AIX安全配置规范Word格式文档下载.docx

AIX安全配置规范Word格式文档下载.docx

《AIX安全配置规范Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《AIX安全配置规范Word格式文档下载.docx（37页珍藏版）》请在冰豆网上搜索。

2）将/etc/pａsswd文件中的shell域设置成／bin/falｓe

3）＃pａsswd－ｌuserｎame

只有具备超级用户权限的使用者方可使用,#paｓｓｗd　-ｌｕseｒｎａmｅ锁定用户,用#ｐaｓswｄ　–duserｎame解锁后原有密码失效,登录需输入新密码，修改/eｔｃ／shadow能保留原有密码。

需要锁定的用户：

lｉｓtｅn,gdｍ,ｗeｂservｄ,nｏbｏdy,nobody４、noaｃcesｓ。

被删除或锁定的账号无法登录成功；

2、检测操作

使用删除或锁定的与工作无关的账号登录系统；

需要锁定的用户:

lｉｓｔen,ｇdm,ｗebserｖｄ,ｎobodｙ,noｂｏdy4、noaｃceｓs。

解锁时间:

15分钟

　3

限制具备超级管理员权限的用户远程登录。

需要远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。

编辑/etｃ/secｕritｙ/usｅｒ,加上：

在ｒｏot项上输入ｆalse作为rlogin的值

此项只能限制ｒoｏt用户远程使用tｅlnｅｔ登录。

用ssh登录，修改此项不会看到效果的

２、补充操作说明

如果限制ｒoot从远程ｓsh登录,修改/eｔｃ/ssh/ｓsｈd_confｉg文件，将ＰｅｒmitRootLoｇinyeｓ改为PｅrmitRooｔLoginno,重启sｓhd服务。

rooｔ远程登录不成功，提示“没有权限”；

普通用户可以登录成功，而且可以切换到rooｔ用户;

root从远程使用teｌnet登录;

普通用户从远程使用teｌneｔ登录；

root从远程使用ssh登录；

普通用户从远程使用sｓh登录;

限制ｒoot从远程sｓｈ登录，修改/etｃ/sｓｈ/sshｄ_config文件,将PｅrｍiｔRootLoginyes改为ＰermitRoｏtLｏginnｏ,重启sshｄ服务。

4

对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。

把如下shell保存后，运行，会修改ssh的安全设置项:

ｕnaliasｃprｍｍｖ

ｃａse　`ｆiｎd/uｓｒ　/ｅtｃ　-typef｜　grep－csｓh_coｎｆｉg＄`ｉn　ﻭ0）ecｈｏ"

Caｎｎotfinｄ　sｓh_cｏnfｉg"

　　　　；

；

　ﻭ　1）DIR＝`fiｎd/usｒ　/etc-typef　2>

／dev/nuｌl|\　ﻭ　　　grep　sｓh_conｆig$｜sed-ｅ　＂s：

／ssh_config:

：

"

`ﻭ　cd$ＤIＲ

　　cpsｓh_confiｇssｈ＿coｎｆiｇ．tmp　ﻭ　aｗk'

/^#?

*Proｔｏcol/{ｐriｎt"

Protｏcol2＂;

nｅｘt　}；

　　{　prｉnｔ}'

　sｓh_config.tmp>

ｓsｈ＿coｎｆiｇ　

　　if[　"

`grｅp-Eｌ^Protocolsｓh_coｎｆig`"

＝"

＂];

thｅnﻭ　　　echo　'

Pｒotocol　２＇＞＞sｓh_confｉg

　　　　　fiﻭ　　ｒm　ssh＿ｃoｎfig.ｔmｐ

　cｈmod60０ssh_confｉgﻭ　　;

;

　＊）echo"

Yoｕhavｅ　ｍｕlｔiｐle　sshd_configｆilｅs．　　　　　　Ｒesoｌve"

　ecｈo"

bｅforeｃontinｕing."

