TIS-Unix-1(系统安全策略unix配置手册)v10

1、TIS-Unix-1系统安全策略unix配置原则编号：TIS-Unix-1内部资料 系统安全策略unix配置原则国网信通亿力科技股份有限公司版权所有 2011 2国网信通亿力科技股份有限公司版权所有 2011 30目 录1.HP Unix系统策略11.1.系统检测信息11.2.系统安全策略21.2.1.限制用户方法21.2.2.对主机的控制访问31.2.3.设置密码规范41.2.4.锁定系统默认账号51.2.5.超时设置51.2.6.Umask61.2.7.不用服务端口关闭及检测方法61.2.8.设置信任模式及影响81.2.9.操作系统安全登陆方式SSH91.2.10.HPUX停止Xwindo

2、ws服务91.2.11.HPUX停止tooltalk服务91.2.12.HPUX停止NFS服务111.2.13.HPUX 停sendmail，snmp服务112.AIX系统策略112.1.系统检测信息112.2.系统安全策略122.2.1.检测系统是否存在多余帐号122.2.2.检查系统帐户策略132.2.3.检查系统是否存在空口令或弱口令142.2.4.检测系统帐号锁定策略152.2.5.检查远程管理方式162.2.6.重要文件目录的访问权限162.2.7.检查系统是否开启审计172.2.8.安全审计策略182.2.9.日志文件访问权限192.2.10.系统补丁及升级202.2.11.检查系

3、统开启的服务及端口212.2.12.网络访问控制策略222.2.13.超时自动注销232.2.14.超时自动注销232.2.15.检查系统时钟242.2.16.查看服务器是否由硬件冗余242.2.17.磁盘利用空间252.2.18.检查系统访问旗标262.2.19.root用户远程登录262.2.20.系统异常登录日志272.2.21.文件创建初始权限检查282.2.22.uid=0帐号检查282.2.23.允许su为root的帐号信息检查292.2.24.维护人员使用root帐户进行日常维护292.2.25.R族文件检查302.2.26.系统故障检查311. HP Unix系统策略1.1.

4、系统检测信息要求对承载关键业务系统的小型机访问控制如下：Ø 远程用户不能通过root用户直接访问主机，只能在consloe平台下使用root用户，限制只有某个普通用户，比如sm01,可以通过su的方法登陆root用户；Ø 限制或允许只有某些固定的IP地址可以访问某台小型机；Ø 设置密码规范，格式如下：- 密码格式：由数字、字母和符号组成- 无效登录次数：6次无效登录- 历史密码记忆个数：8-12个- 密码修改期限：90天- 密码长度：最小6位Ø 锁定系统默认账号- 对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp,

5、uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定Ø 超时设置- 1分钟超时设置Ø Umask- 超级用户027- 一般用户022Ø 不用服务端口关闭- 在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，包括FTP, www, telnet, rsh 和 rexec,tftp，其它端口不要轻易关闭1.2. 系统安全策略.1.2.1. 限制用户方法UNIX系统中，计算机安全系统建立在身份验证机制上。如果用户帐号口令失密，系统将会受到侵害，

6、尤其在网络环境中，后果更不堪设想。因此限制用户 root 和其他用户远程登录，对保证计算机系统的安全，具有实际意义。1) 限制root用户通过telnet登录：echo "console" >/etc/securetty2) 限制root用户通过ssh登录：3) 编辑/opt/ssh/etc/sshd_config：4) PermitRootLogin noØ 重启sshd: /sbin/init.d/secsh stop/sbin/init.d/secsh startØ 需要注意的是，设置后，root将不能远程使用telnet

7、/ssh登录，因此在设置之前应进行良好的规划。Ø 对现有系统的影响：对于系统及应用软件的运行没有任何影响，但root用户不能通过远程方式登录，只能通过终端在本地登录。5) 限制普通用户通过telnet登陆主机创建/etc/NOTLOGIN文件，在文件中加入要限制的用户名，每一行一个用户名。在/etc/profile中加入：NAME1=grep $LOGNAME /etc/NOTLOGIN NAME2=lognameif “$NAME1” = $NAME2” then echo “You are not allowed to login in!” exit fi 需要说明的是，这种方法

