28-SGISLOP-SA38-10-AIX等级保护测评作业指导书(四级)

1、控制编号：SGISL/OP-SA38-10信息安全等级保护测评作业指导书AIX主机（三级)版 号：第 2 版修 改 次 数:第 0 次生 效 日 期：2010年01月06日中国电力科学研究院信息安全实验室中国电力科学研究院信息安全实验室控制编号：SGISL/OP-SA38-10第 33 页 共 1 页AIX等级保护测评作业指导书（三级）第 2 版 第 0 次修订发布日期：2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA38-10郝增帅按公安部要求修订詹雄2010.3.8一、身份鉴别1. 用户身份标识和鉴别测评项编号ADT-OS-AI

2、X-01tx25242 629A 抚39083 98AB 颫38275 9583 閃对应要求应对登录操作系统的用户进行身份标识和鉴别。测评项名称用户身份标识和鉴别测评分项1:检查并记录R族文件的配置,记录主机信任关系操作步骤#find / -name 。rhosts 对每个.rhosts文件进行检find / name 。netrc 对。netrc文件进行检more /etc/hosts.equiv适用版本任何版本实施风险无符合性判定如果不存在信任关系或存在细粒度控制的信任关系，判定结果为符合;如果存在与任意主机任意用户的信任关系,判定结果为不符合。测评分项2:查看系统是否存在空口令用户操作步

3、骤q39445 9A15 騕35958 8C76 豶1！28090 6DBA 涺# more /etc/security/passwd检查空口令帐号，适用版本任何版本实施风险无符合性判定/etc/security/passwd中所有密码位不为空，判定结果为符合;/etc/security/passwd中所存在密码位为空，判定结果为不符合。备注2. 账号口令强度测评项编号ADTOSAIX-02对应要求操作系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换测评项名称账号口令强度测评分项1： 检查系统帐号密码策略操作步骤eFq39614 9ABE 骾34534 86E6 蛦28

4、005 6D65 浥23456 5BA0 宠执行以下命令:#more /etc/security/user记录Default规则,以及各用户配置的规则，重点关注：minlen口令最短长度minalpha口令中最少包含字母字符个数minother口令中最少包含非字母数字字符个数loginretries 连续登录失败后锁定用户适用版本任何版本实施风险无符合性判定密码要求8位以上字母、数字、非字母组合，判定结果为符合；密码要求8位以下或未要求字母、数字、非字母组合,判定结果为不符合;测评分项2：检查系统中是否存在空口令或者是弱口令操作步骤1。 利用扫描工具进行查看2。 询问管理员系统中是否存在弱口令

5、3. 手工尝试密码是否与用户名相同23009 59E1 姡39892 9BD4 鯔36489 8E89 躉F适用版本任何版本实施风险扫描可能会造成账号被锁定符合性判定系统中不存在弱口令账户，判定结果为符合;系统中存在弱口令账户，判定结果为不符合；备注3. 登录失败处理策略测评项编号ADT-OS-AIX-03对应要求应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施测评项名称登录失败处理策略测评分项1： 检查系统帐号登录失败处理策略操作步骤执行以下命令922116 5664 噤Q24795 60DB 惛35065 88F9 裹34087 8527 蔧23987 5DB3 嶳

6、#more /etc/security/user记录Default规则，以及各用户配置的规则检查loginretries 值more /etc/security/login.cfg检查loginreenable值（端口锁定解锁时间）logindelay （失败登录后延迟时间）适用版本任何版本实施风险无符合性判定系统配置了合理的帐号锁定阀值及失败登录间隔时间，判定结果为符合；系统未配置登录失败处理策略,判定结果为不符合；测评分项2：如果启用了SSH远程登录，则检查SSH远程用户登录失败处理策略操作步骤执行以下命令cat /etc/sshd_config查看MaxAuthTries 等参数。Log

7、inGraceTime 1m 帐号锁定时间（建议为30 分钟）23540 5BF4 寴40507 9E3B 鸻222285 570D 圍MI34703 878F 螏PermitRootLogin noMaxAuthTries 3 帐号锁定阀值（建议5 次）适用版本任何版本实施风险无符合性判定系统配置了合理的登录失败处理策略，帐号锁定阀值及帐号锁定时间，判定结果为符合；系统未配置登录失败处理策略,判定结果为不符合；备注4. 远程管理方式测评项编号ADT-OSAIX-04对应要求当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听测评项名称检查系统远程管理方式测评分项1：

