HP-UX Security CheckList目录HP-UX SECURITY CHECKLIST (1)1初级检查评估内容 (6)1.1 系统信息 (6)1.1.1 系统基本信息 (6)1.1.2 系统网络设置 (6)1.1.3 系统当前路由 (7)1.1.4 检查目前系统开放的端口 (7)1.1.5 检查当前系统网络连接情况 (8)1.1.6 系统运行进程 (8)1.2 物理安全检查 (9)1.2.1 检查系统单用户运行模式中的访问控制 (9)1.3 帐号和口令 (9)1.3.1 检查系统中Uid相同用户情况 (9)1.3.2 检查用户登录情况 (10)1.3.3 检查账户登录尝试失效策略 (10)1.3.4 检查账户登录失败时延策略 (10)1.3.5 检查所有的系统默认帐户的登录权限 (11)1.3.6 空口令用户检查 (11)1.3.7 口令策略设置参数检查 (11)1.3.8 检查root是否允许从远程登录 (12)1.3.9 验证已经存在的Passwd强度 (12)1.3.10 用户启动文件检查 (12)1.3.11 用户路径环境变量检查 (13)1.4 网络与服务 (13)1.4.1 系统启动脚本检查 (13)1.4.2 TCP/UDP小服务 (13)1.4.3 login(rlogin)，shell(rsh)，exec(rexec) (14)1.4.4 comsat talk uucp lp kerbd (15)1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd (15)1.4.6 远程打印服务 (16)1.4.7 检查是否开放NFS服务 (16)1.4.8 检查是否Enables NFS port monitoring (17)1.4.9 检查是否存在和使用NIS ,NIS+ (17)1.4.10 检查sendmail服务 (17)1.4.11 Expn, vrfy (若存在sendmail进程) (18)1.4.12 SMTP banner (19)1.4.13 检查是否限制ftp用户权限 (19)1.4.14 TCP_Wrapper (20)1.4.15 信任关系 (20)1.5 文件系统 (20)1.5.1 suid文件 (21)1.5.2 sgid文件 (21)1.5.3 /etc 目录下可写的文件 (22)1.5.4 检测重要文件目录下文件权限属性以及/dev下非设备文件系统 (22)1.5.5 检查/tmp目录存取属性 (23)1.5.6 检查UMASK (23)1.5.7 检查.rhosts文件 (24)1.6 日志审核 (27)1.6.1 Cron logged (27)1.6.2 /var/adm/cron/ (28)1.6.3 Log all inetd services (28)1.6.4 Syslog.conf (28)1.7 UUCP服务 (28)1.8 X WINDOWS检查 (29)2中级检查评估内容 (30)2.1 安全增强性 (30)2.1.1 TCP IP参数检查 (30)2.1.2 Inetd启动参数检查 (32)2.1.3 Syslogd启动参数检查 (32)2.1.4 系统日志文件内容检查 (32)2.1.5 系统用户口令强度检查 (32)2.1.6 系统补丁安装情况检查 (33)2.1.7 系统审计检查 (33)3高级检查评估内容 (34)3.1 后门与日志检查 (34)3.2 系统异常服务进程检查 (34)3.3 内核情况检查 (34)3.4 第三方安全产品安装情况 (34)1初级检查评估内容1.1系统信息1.1.1系统基本信息1.1.1.1说明：检查系统的版本和硬件类型等基本信息。

1.1.1.2检查方法：uname –auname –vPATH="/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/"export PATH1.1.2系统网络设置1.1.2.1说明：检查系统的网卡是否存在混杂模式。

1.1.2.2检查方法：ifconfig lan01.1.3系统当前路由1.1.3.1说明：检查系统当前的路由设定配置，包括默认路由和永久路由，并检查其合法性。

1.1.3.2检查方法：netstat -nr1.1.3.3结果分析方法：bash-2.05# netstat -nrRouting Table: IPv4Destination Gateway Flags Ref Use Interface-------------------- -------------------- ----- ----- ------ ---------192.168.10.0 192.168.10.113 U 1 35 hme0 default 192.168.10.254 UG 1 78127.0.0.1 127.0.0.1 UH 2 7246 lo01.1.4检查目前系统开放的端口1.1.4.1说明：检查当前系统运行中开放的服务端口1.1.4.2检查方法：netstat –na |grep LISTEN1.1.4.3结果分析方法：bash-2.05# netstat -na | grep LISTEN1.1.5检查当前系统网络连接情况1.1.5.1说明：根据显示的网络连接，记录已建立连接establish的数量，地址范围等。

