 |
» |
|
|
|
HP-UX Bastille è uno strumento di inasprimento/bloccaggio che è possibile usare per migliorare la sicurezza del sistema operativo HP-UX. Fornisce un blocco personalizzato sistema per sistema, mediante la funzionalità di codifica simile a Center for Internet Security (CIS) Level 1 Benchmark per HP-UX ed altre elenchi di controllo per inasprimento e bloccaggio. La tecnologia Bastille è disponibile per HP-UX 11i v1 e versioni successive. Questa sezione descrive come assicurarsi che i requisiti di Ignite-UX siano abilitati in un sistema con Bastille. Per ulteriori informazioni su HP-UX Bastille, vedere bastille(1M), bastille_drift(1M), Guida all'amministrazione di sistemi HP-UX: Gestione della sicurezza se è usato HP-UX 11i v3, e Gestione di sistemi e gruppi di lavoro: Guida per gli amministratori di sistema HP-UX con i sistemi che eseguono HP-UX 11i v2 e successive. | | | |  | ATTENZIONE: La procedura di configurazione in questa sezione modifica le proprietà di protezione del proprio sistema. Nell'abilitazione di servizi, protocolli e porte, è importante valutare attentamente le conseguenze per la protezione della rete e del sistema. | | | | |
Abilitazione dei requisiti del server Ignite-UX | |
Per assicurarsi che i requisiti per Ignite-UX siano abilitati nel server, innanzitutto occorre scoprire lo stato di blocco corrente, quindi, se necessario, modificarlo, per consentire l'esecuzione di daemon e servizi. È anche necessario consentire l'accesso alle porte usate dal server Ignite-UX. Scoprire lo stato di blocco corrente. Se è utilizzato Bastille 3.0 o successiva, creare un rapporto di configurazione. Il rapporto sarà creato in /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config. # bastille --assessnobrowser |
Se è utilizzata una versione di Bastille antecedente alla 3.0, ottenere la più recente configurazione usata da Bastille.
| | | |  | NOTA: Nel caso sia visualizzato il messaggio: NOTE: The system is in its pre-bastilled state. |
non sarà necessario procedere con questa configurazione, perché nello stato pre-bastille daemon, servizi e le porte necessarie a Ignite-UX non sono bloccati. | | | | |
Copiare l'ultimo file di configurazione usato per il rapporto di valutazione in una directory a propria scelta. Aprire le configurazione più recente nell'interfaccia utente grafica di Bastille. # bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f nome_file |
Assicurarsi che nel file di configurazione il valore dei seguenti daemon e servizi sia impostato a No. Se fosse necessario cambiare una impostazione da Yes a No, per poterlo usare sarà probabilmente necessario abilitare nel sistema tale daemon o servizio. Dopo avere eseguito le modifiche, salvare il file di configurazione in una directory a propria scelta. Would you like to deactivate the NFS server on this system
Would you like to deactivate NIS client programs?
Should Bastille ensure inetd's bootp service does not run on this system?
Should Bastille ensure inetd's TFTP service does not run on this system?
|
Per aggiornare il firewall o fare in modo che Bastille ne crei uno nuovo: Eseguire il backup del file /etc/opt/ipf/ipf.conf in un directory a propria scelta. Aggiornare le informazioni delle porte per il firewall HP-UX IPFilter abilitato per Bastille, modificando il file /etc/opt/sec_mgmt/bastille/ipf.customrules nel modo seguente: Aggiungere keep frags al termine della riga della regola di uscita UDP, in modo che che simile a pass out quick proto udp all keep state keep frags |
Rimuovere o fare diventare un commento la riga seguente. block in quick proto udp from any to any port = portmap |
Dopo la sezione End allow outgoing rules, aggiungere le righe seguenti. # ports required for Ignite-UX
############################################################
pass in log quick proto udp from any to any port = 69 keep state
pass in log quick proto udp from any port = 68 to any port = 67 keep state
pass in log quick proto udp from any port = 1068 to any port = 1067 keep state
pass in log quick proto tcp/udp from any to any port = 2049 keep frags
pass in log quick proto tcp from any to any port = 2121
pass in log quick proto tcp/udp from any to any port 49152 >< 65535
pass in log quick proto tcp from any to any port = 20
pass in log quick proto tcp from any to any port = 21
pass in log quick proto tcp from any to any port = 22
pass in log quick proto tcp from any to any port = 514
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any port = 514 to any keep state
|
In IPFilter Module di Bastille, cambiare a Yes la riga seguente, se già non lo è. Should Bastille setup basic firewall rules with these properties? |
Eseguire Bastille. # bastille -b -f file_di_configurazione |
Se è stata creata la configurazione di base di Bastille, aggiornarla. # bastille_drift --save_baseline configurazione_di_base |
Abilitazione dei requisiti del client Ignite-UX | |
Per assicurarsi che i requisiti per Ignite-UX siano abilitati nel client, innanzitutto occorre scoprire lo stato di blocco corrente, quindi, se necessario, modificarlo, per consentire l'esecuzione del daemon NFS e dei servizi rtools. È anche necessario consentire l'accesso alle porte usate dal client Ignite-UX. Scoprire lo stato di blocco corrente. Se è utilizzato Bastille 3.0 o successiva, creare un rapporto di configurazione. Il rapporto sarà creato in /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config. # bastille --assessnobrowser |
Se è utilizzata una versione di Bastille antecedente alla 3.0, ottenere la più recente configurazione usata da Bastille.
| | | | | NOTA: Nel caso sia visualizzato il messaggio: NOTE: The system is in its pre-bastilled state. |
non sarà necessario procedere con questa configurazione, perché nello stato pre-bastille daemon, servizi e le porte necessarie a Ignite-UX non sono bloccati. | | | | |
Copiare l'ultimo file di configurazione usato per il rapporto di valutazione in una directory a propria scelta. Aprire le configurazione più recente nell'interfaccia utente grafica di Bastille. # bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f nome_file |
Assicurarsi che nel file di configurazione il valore del daemon NFS e del servizio rtools sia impostato a No. Se fosse necessario cambiare una impostazione da Yes a No, per poterlo usare sarà probabilmente necessario abilitare nel sistema tale daemon o servizio. Dopo avere eseguito le modifiche, salvare il file di configurazione in una directory a propria scelta. Would you like to deactivate the NFS client daemons?
Should Bastille ensure that the login, shell, and exec services do not run on this system?
|
Per aggiornare il firewall o fare in modo che Bastille ne crei uno nuovo: Eseguire il backup del file /etc/opt/ipf/ipf.conf in un directory a propria scelta. Aggiornare le informazioni delle porte per il firewall HP-UX IPFilter abilitato per Bastille, modificando il file /etc/opt/sec_mgmt/bastille/ipf.customrules nel modo seguente: Aggiungere keep frags al termine della riga della regola di uscita UDP, in modo che che simile a pass out quick proto udp all keep state keep frags |
Dopo la sezione End allow outgoing rules, aggiungere le righe seguenti. # ports required for Ignite-UX
############################################################
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any to any port = 512
pass in log quick proto tcp from any to any port = 514
pass in log quick proto tcp/udp from any port = 2049 to any keep frags
pass in log quick proto tcp/udp from any to any port 49152 >< 65535 |
In IPFilter Module di Bastille, cambiare a Yes la riga seguente, se già non lo è. Should Bastille setup basic firewall rules with these properties? |
Eseguire Bastille. # bastille -b -f file_di_configurazione |
Se è stata creata la configurazione di base di Bastille, aggiornarla. # bastille_drift --save_baseline configurazione_di_base |
|
Versione stampabile
