Seguridad en HP-UX Resumen Introducción - UNAM-CERT

Seguridad en HP-UX
Recomendaciones de seguridad para el sistema operativo HP-UX de Hewlett Packard Company.
César Vega Calderón
EDS de México, S.A. de C.V.
Abril 19 de 2001
• Resumen
• Introducción
• Guidelines de seguridad para HP-UX
• Comentarios
• Referencias
• Revisión histórica
Resumen
Este documento contiene una serie de recomendaciones de seguridad para el sistema operativo HP-UX de
Hewlett Packard Company.
Éstas aplican tanto para una instalación en frío del sistema operativo, como para el robustecimiento de la
seguridad de un sistema productivo.
Introducción
De sobra es sabido que el sistema operativo Unix no es seguro en absoluto y el de los equipos HP 9000 de
Hewlett Packard no es la excepción.
Sin embargo, el sistema operativo HP-UX, al igual que cualquier otro "sabor" de Unix, puede configurarse
para que la seguridad del sistema se vea robustecida en buena medida.
La seguridad de un sistema puede incrementarse con una serie de medidas, entre las que destacan por su
importancia:
• Creación e implementación de políticas y procedimientos de seguridad
• Instalación y configuración de herramientas de seguridad
• Capacitación de usuarios y administradores
• Configuración adecuada de los servicios de red del sistema
• Instalación periódica de parches y reparaciones
• Concientización masiva en seguridad
• Elaboración periódica de respaldos
• Verificación de la integridad de los respaldos
• Atención a la seguridad física
• Buena cultura de administración y seguridad
• Buenas prácticas de renovación, uso y expiración de contraseñas
• Configuración segura del sistema operativo
Este documento hace énfasis en la última, aunque no menos importante medida: la configuración "segura" del
sistema operativo. Es "segura" porque es bien conocido el hecho de que en la práctica no existe ningún
sistema 100 % seguro.
NOTA IMPORTANTE
Antes de hacer cualquier cambio en los archivos de configuración del sistema, es altamente recomendable
obtener un respaldo confiable de los mismos.
Por otra parte, la gran mayoría de los comandos descritos a lo largo del documento deberán ser ejecutados con
una cuenta privilegiada, que generalmente es root.
Guidelines de seguridad para HP-UX
• Convertir el sistema a Trusted System
1. Realizar un respaldo completo del sistema y asegurar que la información pueda ser
recuperada, es decir, un respaldo íntegro.
2. Verificar que se encuentre instalado el producto SecurityMon:
/usr/sbin/swverify SecurityMon
3. Ejecutar SAM:
/usr/sbin/sam &
4. Ir al área de SAM denominada "Audit & Security".
5. Ir al área de SAM denominada "System Security Policies".
6. Automáticamente el sistema solicita la confirmación para convertir el sistema a Trusted
System. Confirmar la conversión.
• Configurar la auditoría en un Trusted System
1. Verificar el status del subsistema de auditoría (desactivada por default):
/usr/sbin/audsys
2. Activar la auditoría para todos los usuarios (no recomendado), usando el archivo
/.secure/etc/audlog1 con un tamaño máximo de 4000 KB y un archivo auxiliar
/.secure/etc/audlog2 con un tamaño máximo de 5000 KB:
/usr/sbin/audsys -n -c /.secure/etc/audlog1 -s 4000 -x /.secure/etc/audlog2 -z 5000
3. Verificar los usuarios auditados:
/usr/sbin/audusr
4. Desactivar la auditoría para todos los usuarios:
/usr/sbin/audusr -D
5. Activar la auditoría sólo para un usuario user:
/usr/sbin/audusr -a user
6. Activar la auditoría de todos los eventos (no recomendado):Por default se auditan todos los
eventos al activar la auditoría.
