Salta l'introduzione Italia - Italiano
HP.com Italia Prodotti e Servizi Supporto e Drivers Soluzioni Come Acquistare
» Contatta HP
Altre opzioni
HP.com Italia
 Guida di installazione ed aggiornamento di HP-UX 11i v3: Server HP Integrity e HP 9000 > Capitolo 3 Scelta del metodo di installazione

Considerazioni sulla sicurezza
» 

Documentazione tecnica

Libro completo in PDF
» Feedback
Inizio contenuto

 » Sommario

 » Indice

spacerspacerspacer
spacer
spacer
  		 
 

HP-UX Bastille - HPUXBastille - è contenuto nel supporto degli ambienti operativi come software consigliato ed è possibile installarlo ed eseguirlo con Ignite-UX o con Update-UX (vedere “Livelli di protezione predefiniti”).

HP-UX Bastille è uno strumento di inasprimento e bloccaggio, che è possibile usare per migliorare la sicurezza del sistema operativo HP-UX. Fornisce un blocco personalizzato sistema per sistema, mediante la funzionalità di codifica simile a Bastion Host ed altre elenchi di controllo per inasprimento e bloccaggio.

NOTA: Per ulteriori informazioni su HP-UX Bastille, consultare le Informazioni sulla release di HP-UX 11i v3 e Guida all'amministrazione di sistemi HP-UX.

Livelli di protezione predefiniti

Al momento dell’installazione a freddo o dell’aggiornamento, è possibile scegliere uno dei livelli di protezione elencati nella Tabella 3-2, “Configurazione predefinita di protezione”, con un livello di sicurezza via via maggiore.

Tabella 3-2 Configurazione predefinita di protezione

Livello di protezione

Nome del file di configurazione[1]

Descrizione

Sec00Tools[2]

Non applicabileInfrastruttura di sicurezza della fase d’installazione; nessuna modifica della sicurezza.

Sec10Host[3]

HOST.config

Blocco su base host: pre-abilitazione del firewall; alcuni servizi comuni in testo in chiaro sono disattivati, tranne Telnet ed FTP.

Sec20MngDMZ[3]

MANDMZ.config

Blocco, ma è consentita la gestione protetta: il firewall IPFilter blocca le connessioni entranti, tranne i protocolli di gestione comuni e relativamente sicuri.

Sec30DMZ[3]

DMZ.config

Blocco Network-DMZ: IPFilter blocca tutte le connessioni entrati, tranne HP-UX Secure Shell.

[1] I file di configurazione sono installati in /etc/opt/sec_mgmt/bastille

[2] Sec00Tools è installato per impostazione predefinita.

[3] Sec10Host, Sec20MngDMZ e Sec30DMZ sono a scelta.

 

NOTA: Scegliendo i livelli di protezione Sec30DMZ o MngDMZ, IPFilter limiterà le connessioni di rete in ingresso. Per ulteriori informazioni su come aggiungere delle porte di ingresso al file /etc/opt/ipf.customerrules, consultare HP-UX IPFilter (Versione A.03.05.09 e successive) Administrator's Guide e Guida all'amministrazione di sistemi HP-UX.

Selezione del livello di protezione al momento dell’installazione

Durante l’installazione, è possibile configurare i livelli di protezione andando alla scheda System oppure a quella Software dalla finestra di dialogo Installation and Configuration dell’interfaccia utente grafica di Ignite-UX. La scheda System consente di configurare le informazioni uniche del proprio sistema, come i livelli di protezione, il nome host, l’indirizzo IP, la password di root ed il fuso orario.

Per semplicità d’uso, HP consiglia di utilizzare la scheda System per selezionare il livello di protezione adeguato all’installazione, come descritto oltre.

  1. Eseguire una delle operazioni seguenti:

    • Utilizzando l’interfaccia utente di Ignite-UX, andare alla scheda System - dalla finestra di dialogo Installation and Configuration di Ignite-UX - e selezionare Security Choices.

    • Utilizzando Install HP-UX Wizard di Ignite, andare alla schermata Additional Software e scegliere Security Choices.

    Saranno visualizzati i quattro livelli di protezione. Per impostazione predefinita, è selezionato Sec00Tools.

