收藏
下载资源

计算机HP安全手册

上传人:M****1 文档编号:561480366 上传时间:2022-07-14 格式:DOC 页数:7 大小:28.50KB
返回 下载 相关 举报
计算机HP安全手册_第1页
第1页 / 共7页
计算机HP安全手册_第2页
第2页 / 共7页
计算机HP安全手册_第3页
第3页 / 共7页
计算机HP安全手册_第4页
第4页 / 共7页
计算机HP安全手册_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《计算机HP安全手册》由会员分享,可在线阅读,更多相关《计算机HP安全手册(7页珍藏版)》请在金锄头文库上搜索。

1、HP-UX安全手册一、 基本系统管理1、常用命令1. # ioscan -fn列出各I/O卡及设备的所有相关信息:如逻辑单元号,硬件地址及设备文件名等。2. # ps -ef列出正在运行的所有进程的各种信息:如进程号及进程名等。3. # netstat -rn列出网卡状态及路由信息等。4. # lanscan列出网卡状态及网络配置信息。5. # bdf列出已加载的逻辑卷及其大小信息。6. # mount列出已加载的逻辑卷及其加载位置。7. # uname -a列出系统ID 号,OS版本及用户权限等信息。8. # hostname列出系统网络名称。9. # pvdisplay -v /dev/d

2、sk/c*t*d*显示磁盘各种信息,如磁盘大小,包含的逻辑卷,设备名称等。10. # vgdisplay -v /dev/vg00显示逻辑卷组信息,如包含哪些物理盘及逻辑卷等。11. # lvdisplay -v /dev/vg00/lvol1显示逻辑卷各种信息,如包含哪些盘,是否有镜像等。2、网络故障诊断1. 如需修改网络地址、主机名等,一定要用set_parms 命令# set_parms hostname# set_parms ip_address2. 查看网卡状态: lanscanHardware Station Crd Hardware Net-Interface Path Addr

3、ess In# state nameunit state 8/20/5/1 0x0800097843FB 0 up lan0 up3. 确认网络地址:# ifconfig lan04. 启动网卡:# ifconfig lan0 up5. 网络不通的诊断过程:lanscan 查看网卡是否启动(up)ping 自己网卡地址(ip 地址)ping其它机器地址,如不通,在其机器上用lanscan 命令得知station address,然后linkloop station_address 来确认网线及集成器是否有问题。在同一网中, subnetmask 应一致。6. 配置网关手动加网关: /usr/s

4、bin/route add default .98 1 把网关自动加入系统中 vi /etc/rc.config.d / netconf : ROUTE_DESTINATION 0=default ROUTE_GATEWAY 0=20.08.28.98 ROUTE_COUNT 0=1 : /sbin/init.d/net 将执行: /usr/sbin/route add default 20.08.28.98 1命令netstat -rn 查看路由表另外也可用set_parms addl_netwrk 来设缺省路由。二、安全安装HP-UX1、 建议在安装配置过程中,不要连接到任何不信任的网络中

5、。2、 尽可能选择最小安装3、 尽可能不要安装NFS, X window, SNMP等组件(视具体需求而定)4、 安装完毕,则使用系统命令查看状态。# uname a (版本信息)# bdf (逻辑卷状态)# ps ef (进程状态)# netstat -anf inet (端口状态)5、 安装各种驱动等6、 安装最新的补丁。安装补丁时要注意HP的补丁与硬件类型和系统版本都相关,检查并安装所有需要的补丁。确认需要swlist -l fileset.三、系统基本配置操作系统安装并打上补丁后,需要做一些措施来对系统进行一些配置。删除保存的补丁(可选)缺省情况下,补丁安装完会在/var/adm/sw

6、/save/下备份所有的补丁。可以选择删除这些补丁文件,但一旦删除就没法使用swremove卸载补丁了。# swmodify -x patch_commit=true *.*转换为一个可信系统:# /usr/lbin/tsconvertCreating secure password database.Directories created.Making default files. System default file created.Terminal default file created.Device assignment file created.Moving passwords.