7. Verificar los eventos auditados:
/usr/sbin/audevent
8. Desactivar la auditoría para todos los eventos:
/usr/sbin/audusr -p -f -E
9. Activar la auditoría para únicamente los eventos moddac y login:
/usr/sbin/audevent -P -F -e moddac -e login
10. Desactivar el subsistema de auditoría:
/usr/sbin/audsys -f
11. Verificar el log de auditoría:
/usr/sbin/audisp /.secure/etc/audlog1
• Configurar la historia de contraseñas de manera que el sistema recuerde las más recientes
1. Crear el archivo /etc/default/security con una línea como la siguiente:
PASSWORD_HISTORY_DEPTH=10
2. IAsignar los permisos 444 a /etc/default/security y colocar a bin como dueño y grupo de este
archivo:
/usr/bin/chmod 444 /etc/default/security
/usr/bin/chown bin:bin /etc/default/security
3. IILa información de historia de contraseñas se guarda cifrada en el archivo
/tcb/files/auth/system/pwhist/pwhist_0
• Desactivar ip_forwarding
1. Leer la descripción de IP Forwarding:
HP-UX 10.20: /usr/contrib/bin/nettune -h
HP-UX 11.00: /usr/bin/ndd -h ip_forwarding
2. Determinar si está activado el forwarding:
HP-UX 10.20: /usr/contrib/bin/nettune -l ip_forwarding
HP-UX 11.00: /usr/bin/ndd -get /dev/ip ip_forwarding
3. Desactivar el forwarding:
HP-UX 10.20: /usr/contrib/bin/nettune -s ip_forwarding 0
HP-UX 11.00: /usr/bin/ndd -set /dev/ip ip_forwarding 0
• Restringir al mínimo la exportación de sistemas de archivos a través de NFS
1. Si es necesario compartir un sistema de archivos vía NFS, exportarlo únicamente a máquinas
bien conocidas y, en lo posible, hacerlo con permisos de sólo lectura:
/usr/bin/cat /etc/exports
/filesystem -access=host,ro
• Asegurar las conexiones vía módem mediante un password adicional
1. Determinar los nombres de archivo de los dispositivos asociados con los puertos que desean
asegurarse:
/usr/sbin/ioscan -funC tty
Class I H/W Path Driver S/W State H/W Type Description
==================================================================
tty 0 0/0/4/0 asio0 CLAIMED INTERFACE PCI Serial (103c1048)
/dev/GSPdiag1 /dev/diag/mux0 /dev/tty0p1
/dev/cua0p2 /dev/mux0 /dev/tty0p2
/dev/cul0p2 /dev/tty0p0 /dev/ttyd0p2
tty 1 0/0/5/0 asio0 CLAIMED INTERFACE PCI Serial (103c1048)
/dev/GSPdiag2 /dev/mux1
/dev/diag/mux1 /dev/tty1p1
2. ICrear el archivo /etc/dialups, incluyendo la ruta completa de los archivos de dispositivo de
dial-in que serán usados para conectarse mediante una contraseña adicional:
/usr/bin/cat /etc/dialups
/dev/tty0p0
/dev/tty1p1
3. Crear una contraseña cifrada con DES para utilizar como método de autenticación en estos
puertos. Capturar, compilar y utilizar el programa siguiente para tal efecto:
#include <stdio.h>
main()
{
char salt[3], pwd[9];
char *password;
printf ("Ingrese el password a cifrar: ");
scanf("%s",pwd);
printf ("Ingrese la salt a utilizar en el cifrado: ");
scanf("%s",salt);
password = crypt(pwd,salt);
printf ("El password cifrado con DES es %s\n",password);
}
4. Crear el archivo /etc/d_passwd y agregar una línea para habilitar el shell obtenido al
conectarse vía módem (por ejemplo, /usr/bin/sh) en los puertos especificados:
/usr/bin/sh:password cifrado:comentario
• Restringir el acceso a los servicios de red
1. Editar y configurar el archivo /var/adm/inetd.sec: # Permitir las conexiones vía
ftp a las máquinas
# 1.2.3.4, "trusted_machine" y a cualquiera de la red
# 5.6.7, además de negarlas al resto del mundo
ftp allow 1.2.3.4 trusted_machine 5.6.7.*
# Negar las conexiones vía telnet a la máquina "suspicious"
# y a cualquiera de los segmentos 3, 4 o 5 de la
#red 1.2, además de permitirlas al resto del mundo
telnet deny suspicious, 1.2.3-5.*
• Asegurar la configuración de cron
1. Asegurarse de que todos los archivos de cron pertenezcan al usuario adecuado y tengan
permisos de sólo lectura para dicho usuario:
/usr/bin/ll /var/spool/cron/crontabs
2. IAsegurarse de que el archivo /var/adm/cron/cron.allow tenga permisos de sólo lectura:
/usr/bin/chmod 444 /var/adm/cron/cron.allow
• Verificar las ACL's de los archivos del sistema
1. Buscar todos los archivos que tengan las ACL's activadas
/usr/bin/find / -acl opt
2. IRevisar las ACL's de cada archivo encontrado:
/usr/bin/lsacl archivo
• Verificar la integridad del software instalado
1. Verificar la integridad de los archivos instalados con el SD (Software Distributor):
/usr/sbin/swverify
2. IRevisar cuidadosamente el archivo de log generado:
/usr/bin/more /var/adm/sw/swagent.log
• Activar el registro de conexiones para inetd
1. Editar el archivo /etc/rc.config.d/netdaemons y asegurarse de que exista una línea como la
siguiente dentro de este archivo:
export INETD_ARGS="-l"
2. IParar los servicios de Internet:
/sbin/init.d/inetd stop
3. IIArrancar los servicios de Internet:
/sbin/init.d/inetd start
• Limitar a la consola las conexiones de root
1. Crear el archivo /etc/securetty:
/usr/bin/echo "console" > /etc/securetty
2. Colocar permisos de sólo lectura para root al archivo /etc/securetty:/usr/bin/chmod
400 /etc/securetty
• Asegurarse de que el archivo /var/adm/btmp tenga los permisos 600 y pertenezca a root
1. Ejecutar los siguientes comandos:
/usr/bin/ll /var/adm/btmp
/usr/bin/chmod 600 /var/adm/btmp
• Asegurarse de que la variable PATH de ningún usuario contenga un punto
1. Revisar los archivos de inicialización de los usuarios del sistema, ubicar la variable PATH y
eliminar el punto (.).
