AIX系统安全加固手册Word文档格式.docx

AIX系统安全加固手册Word文档格式.docx

《AIX系统安全加固手册Word文档格式.docx》由会员分享，可在线阅读，更多相关《AIX系统安全加固手册Word文档格式.docx（16页珍藏版）》请在冰豆网上搜索。

Time-网络时间服务，允许远程察看系统时间

Echo-网络测试服务，回显字符串,为“拒绝服务”攻击提供机会,除非正在测试网络，否则禁用

Discard-网络测试服务，丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络，否则禁用

Daytime-网络测试服务，显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络，否则禁用

Chargen-网络测试服务，回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络，否则禁用

comsat-通知接收的电子邮件，以root用户身份运行，因此涉及安全性,很少需要的,禁用

klogin-Kerberos登录，如果您的站点使用Kerberos认证则启用

kshell-Kerberosshell，如果您的站点使用Kerberos认证则启用

ntalk-允许用户相互交谈，以root用户身份运行，除非绝对需要，否则禁用

talk-在网上两个用户间建立分区屏幕，不是必需服务，与talk命令一起使用，在端口517提供UDP服务

ntalk-newtalk

tftp-以root用户身份运行并且可能危及安全

uucp-除非有使用UUCP的应用程序，否则禁用

dtspc-CDE子过程控制，不用图形管理的话禁用

加固风险规避方法

根据主机的业务需求，关闭对应服务端口，事先将原配置文件做备份

加固成果

关闭不用的端口可以避免非法用户利用这些端口入侵系统，通过升级服务来减少可被利用的漏洞。

加固具体方法

编辑或注释inetd.conf中所对应服务的启动脚本和启动语句来禁止上述服务。

有些服务可能以cron定时启动请检查cron定时脚本。

XXX公司意见

XXX公司管理员对本条风险加固的意见：

●同意

●需要修改（描述修改的意见）

●不同意（描述不同意的原因）

●签名（签字确认）

系统相关服务默认banner消息禁止

系统相关服务如ftpd,telnetd,sendmail等默认banner消息禁止，

●风险中

修改可判断系统版本输出消息的服务banner

连接或使用上述服务将不会返回上述服务版本

避免通过banner信息泄露系统敏感信息

修改/etc/motd文件

修改/etc/ftpmotd文件

检查/etc/security/login.cfg文件中察看herald是否有设置

nfs服务关闭

查看nfs服务是否启用，避免利用nfs服务漏洞入侵系统

若使用nfssharefile服务，则判断该服务目前输出的export 

filelist列表中的nfs文件系统挂载权限和允许挂载该文件系统的地址是否是erverone等

该服务加固后将造成某些无授权的ip地址挂载该系统nfs文件系统失败

事先将原配置文件做备份

能避免非法用户挂载nfs文件系统，增强系统安全性

若不使用nfs服务，则从系统当前启动等级中启动脚本移除，若使用该服务则应用share命令对指定文件系统做限制ip挂载地址以及挂载权限参数限制。

注释/etc/inittab文件中关于nfs的行

图形管理服务关闭

检查图形管理界面是否开启，避免利用该服务漏洞入侵系统

若不使用图形管理，将图形管理关闭

无法进行图形方式管理

能避免非法用户利用图形管理服务的漏洞

修改/etc/inittab文件，将dt，dt_nogb注释

FTP服务登入权限

设定/etc/ftpusers文件以及权限

风险中

将不需要使用ftpd服务的用户加入ftpusers文件，来保证ftp服务安全性,确保该文件属性为644来保证文件层安全

可能影响某些使用该帐号ftp登陆的备份，操作，日志记录等脚本

能防止非授权用户登入FTP

编辑/etc/ftpd/ftpusers或/etc/ftpusers文件加入不允许ftp登陆的用户

厂商意见

厂商维护人员对本条风险加固的意见：

禁止rlogin服务

基于pam动态验证库验证机制的.rhosts文件和rlogin服务

风险高

.rhosts文件信任机制是一种极其不安全的用户登陆信任机制，建议若不使用rlogin服务则在/etc/inetd.conf禁止，

造成某些使用.rhosts验证机制的的服务如cluster等服务无法正常使用

事先将原配置文件（/etc/inetd.conf）做备份

避免非法用户利用rlogin入侵系统

若仍使用.rhosts文件的信任机制则因该查找当前系统所用用户$HOME变量下是否存在.rhosts文件，确定其文件属性为600，文件内容为指定的信任主机

若不使用.rhosts文件信任关系

则编辑/etc/inetd.conf将rlogin行注释并删除所有.rhosts文件

Cron服务内容以及服务日志审核批

若不使用cron服务，则关闭该服务，若使用该服务则因该保证/var/spool/cron/crontab下的各个用户文件权限为600,并检查各个用户服务内容中是否有包括用户和密码明文使用的备份，传输，任务脚本。