;

　ﻭｅsac

#也可以手动编辑　sｓh_coｎfig，在"

Host＊＂后输入＂Prｏtｏcoｌ2＂,ﻭ

cd$DＩＲﻭcpｓshd_ｃonfiｇsｓhd_config.tmp

ａwk'

/＾＃?

　*Prｏtocoｌ/　{priｎt"

Protocoｌ　2"

　next｝；

/^#？

　＊X11Forwaｒding/\

　　　　{　priｎt　＂X1１Foｒwａｒdingｙes"

nｅｘt};

　　/^#?

　*IgnoreRhosts/　\

　｛print　"

ＩgnｏrｅRｈｏｓts　ｙeｓ"

next　};

　ﻭ/^#?

*RhoｓｔsAutｈentication/　＼ﻭ　　　　｛prinｔ"

RhｏｓｔｓAuthｅntiｃaｔionno＂；

　next　}；

　/＾＃？

　＊ＲｈostsRSＡAｕthｅnticａtion／　\

　　　　｛print　"

RhｏstsRSAＡuthenticａtioｎ　nｏ"

ｎeｘt};

ﻭ　／＾#?

　*HostbasedＡuｔｈenｔicatｉon／　\ﻭ　　　　{pｒinｔ＂HｏstbａｓeｄAｕthenticaｔionno＂;

ﻭ/＾#？

＊PｅrｍitRooｔLｏgｉn/\ﻭ　　{　pｒｉnｔ＂PeｒmitRｏotLogｉｎｎo＂;

ｎｅxt　};

ﻭ　　/^＃?

＊ＰｅrmiｔEmpｔyPassｗorｄs/＼

　　　{print　"

ＰerｍiｔＥmptyＰａssｗｏrdｓno"

　nｅxt｝；

　　/＾#?

*Banneｒ/＼

　　{prｉnt　"

Bannｅr/eｔｃ／motd＂;

　nexｔ}；

　　{prｉnｔ}＇sshd_confｉｇ.tmp　>

sshｄ＿cｏnfigﻭrmsｓhd_ｃonfig.tmpﻭchmod６00ssｈd_ｃｏnfig

Protoｃoｌ　２#使用ｓsh2版本

X11Ｆoｒwaｒdingｙeｓ　#允许窗口图形传输使用ssh加密

IｇnoreRhｏｓｔs　ｙes＃完全禁止SＳHD使用.ｒｈosts文件

ＲhｏstsAuthenticatｉonno　＃不设置使用基于rhoｓtｓ的安全验证

RhoｓtsRSＡAutheｎｔicatioｎno#不设置使用RＳA算法的基于rhｏstｓ的安全验证

HostbａsｅdAｕtｈentｉｃaｔion　no#不允许基于主机白名单方式认证

PｅｒmｉｔRooｔＬoｇinno#不允许ｒｏｏｔ登录

ＰermｉｔEmptyPａｓｓｗords　nｏ　#不允许空密码

Banneｒ／etc/motd#设置ｓsh登录时显示的baｎner

查看SSH服务状态：

＃ｐs　–elｆ|grｅpｓｓh

#ｐs–elf|grepｓsh

是否有ｓsh进程存在

查看ＳSH服务状态：

#　ｐs–elf|grep　ssh

查看teｌｎet服务状态:

＃ｐs–elf|ｇreｐtelnet

2.2口令

1

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。

chsｅｃ－f/etc/security／usｅr　-s　deｆault-a　ｍinlen=8

ｃhｓec-f/etｃ/securitｙ／ｕser　-s　defaｕｌｔ-aｍinａlｐha=1

chｓec-f/etc/secuｒity／usｅr-sdefault－ａmindiff=1

chsec-f／eｔc／secｕｒｉty／user　－s　dｅfauｌt－ａｍiｎother=1

chｓｅc　–f/etc／sｅcuriｔy/uｓer–ｓdeｆault－aｐwdwarｎｔｉme=5

mｉnlen＝8#密码长度最少8位

minａlpha＝1#包含的字母最少1个

mｉndifｆ=1#包含的唯一字符最少１个

minother=1#包含的非字母最少1个

pwｄwａrntimｅ=5　#系统在密码过期前５天发出修改密码的警告信息给用户

不符合密码强度的时候，系统对口令强度要求进行提示；

符合密码强度的时候,可以成功设置;

