AIX安全配置基线要点

1、AIX系统安全配置基线第1章帐号管理认证授权1.1帐号2.1.1用户帐号设置*安全基线项 目名称操作系统AIX用户帐户安全基线要求项安全基线编 号SBL-AIX-02-01-01安全基线项 说明设置需要锁定的用户帐号。检测操作步 骤1、执行：Isuser - a home ALL2、执行：Is - l /etc/passwd基线符合性 判定依据需要锁定的用户，如： deamon,bin,sys,adm ,printq,guest,nobody,lpd,备注手工判断，基于业务判断需要锁定的用户2.1.2用户组设置*安全基线项 目名称操作系统AIX用户组安全基线要求项安全基线编 号SBL-AIX-

2、02-01-02安全基线项 说明用户组设置。检测操作步 骤1、执行： more /etc/group2、执行：ls -l /etc/group基线符合性 判定依据不要存在尢用的用户组，如： printq备注手工判断，基于业务判断无用的用户组2.1.3 Root用户远程登录限制安全基线项 目名称操作系统AIX远程登录安全基线要求项安全基线编 号SBL-AIX-02-01-03安全基线项 说明Root用户远程登录限制。检测操作步 骤1、执仃： more /etc/security/user ,检查在 root项目中是含有卜列仃 ：rlogin=falselogin=truesu=true sugr

3、oup=system基线符合性 判定依据禁止root用户直接登录系统备注2.1.4 系统用户登录限制*安全基线项 目名称操作系统AIX用户登录安全基线要求项安全基线编 号SBL-AIX-02-01-04安全基线项 说明系统用户登录限制。检测操作步 骤1、执彳亍:more /etc/security/user ,检查在 daemon bin sys adm uucp nuucp printqguest nobody lpd sshd项目中是否有下列仃 ：rlogin=falselogin=false基线符合性 判定依据系统帐号仅被守护进程和服务使用，不应直接由用户登录系统。如果系统没 有应用这些

4、守护进程或服务，建议删除这些帐号。备注手工判断，基于业务判断相关帐号2.1.5 帐号用户共享限制*安全基线项 目名称操作系统AIX帐号用户共享限制安全基线要求项安全基线编 号SBL-AIX-02-01-05安全基线项 说明应按照不同的用户分配不同的帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。检测操作步 骤1、参考配置操作为用户创建帐号：#useradd username #创建帐号#passwd username#设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录）使

5、用该命令为不同的用户分配不同的帐号，设置不同的口令及权限信息等。2、补充操作说明基线符合性 判定依据1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的帐号进行登录并进彳L些常用操作；3、补充说明备注手工判断，基于业务判断2.1.6 删除系统无关帐号*安全基线项 目名称操作系统AIX系统无关帐号安全基线要求项安全基线编 号SBL-AIX-02-01-06安全基线项 说明应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步 骤1、参考配置操作删除用户：#rmuser -p username;锁定用户：1）修改/etc/shadow文件，用户名后加*LK*2）将/etc/pas

6、swd 文件中的 shell 域设置成 /bin/false3）#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁te用户，用#passwd -d username解锁后原有密码失效，登录需输入新号码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：deamon,bin,sys,adm ,printq,guest,nobody,lpd系统内存在不可删除的内置帐号，包括root,bin等。基线符合性 判定依据1、判定条件被删除或锁定的帐号无法登录成功；2、检测操作使用删除或锁定的与工作无关的帐号登录系统；

7、3、补充说明需要锁定的用户：deamon,bin,sys,adm,printq,guest,nobody,lpd备注手工判断，基于业务判断系统无关帐号2.1.7 限制具备超级管理员权限的用户远程登录安全基线项 目名称操作系统AIX用户远程管理安全基线要求项安全基线编 号SBL-AIX-02-01-07安全基线项 说明限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限帐号后执行相应操作。检测操作步 骤1、参考配置操作编辑 /etc/security/user,力口上：在root项上输入false作为rlogin的值此项只能限制roo

8、t用户远程用ssh登录，修改此项/、会看到效果的2、补充操作说明如果 限制root从远程 ssh登录，修改/etc/ssh/sshd_config 文件，将PermitRootLogin yes 改为 PermitRootLogin no ,重启 sshd 服务。基线符合性 判定依据1、判定条件root远程登录不成功，提示 " Not on system console"普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制 root 从远程 ssh 登录，修改/etc/ssh/sshd_c

