Seguridad en HP-UX

Csar Vega Caldern

EDS de Mxico, S.A. de C.V.
Abril 19 de 2001
1. Resumen
Este docuento contiene una serie de recoendaciones de seguridad !ara el sistea
o!erati"o #$%&' de #e(lett $ac)ard Co!an*.
Dic+as recoendaciones a!lican tanto !ara una instalacin en ,r-o del sistea
o!erati"o coo !ara el robusteciiento de la seguridad de un sistea !roducti"o.
2. Introduccin
De sobra es sabido .ue el sistea o!erati"o &nix no es seguro en absoluto.
/b"iaente, el sistea #$%&' de los e.ui!os #$ 9000 de #e(lett $ac)ard no es la
exce!cin.
Sin ebargo, el sistea o!erati"o #$%&', al igual .ue cual.uier otro 0sabor1 de &nix,
!uede ser con,igurado de anera .ue la seguridad del sistea se "ea robustecida en
buena edida.
2a seguridad de un sistea !uede increentarse con una serie de edidas, entre las
.ue destacan !or su i!ortancia3
Creacin e i!leentacin de !ol-ticas * !rocediientos de seguridad
4nstalacin * con,iguracion de +erraientas de seguridad
Ca!acitacin de usuarios * adinistradores
Con,iguracin adecuada de los ser"icios de red del sistea
4nstalacin !eridica de !arc+es * ,ixes
Concienti5acin asi"a en seguridad
Elaboracin !eridica de res!aldos
Veri,icacin de la integridad de los res!aldos
Atencin a la seguridad ,-sica
6uena cultura de adinistracin * seguridad
6uenas !r7cticas de reno"acin, uso * ex!iracin de contrase8as
Con,iguracin segura del sistea o!erati"o
Este docuentos +ace n,asis en la 9ltia, aun.ue no enos i!ortante edida3 la
con,iguracin 0segura1 del sistea o!erati"o. Es 0segura1 !or.ue es bien conocido el
+ec+o de .ue en la !r7ctica no existe ning9n sistea 100 : seguro.
NOTA IMPORTANTE
Antes de +acer cualquier cabio en los arc+i"os de con,iguracin del sistea, se
recoienda ,uerteente obtener un res!aldo con,iable de los isos.
$or otra !arte, la gran a*or-a de los coandos descritos a lo largo del docuento
deber7n ser e;ecutados con una cuenta !ri"ilegiada, .ue generalente es root.
Pg. 1 de 8
3. Guidelines de seguridad para HP-UX
Convertir el sistema a Trusted System
1. <eali5ar un res!aldo co!leto del sistea * asegurarse de .ue la in,oracin
!uede ser recu!erada, es decir, .ue el res!aldo es -ntegro.
2. Veri,icar .ue se encuentre instalado el !roducto SecurityMon3
=usr=sbin=s("eri,* Securit*Mon
>. E;ecutar SAM3
=usr=sbin=sa ?
@. 4r al 7rea de SAM denoinada 0Audit ? Securit*1 .
A. 4r al 7rea de SAM denoinada 0S*ste Securit* $olicies1.
B. Auto7ticaente el sistea solicita la con,iracin !ara con"ertir el sistea a
Crusted S*ste. Con,irar la con"ersin.
Conigurar la auditor!a en un Trusted System
1. Veri,icar el status del subsistea de auditor-a Ddesacti"ada !or de,aultE3
=usr=sbin=auds*s
2. Acti"ar la auditor-a !ara todos los usuarios Dno recoendadoE, usando el arc+i"o
/.secure/etc/audlog1 con un taa8o 7xio de @000 F6 * un arc+i"o auxiliar /.
secure/etc/audlog2 con un taa8o 7xio de A000 F63
=usr=sbin=auds*s Gn Gc =.secure=etc=audlog1 Gs @000 Gx =.secure=etc=audlog2 G5 A000
>. Veri,icar los usuarios auditados3
=usr=sbin=audusr
@. Desacti"ar la auditor-a !ara todos los usuarios3
=usr=sbin=audusr %D
5. Acti"ar la auditor-a slo !ara un usuario user3
=usr=sbin=audusr Ga user
B. Acti"ar la auditor-a de todos los e"entos Dno recoendadoE3
$or de,ault se auditan todos los e"entos al acti"ar la auditor-a.
