP Specific Configuration
Executing HP-UX's Security Patch Check Configuration
Executing IPFilter Configuration
Executing HP-UX Specific Configuration |
Si surgen problemas, Bastille informa de ellos con mensajes
de advertencia y error. ...
Executing Account Security Specific Configuration
WARNING: Failed to Execute Command: /usr/lbin/tsconvert
Command Output: Creating secure password database...
Directories created.
...
Moving passwords...
Can't write protected database;
password file unchanged.
ERROR: Trusted system conversion was unsuccessful for an unknown reason.
You may try using SAM to do the conversion instead of Bastille.
Executing Inetd Specific Configuration
...
Executing HP-UX Specific Configuration
Please check
/var/opt/sec_mgmt/bastille/TODO.txt
for further instructions on how to secure your system.
########################################################
Errors have occurred in the configuration.
Please view the following file for more details:
/var/opt/sec_mgmt/bastille/log/error-log
######################################################## |
|
El archivo TODO.txt contiene instrucciones que tal vez tenga que seguir
para completar el cierre. El archivo error-log explica más detalladamente la causa de la advertencia
o el error. Si se han producido errores, Bastille ha cerrado el sistema
en la medida de lo posible. Cuando subsane los problemas, puede
ejecutar bastille -b para aplicar el resto del cierre. Si lo prefiere, puede volver a establecer el sistema en el
estado de desbloqueado con el comando "revert", bastille -r, y realizar las correcciones pertinentes. Analice los archivos de registro. | /var/opt/sec_mgmt/bastille/log/action-log | | | | Este archivo de registro deja constancia de las acciones
específicas que Bastille ha adoptado. | | /var/opt/sec_mgmt/bastille/log/error-log | | | | Este archivo de registro deja constancia de los errores
hallados. | | /var/opt/sec_mgmt/bastille/log/level-application-actions | | | | Este archivo de registro deja constancia de las acciones
adicionales, si Bastille se ha configurado y aplicado con la característica
Install-Time Security de Ignite-UX/Update-UX. | | /var/opt/sec_mgmt/bastille/log/level-application-errors | | | | Este archivo de registro deja constancia de los errores
adicionales, si Bastille se ha configurado y aplicado con la característica
Install-Time Security de Ignite-UX/Update-UX. |
Adopte las acciones enumeradas en el archivo /var/opt/sec_mgmt/bastille/TODO.txt. Tal vez desee modificar algunos comandos, dadas las posibles peculiaridades
de las circunstancias concretas. Muchas de las posibles circunstancias
se describen en las explicaciones asociadas a las preguntas del
proceso de configuración interactivo. Se recomienda eliminar o marcar como comentario las entradas
de la lista del archivo TODO.txt que vaya completando.
Reejecución
de Bastille | |
Bastille debe volver a ejecutarse siempre que se instale software
o parches nuevos, o si se ejecuta el comando swverify con -x fix=true o bien la opción -F para
ejecutar secuencias de comandos fijas específicas del proveedor.
También debe volverse a ejecutar siempre que se realicen personalizaciones
que puedan debilitar la seguridad. Si los archivos de registro existen,
toda nueva acción o mensaje de error se agrega a los archivos
existentes. Reversión
de Bastille | |
Para revertir la configuración de seguridad al estado
previo a la ejecución de Bastille, ejecute el comando: Si hay alguna acción manual que hay que llevar a
cabo para recuperar el estado anterior a la ejecución de
Bastille, este proceso crea un archivo: /var/opt/sec_mgmt/bastille/TOREVERT.txt. Es importante que lleve a cabo las acciones enumeradas. Desinstalación
de Bastille | |
La desinstalación de Bastille de un sistema con el
comando swremove no revierte el sistema al estado anterior a la ejecución
de Bastille. En lugar de eso, deja una secuencia de comandos revert-actions que le permite a usted anular por sí mismo
la aplicación de los cambios de Bastille. Ejecute la secuencia de comandos: # /var/opt/sec_mgmt/bastille/revert/revert-actions |
Compruebe la presencia de
un archivo /var/opt/sec_mgmt/bastille/TOREVERT.txt. Este archivo sólo se crea si se precisa llevar
a cabo acciones manuales. Es importante que lleve a cabo las acciones
enumeradas.
(Otra alternativa consiste en ejecutar bastille -r antes de desinstalar Bastille; consulte más
arriba la sección «Reversión
de Bastille».) Interacción
con otro software | |
Puesto que Bastille cierra los servicios y configura los parámetros
de HP-UX admitidos, es posible que ciertas herramientas
cuyo funcionamiento dependa de otras configuraciones o servicios
que Bastille desactiva no estén plenamente operativas o
que dejen de funcionar. Security Patch Check Bastille puede configurar Security Patch Check para que se
ejecute como trabajo cron diario. IPFilter Bastille puede configurar el software de servidor de seguridad IPFilter
para que restrinja el tráfico de red entrante. TCP/IP El rendimiento de la pila se ralentiza algo con una configuración
de Bastille que utilice el software IPFilter. HP-UX HIDS Si también trabaja con un sistema de detección
de intrusión en sistemas host (HIDS - Host Intrusion Detection
System) de HP-UX, tal vez tenga que modificar las normas
del servidor de seguridad IPFilter. Para obtener información
pormenorizada, consulte el manual HP-UX Host
Intrusion Detection System Administrator’s Guide. Serviceguard El uso de puertos dinámicos por Serviceguard no funciona
si el archivo de configuración predefinido de IPFilter
(MANDMZ.config o DMZ.config)
está instalado.