8、对Xmanage等Xwindow图形登陆软件无效。对现有系统的影响：对于系统及应用软件的运行没有任何影响，但所有用户不能通过远程方式登录，只能通过终端在本地登录或使用SSH软件进行远程登录。6) 限制只有sm01用户可su到root，root 执行以下脚本： groupadd g 600 surootuseradd u 600 g suroot G suroot d /home/sm01 -s /usr/bin/sh sm01passwd sm01echo “SU_ROOT_GROUP=suroot”>/etc/default/security echo “console”>/et

9、c/security对现有系统的影响：对于系统及应用软件的运行没有任何影响。7) 限制某个用户通过ftp登录主机：编辑/etc/ftpd/ftpusers文件，在新行中输入该用户的名称即可；在HP_UX 11.x之前，该文件名称为/etc/ftpusers。对现有系统的影响：对于系统及应用软件的运行没有任何影响。最好的方法是在/etc/inetd.conf中将该服务屏蔽。远程文件传输可通过SSH替代。1.2.2. 对主机的控制访问对于某关键业务系统主机，只允许或限制某几个IP地址访问该系统主机允许telnet，rlogin等服务访问某个主机，修改/var/adm/inetd.sec 文件，在该

10、文件中的每一行包含一个服务名称，权限域（容许或者拒绝），Internet地址或者主机的名称或网络名称。该文件中的每项格式如下： <service name> <allow/deny> <host/network addresses, host/network names>例如： telnet allow 10.3-5 ahost anetwork上面的该语句表示 容许下面的主机使用telnet访问系统：Ø 网络10.3到10.5的主机Ø IP地址为的主机Ø 名称为"ahos

11、t"的主机Ø 网络"anetwork"中的所有主机mountd deny 该语句表示主机IP地址为 不能存取NFS rpc.mountd 服务器。需要注意的是网络名称和主机名称必须是官方名称，不能是别名(Aliases)。对现有系统的影响：对于系统及应用软件的运行没有任何影响。如果在/etc/inetd.conf中将该服务屏蔽后，则上述步骤可以忽略。 1.2.3. 设置密码规范1) 密码规范要求：- 密码格式：由数字、字母和符号组成- 无效登录次数：6次无效登录- 历史密码记忆个数：8-12个- 密码修改期限：90

12、天- 密码长度：最小6位需要注意的是对于密码规范的设置，部分需要在信任模式下进行，关于如何将OS转换为信任模式，参见3.8节。转换为信任模式不需要重新启动系统，如果客户有应用直接读取OS的用户名称等，则可能会对该应用有影响。Ø 编辑/etc/default/security文件，可以设置密码长度（HP UNIX默认即为6位），如果该文件不存在，请使用Vi创建该文件，该文件对所有用户生效，并且系统无须转换为信任模式。MIN_PASSWORD_LENGTH=6 密码最小位数PASSWORD_HISTORY_DEPTH=8 历史密码记忆个数PASSWORD_MAXDAYS=90 密码修改期

13、限PASSWORD_MIN_LOWER_CASE_CHARS=2 密码中必须有两个小写字母PASSWORD_MIN_SPECIAL_CHARS=1 密码中必须有一个特殊字符PASSWORD_MIN_DIGIT_CHARS=1 密码中必须有一个字符对现有系统的影响：对于系统及应用软件的运行没有任何影响。Ø 转换成信任模式，更改全局性的用户密码属性。启动sam："Auditing and Security" ->"System Security Policies"选择各项进行相应的安全设置：- "Password Aging Pol

