AIX安全配置基线

1、AIX 安全配置基线中国移动通信有限公司 治理信息系统部2009 年 3 月版本版本操纵信息更新日期更新人审批人 V1.0创建2009年1月备注：若此文档需要日后更新，请创建人填写版本操纵表格，否则删除版本操纵表格。目录第 1 章概述11.1 目的11.2 适用范畴11.3 适用版本11.4 实施11.5 例外条款1第 2 章账号治理认证授权22.1 账号22.1.1 用户帐号设置22.1.2 用户组设置 22.1.3 用户口令设置22.1.4 Root用户远程登录限制 32.1.5 系统用户登录限制 32.2 口令 42.2.1 口令生存期安全要求42.2.2 口令历史安全要求42.2.3

2、用户口令锁定策略42.2.4 用户访咨询权限安全要求 52.2.5 用户FTP访咨询的安全要求 5第 3 章网络与服务73.1 服务73.1.1 远程爱护安全要求73.2 网络73.2.1 ICMP 重定向安全要求7第 4 章日志审计84.1 日志84.1.1 添加认证日志84.2 审计84.2.1 安全事件审计 8第 5 章设备其他安全配置要求95.1 设备95.1.1 屏幕爱护95.2 缓冲区 95.2.1 缓冲区溢出9第 6 章 评审与修订10概述目的本文档规定了中国移动通信有限公司治理信息系统部门所爱护治理的AIX 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统治理

3、人员或安全检查人员进行AIX 操作系统的安全合规性检查和配置。适用范畴本配置标准的使用者包括：服务器系统治理员、应用治理员、网络安全治理员。本配置标准适用的范畴包括：中国移动总部和各省公司信息化部门爱护治理的 AIX 服务器系统。适用版本AIX 系列服务器；实施本标准的讲明权和修改权属于中国移动集团治理信息系统部，在本标准的执行过程中若有任何疑咨询或建议，应及时反馈。本标准公布之日起生效。例外条款欲申请本标准的例外条款，申请人必须预备书面申请文件，讲明业务需求和缘故，送交中国移动通信有限公司治理信息系统部进行审批备案。账号治理认证授权账号2.1.1用户帐号设置安全基线项 目名称操作系统AIX用

4、户账户安全基线要求项安全基线编 号SBL-AIX-02-01-01安全基线项 讲明用户帐号设置。检测操作步 骤1、执行：Isuser - a home ALL2、执行：Is - l /etc/passwd基线符合性 判定依据需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd备注2.1.2用户组设置安全基线项 目名称操作系统AIX用户组安全基线要求项安全基线编 号SBL-AIX-02-01-02安全基线项 讲明用户组设置。检测操作步 骤1、执行： more /etc/group2、执行：ls -l /etc/gro

5、up基线符合性 判定依据不要存在无用的用户组：uucp printq备注2.1.3用户口令设置安全基线项 目名称操作系统AIX用户口令安全基线要求项安全基线编 号SBL-AIX-02-01-03安全基线项 讲明用户口令设置。关于米纳静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和专门符号4类中至少2类检测操作步 骤1、执行： more /etc/security/user ,检查 maxage/minlen/minage/pwdwarntime参数2、执行：pwdck - n ALL,检查是否存在空口令账号基线符合性 判定依据不能存在简单密码；创建一个一般账号，为用户

6、配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 6位的口令，查看系统是否对口令强度要求进行提示； 输入带有专门符号的复杂口令、一般复杂口令，查看系统是否能够成功设置。备注2.1.4 Root用户远程登录限制安全基线项 目名称操作系统AIX远程登录安全基线要求项安全基线编 号SBL-AIX-02-01-04安全基线项 讲明Root用户远程登录限制。检测操作步 骤1、执仃： more /etc/security/user ,检查在 root项目中是含有卜列仃 ：rlogin=falselogin=truesu=true sugroup=system基线符合性 判定依据禁止root用

7、户直截了当登录系统能够增加系统入侵的难度备注2.1.5 系统用户登录限制安全基线项 目名称操作系统AIX用户登录安全基线要求项安全基线编 号SBL-AIX-02-01-05安全基线项 讲明系统用户登录限制。检测操作步 骤1、执彳亍:more /etc/security/user ,检查在 daemon bin sys adm uucp nuucp printqguest nobody lpd sshd项目中是否有下列仃 ：rlogin=falselogin=false基线符合性 判定依据系统账号仅被守护进程和服务使用，不应直截了当由用户登录系统。如果系 统没有应用这些守护进程或服务，建议删除这