• Desactivar la recepción de mensajes para el superusuario
1. Ejecutar el siguiente comando:
/usr/bin/mesg n
• Configurar la variable TMOUT en los archivos profile
1. Agregar la siguiente línea al archivo /etc/profile, o bien, a los archivos $HOME/.profile de los
usuarios deseados:
TMOUT=600 # Cerrar la sesión luego de 10 minutos de inactividad
• Utilizar shells restringidos para los operadores
1. Crear la cuenta del operador y colocar /usr/bin/rsh o /usr/bin/rksh como shell.
2. IDefinir la variable PATH para la cuenta del operador de manera que esta únicamente haga
referencia al directorio bin dentro del directorio HOME.
3. Asignar root como dueño del archivo .profile bajo el directorio HOME de la cuenta del
operador y colocar los permisos 500.
4. Crear el directorio bin dentro del directorio HOME de la cuenta del operador
5. Bajo este directorio bin, crear ligas de los binarios que se permitirá ejecutar al operador.
6. VRestringir a root los permisos de ejecución para el comando /usr/bin/chsh
• Desactivar o personalizar el banner de telnet
1. Editar el archivo /etc/inetd.conf:
/usr/bin/vi /etc/inetd.conf
2. Agregar la opción -b al final de la línea del servicio telnetd para desactivar el banner, o bien,
agregar la opción -b seguida de un espacio en blanco y el nombre del archivo que deseamos
sea desplegado al usuario cuando éste se conecte al sistema vía telnet. Por ejemplo:
telnet stream tcp nowait root /usr/local/etc/tcpd telnetd telnetd -b /etc/issue
3. Hacer que el demonio inetd vuelva a leer su archivo de configuración:
/usr/sbin/inetd -c
• Desactivar los servicios de red no utilizados
1. Editar el archivo /etc/inetd.conf:
/usr/bin/vi /etc/inetd.conf
2. Comentar las líneas correspondientes a los servicios innecesarios:
#fingerd stream tcp nowait root /usr/local/etc/tcpd fingerd fingerd
3. Hacer que el demonio inetd vuelva a leer su archivo de configuración:
/usr/sbin/inetd -c
Comentarios
Los puntos de vista expresados por el autor no necesariamente reflejan los de la empresa para la cual labora.
El lector asume por completo la responsabilidad derivada del uso de este material.
Este documento no se encuentra de manera alguna concluido, por lo que será actualizado constantemente
(última actualización realizada el 19 de Abril del 2001).
Referencias
Practical Unix and Internet Security
Búsqueda en Google
Halting the Hacker
Búsqueda en Google
Seguridad UNAM
www.seguridad.unam.mx
CERT Advisories
www.cert.org/advisories
HP.com
www.hp.com
HP Software
www.software.hp.com
HP IT Resource Center
itrc.hp.com
HP Docs
docs.hp.com/hpux
Faqa.org
www.faqs.org/faqs/hp/hpux-faq
HP SysAdmin
www.dutchworks.nl/htbin/hpsysadmin
HP-UX
hpucs.utah.edu
Revisión histórica
• Liberación original:
• Última revisión: 7 de octubre de 2010
La Subdirección de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y
revisión de este documento a:
• César Vega Calderón
• Galvy Cruz Valencia
• Andrés Leonardo Hernández Bermúdez
Para mayor información acerca de éste documento de seguridad contactar a:
UNAM-CERT Equipo de Respuesta a Incidentes UNAM
Subdirección de Seguridad de la Información
Dirección General de Cómputo y de Tecnologías de Información y Comunicación
Universidad Naciónal Autónoma de México
E-Mail: [email protected]
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43