AIX主机操作系统加固规范Word文件下载.docx

AIX主机操作系统加固规范Word文件下载.docx

《AIX主机操作系统加固规范Word文件下载.docx》由会员分享，可在线阅读，更多相关《AIX主机操作系统加固规范Word文件下载.docx（37页珍藏版）》请在冰豆网上搜索。

SHG-AIX-04-01-0124

服务进程和启动25

SHG-AIX-05-0J-0125

SHG-AIX-05-01-0227

设备其他安全要求31

登陆超时策略31

SHG-AIX-06-01-0131

系统Banner设置32

SHG-AIX-06-02-0132

内核调整32

SHG-AIX-06-03-0J32

附录：

AIX可被利用的漏洞（截止2009-3-8）33

本文档是AIX操作系统的对于AIX系统设备账号认证、口志、协议、补丁升级、

文件系统管理等方面的安全配置要求，共27项。

对系统的安全配置审计、加M操作起到指导性作用。

1账号管理、认证授权

1-1账号

1.1.1SHG-AIX-01-01-01

编号

SHG-AIX-01-01-01

名称

为不同的管理员分配不同的账号

实施冃的

根据不同类型用途设置不同的帐户账号，提髙系统安全。

问题影响

账号混淆，权限不明确，存在用户越权使用的可能。

系统当前状态

查看/etc/passwd中记录的系统:

M/|前用户列表

实施步骤

参考配置操作：

为用户创建账号：

#mkuserusername#passwdusername列出用户属性：

#lsuserusername更改用户属性：

#chuserattribute=valueusername

回退方案

删除新增加的帐户：

ttrmuserusername

判断依据

标记用户用途，定期建立用户列表，比较是否有非法用户

实施风险

高

重要等级

★★★

备注

1.1.2SHG-AIX-01-01-02

SHG-AIX-01-01-02

配置帐户锁定策略

锁定不必要的帐户，提高系统安全。

系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险，容易被攻击者利W。

系统连前状态

系统管理员出示业务所需帐户列表，根据列表只保留系统与业务所需帐户。

结合实际情况锁定或删除其余帐户。

如要锁定userl用户，则釆用的命令如下：

#chuseraccount_locked=trueuserl

如对userl用户解除锁定，则釆用的命令如下：

#chuseraccount一locked=falseuserl

系统管理员出示业务所需帐户列表。

查看/etc/passwd中所记录的系统:

+|前用户列表是否~•业务应用所需帐户相对应。

除系统帐户和业务应用帐户外，其他

的帐户建议根据实际情况锁定或删除。

（RI

1.1.3SHG-AIX-01-01-03

SHG-AIX-01-01-03

限制超级管理员远程登录

限制具备超级管理员权限的用户远程登录。

远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。

如允许root远程直接登陆，则系统将面临潜在的安全风险

执行Isuser-arloginroot命令，查看root的rlogin属性并记

录

查看root的rlogin属性:

#lsuser-arloginroot禁止root远程登陆：

#chuserrlogin=falseroot

还原root可以远程登陆，执行如下命令：

#chuserrlogin=trueroot

执行#lsuser一arloginroot命令，查看root的rlogin属性，root是否可以远程登陆，如显示可以，则禁止。

1.1.4SHG-AIX-01-01-04

SHG-AIX-01-01-04

对系统账号进行登录限制

对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用

可能利用系统进程默认账号登陆，账号越权使用

系统.当前状态

査看/etc/security/passwd中各账号状态并记录

系统管理员出示业务所需登陆主机的帐户列表，根据列表只保留系统勹业务所需的登陆帐户。

结合实际情况禁止或删除其余帐户。

禁止账号交互式登录：

#chuseraccount_locked=trueusername

删除账号：

#rmuserusername

补充操作说明：

建议禁止交互登录的系统账号有：

daemon,bin,sys,adm,uucp,guest,nobody,lp,help等

还原被禁止登陆的帐户：

#chuseraccount_locked=falseusername

注：

对删除帐户的操作无法回退

系统管理员出示业务所需登陆主机的帐户列表。

查看/etc/security/passwd中所记录的可以登陆主机的帐户是否勹业务应用所需登陆主机的帐户相对应。

除业务应用需登陆主机的帐户外，其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。

★

1.1.5SHG-AIX-01-01-05

SHG-AIX-01-01-05

为空口令用户设置密码

禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。

系统中的帐户存在被非法利用的风险

查看/etc/passwd屮的内容并记录

用root用户登陆AIX系统，执行passwd命令，给空口令的

帐户增加密码。

如釆用和执行如下命令：

#passwdusernamepassword

Root身份设置用户口令，取消口令如做了门令策略则失败

登陆系统判断，查看/etc/passwd中的内容，从而判断系统中是否存在空口令的帐户。

如发现存在，则建议为该帐户设置密码。

1.2口令

1.2.1SHG-AIX-01-02-01

SHG-AIX-01-02-01

缺筲密码长度限制

实施FI的

防止系统弱口令的存在，减少安全隐患。

对于釆用静态口令认证技术的设备，口令长度至少6位。

且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。

增加系统的帐户密码被暴力破解的成功率和潸在的风险

运行Isuserusername命令，查看帐户属性和A前状态，并记录。

cat/etc/security/user|grep“minlen=，，

vi/etc/security/userminlen=8

根据在加同前所记录的帐户属性，修改设置到系统加同前状

太

心、o

运行Isuseruasename命令，查看帐户属性中密码的最短长度策略是否符合8位。

如不符合，则进行设置。

cat/etc/security/user

低

SHG-AIX-01-02-02

缺畨密码复杂度限制

实施目的

对于釆用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类

增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险

系统浩前状态

运行Isuserusername命令，查看帐户属性和〃1前状态，并记录

cat/etc/security/user|grep“minalpha=，，cat/etc/security/user|grep“minother=，，

vi/etc/security/userminalpha=4minother二1

心

运行Isuseruasename命令，查看帐户属性屮口令是否符合

包含最少4个字母字符以及是否包含最少1个非字母数字字

符。

cat/etc/security/user|grep“minalpha=，，

cat/etc/security/usergrep“minother=，，

★★★

1.2.3SHG-AIX-01-02-03

SHG-AIX-01-02-03

缺省密码生存周期限制

对于釆用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患

容易造成密码被非法利用，并且难以管理

运行Isuserusername命令，查看帐户属性和当前状态，并记录

cat/etc/security/user|grep“maxage二，，

vi/etc/security/usermaxage=13

根据在加阆前所记录的帐户属性，修改设置到系统加阆前状态

运行Isuseruasename命令，查看帐户属性中口令的最长有效期是否小于90天。

如未设置或大于90天，则进行设置。

cat/etc/security/user|grep“maxage=，，

SHG-AIX-01-02-04

密码重复使用限制

实施R的

对于釆用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令

造成系统帐户密码破解的几率增加以及存在潜在的安全风险

运行Isuserusername命令，查看帐户属性和当前状态,并记录

cat/etc/security/usergrep“histsize=，，

vi/etc/security/userhistsize二5

根据在加同前所记录的帐户属性，修改设置到系统加同前状态。

运行Isuseruasename命令，查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。

如未设置或大于5个，则进行设置。

SHG-AIX-01-02-05

密码重试限制

对于釆用静态口令认证技术的设备，应配置A用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

增加系统帐户密码被暴力破解的风险

运行Isuserusername命令，查看帐户属性和巧前状态，并记录

cat/etc/security/user|grep“loginretries=，，

vi/etc/security/userloginretries=6

根据在加同前所记录的帐户属性，修改设置到系统加同前状态

运行Isuseruasename命令，查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。

如未设置或大于6次，则进行设置。

中

1-3授权

1.3.1SHG-AIX-01-03-01

SHG-AIX-01-03-01

设置关键R录的权限

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

增加系统关键R录容易被攻击者非法访问的风险

查看/usr/bin、/sbin、/etc冃录，并记录关键冃录的权限

1、参考配置操作

通过chrnod命令对目录的权限进行实际设置。

2、补充操作说明

文件或冃录

属主

属组

权限

/etc/passwd

root

security

-rw-r—r—

/etc/group

/etc/filesystem

system

-rw-rw-r—

/etc/hosts

/etc/inittab

-rw

/etc/security/faildlogin

通过chmod命令还原冃录权限到加同前状态

AIX系统，/usr/bin、/bin、/sbin目录为可执行文件目录，/etc

冃录为系统配置冃录，包括帐户文件，系统配置，网络配置文件等，这些目录和文件相对重要。

确认这些配置文件的权限设置是否安全。

iSi

SIIG-AIX-01-03-02

修改umask值

控制用户缺省访问权限，约在创建新文件或目录时，屏蔽掉新文件或n录不应有的访问允许权限。

防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

增加攻击者非法访问目录的风险

系统?