H. Veri,icar los e"entos auditados3
=usr=sbin=aude"ent
Pg. 2 de 8
I. Desacti"ar la auditor-a !ara todos los e"entos3
=usr=sbin=audusr %! %, %E
9. Acti"ar la auditor-a !ara 9nicaente los e"entos moddac * login3
=usr=sbin=aude"ent G$ GJ Ge oddac Ge login
10. Desacti"ar el subsistea de auditor-a3
=usr=sbin=auds*s G,
11. Veri,icar el log de auditor-a3
=usr=sbin=audis! =.secure=etc=audlog1
Conigurar la "istoria de #ontrase$as de manera %ue el sistema re#uerde
las m&s re#ientes
1. Crear el arc+i"o /etc/default/security con una l-nea coo la siguiente3
$ASSK/<DL#4SC/<MLDE$C#N10
2. Asignar los !erisos @@@ a /etc/default/security * colocar a bin coo due8o *
gru!o de este arc+i"o3
=usr=bin=c+od @@@ =etc=de,ault=securit*
=usr=bin=c+o(n bin3bin =etc=de,ault=securit*
>. 2a in,oracin de +istoria de contrase8as se guarda ci,rada en el arc+i"o /
tcb/files/auth/system/pwhist/pwhist_0
'esa#tivar i()or*arding
1. 2eer la descri!cin de 4$ Jor(arding3
#$%&' 10.203 =usr=contrib=bin=nettune %+
#$%&' 11.003 =usr=bin=ndd G+ i!L,or(arding
2. Deterinar si est7 acti"ado el ,or(arding3
#$%&' 10.203 =usr=contrib=bin=nettune Gl i!L,or(arding
#$%&' 11.003 =usr=bin=ndd Gget =de"=i! i!L,or(arding
>. Desacti"ar el ,or(arding3
#$%&' 10.203 =usr=contrib=bin=nettune Gs i!L,or(arding 0
#$%&' 11.003 =usr=bin=ndd Gset =de"=i! i!L,or(arding 0

Restringir al m!nimo la e+(orta#i,n de sistemas de ar#"ivos a trav-s de
N.S
Pg. 3 de 8
1. Si es necesario co!artir un sistea de arc+i"os "ia OJS, ex!ortarlo
9nicaente a 7.uinas bien conocidas *, en lo !osible, +acerlo con !erisos
de slo lectura3
=usr=bin=cat =etc=ex!orts
=,iles*ste %accessN+ost,ro
Asegurar las #one+iones via m,dem mediante un (ass*ord adi#ional
1. Deterinar los nobres de arc+i"o de los dis!ositi"os asociados con los !uertos
.ue desean asegurarse3
=usr=sbin=ioscan G,unC tt*
Class 4 #=K $at+ Dri"er S=K State #=K C*!e Descri!tion
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
tt* 0 0=0=@=0 asio0 C2A4MED 4OCE<JACE $C4 Serial D10>c10@IE
=de"=PS$diag1 =de"=diag=ux0 =de"=tt*0!1
=de"=cua0!2 =de"=ux0 =de"=tt*0!2
=de"=cul0!2 =de"=tt*0!0 =de"=tt*d0!2
tt* 1 0=0=A=0 asio0 C2A4MED 4OCE<JACE $C4 Serial D10>c10@IE
=de"=PS$diag2 =de"=ux1
=de"=diag=ux1 =de"=tt*1!1
2. Crear el arc+i"o /etc/dialups, inclu*endo la ruta co!leta de los arc+i"os de
dis!ositi"o de dial%in .ue ser7n usados !ara conectarse ediante una
contrase8a adicional3
=usr=bin=cat =etc=dialu!s
=de"=tt*0!0
=de"=tt*1!1
>. Crear una contrase8a ci,rada con DES !ara utili5ar coo todo de