  2. Scegliere il livello di protezione adeguato alla propria situazione. Per ulteriori informazioni, vedere “Livelli di protezione predefiniti”.

  3. Scegliere OK.

Configurazione di Serviceguard - di postinstallazione - per consentirne l’uso con i livelli di portezione

Configurazione di Sec20MngDMZ oppure di Sec30DMZ per l’utilizzo con Serviceguard

Serviceguard utilizza le porte dinamiche. Per abilitarne il funzionamento, è necessario aprire l’intervallo di porte utilizzabili da SG. L’apertura di un intervallo di porte non è coerente con gli obiettivi di protezione di Sec20MngDMZ (MANDMZ.config) e di Sec30DMZ (DMZ.config), dato che più servizi - tra cui altre applicazioni del tipo rpc - possono anch’essi essere in ascolto nel medesimo intervallo di porte. Il firewall, tuttavia, fornirà la protezione conforme al modello dell’installazione della protezione di Serviceguard, così come descritto nel documento Securing Serviceguard, disponibile all’indirizzo:

http://docs.hp.com/

Prima di aprire l’intervallo di porte per Serviceguard, esaminare le regole necessarie per IPFilter-SG, documentate in HP-UX IPFilter (Versione A.03.05.09 e successive) Administrator's Guide, disponibile all’indirizzo:

http://docs.hp.com/en/B9901-90021/B9901-90021.pdf

Quando è stata installata la patch di protezione del 2004 per Serviceguard, questo richiede un servizio addizionale, identd. Abilitarlo eseguendo le seguenti operazioni.

  1. Modificare il file di configurazione /etc/opt/sec_mgmt/bastille/config di HP-UX Bastille, cambiando la risposta alla domanda:

    Should Bastille ensure inetd's ident service does not run on this system?

  2. Cambiare la risposta da “Y” a “N” nel modo seguente:

    SecureInetd.deactivate_ident="N"

  3. Applicare le modifiche eseguite al file di configurazione. È possibile aggiornare la configurazione del sistema manualmente, oppure eseguire questo aggiornamento utilizzando HP-UX Bastille. Il primo richiederà meno operazioni nei sistemi che sono stati configurati manualmente dopo che l’utente li ha configurati utilizzando Bastille, il secondo necessiterà di minori operazioni in quei sistemi che non sono stati configurati manualmente dopo avere utilizzato Bastille.

  4. Eseguire una delle operazioni seguenti:

    • Aggiornare manualmente la configurazione del sistema: modificare il file /etc/inetd.conf rimuovendo il carattere di commento - # - dalla riga seguente:

      #auth stream tcp6 wait bin /usr/lbin/identd identd

      Obbligare inetd a rileggere la configurazione eseguendo il seguente comando:

      # inetd -c

    • Aggiornare la configurazione con HP-UX Bastille: ripristinare la configurazione precedente di HP-UX Bastille; quindi appllicare la nuova configurazione di HP-UX Bastille.
      # bastille -r
      # bastille -b

Configurazione di Sec10Host per HP-UX Bastille

Per configurare HP-UX Bastille Sec10 Host, consultare il documento Securing Serviceguard, all’indirizzo:

http://docs.hp.com/

ATTENZIONE: Quando si ripristina la configurazione precedente all’uso di HP-UX Bastille, osservare queste precauzioni:

  • Le modifiche alla configurazione di sicurezza saranno temporaneamente annullate.

  • Altre modifiche manuali alla configurazione, oppure l’installazione di software aggiuntivo dopo la prima esecuzione di HP-UX, potrebbero rendere necessaria l’unione delle impostazioni di configurazione per HP-UX Bastille.

  • Per i dettagli su queste interazioni, consultare la sezione dedicata a Bastille in Guida all'amministrazione di sistemi HP-UX, oppure l’interfaccia utente grafica di Bastille.

Dipendenze delle opzioni di sicurezza

Il livello di protezione Sec00Tools è installato nel sistema per impostazione predefinita. Sebbene Sec00Tools non esegua alcuna modifica della protezione al momento dell’installazione a freddo o dell’aggiornamento, garantisce che sia installato il software necessario (Figura 3-1, “Dipendenze del software di protezione al momento dell’installazione”). Il livello di protezione Sec00Tools contiene i file di configurazione precompilati che è possibile utilizzare per la creazione di un livello di protezione, oppure utilizzare come modello per la creazione di una configurazione di protezione personalizzata. Il livello di protezione Sec00Tools garantisce inoltre che sia presente il software necessario per questi livelli di protezione.