9、onfig 文件，将 PermitRootLogin yes 改为 PermitRootLogin no ,重启 sshd 服务。备注2.1.8 多帐户组管理*安全基线项 目名称操作系统AIX多帐户组安全基线要求项安全基线编 号SBL-AIX-02-01-08安全基线项 说明根据系统要求及用户的业务需求，建立多帐户组，将用户帐号分配到相应的 帐户组。检测操作步 骤1、参考配置操作创建帐户组：#groupadd -g GID groupname #创建一个组，并为其设置 GID号，若不设 GID , 系统会自动为该组分配一个GID号；#usermod -g group username #?各用

10、户 username分配至U group 组中。查询被分配到的组的 GID : #id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用-g选项设止新组的 GID。0至ij 499之间的值留给 root、bin、mail 这样的系统帐号，因此最好指定该值大于499。如果新组名或者 GID已经存在，则返回错误信息。当group_name子段长度大于八个子符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#门3亚9甲sys即把当前用户以sys组身份运行；基线符合性 判定依据1、判定条件可以查看到用户帐号分配到

11、相应的帐户组中； 或都通过命令检查帐号是否属于应有的组：#id username2、检测操作查看组文件：cat /etc/group3、补充说明文件中的格式说明：group name:GID:user list备注手工判断，基于业务判断2.1.9 系统帐号登陆限制*安全基线项 目名称操作系统AIX系统帐号登陆安全基线要求项安全基线编 号SBL-AIX-02-01-09安全基线项 说明对系统帐号进行登录限制，确保系统帐号仅被守护进程和服务使用，不应直 接由该帐号登录系统。如果系统没有应用这些守护进程或服务，应删除这些检测操作步 骤1、参考配置操作禁止帐号交互式登录：修改/etc/shadow文件

12、，用户名后密码列为NP;删除#rmuser -p username;2、补充操作说明禁止交互登录的系统帐号，比如 uucp nuucp lpd guest printq等基线符合性 判定依据1、判定条件被禁止帐号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一帐号，密码不设，从远程用此帐户登录，登录会显示login incorrect ,如果root用户没设密码没有任何提示信息直接退出；3、补充说明备注手工判断，基于业务判断1.2 口令2.2.1 口令生存期安全要求安全基线项 目名称操作系统AIX 口令生存期安全基线要求项安全基线编 号SBL-AIX-02-02-01安全基

13、线项 说明对于米用静态口令认证技术的设备，帐户口令的生存期不长于 90天（13周）。检测操作步 骤1、执行： more /etc/security/user ,检查 histexpire基线符合性 判定依据Histexpire 小于等于 13备注2.2.2 口令历史安全要求安全基线项 目名称操作系统AIX 口令生存期安全基线要求项安全基线编 号SBL-AIX-02-02-02安全基线项对于米用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近说明5次内已使用的口令。检测操作步 骤1、执行： more /etc/security/user ,检查 histsize基线符合性 判定依据Hi

14、stsize大于等于 5备注2.2.3 用户口令锁定策略*安全基线项 目名称操作系统AIX 口令锁定安全基线要求项安全基线编 号SBL-AIX-02-02-03安全基线项 说明对于米用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的帐号。检测操作步 骤1、执行： more /etc/security/user ,检查 loginretries基线符合性 判定依据loginretries=10备注注意！此项设置会影响性能，建议设置后对访问此服务器源地址做限制。2.2.4 用户访问权限安全要求安全基线项 目名称操作系统AIX用户访问权限安全基线要求项安全基线编 号S

15、BL-AIX-02-02-04安全基线项 说明控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步 骤1、执行： more /etc/default/login ,检查 umask基线符合性 判定依据umask 027备注2.2.5 用户FTP访问的安全要求*安全基线项 目名称操作系统AIX用户FTP访问安全基线要求项安全基线编 号SBL-AIX-02-02-05安全基线项 说明控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉 新文件或目录不应后的访问允许权限。