8、检查系统帐号登录失败处理策略26581 67D5 柕30238 761E 瘞 v25326 62EE 拮D24518 5FC6 忆操作步骤询问系统管理员,并查看开启的服务中是否包含了不安全的远程管理方式，如telnet， ftp，ssh，VNC 等。执行：ps ef 查看开启的远程管理服务进程执行：netstat a 查看开启的远程管理服务端口适用版本任何版本实施风险无符合性判定系统采用了安全的远程管理方式，如ssh；且关闭了如telnet、ftp 等不安全的远程管理方式，判定结果为符合；系统的开启了telnet、ftp 等不安全的远程管理方式,判定结果为不符合。5. 账户分配及用户名唯一性测

9、评项编号ADT-OS-AIX05对应要求应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性测评项名称账户分配及用户名唯一性20053 4E55 乕25688 6458 摘28367 6ECF 滏25411 6343 捃37659 931B 錛40785 9F51 齑测评分项1： 检查系统账户操作步骤执行以下命令：cat /etc/passwd#cat /etc/security/passwd#cat /etc/group查看UID是否唯一查看系统是否分别建立了系统专用管理帐号,以及帐号的属组情况。适用版本任何版本实施风险无符合性判定系统管理使用不同的帐户，且系统中不存在重

10、名帐号,UID唯一,判定结果为符合;系统管理使用相同的帐户,系统帐号存在重名情况，UID不唯一,判定结果为不符合。6. 双因子身份鉴别测评项编号ADT-OS-HPUX0527112 69E8 槨+Gx35149 894D 襍|对应要求应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别测评项名称双因子身份鉴别测评分项1： 检查系统双因子身份鉴别操作步骤询问系统管理员，系统是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。如：帐户/口令鉴别，生物鉴别、认证服务器鉴别。适用版本任何版本实施风险无符合性判定系统采用双因子身份鉴别，判定结果为符合；系统未采用双因子身份鉴别，判定结果为不符

11、合。二、访问控制1. 检查文件访问控制策略+22732 58CC 壌31493 7B05 笅38190 952E 键20415 4FBF 便测评项编号ADTOSAIX-06对应要求应启用访问控制功能，依据安全策略控制用户对资源的访问测评项名称检查访问控制策略测评分项1：检查重要配置文件或重要文件目录的访问控制操作步骤查看系统命令文件和配置文件的访问许可有无被更改例如： ls -al /usr/etc /etc/security/ /etc/security/passwd /etc/group /etc/passwd /etc/inetd.conf /var/spool/cron/crontab

12、s/ /etc/securetty /sbin/rc。d/ /etc/login.defs /etc/。conf适用版本任何版本实施风险无符合性判定系统内的配置文件目录 中，所有文件和子目录对组用户和其他用户不提供写权限，判定结果为符合；组用户和其他用户对配置文件目录/etc 中所有（部分)文件和子目录具有写权限，判定结果为不符合。测评分项2：检查文件初始权限g36851 8FF3 迳29260 724C 牌n21308 533C 匼20330 4F6A 佪31131 799B 禛操作步骤执行以下命令：#umask查看输出文件属主、同组用户、其他用户对于文件的操作权限适用版本任何版本实施风险无

13、符合性判定umask 值设置合理，为077 或027，判定结果为符合；umask 值为000、002、022等判定结果为不符合。测评分项3:检查root 帐号是否允许远程登录操作步骤查看ssh 服务配置文件是否设置登录失败处理策略,执行以下命令：cat /etc/ssh_config查看PermitRootLogin 参数more /etc/security/user30684 77DC 矜26666 682A 株Q28814 708E 炎32024 7D18 紘C查看root用户的rlogin参数 适用版本任何版本实施风险无符合性判定PermitRootLogin 值为no,且root用户设

14、置了rlogin = no， root 帐号不可以远程登录，判定结果为符合；PermitRootLogin 所属行被注释或值为yes,root用户未设置rlogin或rlogin =yes，root 帐号可以远程登录，判定结果为不符合。2. 数据库系统特权用户权限分离测评项编号ADTOS-AIX07对应要求应实现操作系统和数据库系统特权用户的权限分离测评项名称特权用户权限分离测评分项1：检查系统帐户权限设置操作步骤询问管理员系统定义了哪些角色，是否分配给操作系统和数据库系统特权用户不同的角色k29791 745F 瑟F32470 7ED6 绖21839 554F 問20861 517D 兽37

15、213 915D 酝适用版本任何版本实施风险无符合性判定系统为操作系统和数据库系统特权用户的设置了不同的角色，实现了权限分离，判定结果为符合;系统没有为操作系统和数据库系统特权用户分配角色，判定结果为不符合。3. 特权用户权限分离测评项编号ADTOS-HPUX07对应要求应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；测评项名称特权用户权限分离测评分项1:检查系统特权帐户权限设置操作步骤询问管理员系统定义了哪些管理用户角色,是否仅授予管理用户所需的最小权限36766 8F9E 辞g32832 8040 聀=9u23902 5D5E 嵞8# SMIT 查看用户