In alternativa, è possibile bloccare il sistema usando uno dei seguenti livelli di protezione selezionabili al momento dell’installazione a freddo o dell’aggiornamento:

  • Sec10Host

  • Sec20MngDMZ

  • Sec30DMZ

Sec10Host, Sec20MngDMZ e Sec30DMZ dipendono da Sec00Tools.

Figura 3-1 Dipendenze del software di protezione al momento dell’installazione

Dipendenze del software di protezione al momento dell’installazione

Servizi e protocolli sicuri

Ogni livello di protezione fornisce sicurezza via via superiore, bloccando vari protocolli e servizi. HP-UX Bastille usa una serie di domande per stabilire quali servizi e protocolli proteggere. Usando uno dei livelli di protezione, si applica un profilo di protezione predefinito, semplificando il processo di blocco.

Le seguenti tabelle offrono i dettagli dei servizi e dei protocolli interessati dai livelli di protezione, elencati nella Tabella 3-2, “Configurazione predefinita di protezione”, se si sceglie di applicarne uno al momento dell’installazione a freddo o dell’aggiornamento.

IMPORTANTE: Esaminare attentamente queste tabelle. Alcuni dei servizi e dei protocolli bloccati potrebbero essere usati da altre applicazioni e potrebbero avere degli effetti negativi sul comportamento o la funzionalità di tali applicazioni. Ad esempio, HP Systems Insight Manager e ParMgr dipendono da WBEM per le comunicazioni tra gli host; Sec30DMZ blocca tutte le connessioni WBEM entranti tramite IPFilter, anche se non sono bloccate le comunicazioni locali ed in uscita. Inoltre, alcuni script di installazione di terzi potrebbero non gestire correttamente il più conservativo valore di 027 per umask, impostato dai livelli di protezione.

È possibile modificare le impostazioni di sicurezza configurate al momento dell’installazione a freddo o dell’aggiornamento eseguendo HP-UX Bastille dopo aver installato o aggiornato il sistema. Per ulteriori informazioni sull’uso di HP-UX Bastille, consultare Guida all'amministrazione di sistemi HP-UX, oppure HP-UX Bastille User’s Guide, disponibile in: /opt/sec_mgmt/bastille/docs/user_guide.txt

Tabella 3-3 Impostazioni di sicurezza al momento dell’installazione di Sec10Host su base host[1]

Categoria

Azioni

Accesso e password

Rifiuto dell’accesso, a meno che esista la directory home
Rifiuto degli accessi non di root se esiste il file /etc/nologin
Impostazione di un percorso predefinito per il comando su
Disattivazione degli accessi di root da tty di rete
Occultamento delle password crittografate
Disattivazione degli accessi degli account di sistema ftpd
Disattivazione degli accessi X remoti

Filesystem, rete e kernel

Modifica delle impostazioni ndd [2],[3]
Limitazione dell’accesso remoto a swlist
Impostazione predefinita di umask
Abilitazione della protezione di esecuzione dello stack su base kernel

Daemon

Disabilitazione di ptydaemon
Disabilitazione di pwgrd
Disabilitazione di rbootd
Disabilitazione dei daemon client NFS
Disabilitazione del server NFS
Disabilitazione dei programmi client NIS
Disabilitazione dei programmi server NIS
Disabilitazione di SNMPD

Servizi inetd

Disattivazione di bootp
Disattivazione dei servizi incorporati di inetd
Disattivazione dei servizi helper di CDE
Disattivazione di finger
Disattivazione di ident
Disattivazione di klogin e kshell
Disattivazione di ntalk
Disattivazione dei servizi login, shell ed exec
Disattivazione di swat
Disattivazione di printer
Disattivazione di recserv
Disattivazione di tftp
Disattivazione di time
Disattivazione di uucp
Disattivazione delle comunicazioni di rete di Event Monitoring Service (EMS)
Abilitazione della registrazione per tutte le connessioni inetd

sendmail

Esecuzione di sendmail attraverso cron per elaborare la coda
Arresto di sendmail dall’esecuzione in modalità daemon
Disabilitazione dei comandi vrfy ed expn

Altre impostazioni

Disattivazione del web server HP su base Apache 2.x[4]
Configurazione del job cron per Security Patch Check[2]

[1] Le impostazioni elencate qui valgono anche per Sec20MngDMZ e Sec30DMZ

[2] Potrebbe essere necessario l’intervento manuale per portare a termine la configurazione. Per ulteriori informazioni, dopo l’installazione o l’aggiornamento, consultare /etc/opt/sec_mgmt/bastille/TODO.txt.