8、些账号。备注口令2.2.1 口令生存期安全要求安全基线项 目名称操作系统AIX 口令生存期安全基线要求项安全基线编 号SBL-AIX-02-02-01安全基线项 讲明关于米纳静态口令认证技术的设备，帐户口令的生存期不长于90天。检测操作步 骤1、执行： more /etc/security/user ,检查 histexpire基线符合性 判定依据Histexpire 小于等于 13备注2.2.2 口令历史安全要求安全基线项 目名称操作系统AIX 口令生存期安全基线要求项安全基线编 号SBL-AIX-02-02-02安全基线项 讲明关于米纳静态口令认证技术的设备，应配置设备，使用户不能重复使用

9、最近5次（含5次）内已使用的口令。检测操作步 骤1、执行： more /etc/security/user ,检查 histsize基线符合性 判定依据Histsize大于等于 5备注2.2.3 用户口令锁定策略安全基线项 目名称操作系统AIX 口令锁定安全基线要求项安全基线编 号SBL-AIX-02-02-03安全基线项 讲明关于采纳静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步 骤1、执行： more /etc/security/user ,检查 retries基线符合性 判定依据retries=6备注2.2.4 用户访咨询权限安

10、全要求安全基线项 目名称操作系统AIX用户访咨询权限安全基线要求项安全基线编 号SBL-AIX-02-02-04安全基线项 讲明操纵用户缺省访咨询权限， 当在创建新文件或名目时 应屏蔽掉新文件或名目不应有的访咨询承诺权限。防止同属于该组的其它用户及别的组的用户修改 该用户的文件或更高限制。检测操作步 骤1、执行： more /etc/defau皿ogin ,检查 umask基线符合性 判定依据umask 027备注2.2.5 用户FTP访咨询的安全要求安全基线项 目名称操作系统AIX用户FTP访咨询安全基线要求项安全基线编 号SBL-AIX-02-02-05安全基线项 讲明操纵FTP进程缺省访

11、咨询权限，当通过FTP服务创建新文件或名目时应屏蔽 掉新文件或名目不应有的访咨询承诺权限。检测操作步 骤1、执行： more /etc/ftpaccess , 检查 restricted-uid2、执行：more /etc/ftpusers基线符合性 判定依据ftpaccess中应有类似一仃 restricted-uid *（限制所有）；ftpusers列表里边的用户名应包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4备注网络与服务服务3.1.1远程爱护安全要求安全基线项 目名称操作系统AIX远程爱护安全基线要求项安全基线

12、编 号SBL-AIX-03-01-01安全基线项 讲明关于使用IP协议进行远程爱护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。检测操作步 骤1、执行：ps -elf|grep ssh基线符合性 判定依据备注网络3.2.1 ICMP重定向安全要求安全基线项 目名称操作系统AIX ICMP重定向安全基线要求项安全基线编 号SBL-AIX-03-02-01安全基线项 讲明主机系统应该禁止ICMP重定向，米纳静态路由。检测操作步 骤在/etc/rc2.d/S?inet 搜索在/etc/rc2.d/S69inet 中搜索基线符合性 判定依据要求 ip_send_redirects=

13、0要求 ip6_send_redirects=0备注日志审计日志4.1.1添加认证日志安全基线项 目名称操作系统AIX认证日志安全基线要求项安全基线编 号SBL-AIX-04-01-01安全基线项 讲明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时刻，以及远程登录时，用户使用的IP地址检测操作步 骤1、执行：cat /etc/syslog.conf ,检查类似配置： /var/adm/authlog*.info;auth.none /var/adm/syslogn"2、检测操作cat /var/adm/authlogca

14、t /var/adm/syslog基线符合性 判定依据列出用户账号、登录是否成功、登录时刻、远程登录时的IP地址。备注审计4.2.1安全事件审计安全基线项 目名称操作系统AIX安全事件审计安全基线要求项安全基线编 号SBL-AIX-04-02-01安全基线项 讲明设备应配置日志功能，记录对与设备有美的安全事件。检测操作步 骤1、执行：cat /etc/syslog.conf ,检查类似配置：*.err;kern.debug;daemon.notice;/var/adm/messages基线符合性 判定依据要求有上述类似配置。备注设备其他安全配置要求设备5.1.1屏幕爱护安全基线项 目名称操作系统AIX屏幕爱护安全基线要求项安全基线编 号SBL-AIX-05-01-01安全基线项 讲明关于具备字符交互界面的设备，应配置定时帐户自动登出。检测操作步 骤1、查看：cat /etc/profile|grep TMOUTcat /etc/environment|grep TMOUTcat /etc/security/.profile|grep TMOUT基线符合性 判定依据如果没显示则不符合配置要求。备注缓冲区5.2.1缓冲区溢出安全基线项 目名称操作系统AIX缓冲区溢出安全基线要求项安全基线编