Modification d’un système renforcé Bastille pour utilisation avec Ignite-UX

HP-UX Bastille est un outil de renforcement et de verrouillage permettant d’améliorer la sécurité du système d’exploitation HP-UX. Il permet un verrouillage personnalisé, système par système, grâce à une fonction de codage comparable au test de niveau 1 Center for Internet Security (CIS) pour HP-UX et à d’autres listes de contrôles de renforcement/verrouillage. La technologie Bastille est disponible sur HP-UX 11i v1 et sur les versions ultérieures de HP-UX.

Cette section explique comment vérifier l’activation de la configuration Ignite-UX requise sur votre système Bastille.

Pour plus d’informations sur HP-UX Bastille, reportez-vous aux pages de manuel bastille(1M), bastille_drift(1M), au Guide de l’administrateur système HP-UX : Gestion de la sécurité si vous utilisez HP-UX 11i v3, et au manuel Gestion des systèmes et des groupes de travail : Guide pour les administrateurs système HP-UX pour les systèmes utilisant HP-UX 11i v2 (et versions antérieures).




	ATTENTION : Les processus de configuration décrits dans cette section modifient les propriétés de sécurité de votre système. Lorsque vous activez des services, des protocoles et des ports, tenez compte de l’impact éventuel sur la sécurité de votre réseau et de votre système.

Activation de la configuration requise pour le serveur Ignite-UX

Afin de vérifier l’activation de la configuration Ignite-UX requise sur le serveur, vous devez tout d’abord identifier l’état de verrouillage actuel, puis le modifier le cas échéant, afin de permettre l’exécution des démons et des services sélectionnés. Vous devez également autoriser l’accès à certains ports utilisés par un serveur Ignite-UX.

Identifiez l’état de verrouillage actuel.

Si vous utilisez Bastille 3.0 (ou une version ultérieure), créez un rapport de configuration.. Ce rapport sera créé dans /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config.
# bastille --assessnobrowser
Vous utilisez une version de Bastille antérieure à la version 3.0, recherchez le dernier fichier de configuration utilisé par Bastille.
# bastille -l

REMARQUE : Si vous voyez s’afficher le message :

NOTE:    The system is in its pre-bastilled state.

il n’est pas nécessaire d’effectuer cette configuration, car les démons, les services et les ports requis par Ignite-UX ne sont pas verrouillés dans l’état antérieur à Bastille.

Copiez le dernier fichier de configuration utilisé ou le rapport d’évaluation à l’emplacement de votre choix.
Affichez la dernière configuration dans l’interface utilisateur graphique de Bastille.
# bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f nom_fichier

Vérifiez que les paramètres de votre fichier de configuration pour les démons et les services suivants sont réglés sur No. Notez que si vous avez modifié un paramètre de Yes en No, vous devrez activer ce démon ou ce service sur votre système pour pouvoir l’utiliser. Une fois les modifications effectuées, enregistrez le fichier de configuration à l’emplacement de votre choix.

Would you like to deactivate the NFS server on this system
Would you like to deactivate NIS client programs?
Should Bastille ensure inetd’s bootp service does not run on this system?
Should Bastille ensure inetd’s TFTP service does not run on this system?

Pour mettre à jour votre pare-feu ou demander à Bastille d’en créer un nouveau :

Sauvegardez votre fichier /etc/opt/ipf/ipf.conf à l’emplacement de votre choix.

Mettez à jour les informations de ports du pare-feu IPFilter HP-UX Bastille en éditant le fichier /etc/opt/sec_mgmt/bastille/ipf.customrules et en appliquant les modifications suivantes :

Ajoutez les mots keep frags à la fin de la ligne de règle sortante udp pour obtenir le résultat suivant
pass out quick proto udp all keep state keep frags
Supprimez la ligne suivante (ou mettez la en commentaire).
block in quick proto udp from any to any port = portmap

Ajoutez les lignes suivantes à la suite de la section End allow outgoing rules.

# ports required for Ignite-UX
############################################################
pass in log quick proto udp from any to any port = 69 keep state
pass in log quick proto udp from any port = 68 to any port = 67 keep state
pass in log quick proto udp from any port = 1068 to any port = 1067 keep state
pass in log quick proto tcp/udp from any to any port = 2049 keep frags
pass in log quick proto tcp from any to any port = 2121
pass in log quick proto tcp/udp from any to any port 49152 >< 65535
pass in log quick proto tcp from any to any port = 20
pass in log quick proto tcp from any to any port = 21
pass in log quick proto tcp from any to any port = 22
pass in log quick proto tcp from any to any port = 514
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any port = 514 to any keep state

Dans le module IPFilter de Bastille, modifiez la ligne suivante en Yes, si cela n’est pas déjà fait.
Should Bastille setup basic firewall rules with these properties?

Exécutez Bastille.

# bastille -b -f votre_fichier_de_configuration

Si un référentiel Bastille a été créé pour le système, mettez-le à jour.
# bastille_drift --save_baseline référentiel

Activation de la configuration requise pour le client Ignite-UX

Afin de vérifier l’activation de la configuration Ignite-UX requise sur le client, vous devez tout d’abord identifier l’état de verrouillage actuel, puis le modifier le cas échéant, afin de permettre l’exécution du démon NFS et des services rtools. Vous devez également autoriser l’accès à certains ports utilisés par un client Ignite-UX.