1、检查口令强度配置选项是否可以进行如下配置：

i.配置口令的最小长度；

ii.将口令配置为强口令。

２、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于８位的口令，查看系统是否对口令强度要求进行提示;

输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

对于采用静态口令认证技术的设备，帐户口令的生存期不长于９0天。

方法一:

ｃhsec－f/eｔc／ｓecuｒity/usｅr-ｓｄefaｕlt-a　hiｓtｅxpiｒe＝１３

方法二:

用vi或其他文本编辑工具修改ｃｈｓec－ｆ/etc/ｓecｕｒity/uｓer文件如下值:

hｉｓteｘｐｉre＝13

histｅｘpｉre=13#密码可重复使用的星期为１３周（９1天）

１、判定条件

密码过期后登录不成功;

使用超过９0天的帐户口令登录会提示密码过期;

3

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近５次（含5次）内已使用的口令。

chseｃ　-f/etc/ｓeｃｕrｉtｙ／ｕser-ｓdefａult-a　ｈｉsｔsｉze=５

方法二：

用vｉ或其他文本编辑工具修改ｃhsec－ｆ/ｅtc／secｕrｉty／uｓｅr文件如下值:

histsize＝５

histexpire=5　#可允许的密码重复次数

设置密码不成功

cat　/etc/secｕｒity/uｓer，设置如下

ｈisｔsiｚe=5

３、补充说明

默认没有histsize的标记,即不记录以前的密码。

4

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次（不含６次），锁定该用户使用的账号。

查看帐户帐户属性:

#lｓｕsｅｒ　ｕsｅrnaｍｅ

设置6次登陆失败后帐户锁定阀值：

#ｃhｕserｌoｇｉnretrieｓ=6usernａme

运行lsuser　ｕasｅnaｍｅ命令,查看帐户属性中是否设置了6

次登陆失败后帐户锁定阀值的策略。

如未设置或大于6次，

则进行设置

2.3授权

　1

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

通过ｃhmoｄ命令对目录的权限进行实际设置。

chｏwn　-Ｒroot:

security/etc/pasｓwd/ｅtc/grｏup　/etc/secｕrity　ﻭcｈｏwn　-Rroｏt:

audiｔ／ｅtc/ｓeｃｕritｙ／ａudｉｔ

chmod６44/etｃ／passwd　/eｔc/grouｐ　ﻭchmod　750/etc/securｉｔy　

ｃｈmoｄ　－Rgo－w，o-ｒ/eｔc／securｉty

/eｔc／passwｄ　/etｃ/gｒoup／etc/ｓeｃｕrity的所有者必须是ｒoｏｔ和sｅcurity组成员

／etc／security/audit的所有者必须是ｉroot和audiｔ组成员

/ｅｔc／paｓswｄ　所有用户都可读，root用户可写–rw-r—ｒ—

/ｅtc/ｓhadoｗ只有root可读–r-－------

／ｅtc／gｒoup必须所有用户都可读，root用户可写–rw-r—ｒ—

使用如下命令设置:

ｃhmod　644/etc／passｗd

chｍod644　/eｔｃ/ｇｒoup

如果是有写权限，就需移去组及其它用户对／ｅｔｃ的写权限（特殊情况除外）

执行命令#chmod-Rgｏ－w,ｏ-ｒ/eｔc

1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;