14、icies"- "General User Account Policies" （可设置无效登录次数，root用户最好和其他用户分开设置）- "Terminal Security Policies"或者，通过命令行/usr/lbin/modprpw- 也可以完成类似的工作，以上须在信任模式下进行Ø 转换成信任模式后，更改单个用户的密码属性。sam:“Accounts for users and groups” -> ”Users”， 选择用户名后， 选择Actions Modify Security Policies，可修改诸如

15、“提示密码即将到期天数”，“密码的期限”等属性，但不能修改“密码包括的最小字母数”等属性。1.2.4. 锁定系统默认账号对系统默认帐号（例如： daemon, bin, sys, adm, lp, smtp, uucp, nuucp, listen, nobody, noaccess, guest, nobody, lpd ）进行锁定在信任模式下，启动sam，对相应需要锁定的账号进行锁定。在普通模式下，也可以使用下面的命令锁定账号：#passwd l username1.2.5. 超时设置设置1分钟超时设置编辑/etc/profile文件：readonly TMOUT=60; export T

16、MOUTreadonly控制TMOUT不能被用户任意修改。对现有系统的影响：对于系统及应用软件的运行没有任何影响，如果超过60S没有操作的话，请重新登录。1.2.6. Umask1) 超级用户0272) 一般用户022对于一般用户，在/etc/profile文件中：umask 022对于超级用户，在root的.profile文件中：umask 027对现有系统的影响：对于操作系统及应用软件的当前运行没有任何影响。但是， 当以上设置与上层应用软件（ Oracle, Sybase, CICS ）的umask设置要求存在冲突时，以上层软件的umask要求为准。1.2.7. 不用服务端口关闭及检测方法

17、在 /etc/services和 /etc/inetd.conf里，对不用的服务端口关闭，如FTP, www, telnet, rsh or rexec。编辑/etc/inetd.conf文件，注释不需要的服务的行，然后执行：inetd -c通常inetd可能启动的服务有：telnet (tcp 23)ftp (tcp 21)login (tcp 513)shell (tcp 514)exectftpntalkprinterdaytime (udp & tcp)timeecho (udp & tcp)discard (udp & tcp)chargen (udp &am

18、p; tcp)kshellklogindtspcrpc.ttdbserverrpc.cmsdswatregistrarrecservinstl_bootsident (tcp 113) (cmviewcl需要该服务)hacl-probe (tcp 5303)hacl-cfg (tcp & udp 5302)bpcd (tcp 13782)vnetd (tcp 13724)vopied (tcp 13783)bpjava-msvc (tcp 13722)其中大部分的服务可以关闭，以下的服务可能会用到：telnet/ftp通常用来管理，建议使用ssh代替。rlogin/remsh通常用在双

19、机环境中或用来管理。对于前者，需要设置网络访问控制策略限制对于rlogin/remsh的访问；对于后者，建议使用ssh代替；MC/SG双机使用的服务；ident (tcp 113)hacl-probe (tcp 5303)hacl-cfg (tcp & udp 5302)对现有系统的影响：根据应用程序的要求而定检测方法：可利用netstat a观察相应的服务是否关闭/etc/inetd.conf 作为一个配置文件， 控制系统启动时启用的服务，可以通过/etc/inetd.conf的复制实现快速的服务启动、关闭控制。 1.2.8. 设置信任模式及影响信任模式增加了以下的安全特性：l 口令

20、放置在单独的、只有root用户可读写的文件中；l 口令可以选取8位以上（<80）；l 可以设置更多的口令与登录属性；l 可以进行审计（audit）。通过sam可以很容易的转换到信任模式，或者从信任模式回退到标准模式。转换到信任模式，启动sam："Auditing and Security" ->"System Security Policies"系统将会提示转换为信任模式，按照提示进行即可；如果系统内用户数量较多（>50），则转换过程可能持续几分钟回退到标准模式，启动sam："Auditing and Security&quo