[3] Saranno effettuate le seguenti modifiche ndd:

ip_forward_directed_broadcasts=0
ip_forward_src_routed=0
ip_forwarding=0
ip_ire_gw_probe=0
ip_pmtu_strategy=1
ip_send_source_quench=0
tcp_conn_request_max=4096
tcp_syn_rcvd_max=1000

[4] Impostazioni applicate solo se il software è stato installato

 

Tabella 3-4 Impostazioni aggiuntive di protezione di Sec20MngDMZ al momento dell’installazione[1]

Categoria

Azioni

Servizi inetd

Comprende tutti i servizi inetd disattivati mostrati nella Tabella 3-3, “Impostazioni di sicurezza al momento dell’installazione di Sec10Host su base host” e:

Disattivazione di ftp
Disattivazione di telnet

Configurazione di IPFilter[2]

Blocco delle connessioni di interrogazione DNS entranti
Blocco delle connessioni di amministrazione HIDS entranti[3],[4]
Configurazione di IPFilter, per consentire il traffico in uscita, bloccare il traffico entrante con le opzioni IP impostate e tutto il resto del traffico tranne per HP-UX Secure Shell, l’agente HIDS, WBEM, web admin ed avvio automatico di web admin,[5] echo ICMP.

[1] Applica tutte le impostazioni di configurazione della sicurezza della Tabella 3-3, “Impostazioni di sicurezza al momento dell’installazione di Sec10Host su base host”

[2] Le regole di IPFilter si applicano attraverso un file di regole personalizzato che si trova in /etc/opt/sec_mgmt/bastille/ipf.customrules

[3] HP-UX Host IDS è un bundle di software a scelta disponibile soltanto per i server commerciali

[4] Impostazioni applicate solo se il software è stato installato

[5] Potrebbe essere necessario l’intervento manuale per portare a termine la configurazione. Per ulteriori informazioni, dopo l’installazione o l’aggiornamento, consultare /var/opt/sec_mgmt/bastille/TODO.txt.

 

Tabella 3-5 Impostazioni di sicurezza al momento dell’installazione di Sec30DMZ aggiuntive[1]

Categoria

Azioni

Configurazione di IPFilter[2]

Comprende tutte le impostazioni di IPFilter della Tabella 3-4, “Impostazioni aggiuntive di protezione di Sec20MngDMZ al momento dell’installazione” e:

Blocco delle connessioni dell’agente HIDS entranti[3],[4]
Blocco delle connessioni WBEM entranti[5]
Blocco delle connessioni Web admin in ingresso
Blocco delle connessioni di avvio automatico Web admin in ingresso
Blocco di tutto il traffico tranne HP-UX Secure Shell
Blocco di echo ICMP

[1] Applica tutte le impostazioni di configurazione della sicurezza della Tabella 3-3, “Impostazioni di sicurezza al momento dell’installazione di Sec10Host su base host” e Tabella 3-4, “Impostazioni aggiuntive di protezione di Sec20MngDMZ al momento dell’installazione”

[2] Le regole di IPFilter si applicano attraverso un file di regole personalizzato che si trova in /etc/opt/sec_mgmt/bastille/ipf.customrules

[3] Impostazioni applicate solo se il software è stato installato

[4] HP-UX Host IDS è un bundle di software a scelta disponibile soltanto per i server commerciali

[5] WBEM è necessario per varie applicazioni HP di amministrazione, tra cui HP Systems Insight Manager e ParMgr

 



Nuovo stack d’archiviazione di massa per HP-UX 11i v3
  		 


Diagnostica in linea  
Versione stampabile
Informativa sulla privacy Usando questo sito si accettano le sue condizioni
© 2000-2007 Hewlett-Packard Development Company, L.P.