记录listen的端口，记录其它状态，例如timewait，finwait，closewait等。

1.1.5.2检查方法：netstat –na1.1.6系统运行进程1.1.6.1说明：根据显示的当前所有在运行的系统进程，记录每个进程的运行时间，属主，查看相应的实例位置，检查相应的实例的版本、大小、类型等。

1.1.6.2检查方法：ps –elf1.1.6.3结果分析方法：# ps –ef1.2物理安全检查1.2.1检查系统单用户运行模式中的访问控制1.2.1.1说明：检查和发现系统在进入单用户模式是否具备访问控制。

1.2.1.2检查方法：more /tcb/files/auth/system/default，如果d_boot_authenticate行的内容大于0，那么说明系统不需要口令就可以进入单用户模式。

1.3帐号和口令1.3.1检查系统中Uid相同用户情况1.3.1.1说明：检查和发现系统中具有相同uid的用户情况，特别关注udi=0的用户情况。

1.3.1.2检查方法：pwck -s1.3.2检查用户登录情况1.3.2.1说明：检查和发现系统用户的登录情况，特别关注udi=0的用户情况。

1.3.2.2检查方法：last -Rlastb –R | more1.3.3检查账户登录尝试失效策略1.3.3.1说明：检查系统允许的单次会话中的登录尝试次数。

1.3.3.2检查方法：more /tcb/files/auth/system/default，检查t_maxtrie变量内容，如果有设定，它将改变默认的5次设定。

1.3.4检查账户登录失败时延策略1.3.4.1说明：检查系统允许的单次会话中的登录失败时延参数。

1.3.4.2检查方法：more /tcb/files/auth/system/default，检查t_logdelay变量内容，如果有设定，它将改变默认的4秒设定。

1.3.5检查所有的系统默认帐户的登录权限1.3.5.1说明：1.3.5.2检查方法：cat /etc/passwd |grep –v sh1.3.5.3结果分析方法：例：noaccess:x:60002:60002:No Access User :/:/sbin/noshell1.3.6空口令用户检查1.3.6.1说明：1.3.6.2检查方法：authck –ppwck -s1.3.7口令策略设置参数检查1.3.7.1说明：检查系统口令的配置策略1.3.7.2检查方法：more /tcb/files/auth/system/default1.3.8检查root是否允许从远程登录1.3.8.1说明：Root从远程登录时，可能会被网络sniffer窃听到密码。

1.3.8.2检查方法：cat /etc/securetty1.3.8.3结果分析方法：/etc/securetty应当包括console或者/dev/null1.3.9验证已经存在的Passwd强度1.3.9.1说明：检查/etc/shadow文件中，是否存在空密码的帐号1.3.9.2检查方法：cat /etc/shadow |awk -F: '{print $1 " "$2}'1.3.10用户启动文件检查1.3.10.1说明：检查用户目录下的启动文件1.3.10.2检查方法：检查用户目录下的.cshrc, .profile, .emacs, .exrc, .Xdefaults, .Xinit, .login, .logout, .Xses sion,等文件的内容，包括root用户。

1.3.11用户路径环境变量检查1.3.11.1说明：检查用户路径环境变量下的启动文件1.3.11.2检查方法：切换到用户echo $PATH，检查输出。

1.4网络与服务1.4.1系统启动脚本检查1.4.1.1说明：检查系统启动脚本1.4.1.2检查方法：more /sbin/rc?.d1.4.2TCP/UDP小服务1.4.2.1说明：这些服务通常是用来进行网络调试的，包括：echo、discard、datetime、chargen1.4.2.2检查方法：grep –v “#” /etc/inetd.conf1.4.2.3结果分析方法:echo stream tcp nowait root internalecho dgram udp wait root internaldiscard stream tcp nowait root internaldiscard dgram udp wait root internaldaytime stream tcp nowait root internaldaytime dgram udp wait root internalchargen stream tcp nowait root internalchargen dgram udp wait root internal1.4.3login(rlogin)，shell(rsh)，exec(rexec) 1.4.3.1说明：用来方便的登陆或执行远程系统的命令。