|
二、安全安装HP-UX
1、 建议在安装配置过程中,不要连接到任何不信任的网络中。
2、 尽可能选择最小安装
3、 尽可能不要安装NFS, X window, SNMP等组件(视具体需求而定)
4、 安装完毕,则使用系统命令查看状态。
# uname ?Ca (版本信息)
# bdf (逻辑卷状态)
# ps ?Cef (进程状态)
# netstat -anf inet (端口状态)
5、 安装各种驱动等
6、 安装最新的补丁。
http://us.itrc.hp.com
安装补丁时要注意HP的补丁与硬件类型和系统版本都相关,检查并安装所有需要的补丁。确认需要swlist -l fileset.
三、系统基本配置
操作系统安装并打上补丁后,需要做一些措施来对系统进行一些配置。
删除保存的补丁(可选)
缺省情况下,补丁安装完会在/var/adm/sw/save/下备份所有的补丁。可以选择删除这些补丁文件,但一旦删除就没法使用swremove卸载补丁了。
# swmodify -x patch_commit=true '*.*'
转换为一个可信系统:
# /usr/lbin/tsconvert
Creating secure password database...
Directories created.
Making default files.
System default file created...
Terminal default file created...
Device assignment file created...
Moving passwords...
secure password database installed.
Converting at and crontab jobs...
At and crontab files converted.
改变全局特权
HP-UX 有一个特权组,可以分配给一个组特权(参见privgrp(4)). 缺省情况下,CHOWN是分配给所有组的一个全局特权:
$ getprivgrp
global privileges: CHOWN
/sbin/init.d/set_prvgrp在系统启动时执行/usr/sbin/setprivgrp -f /etc /privgroup. 可以创建一个配置文件,删除所有的全局特权 (see setprivgrp(1m)):
# getprivgrp
global privileges: CHOWN
# echo -n >/etc/privgroup
# chmod 400 /etc/privgroup
# /sbin/init.d/set_prvgrp start
# getprivgrp
global privileges:
设置默认umask.
转换到可信系统后,默认umask已经改为07077
限制root远程登录,只能由console登录
# echo console > /etc/securetty
# chmod 400 /etc/securetty
打开inetd日志功能
在/etc/rc.config.d/netdaemons中的 INETD_ARGS 环境变量中增加-l参数:
export INETD_ARGS=-l
删除不需要的系统伪帐户
# groupdel lp
# groupdel nuucp
# groupdel daemon
# userdel uucp
# userdel lp
# userdel nuucp
# userdel hpdb
# userdel www
# userdel daemon
对于一些保留的系统伪帐户如:bin, sys,adm等, 应当将需要禁止帐户的**用NP代替,并不提供登录shell
Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell
将root主目录从/改为/root.
编辑/etc/passwd:
root:*:0:3::/root:/sbin/sh
创建目录并修改权限:
# mkdir /root
# chmod 700 /root
# mv /.profile /root
# pwconv
|