16、检测操作步 骤1、执行： more /etc/ftpaccess , 检查 restricted-uid2、执行：more /etc/ftpusers基线符合性 判定依据ftpaccess中应用类似一仃 restricted-uid *（限制所有）；ftpusers列表里边的用户名应包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4备注手工判断2.2.6 用户口令强度要求安全基线项 目名称操作系统AIX用户口令安全基线要求项安全基线编 号SBL-AIX-02-02-06安全基线项 说明对于采用静态口令认证技术白设备，口令长度

17、至少8位，并包括数字、小写字母、大写字母和特殊符号 4类中至少2类。检测操作步 骤1、参考配置操作chsec -f /etc/security/user -s default -a minlen=8chsec -f /etc/security/user -s default -a minalpha=1chsec -f /etc/security/user -s default -a mindiff=1chsec -f /etc/security/user -s default -a minother=1chsec f /etc/security/user $ default -a pwdwar

18、ntime=5minlen-8 #号码长度最少 8位minalpha=1 #包含的子母最少 1个mindiff-1 #包含的唯一字符最少1个minother-1#包含的非子母最少 1个pwdwarntime-5 #系统在号码过期前5天发出修改号码的警告/息给用户2、补充操作说明基线符合性 判定依据1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i, 配置口令的最小长度；ii, 将口令配置为强口令。2、创建一个普通帐号， 为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于

19、8位的口令，查看系统是否对口令强度要求进行提 示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功 设置。备注2.2.7 用户缺省访问权限要求*安全基线项 目名称操作系统AIX用户缺省权限安全基线要求项安全基线编 号SBL-AIX-02-02-07安全基线项 说明控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步 骤1、参考配置操作A.设置所有存在帐户的权限：lsuser -a home ALL | awk 'print $1' | while rea

20、d user; do chuser umask-077 $userdonevi /etc/default/login 在末尾增加 umask 027B.设置默认的 profile ,用编辑命打开文件 /etc/security/user,找到umask这仃， 修改如下：Umask=0772、补充操作说明1、如果用户需要使用一个/、同于默认全局系统设置的umask,可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。基线符合性 判定依据1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls -l dir ;

21、#查看目录dir的权限#cat /etc/default/login 查育是否有 umask 027 内谷3、补充说明umask的默认设置一般为022 ,这给新创建的文件默认权限755 (777-022=755),这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。备注手工判断第2章网络与服务2.1服务3.1.1远程维护安全要求安全基线项 目名称操作系统AIX远程维护安全基线

22、要求项安全基线编 号SBL-AIX-03-01-01安全基线项 说明对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。检测操作步 骤1、判定条件# ps -elf|grep ssh是否有ssh进程存在2、检测操作查看SSH服务状态：# ps -elf|grep ssh 查有telnet服务状态：# ps -elf|grep telnet基线符合性 判定依据建议启用ssh,禁用telnet备注2.2 IP协议安全要求3.2.1 ICMP重定向安全要求安全基线项 目名称操作系统AIX ICMP重定向安全基线要求项安全基线编 号SBL-AIX-03-02-

23、01安全基线项 说明主机系统应该禁止ICMP重定向，采用静态路由。检测操作步 骤使用命令vi/etc/修改配直文件，添加以下内容：ipignoreredirects=1忽略 ICMP 重定向包ipsendredirects=0不发送ICMP重定向包基线符合性 判定依据使用命令“ no出”查看当前网络参数ipignoreredirects=1忽略 ICMP 重定向包ipsendredirects=0不发送ICMP重定向包备注3.2.2 系统开放的端口及服务安全要求*安全基线项 目名称操作系统AIX系统开放端口及服务安全基线要求项安全基线编 号SBL-AIX-03-02-02安全基线项 说明设备应

24、支持列出对外开放的IP服务端口和设备内部进程的对应表。检测操作步 骤1、参考配置操作 开放的服务列表命令：# cat /etc/inetd.conf开放的端口列表命令：# netstat -an服务端口和进程对应表： 命令：cat /etc/services2、补充操作说明ftp-data20/tcpftp21/tcpssh22/tcptelnet23/tcpsmtp25/tcppop2109/tcppop3110/tcpimap143/tcpldap389/udptftp69/udprje77/tcpfinger79/tcplink87/tcpsupdup95/tcpiso-tsap102/