21、t; ->"Audited Events" -> "Actions" -> "Unconvert the System"或者通过命令行：/usr/lbin/tsconvert (转换到信任模式)/usr/lbin/tsconvert -r (回退)对现有系统的影响：转化为trust方式后，如果以前的用户口令大于8位，则只输入前8位，否则将无法登录。1.2.9. 操作系统安全登陆方式SSH1) HP提供SSH软件包，SSH是rlogin、telnet、ftp、rcp等命令的安全替换；2) #swinsall s /tm

22、p/ SSH_HP-UX_B.11.11.depot，安装相应的软件包；3) 在客户端安装相应的SSH工具，在windows上的SSH工具有很多，且都是免费的；4) #ssh 可以远程登录这台服务器；5) #scp 可以与这台服务器传输文件；6) 由于SSH是一个功能强大的工具，有很多使用方法，具体情况可参考SSH文档。互联网上这类文档有很多，各厂家的SSH工具的使用方法都一样。修改/etc/ssh/sshd_config：AllowGroups root, staff, usersDenyGroups s

23、taffDenyUsers C Arian1.2.10. HPUX停止Xwindows服务1) 修改/sbin/rc3.d/S990dtlogin.rc文件，将其文件名变为s990dtlogin.rc.bak2) 修改/etc/rc.config.d/desktop文件，修改DESKTOP=01.2.11. HPUX停止tooltalk服务1) 让所有的Xwindows用户退出。2) 停止CDE-login。  /sbin/init.d/dtlogin.rc stop3) 阻止rpc.ttdbserver重新启动: 注释掉文件/etc/inet

24、d.conf 中的rpc.ttdbserver. # rpc stream tcp swait root /usr/dt/bin/rpc.ttdbserver  100083 1 /usr/dt/bin/rpc.tt dbserver B. 重新读取文件inetd.conf: /etc/inetd -c 5. 杀掉rpc.ttdbserver并校验它: #kill ps -e | grep rpc.ttdb 

25、;| awk ' print $1 '#ps -ef |grep rpc.ttdb 6. To delete the TT_DB-directories there are two possibilities: A. for i in  find / -name TT_DB do # Remove all fil

26、es under each TT_DB subdirectory found # under each local file system mount point.  It doesn't # matter if one of the mount points does not have a # TT_DB s

27、ubdirectory, since the 'rm -f' will not produce # an error. rm -rf $i/* done Note that solution 6A searches nfsmounts as well, which may not be the behavior wanted.  B

28、. for i in df -F vxfs | awk ' print $1 ' do # Remove all files under each TT_DB subdirectory found # under each local file system mount point.  It&

29、#160;doesn't # matter if one of the mount points does not have a # TT_DB subdirectory, since the 'rm -f' will not produce # an error. rm -rf $i/TT_DB/* done 8. 启动C

30、DE: /sbin/init.d/dtlogin.rc start1.2.12. HPUX停止NFS服务1) 将文件/etc/rc.config.d/nfsconf的2行注释掉：NFS_SERVER=0START_MOUNTD=1NFS_CLIENT=02) 停止NFS服务/sbin/init.d/nfs.client stop/sbin/init.d/nfs.server stop/sbin/init.d/nfs.core stop1.2.13. HPUX 停sendmail，snmp服务1) 手动停sendmail：/sbin/init.d/sendmail stop假如在启动时

31、就不要启动sendmail，修改/etc/rc.config.d/mailservs, 把 1 改为 02) 手动停snmp：/sbin/init.d/SnmpMaster stop假如在启动时就不要启动snmp，修改 /etc/rc.config.d/SnmpMaster, 把 1 改为 02. AIX系统策略. 系统检测信息项目名称系统信息审计目的获取操作系统版本，硬件配置等信息，本审计条目只是获取系统的基本信息。操作步骤收集操作系统版本信息，执行：uname a内存容量：Lsattr E l sys0 a r获取配置信息：lscfg获取处理器信息：lsdev C | gr