7、secure password database installed.Converting at and crontab jobs.At and crontab files converted.改变全局特权HP-UX 有一个特权组,可以分配给一个组特权(参见privgrp(4). 缺省情况下,CHOWN是分配给所有组的一个全局特权:$ getprivgrpglobal privileges: CHOWN/sbin/init.d/set_prvgrp在系统启动时执行/usr/sbin/setprivgrp -f /etc /privgroup. 可以创建一个配置文件,删除所有的全局特权 (see

8、 setprivgrp(1m): # getprivgrpglobal privileges: CHOWN# echo -n ;/etc/privgroup# chmod 400 /etc/privgroup# /sbin/init.d/set_prvgrp start# getprivgrpglobal privileges:设置默认umask.转换到可信系统后,默认umask已经改为07077限制root远程登录,只能由console登录 # echo console ; /etc/securetty# chmod 400 /etc/securetty打开inetd日志功能在/etc/rc

9、.config.d/netdaemons中的 INETD_ARGS 环境变量中增加-l参数:export INETD_ARGS=-l删除不需要的系统伪帐户# groupdel lp# groupdel nuucp# groupdel daemon# userdel uucp# userdel lp# userdel nuucp# userdel hpdb# userdel www# userdel daemon对于一些保留的系统伪帐户如:bin, sys,adm等, 应当将需要禁止帐户的*用NP代替,并不提供登录shellExample: bin:NP:60002:60002:No Acces

10、s User:/:/sbin/noshell将root主目录从/改为/root.编辑/etc/passwd:root:*:0:3:/root:/sbin/sh创建目录并修改权限:# mkdir /root# chmod 700 /root# mv /.profile /root# pwconv四、禁止网络服务1、禁止inetd 服务由internet服务器过程inetd启动的网络服务是由两个配置文件/etc/inet/services和/etc/inet/inetd.conf来配置的。/etc/inet/services文件指定每个服务的端口号和端口类型,该配置文件的部分示例如下:ftp 21

11、/tcptelnet 23/tcpsmtp 25/tcp mail/etc/inet/inetd.conf文件指定服务对应的系统服务程序,该配置文件部分示例如下:ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpdtelnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd当要停止某个服务,如ftp、telnet等时,只要注释掉文件/etc/inet/services和/etc/inet/inetd.conf中的相应条目,也就是在那一行的开头加上#字符,然后让inetd重新读配置文

12、件,过程示例如下:# ps -ef |grep inetdroot 149 1 0 Jan 18 ? 0:00 /usr/sbin/inetd -sroot 24621 24605 0 15:53:01 pts/1 0:00 grep inetd# kill HUP 149以上第一条命令是为了获得inetd的进程号,示例中输出的第二列内容就是进程号(149),然后将该进程号填入第二条命令的相应位置。可以使用lsof i来查看监听进程和端口信息: # lsof -iCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMEsyslogd 261 root

13、 5u inet 0x10191e868 0t0 UDP *:syslog (Idle)rpcbind 345 root 4u inet 72,0x73 0t0 UDP *:portmap (Idle)rpcbind 345 root 6u inet 72,0x73 0t0 UDP *:49158 (Idle)rpcbind 345 root 7u inet 72,0x72 0t0 TCP *:portmap (LISTEN)sendmail: 397 root 5u inet 0x10222b668 0t0 TCP *:smtp (LISTEN)snmpdm 402 root 3u inet

14、 0x10221a268 0t0 TCP *:7161 (LISTEN)snmpdm 402 root 5u inet 0x10222a268 0t0 UDP *:snmp (Idle)snmpdm 402 root 6u inet 0x10221f868 0t0 UDP *:* (Unbound)mib2agt 421 root 0u inet 0x10223e868 0t0 UDP *:* (Unbound)swagentd 453 root 6u inet 0x1019d3268 0t0 UDP *:2121 (Idle)2、禁止其他服务防止syslogd网络监听安装PHCO_21023补丁可以给syslogd加上-N参数防止网络监听. 编辑/sbin/init.d/syslogd修改为 /usr/sbin/syslogd -DN.禁止SNMP服务编辑SNMP启动文件:_TRAPDEST_START to 0: SNMP_TRAPDEST_START=0禁止sendmail进程编辑/etc/rc.config.d/mailservs:e

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 模板/表格 > 财务表格

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号