autenticacin en estos !uertos. Ca!turar, co!ilar * utili5ar el !rograa
siguiente !ara tal e,ecto3
Qinclude Rstdio.+S
ainDE T
c+ar saltU>V, !(dU9VW
c+ar X!ass(ordW
!rint, D04ngrese el !ass(ord a ci,rar3 1EW
scan,D0:s1,!(dEW
!rint, D04ngrese la salt a utili5ar en el ci,rado3 1EW
scan,D0:s1,saltEW
!ass(ordNcr*!tD!(d,saltEW
!rint, D0El !ass(ord ci,rado con DES es :s\n1,!ass(ordEW
Y
4. Crear el arc+i"o /etc/d_passwd * agregar una l-nea !ara +abilitar el s+ell
obtenido al conectarse "ia de D!or e;e!lo, =usr=bin=s+E en los !uertos
es!eci,icados3
=usr=bin=s+3!ass(ord ci,rado3coentario
Restringir el a##eso a los servi#ios de red
1. Editar * con,igurar el arc+i"o /var/adm/inetd.sec3
Pg. 4 de 8
Q $eritir las conexiones "ia ,t! a las 7.uinas1.2.>.@, 0trustedLac+ine1 * a cual.uiera de la red A.B.H,
ade7s de negarlas al resto del undo
,t! allo( 1.2.>.@ trustedLac+ine A.B.H.X
Q Oegar las conexiones "ia telnet a la 7.uina 0sus!icious1 * a cual.uiera de los segentos >, @ o A de la
Qred 1.2, ade7s de !eritirlas al resto del undo
telnet den* sus!icious, 1.2.>%A.X
Asegurar la #onigura#i,n de #ron
1. Asegurarse de .ue todos los arc+i"os de cron !ertene5can al usuario adecuado
* tengan !erisos de slo lectura !ara dic+o usuario/
=usr=bin=ll ="ar=s!ool=cron=crontabs
2. Asegurarse de .ue el arc+i"o /var/adm/cron/cron.allow tenga !erisos de slo
lectura3
=usr=bin=c+od @@@ ="ar=ad=cron=cron.allo(
0erii#ar las AC12s de los ar#"ivos del sistema
1. 6uscar todos los arc+i"os .ue tengan las AC2Zs acti"adas
=usr=bin=,ind = Gacl o!t
2. <e"isar las AC2Zs de cada arc+i"o encontrado3
=usr=bin=lsacl arc+i"o
0erii#ar la integridad del sot*are instalado
1. Veri,icar la integridad de los arc+i"os instalados con el SD DSo,t(are DistributorE3
=usr=sbin=s("eri,*
2. <e"isar cuidadosaente el arc+i"o de log generado3
=usr=bin=ore ="ar=ad=s(=s(agent.log
A#tivar el registro de #one+iones (ara inetd
1. Editar el arc+i"o =etc=rc.con,ig.d=netdaeons * asegurarse de .ue exista una
l-nea coo la siguiente dentro de este arc+i"o3
ex!ort 4OECDLA<PSN1%l1
2. $arar los ser"icios de 4nternet3
=sbin=init.d=inetd sto!
>. Arrancar los ser"icios de 4nternet3
=sbin=init.d=inetd start
1imitar a la #onsola las #one+iones de root
Pg. 5 de 8
1. Crear el arc+i"o /etc/securetty3
=usr=bin=ec+o 0console1 S =etc=securett*
2. Colocar !erisos de slo lectura !ara root al arc+i"o /etc/securetty3
=usr=bin=c+od @00 =etc=securett*
Asegurarse de %ue el ar#"ivo 3var3adm34tm( tenga los (ermisos 566 y
(ertene7#a a root
1. E;ecutar los siguientes coandos3
=usr=bin=ll ="ar=ad=bt!