32、ep i processor获取页面调度空间：lsps a审计结果负面影响无 2.2. 系统安全策略..1. 检测系统是否存在多余帐号审计项编号ADT-OS-AIX-01主机安全：身份鉴别a）应对登录操作系统和数据库系统的用户进行身份标识和鉴别e) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。主机安全：访问控制c) 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令d) 应及时删除多余的、过期的帐户，避免共享帐户的存在。审计项名称检查系统是否存在多余帐号审计项描述查看系统是否存在攻击者留下

33、的多余帐号，或检查主机操作人员遗留下的尚未删除的安装软件默认的帐号。适用版本：审计步骤执行以下命令，查看系统中存在那些帐户：cat /etc/passwd审计项结果关联脆弱性脆弱性名称系统中存在多余自建账户脆弱性编号OS-AIX-11脆弱性说明系统存在与正常业务应用或系统维护无关的帐号，使攻击者猜测密码成功的可能性增大。严重程度中加固方法1、与系统管理员协商确定要删除的帐户；2、使用userdel命令来删除多余帐户或无用的帐户。实施风险确定所删除的帐号没有使用，否则可能会影响某些用户登录。备注2.2.2. 检查系统帐户策略审计项编号ADT-OS-AIX-02主机安全：身份鉴别b操作系统和数据库

34、系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换审计项名称检查系统帐户策略审计项描述对主机的帐号策略进行检查，包括密码复杂性；密码长度最小值；密码最长存留期等。适用版本：审计步骤#more /etc/security/user记录Default规则以及各用户配置的规则，重点关注：maxage 口令最长有效期minage 口令最短有效期maxexpired口令过期后用户可以更改时间maxrepeats 口令中某一字符最多能重复次次数minlen口令最短长度minalpha口令中最少包含字母字符个数minother口令中最少包含非字母数字字符个数loginretries 连

35、续登录失败后锁定用户审计项结果密码长度最小值应设置为8位，密码最长存留期应设置为30天关联脆弱性脆弱性名称系统口令策略配置文件中口令强壮性要求不能满足安全要求脆弱性编号OS-AIX-12脆弱性说明系统口令策略配置文件未进行必要的安全配置，不能通过系统口令策略配置文件的口令强壮性要求确保系统中的账号口令长度达到安全要求。严重程度中加固方法编辑/etc/security/user文件，确保：maxage=8 口令最长有效期为8周minage=8 口令最短有效期为8周maxexpired=4 口令过期后4周内用户可以更改maxrepeats=3 口令中某一字符最多只能重复3次minlen=8 口令最

36、短为8个字符minalpha=4 口令中最少包含4个字母字符minother=1 口令中最少包含一个非字母数字字符mindiff=4 新口令中最少有4个字符和旧口令不同loginretries=5 连续5次登录失败后锁定用户histexpire=26 同一口令在26周内不能重复使用histsize=0 同一口令与前0个口令不能重复实施风险无备注2.2.3. 检查系统是否存在空口令或弱口令审计项编号ADT-OS-AIX-03主机安全：身份鉴别b操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换审计项名称检查系统是否存在空口令或弱口令审计项描述检查系统中是否存

37、在空口令或者是若口令。适用版本：审计步骤审计项结果1）尝试典型弱口令，2）参见扫描结果，3）询问管理员口令位数和复杂度或执行以下命令：pwdck n ALL关联脆弱性脆弱性名称系统中存在空密码或弱密码账户脆弱性编号OS-AIX-13脆弱性说明超级管理存在弱口令账号，攻击者很容易利用此漏洞进行未授权访问并获得系统操作的所有权限。该弱点将严重威胁到系统的安全。操作系统普通用户存在弱口令账号，攻击者很容易利用此漏洞进行未授权访问，并获得操作系统的部分管理权限。该弱点将威胁到系统的安全。严重程度很高高加固方法完善帐号管理制度，设置位数大于8位，数字、字母混合，区分大小写的口令。 检查和用户帐号和口令相