Documentación | |
Los siguientes documentos facilitan más información: Material de consulta de HPLa página de manual de bastille(1M) (en /opt/sec_mgmt/share/man/) Bastille User’s Guide,
incluido en el archivo /opt/sec_mgmt/bastille/docs/user_guide.txt Guía de instalación
y actualización a HP-UX 11i versión 2,
de acceso en línea en la dirección: http://docs.hp.com HP-UX Host Intrusion Detection
System Administrator’s Guide, de acceso en
línea en la dirección: http://docs.hp.com Installing and Administering HP-UX
IPFilter, de acceso en línea en la dirección: http://docs.hp.com HP-UX Secure Shell A.03.10.X
Release Notes, de acceso en línea en la dirección: http://docs.hp.com
Otro material de consultaEjecución
de comandos | |
El comando bastille desempeña las siguientes operaciones. | bastille | | Inicia una sesión interactiva para crear
un archivo de configuración para HP-UX en el archivo
de configuración: /etc/opt/sec_mgmt/bastille/config. | | bastille -b | | Ejecuta las instrucciones del archivo de configuración
y, de forma automática, realiza algunos cambios en el sistema
y crea una lista en TODO.txt de los comandos que usted ha de modificar y ejecutar. Puede crear el archivo de configuración interactivamente,
tal como se describe más arriba, o copiar un archivo predefinido
en el archivo de configuración. Esto último resulta útil
cuando se desea utilizar uno de los archivos descritos en la sección Tabla 8-4, «Archivos de configuración predefinidos» para distribuir por
varios sistemas un archivo estándar de su propia cosecha. | | bastille -l | | Presenta una lista de los archivos de configuración
de /etc/opt/sec_mgmt/bastille que se corresponden con la última ejecución
de bastille. | | bastille -r | | Revierte el sistema al estado de completamente desbloqueado,
deshace de forma automática algunos cambios y facilita
una lista de comandos en TODO.txt para que usted los modifique y ejecute. | | bastille --os | | Muestra los nombres de los sistemas operativos que Bastille
admite. | | bastille --os nombre_sistema_operativo | | | | Inicia una sesión interactiva a fin de
crear un archivo de configuración para el sistema operativo: nombre_sistema_operativo. |
Archivos
de configuración y de registro | |
Bastille utiliza o crea los siguientes archivos de configuración
y registro: | /etc/opt/sec_mgmt/bastille/config | | | | El archivo de configuración actual que
el comando bastille -b procesará. | | /etc/opt/sec_mgmt/bastille/DMZ.config | | | | Un archivo de configuración predefinido.
Consulte la sección «Archivos
de configuración predefinidos». | | /etc/opt/sec_mgmt/bastille/HOST.config | | | | Un archivo de configuración predefinido.
Consulte la sección «Archivos
de configuración predefinidos». | | /etc/opt/sec_mgmt/bastille/MANDMZ.config | | | | Un archivo de configuración predefinido.
Consulte la sección «Archivos
de configuración predefinidos». | | /var/opt/sec_mgmt/bastille/log/action-log | | | | Archivo de registro que comprende las acciones automáticas
efectuadas por Bastille al aplicar la configuración actual. | | /var/opt/sec_mgmt/bastille/log/error-log | | | | Archivo de registro que incluye los errores detectados por
Bastille al aplicar la configuración actual. | | /var/opt/sec_mgmt/bastille/log/level-application-actions | | | | Archivo que contiene las acciones automáticas adicionales
llevadas a cabo si Bastille se ha configurado y aplicado con la
característica Install-Time Security de Ignite-UX/Update-UX. | | /var/opt/sec_mgmt/bastille/log/level-application-errors | | | | Archivo que comprende los errores adicionales producidos
si Bastille se ha configurado y aplicado con la característica
Install-Time Security de Ignite-UX/Update-UX. | | /var/opt/sec_mgmt/bastille/revert/revert-actions | | | | Archivo que engloba las acciones automáticas adoptadas
por Bastille para revertir las acciones de cierre. | | /var/opt/sec_mgmt/bastille/security_catalog | | | | Catálogo utilizado por Security Patch Check
cuando lo configura Bastille. | | /var/opt/sec_mgmt/bastille/TODO.txt | | | | Lista de acciones manuales que deben llevarse a
cabo para completar el proceso después de que Bastille
haya aplicado la configuración actual. | | /var/opt/sec_mgmt/bastille/TOREVERT.txt | | | | Lista de acciones manuales que deben llevarse a
cabo para completar el proceso después de que Bastille
haya revertido las acciones de cierre. |
|
Versión para imprimir