2、记录能够配置的权限选项内容；

3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。

１、利用管理员账号登录系统，并创建２个不同的用户；

2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；

３、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；

４、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。

２

控制ＦTP进程缺省访问权限,当通过ＦＴＰ服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

a.限制某些系统帐户不准ftp登录：

通过修改文件,增加帐户

＃vi／ｅtc/　　　

b.限制用户可使用FTP不能用Teｌｎｅｔ,假如用户为

创建一个／etc／sｈells文件,　添加一行/biｎ／truｅ;

修改／ｅtc/paｓswd文件，

注:

还需要把真实存在的sｈell目录加入/eｔc／ｓhelｌs文件,否则没有用户能够登录ｆｔp

以上两个步骤可参考如下ｓｈell自动执行:

lsuｓer　-ｃＡＬL｜　gｒep　-v^#nａmｅ|cuｔ-ｆ１－d：

　｜　whilｅ　readNAMＥ;

do

if[　｀lsuser-f　＄NＡME|　grepid　|ｃuｔ　－ｆ2-ｄ＝`　-lt　2０0]；

thｅnﻭ　　　ｅcｈo"

Adｄiｎg$NＡMＥto/etc／"

ﻭ　　ｅｃｈｏ＄NAME＞>

/eｔc/　ﻭfi

doｎe

ｓorｔ-u／ｅｔc／>

/etc/

ｒm/eｔc／

cｈｏｗｎroot：

systｅm／etc/　

chmoｄ600　/etc/

c.限制fｔp用户登陆后在自己当前目录下活动

编辑,加入如下一行restｒiｃtｅd-uid　*（限制所有），

restricｔｅd-uidusername（特定用户）

文件与文件在同一目录

　d.设置ftｐ用户登录后对文件目录的存取权限,可编辑／ｅｔc/。

chmod　　nｏguest，anoｎymoｕs

ｄelｅｔe　　　no　guｅst,ａnｏnymous

overwriｔenｏgueｓｔ，anｏnymous

renａmｅ　　nｏgｕeｓｔ，anonｙmoｕs

umａｓk　　noａnonymｏus

查看＃cａt

说明：

　在这个列表里边的用户名是不允许ｆtp登陆的。

ｒｏot

dａｅmｏn

bｉn

sｙs

ａdm

ｌp

uｕｃp

ｎuｕcp

liｓｔｅn

nobｏdy

noacｃesｓ

ｎoｂody4

权限设置符合实际需要；

不应有的访问允许权限被屏蔽掉；

查看新建的文件或目录的权限，操作举例如下：

#more/eｔc/　

#mｏｒe　/etｃ/pasｓｗd

＃more　/ｅtｃ/

查看＃cat

说明:

在这个列表里边的用户名是不允许ftp登陆的。

rｏot

daemon

sys

adm

lp

uucｐ

nuｕｃｐ

liｓten

nobody

noａccess

noｂｏdｙ４

2.4补丁安全

１

应根据需要及时进行补丁装载。

对服务器系统应先进行兼容性测试。

先把补丁集拷贝到一个目录,如/０8ｕpｄate，然后执行

#smiｔupdate_all

选择安装目录/0８updaｔe

默认

SOFＴＷAREtｏupdatｅ[_uｐdate_all］

选择不提交,保存被覆盖的文件，可以回滚操作,接受许可协议

COMＭＩTsoftｗareuｐdａｔes?

　　　　no

SAVEreplacedｆiles?

　　　　　yes

　　ACCEPT　ｎｅwlicenseagreements?

　　　　yes

然后回车执行安装。

２、补充操作说明ﻫ

查看最新的补丁号,确认已打上了最新补丁;

检查某一个补丁，比如LY５908２是否安装

#ｉnsｔfix–a　–ｉvｋLY59０82

检查文件集（）是否安装

#lslpp　–ｌｂoｓ.aｄt．ｌibｍ

补丁下载　

2.5日志安全要求

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功,登录时间,以及远程登录时，用户使用的ＩP地址。

修改配置文件vｉ/etc/sysloｇ.coｎf,加上这几行：

autｈ.info\t\t/vaｒ/adm/authｌog

*.inｆo;

aｕtｈ.none\t\ｔ/var／aｄm/sｙslｏg\n＂

建立日志文件,如下命令：

touch/var/ａdm/ａuthｌoｇ　/var/aｄｍ/syｓlｏg

choｗnrooｔ:

ｓysteｍ/vａｒ/aｄm／autｈloｇ

ﻭ重新启动syｓlog服务,依次执行下列命令：

sｔｏpsrc　－ｓsｙslｏgdﻭstartsrｃ　－s　syｓlogｄ

AIX系统默认不捕获登录信息到ｓyslogd，以上配置增加了验证信息发送到／var／aｄm/authlog和／ｖar／aｄｍ/ｓｙslog

列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。

cat　/vａｒ/aｄm／autｈlog

ｃaｔ/ｖａr/adm/syｓlｏg

2（可选）

启用记录cron行为日志功能和crｏn/at的使用情况

ｃron／At的相关文件主要有以下几个：

／ｖaｒ／ｓpoｏl／cron／ｃrｏntabｓ　存放cron任务的目录

/var／ｓpｏｏｌ/cｒon/crｏｎ.alｌow　允许使用ｃrｏnｔab命令的用户

/ｖar/spｏol/cｒｏn/cｒｏｎ.deny不允许使用cronｔａb命令的用户

/var／ｓpool／ｃｒon/aｔｊobs存放aｔ任务的目录

/var/ｓpool/cron／ａt.aｌlow　允许使用at的用户

/ｖaｒ/sｐoｏl/ｃroｎ/ａｔ.denｙ不允许使用at的用户

使用ｃrｏｎtab和aｔ命令可以分别对cron和ａt任务进行控制。

#crontab-ｌ查看当前的cron任务

#at－l查看当前的ａt任务

查看/vａｒ/spoｏl/ｃrｏｎ/目录下的文件配置是否按照以上要求进行了安全配置。

如未配置则建议按照要求进行配置。

3

设备应配置权限，控制对日志文件读取、修改和删除等操作。

配置日志文件权限,如下命令:

chmod　6００　/var／adm/authlog　

chｍod64０　/var/adm/syslog

并设置了权限为其他用户和组禁止读写日志文件。

没有相应权限的用户不能查看或删除日志文件

查看syslog．coｎf文件中配置的日志存放文件:

morｅ/eｔc/ｓyｓloｇ.coｎf

使用lｓ–l/vａr/aｄm查看的目录下日志文件的权限,如：

auｔhlｏg、sｙｓｌog的权限应分别为6００、6４４。

对于其他日志文件,也应该设置适当的权限,如登录失败事件的日志、操作日志，具体文件查看sｙslog.conf中的配置。

2.6不必要的服务、端口

列出所需要服务的列表（包括所需的系统服务），不在此列表的服务需关闭。

查看所有开启的服务:

#ps–ｅ　-ｆ　　

手动方式操作

在ｉnetd.conf中关闭不用的服务首先复制/ｅtc/iｎeｔ/ｉnｅtｄ.ｃonf。

#cp　／etc/iｎet／ｉｎetd.conｆ　/etc／iｎｅｔ/inetd.conf.backup　然后用vi编辑器编辑inetｄ．cｏｎf文件，对于需要注释掉的服务在相应行开头标记"

#＂字符，重启ｉnｅtd服务,即可。

重新启用该服务，使用命令：

refresh–sｉｎetd

自动方式操作

Ａ．把以下复制到文本里：

for　SVC　iｎshｅllｋsｈeｌｌｌogin　klogineｘec\ﻭ　ｅchodiｓcardｃｈargｅndaytｉme　timettdｂseｒverdtspc;

do　ﻭ　echｏ＂Ｄｉsablｉng＄SVCTＣP"

　　chsuｂｓerｖｅr-d-v$SVＣ　-ptcp　ﻭdｏｎｅ

forSVC　inntalkrstatdｒusｅrsdrwalld