38、关的文件，确保不存在空口令和弱口令情况，实施风险无备注2.2.4. 检测系统帐号锁定策略审计项编号ADT-OS-AIX-04主机安全：身份鉴别c应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施审计项名称检查系统帐号锁定策略审计项描述对主机或域上帐号检查帐号锁定策略锁定策略包括帐号锁定计数器、帐号锁定时间、帐号锁定阀值。适用版本：审计步骤执行以下命令：/usr/sbin/lsuser -a loginretries ALL | moremore /etc/security/login.cfglogindelay 失败登录后延迟时间logindisable 失败登录后锁定端

39、口logininterval 在一定时间内失败登录才锁定端口loginreenable 端口锁定解锁时间审计项结果帐号锁定计数器：（建议为30分钟）帐号锁定时间：（建议为30分钟）帐号锁定阀值：（建议3次）关联脆弱性脆弱性名称系统未启用帐号锁定策略脆弱性编号OS-AIX-14脆弱性说明系统没有设置帐户锁定策略，攻击者可以使用暴力密码攻击来破解密码。严重程度中加固方法修改/etc/security/login.cfg文件，确保logindelay=2 失败登录后延迟2秒显示提示符logindisable=3 3次失败登录后锁定logininterval=60 在60秒内3次失败登录才锁定端口lo

40、ginreenable30 端口锁定30分钟后解锁实施风险无备注2.2.5. 检查远程管理方式审计项编号ADT-OS-AIX-05主机安全：资源控制a)  应通过设定终端接入方式、网络地址范围等条件限制终端登录；审计项名称检查远程管理方式审计项描述检查远程管理方式配置，确定其中不安全的管理方式。适用版本：审计步骤执行以下命令检查是否有其他网络服务启用more /etc/inetd.confps ef | morenetstat a审计项结果系统不应该使用FTP、telnet等服务，FTP、Telnet等明文校验协议在局域网中容易被嗅探工具监听到用户名密码。关联脆弱性脆弱性名

41、称远程管理方式配置不当脆弱性编号OS-AIX-22脆弱性说明系统开启的远程管理服务存在安全漏洞，并且访问控制不严格。系统开启多余的远程管理方式，并且访问控制不严格。采用telnet、FTP等方式维护主机，FTP、Telnet等协议采用明文方式传输用户名、口令，在局域网中容易被嗅探工具监听到，导致泄露用户名、口令。严重程度很高高中加固方法建议不要使用FTP、Telnet等明文校验协议的远程管理方式，而应该采用加密的远程管理方式，如ssh。1、编辑/etc/inet/services，注释掉文件中的条目（只要在被注释的一行的开头加上#字即可）2、编辑文件/etc/inet/inetd.conf，对

42、其中相应的条目进行定位。对应的条目是以/etc/inet/services文件的第一个域中的名称开头的。在这一条目前加上上#将其注释掉。3、找到inetd过程，向其发送SIGHUP信号。4、开启安全的远程管理方式，如ssh。实施风险无备注2.2.6. 重要文件目录的访问权限审计项编号ADT-OS-AIX-06主机安全：访问控制a)   应启用访问控制功能，依据安全策略控制用户对资源的访问审计项名称重要文件目录访问权限审计项描述检查系统重要文件和目录的访问权限是否合理。适用版本：审计步骤执行ls lL命令，检查/etc、/bin、/usr/bin、/usr/lbin、/usr

43、/usb、/sbin和/usr/sbin目录下文件的拥有者、组拥有者和许可权。审计项结果/etc/passwd文件应归root拥有；/etc/passwd文件保护的许可权小于644。关联脆弱性脆弱性名称系统重要配置文件或目录的访问控制策略配置不合理脆弱性编号OS-AIX-09脆弱性说明系统重要配置文件或重要的文件目录访问控制策略配置不合理，系统的重要文件或目录如果允许普通修改和删除存在很大的安全隐患。严重程度高加固方法用chown改变文件或目录的属主用chmod改变文件或目录的访问权限，使要保护的文件或目录许可权限小于644。实施风险无备注2.2.7. 检查系统是否开启审计审计项编号ADT-O