25、tcpx400103/tcpx400-snd104/tcpntp123/tcplogin513/tcpshell514/tcpsyslog514/udp基线符合性 判定依据1、判定条件能够列出端口和服务对应表。2、检测操作开放的服务列表命令： # cat /etc/inetd.conf开放的端口列表命令： # netstat -an服务端口和进程对应表：命令：cat /etc/services3、补充说明备注需要人工判断开放的端口和服务，可能影响业务3.2. 3远程管理地址安全要求*安全基线项 目名称操作系统AIX远程管理地址安全基线要求项安全基线编 号SBL-AIX-03-02-03安全基线

26、项 说明对于通过IP协议进行远程维护的设备， 设备应支持对允许登陆到该设备的IP地址范围进行设定。检测操作步 骤1、参考配置操作编辑 /etc/hosts.allow 和/etc/hosts.deny 两个文件vi /etc/hosts.allow增加一行 <service>:允许访问的IP;举例如下： all:4:allow# 允许单个 IP;ssh:192.168.1.:allow # 允许 192.168.1 的整个网段vi /etc/hosts.deny增加一行all:all重启进程： # refresh -s inetd2、补充操作说明更改/etc/

27、inetd.conf文件后，刷新inetd 的命令是：# refresh -s inetd基线符合性 判定依据1、判定条件被允许的服务和IP范围可以登录到该设备，其它的都被拒绝。2、检测操作查看/etc/hosts.allow和/etc/hosts.deny两个文件cat /etc/hosts.allowcat /etc/hosts.deny3、补充说明备注手工判断3.2.4非路由设备转发限制*安全基线项 目名称操作系统AIX非路由设备转发限制安全基线要求项安全基线编 号SBL-AIX-03-02-04安全基线项 说明对于不做路由功能的系统，应该关闭数据包转发功能。检测操作步 骤1、参考配置操

28、作vi /etc/init.d/inetinitIP Forwarding （IP 转发）a.关闭IP转发/usr/sbin/no -o ipsrcrouteforward=0/usr/sbin/no -o ipsrcrouterecv=0/usr/sbin/no -o ipsrcroutesend=0/usr/sbin/no -o nonlocsrcroute=0b.严格限定多主宿主机，如果是多宿主机，还可以加上更严格的限定防 止ip spoof的攻击ndd -set /dev/ip ip_strict_dst_multihoming 1c.转发包广播由于在转发状其下默认是允许的，为了防止被

29、用来实施 smurf攻击，关闭这一特性ndd -set /dev/ip ip_forward_directed_broadcasts 0路由：a.关闭转发源路由包ndd -set /dev/ip ip_forward_src_routed 02、补充操作说明注意：启动过程中IP转发功能关闭前AIX主机依1日可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。对于AIX 2.4（或者更低版本）,在/etc/init.d/inetinit文件的最后增加一行ndd -set /dev/ip ip_forwarding 0对于AIX 2.5（或者更局版本），在/etc目录下创建一个叫touch /

30、etc/notrouternotrouter的空文件，基线符合性 判定依据1、判定条件2、检测操作查有 /etc/init.d/inetinit 文件cat /etc/init.d/inetinit3、补充说明注意：启动过程中IP转发功能关闭前AIX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。备注需要人工判断是否为非路由设备第3章日志审计3.1日志 4.1.1添加认证日志*安全基线项 目名称操作系统AIX认证日志安全基线要求项安全基线编 号SBL-AIX-04-01-01安全基线项 说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登

31、录时间，以及远程登录时，用户使用的IP地址检测操作步 骤1、执行：cat /etc/syslog.conf ,检查类似配置： /var/adm/authlog*.info;auth.none /var/adm/syslogn"2、检测操作cat /var/adm/authlogcat /var/adm/syslog基线符合性 判定依据列出用户帐号、登录是否成功、登录时间、远程登录时的IP地址。备注手工检查3.2审计4.2.1安全事件审计安全基线项 目名称操作系统AIX安全事件审计安全基线要求项安全基线编 号SBL-AIX-04-02-01安全基线项 说明设备应配置日

32、志功能，记录对与设备相关的安全事件。检测操作步 骤1、执行：cat /etc/syslog.conf ,检查类似配置：*.err;kern.debug;daemon.notice;/var/adm/messages基线符合性 判定依据要求有上述类似配置。备注4.2.2 系统信息日志要求*安全基线项 目名称操作系统AIX系统日志信息安全基线要求项安全基线编 号SBL-AIX-04-02-02安全基线项 说明启用系统记帐(System accounting),记录系统数据，比如CPU利用率，磁盘 的I/O信息等检测操作步 骤1、参考配置操作把以下保存天-个文本文件，并执行lslpp -i bos.

