AIX系统安全加固手册

1、信息安全加固手册AIX系统1 端口与服务31.1 相关端口对应服务禁止31.2 系统相关服务默认BANNER消息禁止41.3 NFS服务关闭41.4 图形管理服务关闭51.5 FTP服务登入权限51.6 禁止RLOGIN服务61.7 CRON服务内容以及服务日志审核批61.8 SYSLOG服务属性7系统网络参数类81.9 SUID/SGID文件81.10 UMASK权限设置81.11 系统核心网络参数安全性增强9用户管理、访问控制、审计功能类91.12 防止ROOT从远程登录91.13 减少登录会话时间101.14 系统口令强壮度与策略101.15 ROOT用户历史操作记录111.16 删除默

2、认系统用户12文件权限124.1文件权限和文件类型设置121端口与服务1.1相关端口对应服务禁止风险描述21,23,25,111,513,514,515,540,80，6112，161,7,37,110相关rpc等服务禁止风险等级风险咼加固建议判断上述系统默认服务在本系统是否需要应用来决定关闭或者替换升级加固的风险/影响有些业务服务可能需要以上某些系统服务，关闭服务将造成某些系统维护方式或者业务服务不正常，相关系统默认服务(ftp,rsh,kshell,rlogin,krlogin,rexec,comsat,uucp,finger,tftp,talk,ntalk,echo,discard,ch

3、argen,daytime,time及rpc小服务)，具体说明如下：Rsh,rlogin,rexec-R远程登录系列服务，容易被窃听Finger-允许远程查询登陆用户信息Time-网络时间服务，允许远程察看系统时间Echo-网络测试服务，回显字符串，为拒绝服务”攻击提供机会，除非正在测试网络，否则禁用Discard-网络测试服务，丢弃输入,为拒绝服务”攻击提供机会，除非正在测试网络，否则禁用Daytime-网络测试服务，显示时间，为拒绝服务”攻击提供机会，除非正在测试网络，否则禁用Chargen-网络测试服务，回应随机字符串，为拒绝服务"攻击提供机会，除非正在测试网络，否则禁用com

4、sat-通知接收的电子邮件，以root用户身份运行，因此涉及安全性，很少需要的，禁用klogin-Kerberos登录，如果您的站点使用Kerberos认证则启用kshell-Kerberosshell，如果您的站点使用Kerberos认证则启用ntalk-允许用户相互交谈，以root用户身份运行，除非绝对需要，否则禁用talk-在网上两个用户间建立分区屏幕，不是必需服务，与talk命令一起使用，在端口517提供UDP服务ntalk-newtalktftp-以root用户身份运行并且可能危及安全UUCP-除非有使用UUCP的应用程序，否则禁用dtspc-CDE子过程控制，不用图形管理的话禁用加

5、固风险规避方法根据主机的业务需求，关闭对应服务端口，事先将原配置文件做备份加固成果关闭不用的端口可以避免非法用户利用这些端口入侵系统，通过升级服务来减少可被利用的漏洞。加固具体方法编辑或注释inetd.conf中所对应服务的启动脚本和启动语句来禁止上述服务。有些服务可能以cron定时启动请检查cron定时脚本。XXX公司XXX公司管理员对本条风险加固的意见：同意意见需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.2系统相关服务默认banner消息禁止风险描述系统相关服务如ftpd,teInetd,sendmail等默认banner消息禁止，风险等级风险中加固建议修改可判

6、断系统版本输出消息的服务banner加固的风险/影响连接或使用上述服务将不会返回上述服务版本加固风险规避方法加固成果避免通过banner信息泄露系统敏感信息加固具体方法修改/etc/motd文件修改/etc/ftpmotd文件检查/etc/security/login.cfg文件中祭看herald是否有设置XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.3nfs服务关闭风险描述查看nfs服务是否启用，避免利用nfs服务漏洞入侵系统风险等级风险中加固建议若使用nfssharefile服务，则判断该服务目前输出的exp

7、ortfilelist列表中的nfs文件系统挂载权限和允许挂载该文件系统的地址是否是erverone等加固的风险/影响该服务加固后将造成某些无授权的ip地址挂载该系统nfs文件系统失败加固风险规避方法事先将原配置文件做备份加固成果能避免非法用户挂载nfs文件系统，增强系统安全性加固具体方法若不使用nfs服务，则从系统当前启动等级中启动脚本移除，若使用该服务则应用share命令对指疋文件系统做限制ip挂载地址以及挂载权限参数限制。注释/etc/inittab文件中关于nfs的行XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确

8、认）1.4图形管理服务关闭风险描述检查图形管理界面是否开启，避免利用该服务漏洞入侵系统风险等级风险中加固建议若不使用图形管理，将图形管理关闭加固的风险/影响无法进行图形方式管理加固风险规避方法事先将原配置文件做备份加固成果能避免非法用户利用图形管理服务的漏洞加固具体方法修改/etc/inittab文件，将dt,dt_nogb注释XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.5FTP服务登入权限风险描述设定/etc/ftpusers文件以及权限风险等级风险中加固建议将不需要使用ftpd服务的用户加入ftpusers