44、S-AIX-07主机安全：安全审计a)   审计范围应覆盖到服务器上的每个操作系统用户和数据库用户审计项名称检查系统是否开启审计审计项描述检查系统是否启动了syslogd服务。适用版本：审计步骤执行以下命令：/usr/sbin/audit query | head -1会对“Auditing On”（审计开始）作出响应 如果该命令运行的话。此外，对审计daemon（auditbin）可通过ps命令（ps ef | grep auditbin）审计。审计项结果关联脆弱性脆弱性名称syslogd服务未启动脆弱性编号OS-AIX-01脆弱性说明syslogd服务未启动，系统出现安

45、全问题时将无日志信息可供查询分析，不利于安全事件的追踪严重程度高加固方法建议系统开启syslogd服务。/usr/sbin/audit start 启动/usr/sbin/audit shutdown 实施风险无备注2.2.8. 安全审计策略审计项编号ADT-OS-AIX-08主机安全：安全审计b)   审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件c)   审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等审计项名称日志记录范围审计项描述检查日志记录选择是否合理，日志数据是否完整。适用版本：审

46、计步骤以下是在AIX系统中配置审计的文件：/etc/security/audit/config所列标记至少应审计以下事件：文件创建；文件删除；登录；注销：所有管理和特权活动。在AIX系统中，标记是在classes: area中设定的。以下是文件中应该有哪些标示的例子：classes:general = USER_SU,PASSWORD_Change,FILE_Unlink, FILE_Link,FILE_Rename, FILE_Open, FILE_Read. ENQUE_adminsystem = USER_Change,GROUP_Change,USER_Create, GROUP_Cr

47、eate, PROC_Create, PROC_Execute, USER_Change, USER_Remove, DEV_Configure, DEV_Change, DEV_Createinit = USER_Login,USER_Logout审计项结果关联脆弱性脆弱性名称日志记录选择不合理或系统日志数据不完整脆弱性编号OS-AIX-02脆弱性说明日志记录选择不合理或系统日志数据不完整，会增加对事件和故障的原因分析的难度严重程度中加固方法在AIX系统中，标记是在classes: area中设定的。标记应包括以下内容：审计系统配置审计对文件和程序的失败访问尝试事件包括：FILE_Mknod

48、, FILE_Open ,FILE_Pipe, FS_Mkdir, PROC_Execute, SEM_Create, SHM_Create, SHM_Open, TCB_Leak and TCB_Mod审计系统配置审计被用户删除的文件和程序事件包括：FILE_Unlink、FS_Rmdir和SEM_Delete审计系统配置审计所有管理活动事件包括：ACCT_Disable, ACCT_Enable, AUD_it, BACKUP_Export, DEV_Change, DEV_Configure, DEV_Create, FILE_Chpriv, FILE_Fchpriv, FILE_Mkn

49、od, FILE_Owner, FS_Chroot, FS_Mount, FS_Umount, PASSWORD_Check, PROC_Adjtime,PROC_Kill, PROC_Privilege, PROC_Setpgid, PROC_SetUserIds, RESTORE_Import, TCBCK_Delete, USER_Change, USER_Create, USER_Reboot, USER_Remove, and USER_SetEnv审计系统配置审计所有成功和失败使用特权命令的活动事件包括：FILE_Acl, FILE_Fchmod, FILE_Fchown, FIL

50、E_Link, FILE_Mode, FILE_Owner, FILE_Rename, FILE_Unlink, FS_Chdir, FS_Chroot, PROC_RealGID and PROC_SetUserIDs.实施风险无备注2.2.9. 日志文件访问权限审计项编号ADT-OS-AIX-09主机安全：安全审计d)   应保护审计记录，避免受到未预期的删除、修改或覆盖等审计项名称日志文件访问权限审计项描述检查日志文件的访问权限是否合理。适用版本：审计步骤系统日志文件通常保存在/var/adm目录下。检查/etc/syslog.conf文件，搞清信息是否被写入其他地点