33、acct >/dev/null 2>&1 # 检查文件集是否存在if "$?"!= 0 ; thenecho "bos.acct not installed, cannot proceed"elsesu - adm -c "crontab -l > /tmp/crontab.adm"cat << EOF >> /tmp/crontab.adm # 增加到 crontab 执行0 8-17 * * 1-5 /usr/lib/sa/sa1 1200 3 &0 * * * 0,6 /

34、usr/lib/sa/sa1 &0 18-7 * * 1-5 /usr/lib/sa/sa1 &5 18 * * 1-5 /usr/lib/sa/sa2 -s 8:00 -e 18:01 -i 3600 -A & EOFmkdir -p /var/adm/sa # 建立 sa 目录chown adm:adm /var/adm/sa #改变属主为 admchmod 755 /var/adm/sa #赋予权限值su - adm -c "crontab /tmp/crontab.adm"2、补充操作说明使用sar命令必须要安装 bos.acct文件集。/v

35、ar/adm/sa/sar*自动保存报告数据，可查看基线符合性 判定依据1、判定条件运行sar能查有系统部件活动2、检测操作检查生成的报告信息，命令报告系统部件活动，命令#sar在随后的20秒内每隔2秒报告当前的tty活动，命令#sar -y -r 2 20观察系统部件10分钟，并对数据进行排序，命令#sar -o temp 60 10报告最前面的两个处理器的cpu活动，命令#sar -u -P 0,1查看是否存在文件/var/adm/sa/sadd其中dd表示该月的第几日的数子备注手工判断4.2.3 重点日志保存要求*安全基线项 目名称操作系统AIX日志服务器安全基线要求项安全基线编 号SB

36、L-AIX-04-02-02安全基线项 说明设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检测操作步 骤1、参考配置操作修改配置文件 vi/etc/syslog.conf,加上这几行：ttloghost*.info;auth.nonettloghost*.emergttloghostlocal7.*ttloghost可以将此处loghost替换为实际的IP或域名。 重新启动syslog服务，依次执行卜列命令： stopsrc -s syslogdstartsrc -s syslogd2、补充操作说明注意：*.*和之间/L个Tab基线符合性 判定依据1、判定条

37、件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。3、补充说明备注根据应用场景的不向，如部署场景需开启此功能，则强制要求此项。第4章设备其他安全配置要求4.1设备5.1.1 屏幕保护安全基线项 目名称操作系统AIX屏幕保护安全基线要求项安全基线编 号SBL-AIX-05-01-01安全基线项 说明对于具备字符交互界囿的设备，应配置定时帐户300秒自动登出。检测操作步 骤1、查有：cat /etc/profile|grep TMOUTcat /etc/environment|grep TMOUTcat /etc/security/.

38、profile|grep TMOUT基线符合性 判定依据如果没显示则不符合配置要求。备注5.1.2 屏幕锁定*安全基线项 目名称操作系统AIX屏幕锁定安全基线要求项安全基线编 号SBL-AIX-05-01-02安全基线项 说明对于具备图形界囿（含 WEB界囿）的设备，应配置定时自动屏幕锁定。检测操作步 骤1、参考配置操作for file in /usr/dt/config/*/sys.resources; do dir='dirname $file | sed -e s/usr/etc/' mkdir -p $direcho 'dtsession*saverTimeou

39、t: 10' >> $dir/sys.resourcesecho 'dtsession*lockTimeout: 10' >> $dir/sys.resources done在配直文件yss.resources增加了两行，为10分钟无鼠标和键盘动作后自动锁 屏。2、补充操作说明操作系统,默认是30分钟 无键盘和鼠标动作锁屏，现在更改为10分钟基线符合性 判定依据1、判定条件登录后，在设定时间内不进行任何操作，检查屏幕被锁定即为符合。2、检测操作查看/usr/dt/config/*/sys.resources文件是否有相应选项，命令#cat /us

40、r/dt/config/*/sys.resources|grep Timeout3、补充说明注：其中的*表示所有目录备注手工检查4.2 缓冲区5.2.1缓冲区溢生安全基线项 目名称操作系统AIX缓冲区溢出安全基线要求项安全基线编 号SBL-AIX-05-02-01安全基线项 说明防止堆栈缓冲溢出。检测操作步 骤1、查有：cat /etc/security/limits2、查有/etc/ profile 文件：基线符合性 判定依据cat /etc/security/limits 有如卜两彳丁: core 0core_hard = 0/etc/ profile 文件后：ulimit c 0备注4.