16、角色的授权适用版本任何版本实施风险无符合性判定系统实现管理用户的权限分离，判定结果为符合;系统没有实现管理用户的权限分离，判定结果为不符合。4. 默认账户访问权限测评项编号ADT-OSAIX07对应要求应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令测评项名称默认账户访问权限测评分项1：检查系统帐户权限设置操作步骤执行：34256 85D0 藐22563 5823 堣+40061 9C7D 鱽Xag37744 9370 鍰 cat /etc/passwd或者/etc/security/passwd查看不需要的账号games, news， gopher, ftp 、lp是否被

17、删除查看不需要的特权账号halt, shutdown, reboot 、who是否被删除适用版本任何版本实施风险无符合性判定系统删除无用默认账户，判定结果为符合；系统没有删除无用默认账户，判定结果为不符合。5. 多余及过期账户测评项编号ADTOS-AIX-08对应要求应及时删除多余的、过期的帐户，避免共享帐户的存在测评项名称多余及过期账户测评分项1：检查系统多余及过期账户33279 81FF 臿33363 8253 艓38637 96ED 雭24433 5F71 影27559 6BA7 殧操作步骤访谈系统管理员，是否存在无用的多余帐号。同时执行以下命令：cat /etc/passwd或 cat

18、 /etc/security/passwd适用版本任何版本实施风险无符合性判定系统中不存在多余自建帐户，判定结果为符合；没有删除多余自建账户,判定结果为不符合.6. 基于标记的访问控制测评项编号ADTOSHPUX-08对应要求应对重要信息资源设置敏感标记测评项名称资源敏感标记设置检查40338 9D92 鶒636404 8E34 踴25242 629A 抚39083 98AB 颫&38275 9583 閃测评分项1：检查系统对重要信息资源是否设置了敏感标记操作步骤询问管理员系统是否对重要信息资源（重要文件、文件夹、重要服务器）设置了敏感标记。并查看标记的设置规则。适用版本任何版本实施风

19、险无符合性判定符合:系统对重要信息资源设置敏感标记。不符合:没有对系统重要信息资源设置敏感标测评分项2：检查对有敏感标记资源的访问控制情况操作步骤询问管理员系统是否对重要信息资源（重要文件、文件夹、重要服务器）设置了敏感标记.并查看访问控制规则的设置规则。适用版本任何版本实施风险q39445 9A15 騕35958 8C76 豶1！28090 6DBA 涺无符合:制定了有效的安全策略，依据安全策略严格控制用户对有敏感标记信息资源的操作不符合：没有制定有效的安全策略或没有依据安全策略严格控制用户对有敏感标记信息资源的操作三、安全审计1. 开启日志审核功能测评项编号ADT-OS-AIX-09对应要

20、求审计范围应覆盖到服务器上的每个操作系统用户测评项名称开启日志审核功能测评分项1:检查系统日志是否开启操作步骤执行ps ef |grep syslogd查看系统是否运行syslogd进程eFq39614 9ABE 骾34534 86E6 蛦28005 6D65 浥23456 5BA0 宠询问并查看是否有第三方审计工具或系统适用版本任何版本实施风险无符合性判定系统启用了syslogd进程或有第三方审计系统，判定结果为符合；系统未启用syslogd进程也没有第三方审计系统，判定结果为不符合.测评项名称开启日志审核功能操作步骤执行 audsys（或者输入sam启动系统管理菜单GUI，点击“审计和安全

21、"，点击“用户”查看被审计的用户，点击“事件"查看审计的事件，“system calls”查看被审计的系统调用.)more /etc/rc.config.d./auditing 中的auditing字段值（=1 已开启)audusr查看选择的被审计用户适用版本23009 59E1 姡39892 9BD4 鯔36489 8E89 躉F任何版本实施风险无符合性判定系统运行在trusted mode下且开启审计功能，审计范围覆盖到服务器上的每个操作系统用户判定结果为符合；系统未启用审计功能,审计范围未覆盖到服务器上的每个操作系统用户，判定结果为不符合。测评分项1：检查系统审计功能