前状态

查看/etc/security/user文件的配置，并记录

1、参考配置操作设置umask为027：

#vi/etc/security/user在default小节，设置umask为027

冋退方案

修改/etc/security/user文件到加同前状态

查看/etc/security/user文件中的default小节是否设置umask为027

SHG-AIX-01-03-03

FTP用户及服务安全

设置系统中的帐户是否可以通过ftp登陆操作

增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问冃录的安全风险

系统当1前状态

查看/etc/ftpusers文件，并记录

根据系统管理员提供允许ftp登陆操作的系统帐户列表，并与系统中当前的允许ftp登陆操作的用户相比对。

设置是否允许系统帐户通过ftp方式登陆：

#vi/etc/ftpusers注：

默认情况下，该文件不存在。

将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中（每行一个用户名）。

在无特殊需求的情况下，以下列表中的用户名是不允许ftp登陆操作的：

root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help等

修改/etc/ftpusers文件设置到系统加同前状态

根据系统管理员提供的允许ftp登陆操作的系统帐户，查看/etc/ftpusers文件，与其相比对，是否与系统管理员所提供的帐户列表相--致。

如果发现与列表中不对应的帐户则建议设置成禁止通过ftp登陆操作。

SHG-AIX-01-03-04

设置目录权限

设置目录权限，防止非法访问冃录。

增加攻击者非法访问系统目录的安全风险

查看重要文件和R录权限：

Is-1并记录。

Is-1更改权限：

对于重要H录，建议执行如下类似操作：

例如：

#chmod-R750/etc/init.d/*

这样只有root可以读、写和执行这个冃录下的脚本

使用chmod命令还被修改权限的冃录

Is-1

查看重要文件和目录下的文件权限设置是否为750以下

1.3.5SHG-AIX-01-03-05

SHG-AIX-01-03-05

设置ftpR录权限

限制ftp用户登陆后在自己当前目录下活动，防止非法访问目录。

增加系统帐户被利用后越权使用的安全风险

系统A前状态

舍看/etc/vsftpd/vsftpd.conf文件并记录丨前的配置

限制ftp用户登陆后在自己当前因录下活动：

#vi/etc/vsftpd/vsftpd.conflocal一root=锁定F1录路径chroot_list一enable:

YES

chroot一list_file=/etc/vsftpd.chroot_list#vivsftpd.chroot_listusername（锁定用户名）

还原/etc/vsftpd/vsftpd.conf文件配置到加丨叾1前的状态

查看/etc/vsftpd/vsftpd.conf文件中的配置，查看是否已设置限

制ftp用户登陆后在自己?

3前冃录下活动。

如未配置则应按要求设置。

2日志配置

SHG-AIX-02-01-01

启用日志记录功能

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程

登录时，用户使用的IP地址。

无法对用户的登陆进行日志记录，增加潜在的安全风险

查看/etc/syslog.conf文件中的配置并记录

syslog的配置主要通过/etc/syslog.conf配置，口志信总可以记录在本地的文件广|中（如/var/adm/messages）或远程的主机上（@hostname）。

startsrc-ssyslogd启动syslog服务stopsrc-ssyslogd停止syslog服务

修改/etc/syslog.conf文件设置到系统加间前状态

查看系统进程中是否存在syslogd守护进程。

舍看/etc/syslog.conf文件中的配置是否启动syslog服务。

如系统中不存在syslogd守护进程或在配置文件中发现syslog服务未启动，则应按要求进行配置。

2.1.2SHG-AIX-02-01-02

SHG-AIX-02-01-02

syslog日志等级的安全配置

syslog提供日常维护日志外，还提供系统登陆，攻击尝试等安全性的日志信总，帮助管理员进行审计和追踪。

无法对用户的操作进行日志记录，增加潜在的安全风险

查看/etc/syslog.conf文件配置并记录

syslog配置文件要求：

修改文件

安全设置

/etc/syslog.conf

配置文件中包含一下日志记录：

*.err/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/critlogauth,authpriv.info/var/adni/authlog

修改/etc/syslog.conf文件配置到系统加同前的状态

查看/etc/syslog.conf文件中的配置是否符合以上安全设置。

如不合符则建议应按要求进行设置。

2.1.3SHG-AIX-02-01-03

SHG-AIX-02-01-03

启用记录su日志功能

记录系统中SU操作的日志

无法记录SII指令的用户切换操作，增加潜在的安全风险

查看/etc/syslog.conf文件配置，并记录

设置/etc/syslog.conf文件，并启动su日志记录。

在AIX系统中，su日志记录默认是开启的。

舍看/var/adm/sulog，用户使用su命令的日志。

可根据需要保留60天中有用的内容，其余删除。

文件记录以下信息：

日期、时间、系统名称以及登录名。

/var/adm/sulog文件也记录登录尝试是否成功：

+（加号）表示登录成功，-（减号）表示登录失败。

修改/etc/syslog.conf文件设置到系统加同前状态

查看/etc/syslog.conf文件中是否配置了su日志记录查看/var/adm/sulog文件，是否存在su命令使用记录

2.1.4SHG-AIX-02-01-04

SHG-AIX-02-01-04

启用记录cron行为