51、的日志中。执行ls la /var/adm（或等同命令），检查日志文件的许可权。#cd /etc/security/、#ls-l;#cd /var/adm、#ls-l查看日志文件的访问权限审计项结果关联脆弱性脆弱性名称日志文件访问权限不合理脆弱性编号OS-AIX-05脆弱性说明日志访问权限设置不合理，可以导致非法用户对日志文件进行修改。严重程度高加固方法用chown改变文件或目录的属主用chmod改变文件或目录的访问权限处管理员帐户外，其他用户权限小于644实施风险无备注2.2.10. 系统补丁及升级审计项编号ADT-OS-AIX-10主机安全：入侵防范a）操作系统应遵循最小安装的原则，仅安装

52、需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新审计项名称系统补丁及升级审计项描述检查系统是否安装补丁适用版本：审计步骤1、询问管理员系统是否需要安装补丁升级（如果系统不需要升级，此项为合格）2、如果系统需要补丁升级，执行一下命令查看系统补丁升级情况：/usr/sbin/instfix i k; /bin/oslevel r（显示维护级）/usr/sbin/instfix -c -i | cut -d":" -f1 | grep patch版本信息：#oslevel ： #oslevel q：审计项结果关联脆弱性脆弱性名称系统未安装补丁脆弱性编号OS

53、-AIX-07脆弱性说明系统未及时安装安全补丁，系统开启的服务存在已知安全漏洞，且极易被攻击者利用，严重的可导致操作系统被完全控制。严重程度高加固方法1、下载补丁程序并在实验机上充分测试 2、安装补丁文件实施风险安装补丁可能导致系统或应用启动失败，或其他未知情况发生，因此应做好充分测试。 备注2.2.11. 检查系统开启的服务及端口审计项编号ADT-OS-AIX-11审计项名称检查系统开启的服务和端口审计项描述检查系统是否开启了不必要的服务和端口。适用版本：审计步骤1、检查当前运行等级下各种脚本(服务)运行/关闭信息情况，执行：who -r2、检查由INETD启动的服务，检查/etc/inet

54、d.conf和/etc/services文件，执行：grep -v "#" /etc/inetd.conf (等同于lssrc -l -s inetd命令) grep -v "#" /etc/services3、检查系统开放端口情况，执行：#netstat an#netstat a4、检查开放的服务，执行：#more /etc/inetd.conf|grep -v "#"记录系统开启的服务审计项结果查看系统开启了不必要的服务，例如：smb、sendmail、ruserd、rstatd、gpm、finger、echo、chargen、c

55、hargen-udp、autofs、arpwatch等记录系统开启了哪些端口，查看哪些是不必要开启的。下面列举了容易造成安全隐患的端口，应根据实际的应用情况，如果不需要可以关闭：139TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。关联脆弱性脆弱性名称系统开启了与业务无关的服务和端口脆弱性编号OS-AIX-10脆弱性说明系统开启的网络服务会在服务器上打开通信端口，侦听并接收来自客户机的请求，多余的服务和网络端口容易使服务器受到安全攻击。

56、严重程度高加固方法1、编辑/etc/inetd.conf文件，在不需允许开启的服务的行首加上”#”，更改/etc/inetd.conf文件后重启inetd，执行“refresh -s inetd”；2、编辑/etc/services文件，确保运行的服务所对应的端口存在于/etc/services文件中；3、确保/etc/inetd.conf和/etc/services文件属性是600，确保这个文件的拥有者是root；4、若要停止某个服务，可用”stopsrc -s 服务名”来完成。实施风险无备注2.2.12. 网络访问控制策略审计项编号ADT-OS-AIX-12主机安全：资源控制a)  应通过设定终端接入方式、网络地址范围等条件限制终端登录；审计项名称网络访问控制策略审计项描述检查系统是否有网络访问控制策略，访问控制策略是否严谨。适用版本：审计步骤访谈系统管理员，是否制定了严格的访问控制策略，包