41、3 文件系统5.3.1重要文件及目录安全安全基线项 目名称操作系统AIX重要文件及目录安全基线要求项安全基线编 号SBL-AIX-05-03-01安全基线项 说明涉及帐号、帐号组、口令、服务等的重要文件和目录的权限设置不能被任意 人员删除，修改。检测操作步 骤1、参考配置操作查看重要文件和目录权限：ls -l更改权限：对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本。2、补充操作说明基线符合性 判定依据1、判定条件用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作不能够 成功即为符合。2、

42、检测操作查看重要文件和目录权限：ls -l用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作3、补充说明备注重要目录默认为etc/init.d/4.4服务5.4.1系统服务列表控制*安全基线项 目名称操作系统AIX系统服务列表安全基线要求项安全基线编SBL-AIX-05-04-01号安全基线项 说明列出所需要服务的列表（包括所需的系统服务），不在此列表的服务需关闭。检测操作步 骤1、参考配置操作 查看所有开启的服务：#ps -e -f方法一：手动方式操作在inetd.conf中关 闭不用 的服务 首先复制/etc/inet/inetd.conf 。 #cp /etc/inet/i

43、netd.conf /etc/inet/inetd.conf.backup 然后用 vi编编辑 inetd.conf文 件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务,即可。重新启用该服务，使用命令：refresh -s inetd方法二：自动方式操作A.把以下复制到文本里：for SVC in ftp telnet shell kshell login klogin exec echo discard chargen daytime time ttdbserver dtspc; do echo "Disabling $SVC TCP&qu

44、ot; chsubserver -d -v $SVC -p tcpdonefor SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime time cmsd; do echo "Disabling $SVC UDP” chsubserver -d -v $SVC -p udpdonerefresh -s inetdB.执行命令：#sh dis_server.sh2、补充操作说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。Tcp服务如下：ftp telnet sh

45、ell kshell login klogin execUDP服务如下：ntalk rstatd rusersd rwalld sprayd pcnfsd注意：改变了 inetd.conf文件之后，需要重新启动inetd。对必须提供白服务采用tcpwapper来保护并且为了防止服务取消后断线，一定要启用SSHD1艮务，用以登录操作和文件传输。基线符合性1、判定条件判定依据所需的服务都列出来；没扃小必要的服务；2、检测操作查看所有开启的服务 :cat /etc/inet/inetd.conf,cat /etc/inet/services3、补充说明在/etc/inetd.conf文件中禁止下列不

46、必要的基本网络服务。Tcp服务如下：ftp telnet shell kshell login klogin execUDP服务如下：ntalk rstatd rusersd rwalld sprayd pcnfsd注意：改变了 ihetd.conf文件之后，需要重新启动inetd。对必须提供的服务采用tcpwapper来保护备注需要手工判断5.4.2系统时间同步安全基线项 目名称操作系统AIX NTP服务安全基线要求项安全基线编 号SBL-AIX-05-04-02安全基线项 说明如果网络中存在信任的 NTP服务器，应该配置系统使用NTP服务保持时间同步。检测操作步1、参考配置操作骤ntp 的配置文件： /etc/inet/ntp.conf#vi /etc/inet/ntp.confserver IP地址（提供ntp服务的机器）#driftfile /var/ntp/ntp.drift（建drift文件及相关目录，这个文件是用于在ntp重起的时候快速的和服务器进行同步）#startsrc -s xntpd启动NTP客户我守护进程#smitty xntpd 通过调用smitty ,使xntpd在以后重启服务器时能自动启动2、补充操作说明/etc/inet/ntp.conf默认是没有的，需要做server的话，就把ntp.server拷贝一份成