<font size=2 face="Arial"><b>Product:</b> <br>IBM BigFix Compliance <br> <br></font><br><font size=2 face="Arial"><b>Title: </b><br>Updated DISA STIG Checklist for HPUX 11.31 - RG03 to support a more recent

version of benchmark<br><br></font><br><font size=2 face="Arial"><b>Security Benchmark:</b> <br>HP-UX 11.31 STIG Version 1, Release 14<br></font><br><br><font size=2 face="Arial"><b>Published Sites: </b></font><br><font size=2 face="Arial">DISA STIG Checklist for HPUX 11.31 - RG03

site version 4<br>(The site version is provided for air-gap customers.)</font><br><br><br><font size=2 color=#2f2f2f face="Arial"><b>Changelist:</b></font><br><font size=2 color=#2f2f2f face="Arial">Added:</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">HPUX0210:

The system must disable accounts after three consecutive unsuccessful SSH

login attempts</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">HPUX0220:

The system must impose the same restrictions on root logins that are already

applied to non-root users</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">HPUX0225:

The system must impose the same restrictions on root passwords that are

already applied to non-root users</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">HPUX0230:

The ability to boot the system into single user mode must be restricted

to root</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">HPUX0240:

The /var/adm/userdb directory must be owned by root <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0250:

The /var/adm/userdb directory must be group-owned by sys <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0260:

The /var/adm/userdb directory must have mode 0700 or less permissive <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0270:

The /var/adm/userdb directory must not have an extended ACL <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0280:

The /var/adm/userdb/USERDB.DISABLED file must be owned by root <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0290:

The /var/adm/userdb/USERDB.DISABLED file must be group-owned by sys <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0300:

The /var/adm/userdb/USERDB.DISABLED file must have mode 0444 or less permissive <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0310:

The /var/adm/userdb/USERDB.DISABLED file must not have an extended ACL <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0320:

The /etc/security.dsc file must be owned by root <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0330:

The /etc/security.dsc file must be group-owned by sys. <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0340:

The /etc/security.dsc file must have mode 0444 or less permissive <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0350:

The /etc/security.dsc file must not have an extended ACL. <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0360:

The /etc/pam.conf file must be owned by root. <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0370:

The /etc/pam.conf file must be group-owned by sys. <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0380:

The /etc/pam.conf file must have mode 0444 or less permissive. <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0390:

The /etc/pam.conf file must not have an extended ACL. <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0410:

The /etc/pam_user.conf file must be owned by root. <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0420:

The /etc/pam_user.conf file must be group-owned by sys <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0430:

The /etc/pam_user.conf file must have mode 0444 or less permissive <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0440:

/etc/pam_user.conf file must not have an extended ACL</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">HPUX0450:

During a password change, the system must determine if password aging attributes

are inherited from the /etc/default/security file attributes when no password

aging is specified in the shadow file for local users</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">HPUX0460:

The system must display the date and time of the last successful account

login upon login by means other than SSH.</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">HPUX0470:

The system and user default umask must be 0077 for all sessions initiated

via PAM</font><br><br><font size=2 color=#2f2f2f face="Arial">Updated:</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN002680:

System audit logs must be owned by root</font><br><font size=2 face="Arial">Now checks ownership of PRI_AUDFILE and SEC_AUDFILE

set in  /etc/rc.config.d/auditing.</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN002690:System

audit logs must be group-owned by root, bin, sys, or other</font><br><font size=2 face="Arial">Now checks group ownership of PRI_AUDFILE

and SEC_AUDFILE set<br>in /etc/rc.config.d/auditing.</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN002700:

System audit logs must have mode 0640 or less permissive </font><br><font size=2 face="Arial">Now checks permissions of PRI_AUDFILE and

SEC_AUDFILE set in<br>/etc/rc.config.d/auditing.</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN002710:All

system audit files must not have extended ACLs.</font><br><font size=2 face="Arial">Now checks ACLs of PRI_AUDFILE and SEC_AUDFILE

set in<br>/etc/rc.config.d/auditing.</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN002715:

System audit tool executables must be owned by root <font size=2 face="Arial">Also checks /usr/sbin/userdb*. <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN002716:

System audit tool executables must be group-owned by root, bin, sys, or

other </font><br><font size=2 face="Arial">Also checks /usr/sbin/userdb*.</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN002717:

System audit tool executables must have mode 0750 or less permissive <font size=2 face="Arial">Also checks /usr/sbin/userdb*. <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN002718:

System audit tool executables must not have extended ACLs  <font size=2 face="Arial">Also checks /usr/sbin/userdb*. <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN004540:

The SMTP service HELP command must not be enabled</font><br><font size=2 face="Arial">checks to make sure /etc/mail/helpfile is

empty.</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN000450:

The system must limit users to 10 simultaneous system logins, or a site-defined

number, in accordance with operational requirements.</font><br><font size=2 face="Arial">Also checks /var/adm/userdb/*.</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN001400:

The /etc/shadow (or equivalent) file must be owned by root <font size=2 face="Arial">Also checks /tcb/files/auth/[A-Z]/*. <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN001410:

The /etc/shadow file (or equivalent) must be group-owned by root, bin,

sys or other</font><br><font size=2 face="Arial">Also checks /tcb/files/auth/[A-Z]/*.</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN001430:

The /etc/shadow file must not have an extended ACL</font><br><font size=2 face="Arial">Also checks /tcb/files/auth/[A-Z]/*.</font><br><br><br><font size=2 face="Arial">The following checks now check settings for

trusted mode or SMSE mode as<br>appropriate.<br></font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN000020:

The system must require authentication upon booting into single-user and

maintenance modes</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN000460:

The system must disable accounts after three consecutive unsuccessful login

attempts</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN000540:

Users must not be able to change passwords more than once every 24 hours <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN000560:

The system must not have accounts configured with blank or null passwords. <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN000580:

The system must require that passwords contain a minimum of 15 characters <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN000585:

The system must enforce the correctness of the entire password during authentication <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN000590:

The system must use a FIPS 140-2 approved cryptographic hashing algorithm

for generating account password hashes</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN000595:

The password hashes stored on the system must have been generated using

a FIPS 140-2 approved cryptographic hashing algorithm</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN000600:

The system must require passwords contain at least one uppercase alphabetic

character</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN000610:

The system must require passwords contain at least one lowercase alphabetic

character</font><br><font size=2 face="Symbol">·        </font><font size=2 face="Arial">GEN000620:

The system must require passwords contain at least one numeric character <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN000640:

The system must require passwords contain at least one special character <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN000700:

User passwords must be changed at least every 60 days. <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN000800:

The system must prohibit the reuse of passwords within five iterations. <font size=2 face="Symbol">·        <font size=2 face="Arial">GEN001020:

The root account must not be used for direct logins. <font size=2 face="Symbol">·        <font size=2 face="Arial">HPUX0020:

The system must be configured to operate in a security mode.<br></font><br><br><font size=2 face="Arial"><b>Details:</b></font><p><font size=2 face="Symbol">·        </font><font size=2 face="Arial">Both

analysis and remediation checks are included</font><p><font size=2 face="Symbol">·        </font><font size=2 face="Arial">Some

of the checks allow you to use the parameterized setting to enable customization

for compliance evaluation. Note that parameterization and remediation actions

require the creation of a custom site. </font><font size=2 color=#2f2f2f face="Arial"> </font><p><br><br><font size=2 face="Arial"><b>Actions to take:</b></font><p><font size=2 face="Symbol">·        </font><font size=2 color=#2f2f2f face="Arial">To

subscribe to the above site, you can use the License Overview Dashboard

to enable and gather the site. Note that you must be entitled to the BigFix

Compliance product and you must be using IBM BigFix version 9.2 and later.</font><p><font size=2 face="Symbol">·        </font><font size=2 color=#2f2f2f face="Arial">If

you use custom sites, update your custom sites accordingly to use the latest

content. You can synchronize your content by using the Synchronize Custom

Checks wizard. For more information, see <a href=https://ibm.biz/Bd4LBt><font size=2 color=blue face="Arial">https://ibm.biz/Bd4LBt</a><font size=2 color=#2f2f2f face="Arial">.

</font><p><font size=2 face="Arial"> </font><br><br><font size=2 face="Arial"><b>More information:</b></font><br><font size=2 face="Arial">To know more about IBM BigFix Compliance

SCM checklists, please see</font><br><font size=2 face="Symbol">· </font><font size=2 face="Arial">IBM Developer

Works:</font><font size=3 color=blue><u><br></u></font><a href="https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/SCM%20Checklists"><font size=2 color=blue face="Arial"><u>https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Endpoint%20Manager/page/SCM%20Checklists</u></font></a><font size=2></font><p><font size=2 face="Symbol">· </font><font size=2 face="Arial">IBM BigFix

Blog:</font><font size=3 color=blue><u><br></u></font><a href="https://www.ibm.com/developerworks/community/blogs/a1a33778-88b7-452a-9133-c955812f8910?lang=en"><font size=2 color=blue face="Arial"><u>https://www.ibm.com/developerworks/community/blogs/a1a33778-88b7-452a-9133-c955812f8910?lang=en</u></font></a><font size=2></font><p><font size=2 face="Symbol">· </font><font size=2 face="Arial">IBM BigFix

Forum:<font size=3 color=blue> <a href="https://forum.bigfix.com/c/release-announcements/compliance"><font size=2 color=blue face="Arial">https://forum.bigfix.com/c/release-announcements/compliance</a><font size=2> <font size=2 face="Arial"> We hope you find this latest release of SCM content useful and effective.

Thank you!<br><br><i> -- The IBM BigFix Compliance team</i></font><p><BR>