=usr=bin=c+od B00 ="ar=ad=bt!
Asegurarse de %ue la varia4le PATH de ning8n usuario #ontenga un (unto
1. <e"isar los arc+i"os de iniciali5acin de los usuarios del sistea, ubicar la
"ariable $AC# * eliinar el !unto D.E.
'esa#tivar la re#e(#i,n de mensa9es (ara el su(erusuario
1. E;ecutar el siguiente coando3
=usr=bin=esg n
Conigurar la varia4le TMOUT en los ar#"ivos (roile
1. Agregar la siguiente l-nea al arc+i"o /etc/profile, o bien, a los arc+i"os
$!M"/.profile de los usuarios deseados3
CM/&CNB00 Q Cerrar la sesin luego de 10 inutos de inacti"idad
Utili7ar s"ells restringidos (ara los o(eradores
1. Crear la cuenta del o!erador * colocar /usr/bin/rsh o /usr/bin/r#sh coo s+ell.
2. De,inir la "ariable $AC# !ara la cuenta del o!erador de anera .ue esta
9nicaente +aga re,erencia al directorio bin dentro del directorio #/ME.
3. Asignar root coo due8o del arc+i"o .profile ba;o el directorio #/ME de la
cuenta del o!erador * colocar los !erisos A00.
@. Crear el directorio bin dentro del directorio #/ME de la cuenta del o!erador
A. 6a;o este directorio bin, crear ligas de los binarios .ue se !eritir7 e;ecutar al
o!erador.
6. <estringir a root los !erisos de e;ecucin !ara el coando /usr/bin/chsh
'esa#tivar o (ersonali7ar el 4anner de telnet
Pg. 6 de 8
1. Editar el arc+i"o =etc=inetd.con,3
=usr=bin="i =etc=inetd.con,
2. Agregar la o!cin Gb al ,inal de la l-nea del ser"icio telnetd !ara desacti"ar el
banner, o bien, agregar la o!cin Gb seguida de un es!acio en blanco * el
nobre del arc+i"o .ue deseaos sea des!legado al usuario cuando este se
conecte al sistea "ia telnet. $or e;e!lo3
telnet strea tc! no(ait root =usr=local=etc=tc!d telnetd telnetd Gb =etc=issue
>. #acer .ue el deonio inetd "uel"a a leer su arc+i"o de con,iguracin3
=usr=sbin=inetd Gc
'esa#tivar los servi#ios de red no utili7ados
1. Editar el arc+i"o =etc=inetd.con,3
=usr=bin="i =etc=inetd.con,
2. Coentar las l-neas corres!ondientes a los ser"icios innecesarios3
Q,ingerd strea tc! no(ait root =usr=local=etc=tc!d ,ingerd ,ingerd
>. #acer .ue el deonio inetd "uel"a a leer su arc+i"o de con,iguracin3
=usr=sbin=inetd Gc
4. Fuentes de inormacin
(((.seguridad.una.x
(((.cert.org=ad"isories
0$ractical &nix and 4nternet Securit*1
0#alting t+e #ac)er1
(((.+!.co
(((.so,t(are.+!.co
itrc.+!.co
docs.+!.co=+!ux
(((.+!educacional.co.x
(((.,a.s.org=,a.s=+!=+!ux%,a.
(((.dutc+(or)s.nl=+tbin=+!s*sadin
+!ux.cs.uta+.edu
!. "omentarios
2os !untos de "ista ex!resados !or el autor no necesariaente re,le;an los de la
e!resa !ara la cu7l labora.
Pg. 7 de 8
El lector asue !or co!leto la res!onsabilidad deri"ada del uso de este
aterial.
Este docuento no se encuentra de anera alguna conclu-do, !or lo .ue ser7
actuali5ado constanteente D9ltia actuali5acin reali5ada el 19 de Abril del
2001E.

Pg. 8 de 8