Ignite-UX에서 작동하도록 Bastille 강화 시스템 수정

HP-UX Bastille은 HP-UX 운영 체제의 보안을 향상시키는 데 사용할 수 있는 보안 강화/잠금 도구입니다. 이 도구는 CIS(Center for Internet Security) Level 1 Benchmark for HP-UX와 비슷한 기능 및 기타 강화/잠금 확인 목록을 인코딩하여 시스템별로 사용자 정의 잠금을 제공합니다. Bastille 기술은 HP-UX의 HP-UX 11i v1 이상 버전에서 사용할 수 있습니다.

이 절에서는 Bastille 시스템에서 Ignite-UX 요구 사항이 활성화되도록 하는 방법에 대해 설명합니다.

HP-UX Bastille에 대한 자세한 내용은 bastille(1M), bastille_drift(1M), HP-UX 시스템 관리 설명서: 보안 관리(HP-UX 11i v3을 실행하고 있는 경우) 및 시스템 및 작업 그룹 관리: HP-UX 시스템 관리자를 위한 설명서(HP-UX 11i v2 이전 버전이 실행되는 시스템)를 참조하십시오.




	주의: 이 절의 구성 프로세스에서는 시스템의 보안 등록 정보를 변경합니다. 서비스, 프로토콜 및 포트를 활성화할 때는 네트워크 및 시스템 보안에 영향을 줄 수 있으므로 신중하게 고려해야 합니다.

Ignite-UX 서버 요구 사항 활성화

서버에서 Ignite-UX 요구 사항을 활성화하려면 먼저 현재 잠금 상태를 검색하고 필요한 경우 해당 상태를 수정하여 선택한 데몬 및 서비스가 실행되도록 해야 합니다. 또한 Ignite-UX 서버에서 사용하는 특정 포트에 대한 액세스를 허용해야 합니다.

현재 잠금 상태를 검색합니다.

Bastille 3.0 이상을 사용하고 있는 경우 구성 보고서를 만듭니다. 보고서는 /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config에 만들어집니다.
# bastille --assessnobrowser
3.0 이전 버전의 Bastille을 사용하고 있는 경우 Bastille에서 사용하는 최신 구성 파일을 가져옵니다.
# bastille -l

참고: 다음과 같은 메시지가 표시될 수 있습니다.

NOTE:    The system is in its pre-bastilled state.

이런 경우 Ignite-UX에 필요한 데몬, 서비스 및 포트가 Bastille 이전 상태로 잠겨 있지 않으므로 이 구성을 계속 진행할 필요가 없습니다.

사용된 마지막 구성 파일이나 평가 보고서를 선택한 위치에 복사합니다.

Bastille GUI에 최신 구성을 표시합니다.

# bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f filename

다음과 같은 데몬 및 서비스에 대한 구성 파일의 설정이 No로 설정되어 있는지 확인합니다. 설정을 Yes에서 No로 변경해야 하는 경우 시스템에서 해당 데몬이나 서비스를 활성화해야 사용할 수 있습니다. 설정을 변경한 후 구성 파일을 선택한 위치에 저장합니다.

Would you like to deactivate the NFS server on this system
Would you like to deactivate NIS client programs?
Should Bastille ensure inetd's bootp service does not run on this system?
Should Bastille ensure inetd's TFTP service does not run on this system?

방화벽을 업데이트하거나 Bastille에서 새 방화벽을 만들도록 하려면 다음을 수행합니다.

/etc/opt/ipf/ipf.conf 파일을 선택한 위치에 백업합니다.

/etc/opt/sec_mgmt/bastille/ipf.customrules 파일을 편집하고 다음과 같이 변경하여 Bastille 사용 HP-UX IPFilter 방화벽에 대한 포트 정보를 업데이트합니다.

다음과 같이 표시되도록 udp dp outgoing rule 끝에 keep frags라는 단어를 추가합니다.
pass out quick proto udp all keep state keep frags

다음 줄을 제거하거나 주석 처리합니다.

block in quick proto udp from any to any port = portmap

End allow outgoing rules 섹션 뒤에 다음 줄을 추가합니다.

# ports required for Ignite-UX
############################################################
pass in log quick proto udp from any to any port = 69 keep state
pass in log quick proto udp from any port = 68 to any port = 67 keep state
pass in log quick proto udp from any port = 1068 to any port = 1067 keep state
pass in log quick proto tcp/udp from any to any port = 2049 keep frags
pass in log quick proto tcp from any to any port = 2121
pass in log quick proto tcp/udp from any to any port 49152 >< 65535
pass in log quick proto tcp from any to any port = 20
pass in log quick proto tcp from any to any port = 21
pass in log quick proto tcp from any to any port = 22
pass in log quick proto tcp from any to any port = 514
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any port = 514 to any keep state

Bastille의 IPFilter 모듈에서 다음 줄을 Yes로 변경합니다.
Should Bastille setup basic firewall rules with these properties?

Bastille을 실행합니다.

# bastille -b -f your_configuration_file

시스템에 대해 Bastille 기준을 만든 경우에는 해당 기준을 업데이트합니다.
# bastille_drift --save_baseline baseline

Ignite-UX 클라이언트 요구 사항 활성화

클라이언트에서 Ignite-UX 요구 사항을 활성화하려면 먼저 현재 잠금 상태를 검색하고 필요한 경우 해당 상태를 수정하여 NFS 데몬 및 rtools 서비스가 실행되도록 해야 합니다. 또한 Ignite-UX 클라이언트에서 사용하는 특정 포트에 대한 액세스를 허용해야 합니다.