可能造成管理上的一些不便

事先将原配置文件（/var/spool/cron/crontabs/下文件）做备份

消除cron服务脚本中使用用户名和密码明文带来的隐患

Chmod600/var/spool/cron/crontabs/*

Syslog服务属性

修改系统Syslog文件记录及其属性

风险低

改变/etc/syslog.conf中默认的/var/adm日志路径将能更好的保护系统日志不受破坏，确定文件属性为400来保证其安全性

日志的存放路径变更

阻止普通用户获取系统日志信息，增强系统安全性

修改/etc/syslog.conf文件，将日志记录路径修改为其他路径或其他主机地址,chmod400修改该文件属性

系统网络参数类

Suid/sgid文件

去掉文件不必要的Suid/sgid属性

对系统不必要的suid为root文件，去掉其suid属性来防止文件层，如heap,stack,formatstring等一类的提升权限攻击

可能造成某些使用该suid文件来运行的服务或进程无法以root权限进程来执行

事先将原文件权限记录

避免通过不必要的suid文件获得root权限，增强系统安全性

Chmod–sfilename去掉不需要suid属性文件的suid属性

先运行以下命令查找

find/-typef-perm-4001-user0（先运行此两个命令来查找filename）

find/-typef–perm-2001–group0

loginpasswdmount（不能更改）

Umask权限设置

修改umask文件权限为027来修改文件默认建立的属性来增强系统安全性

用户建立文件的默认属性为640

加固后，用户建立文件的默认属性都640，增强文件的安全性

修改或加入/etc/profile中的umask值为022或027

系统核心网络参数安全性增强

设置系统核心网络参数将造成某些特殊的网络攻击比较难以实现

可能造成网络ipsocket部分功能无法正常使用，网络负荷可能提高%2-%8之间

增加某些网络攻击的难度，增强系统安全性

修改以下参数

no–oipforwarding=0#禁止ip源路由包转发

no–oipsrcrouteforward=0#禁止转发原路由包

用户管理、访问控制、审计功能类

防止root从远程登录

阻止root从远程登录

防止root直接从remote设备来登陆系统，来增强系统安全性。

Root将不能远程直接登陆系统，但可以以普通用户登陆系统来su到root

远程只能采取以普通用户登陆系统来su到root，能增强系统安全性，减少被入侵的可能

修改/etc/security/user文件，将root段的rlogin修改为flase

同意

需要修改（描述修改的意见）

不同意（描述不同意的原因）

签名（签字确认）

减少登录会话时间

减少用户登录会话时间

减少用户登录会话超时时间来保证用户登陆进程长期在系统有效存在

将缩小系统用户登陆超时时间

通过减少用户登录超时判定时间来增强系统安全性，减少忘记登出用户被非法利用的可能性

增加或修改（/etc/profile,/etc/environment,/etc/security/.profile）文件中如下行

TMOUT=600;

TIMEOUT=600;

exportTMOUTTIMEOUT

系统口令强壮度与策略

增强其口令策略，默认长度值，复杂程度，口令使用周期来增强系统安全

修改系统用户passwd强度来增强系统安全性

可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效

增强用户密码的强度，大大降低用户密码被猜解的可能性

加固具体方法:

修改/etc/security/user文件，按需要的口令策略设置或加入如下参数

minlen=8

Root用户历史操作记录

记录root用户的shell键值可能造成安全隐患，泄漏敏感信息

不记录root的操作记录或记录很少条记录

Root用户的操作记录减少

避免通过历史记录获得一些敏感信息，增强系统安全性

对于root可设置其$HOME目录变量下.profile文件属性，确认histsize指定大小为小于10

删除默认系统用户

默认的系统用户可能造成非法登录隐患

删除不用的默认系统用户

删除的默认系统用户无法使用

删除了不用的系统用户，避免利用这些用户的非法登录

修改/etc/passwd文件，在lpd，guest，uucp，nobody，lpd用户前用’#’注释

文件权限

文件权限和文件类型设置

重要用户配置文件和相关系统重要目录下的文件权限（包括对所有用户可写文件）和文件类型设置

如/usr/lib，/etc，/dev，/lib，*。

Conf,.profile,hosts等文件进行严格的文件权限设置，建议设置为644

其它组/用户无法修改这些文件

避免其它用户修改重要的配置文件，增强系统安全

Chmod644filename