修改 Bastille 強化系統以搭配 Ignite-UX 運作

HP-UX Bastille 是安全性強化或鎖定 (lockdown) 工具，可強化 HP-UX 作業系統的安全性，利用類似 Center for Internet Security (CIS) Level 1 Benchmark for HP-UX 的編碼功能和其他安全性強化/鎖定查核清單，依不同系統為基礎來自訂鎖定。HP-UX 11i v1 和更新的 HP-UX 版本提供 Bastille 技術。

本節說明如何確認您的 Bastille 系統是否啟用 Ignite-UX 需求。

若需 HP-UX Bastille 的相關資訊，請參閱 bastille(1M)、bastille_drift(1M)、《HP-UX 系統管理者指南：安全性管理》(若執行 HP-UX 11i v3)，若系統執行 HP-UX 11i v2 和舊版，請參閱《管理系統與工作群組：HP-UX 系統管理者指南》。




	小心：此部分的配置程序會變更您系統的安全性屬性。啟用服務、通訊協定和連接埠時，請謹慎考量可能對您網路和系統安全性造成的影響。

啟用 Ignite-UX 伺服器需求

欲確認伺服器上是否啟用 Ignite-UX 需求，您必須先探索您目前的鎖定 (lockdown) 狀態，然後視需要修改該狀態，讓所選取的協助程式與服務能夠執行。您亦須允許存取 Ignite-UX 伺服器使用的部分連接埠。

探索您目前的鎖定狀態。

若使用 Bastille 3.0 版或更新版，請建立一個配置報告。報告將建立在 /var/opt/sec_mgmt/bastille/log/Assessment/assessment-log.config 中。
# bastille --assessnobrowser
若使用 3.0 版之前的 Bastille，請取得 Bastille 使用的最新配置檔。
# bastille -l

附註： 若收到下列訊息

NOTE:The system is in its pre-bastilled state.

表示不需要繼續進行此配置，因為 Ignite-UX 需要的協助程式、服務和連接埠並未鎖定在之前的 Bastille 狀態。

將上次使用的配置檔或評估報告複製到您選擇的任何位置。

在 Bastille GUI 中啟用最新的配置。

# bastille --os [HP-UX11.00 | HP-UX11.11 | HPUX11.23 | HPUX11.31] -f 檔案名稱

確認配置檔中的下列協助程式和服務設定均設為 No。請注意，若您已將設定從 Yes 變更為 No，可能需要在系統上啟用該協助程式或服務，才能使用。進行變更後，請將配置檔儲存在您選擇的任何位置。

Would you like to deactivate the NFS server on this system
您是否要停用 NIS 用戶端程式？
Bastille 是否應確認 inetd 的 bootp 服務不會在此系統上執行
Bastille 是否應確認 inetd 的 TFTP 服務不會在此系統上執行

欲更新防火牆或使 Bastille 建立一個新防火牆：

請將您的 /etc/opt/ipf/ipf.conf 檔案備份到您所選擇的任何位置。

編輯 /etc/opt/sec_mgmt/bastille/ipf.customrules 檔案並進行下列變更，以更新啟用 Bastille 之 HP-UX IPFilter 防火牆的連接埠資訊：

在 udp 外送規則行的結尾處加上 keep frags 字詞，如下所示：
pass out quick proto udp all keep state keep frags

移除或取消 (comment-out) 下行。

block in quick proto udp from any to any port = portmap

將下列各行加在 End allow outgoing rules 部分之後。

# ports required for Ignite-UX
############################################################
pass in log quick proto udp from any to any port = 69 keep state
pass in log quick proto udp from any port = 68 to any port = 67 keep state
pass in log quick proto udp from any port = 1068 to any port = 1067 keep state
pass in log quick proto tcp/udp from any to any port = 2049 keep frags
pass in log quick proto tcp from any to any port = 2121
pass in log quick proto tcp/udp from any to any port 49152 >< 65535
pass in log quick proto tcp from any to any port = 20
pass in log quick proto tcp from any to any port = 21
pass in log quick proto tcp from any to any port = 22
pass in log quick proto tcp from any to any port = 514
pass in log quick proto icmp from any to any icmp-type 8 keep state
pass in log quick proto tcp from any port = 514 to any keep state

在 Bastille 的 IPFilter 模組中，將下行變更為 Yes (若尚未變更)。
Bastille 是否應以這些屬性設定基本的防火牆規則？
執行 Bastille。
# bastille -b -f 您的_配置_檔

若已建立系統的 Bastille 基準 (baseline)，請更新該基準。
# bastille_drift --save_baseline 基準

啟用 Ignite-UX 用戶端需求

欲確認用戶端上是否啟用 Ignite-UX 需求，您必須先探索您目前的鎖定 (lockdown) 狀態，然後視需要修改該狀態，讓 NFS 協助程式和 rtools 服務能夠執行。您亦須允許存取 Ignite-UX 用戶端使用的部分連接埠。