修改通过 Bastille 加固的系统以便与 Ignite-UX 配合工作

HP-UX Bastille 是一个可用于增强 HP-UX 操作系统安全性的安全性加固/锁闭工具。它通过对适用于 HP-UX 的 Center for Internet Security (CIS) Level 1 Benchmark 之类的功能以及其他加固/锁闭清单进行编码来逐个系统地提供定制锁闭功能。可以在 HP-UX 11i v1 以及 HP-UX 的更高版本中使用 Bastille 技术。

本节介绍如何确保在 Bastille 系统上满足 Ignite-UX 要求。

有关 HP-UX Bastille 的详细信息，请参阅 bastille(1M)、bastille_drift(1M)、《HP-UX 系统管理员指南：安全管理》（如果运行的是 HP-UX 11i v3）和《管理系统和工作组：HP-UX 系统管理员指南》（对于运行 HP-UX 11i v2 和更早版本的系统）。




	注意：本节中的配置过程将更改系统的安全属性。启用服务、协议和端口时，应仔细考虑对网络和系统安全造成的影响。

满足 Ignite-UX 服务器要求

要确保在服务器上满足 Ignite-UX 要求，必须首先发现当前的锁闭状态，如有必要，请修改此状态，以便允许运行选定的守护程序和服务。同时，还必须允许访问 Ignite-UX 服务器所使用的某些端口。

发现当前锁闭状态。

如果使用的是 Bastille 3.0 或更高版本，请创建一个配置报告。该报告将创建在 /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config 中。
# bastille --assessnobrowser
如果使用的 Bastille 版本低于 3.0，请获取 Bastille 所使用的最新配置文件。
# bastille -l

注释：如果出现以下消息

NOTE:    The system is in its pre-bastilled state.

，则不必继续进行此配置，因为在使用 Bastille 之前并未锁定 Ignite-UX 所需的守护程序、服务和端口。

将最后的配置文件或评估报告复制到所选位置。

在 GUI 中启用最新配置。

# bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f filename

确保在配置文件中将下列守护程序和服务设置为 No。请注意，如果必须将设置从 Yes 更改为 No，则可能需要在系统上启用该守护程序或服务之后，才能使用该设置。进行更改后，请将配置文件保存到所选位置。

Would you like to deactivate the NFS server on this system
Would you like to deactivate NIS client programs?
Should Bastille ensure inetd's bootp service does not run on this system?
Should Bastille ensure inetd's TFTP service does not run on this system?

要更新防火墙或通过 Bastille 创建一个新防火墙，请执行下列步骤：

将 /etc/opt/ipf/ipf.conf 文件备份到所选位置。

编辑文件 /etc/opt/sec_mgmt/bastille/ipf.customrules 并进行下列更改，更新启用了 Bastille 的 HP-UX IPFilter 防火墙的端口信息：

将 keep frags 这两个单词添加到 udp 传出规则行的结尾，使其如下所示：
pass out quick proto udp all keep state keep frags

删除或注释掉以下行。

block in quick proto udp from any to any port = portmap

在 End allow outgoing rules 部分后添加下列行。

# ports required for Ignite-UX
############################################################
pass in log quick proto udp from any to any port = 69 keep state
pass in log quick proto udp from any port = 68 to any port = 67 keep state
pass in log quick proto udp from any port = 1068 to any port = 1067 keep state
pass in log quick proto tcp/udp from any to any port = 2049 keep frags
pass in log quick proto tcp from any to any port = 2121
pass in log quick proto tcp/udp from any to any port 49152 >< 65535
pass in log quick proto tcp from any to any port = 20
pass in log quick proto tcp from any to any port = 21
pass in log quick proto tcp from any to any port = 22
pass in log quick proto tcp from any to any port = 514
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any port = 514 to any keep state

在 Bastille 的 IPFilter 模块中，将以下行更改为 Yes。

Should Bastille setup basic firewall rules with these properties?

运行 Bastille。

# bastille -b -f your_configuration_file

如果已经为系统创建 Bastille 基准，请更新该基准。
# bastille_drift --save_baseline baseline

满足 Ignite-UX 客户端要求

要确保在客户端上满足 Ignite-UX 要求，必须首先发现当前的锁闭状态，如有必要，请修改此状态，以便允许运行 NFS 守护程序和 rtools 服务。同时，还必须允许访问 Ignite-UX 客户端所使用的某些端口。