22、是否开启操作步骤执行 /usr/sbin/audit query显示审计系统的当前状态 more /etc/security/audit/config查看选择的被审计用户适用版本任何版本实施风险无符合性判定922116 5664 噤Q24795 60DB 惛35065 88F9 裹34087 8527 蔧23987 5DB3 嶳系统开启审计功能,审计范围覆盖到服务器上的每个操作系统用户判定结果为符合;系统未启用审计功能，审计范围未覆盖到服务器上的每个操作系统用户，判定结果为不符合。2. 日志审计内容测评项编号ADTOSAIX-10对应要求审计内容应包括重要用户行为、系统资源的异常使用

23、和重要系统命令的使用等系统内重要的安全相关事件测评项名称日志审计内容测评分项1：检查系统日志审计策略配置操作步骤执行：cat /etc/syslog.conf查看系统日志配置适用版本任何版本实施风险无23540 5BF4 寴40507 9E3B 鸻222285 570D 圍MI34703 878F 螏符合性判定syslog。conf 配置文件设置合理，对大多数系统行为、用户行为进行了纪录，并存储在指定的文档中，syslong.conf 中至少应包括：local0.crit /dev/ /usr/es/adm/cluster。loguser。notice /u

24、sr/es/adm/cluster。log；判定结果为符合;syslog.conf 配置文件设置不合理，对大多数系统行为、用户行为未进行纪录,判定结果为不符合.测评分项3：检查系统审计策略配置操作步骤执行：more /etc/security/audit/objects查看对象审计 #more /etc/security/audit/config查看对象审计#more /etc/security/audit/events查看被审计的事件26581 67D5 柕30238 761E 瘞 v25326 62EE 拮D24518 5FC6 忆适用版本任何版本实施风险无符合性判定系统配置了合理的审计策

25、略，判定结果为符合；系统未配置合理的审计策略，判定结果为不符合。测评分项3：审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等操作步骤执行：#more /usr/es/adm/cluster.loglast查看系统历史日志信息#auditpr v hhelrtRpPTc获取所有审计的信息适用版本任何版本实施风险20053 4E55 乕25688 6458 摘28367 6ECF 滏25411 6343 捃37659 931B 錛40785 9F51 齑无符合性判定审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等判定结果为符合；审计记录不包括事件的日期、时间、类型、主

26、体标识、客体标识和结果等判定结果为符合；3. 审计进程保护测评项编号ADT-OSAIX12对应要求应保护审计记录,避免受到未预期的删除、修改或覆盖等测评分项1：查看日志审计文件权限设置操作步骤执行:ls la /etc/syslog。conf /usr/es/adm/cluster.log /var/adm查看系统历史日志文件的权限或访问控制是否合理适用版本任何版本实施风险27112 69E8 槨+Gx35149 894D 襍|无符合性判定符合：日志访问权限合理,除属主外，组用户和其它用户都不具有写、执行权限；不符合：日志访问权限不合理,除属主外，部分组用户和其它用户具有写、执行权限测评分项2

27、：查看审计文件权限设置操作步骤执行：more /etc/security/audit/config 查看日志模式,例如binmode = onstreammode = off ls 查看申日文件的权限或访问控制是否合理例如 ls l /audit/bin1 bin2 = /audit/bin2适用版本任何版本实施风险无+22732 58CC 壌&31493 7B05 笅38190 952E 键20415 4FBF 便符合性判定符合:审计文件访问权限合理，除属主外，组用户和其它用户都不具有写、执行权限；不符合：审计文件访问权限不合理,除属主外，部分组用户和其它用户具有写、执行权限四、剩余

28、信息保护(HPUX系统不适用)五、入侵防范1. 入侵防范测评项编号ADTOS-AIX-13对应要求操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新测评项名称入侵防范测评分项1：检查操作系统是否开启了与业务无关的服务操作步骤执行以下命令:ps efg38153 9509 锉30563 7763 督F33242 81DA 臚22610 5852 塒21633 5481 咁32433 7EB1 纱执行#more /etc/inetd。confgrep v "#"记录系统开启的服务#more /etc/rc。nfs #mo

29、re /etc/rc.tcpip适用版本任何版本实施风险无符合性判定系统没有开启与业务无关的服务，判定结果为符合；系统开启了与业务无关的服务,判定结果为符合；测评分项2：查检查操作系统是否开启了与业务无关的网络端口操作步骤执行以下命令：netstat an netstat a适用版本任何版本实施风险31987 7CF3 糳QO）W40024 9C58 鱘"无符合性判定系统禁用了与业务无关的端口，判定结果为符合；系统没有禁用与业务无关的端口，判定结果为不符合测评分项3：检查操作系统版本与补丁升级情况操作步骤执行以下命令，查看AIX 内核版本：版本信息：#oslevel : oslevel q：补丁安装情况instfix i |grep ML 适用版本任何版本实施风险无符合性判定系统安装了最新的补丁