9、文件，来保证ftp服务女全性，确保该文件属性为644来保证文件层安全加固的风险/影响可能影响某些使用该帐号ftp登陆的备份，操作，日志记录等脚本加固成果能防止非授权用户登入FTP加固具体方法编辑/etc/ftpd/ftpusers或/etc/ftpusers文件加入不允许ftp登陆的用户XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）丿商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.6禁止rlogin服务风险描述基于pam动态验证库验证机制的.rhos

10、ts文件和rlogin服务风险等级风险咼加固建议.rhosts文件信任机制是一种极其不安全的用户登陆信任机制，建议若不使用rlogin服务则在/etc/inetd.conf禁止，加固的风险/影响造成某些使用.rhosts验证机制的的服务如cluster等服务无法正常使用加固风险规避方法事先将原配置文件（/etc/inetd.conf）做备份加固成果避免非法用户利用rlogin入侵系统加固具体方法若仍使用.rhosts文件的信任机制则因该查找当前系统所用用户$HOME变量下是否存在.rhosts文件，确定其文件属性为600,文件内容为指定的信任主机右不使用.rhosts文件信任关系则编辑/etc

11、/inetd.conf将rlogin行注释并删除所有.rhosts文件XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.7Cron服务内容以及服务日志审核批风险描述Cron服务内容以及服务日志审核批风险等级风险中加固建议若不使用cron服务，则关闭该服务，若使用该服务则因该保证/var/spool/cron/crontab下的各个用户文件权限为600,并检查各个用户服务内容中是否有包括用户和密码明文使用的备份，传输，任务脚本。加固的风险/影响可能造成管理上的一些不便加固风险规避方法事先将原配置文件（/var/spoo

12、l/cron/crontabs/下文件）做备份加固成果消除cron服务脚本中使用用户名和密码明文带来的隐患加固具体方法Chmod600/var/spool/cron/crontabs/*XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.8Syslog服务属性风险描述修改系统Syslog文件记录及其属性风险等级风险低加固建议改变/etc/syslog.conf中默认的/var/adm日志路径将能更好的保护系统日志不受破坏，确定文件属性为400来保证其安全性加固的风险/影响日志的存放路径变更加固风险规避方法加固成果阻止普

13、通用户获取系统日志信息，增强系统安全性加固具体方法修改/etc/syslog.conf文件，将日志记录路径修改为其他路径或其他主机地址,chmod400修改该文件属性XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）2系统网络参数类2.1Suid/sgid文件风险描述去掉文件不必要的Suid/sgid属性风险等级风险高加固建议对系统不必要的suid为root文件，去掉其suid属性来防止文件层，如heap,stack,formatstring等一类的提升权限攻击加固的风险/影响可能造成某些使用该suid文件来运行的服务或

14、进程无法以root权限进程来执行加固风险规避方法事先将原文件权限记录加固成果避免通过不必要的suid文件获得root权限，增强系统安全性加固具体方法Chmod-sfilename去掉不需要suid属性文件的suid属性先运行以下命令查找find/-typef-perm-4001-user0（先运行此两个命令来查找filename）find/-typef-perm-2001-group0loginpasswdmount（不能更改）XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）2.2Umask权限设置风险描述Umask权

15、限设置风险等级风险中加固建议修改umask文件权限为027来修改文件默认建立的属性来增强系统安全性加固的风险/影响用户建立文件的默认属性为640加固风险规避方法加固成果加固后，用户建立文件的默认属性都640,增强文件的安全性加固具体修改或加入/etc/profile中的umask值为022或027方法XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）2.3系统核心网络参数安全性增强风险描述系统核心网络参数安全性增强风险等级风险咼加固建议设置系统核心网络参数将造成某些特殊的网络攻击比较难以实现加固的风险/影响可能造成网络i

16、psocket部分功能无法正常使用，网络负荷可能提咼2-%8之间加固风险规避方法加固成果增加某些网络攻击的难度，增强系统安全性加固具体方法修改以下参数no-oipforwarding=0#禁止ip源路由包转发no-oipsrcrouteforward=0#禁止转发原路由包XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3用户管理、访问控制、审计功能类3.1防止root从远程登录风险描述阻止root从远程登录风险等级风险咼加固建议防止root直接从remote设备来登陆系统，来增强系统安全性。加固的风险/影响Root将不

17、能远程直接登陆系统，但可以以普通用户登陆系统来su到root加固风险规避方法事先将原配置文件做备份加固成果远程只能采取以普通用户登陆系统来su到root，能增强系统安全性，减少被入侵的可能加固具体方法修改/etc/security/user文件，将root段的rlogin修改为flaseXXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.2减少登录会话时间风险描述减少用户登录会话时间风险等级风险中加固建议减少用户登录会话超时时间来保证用户登陆进程长期在系统有效存在加固的风险/影响将缩小系统用户登陆超时时间加固风险规避方

18、法事先将原配置文件做备份加固成果通过减少用户登录超时判定时间来增强系统安全性，减少忘记登出用户被非法利用的可能性加固具体方法增加或修改(/etc/profile,/etc/environment,/etc/security/.profile)文件中如下行TMOUT=600;TIMEOUT=600;exportTMOUTTIMEOUTXXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.3系统口令强壮度与策略风险描述增强其口令策略，默认长度值，复杂程度，口令使用周期来增强系统安全风险等级风险中加固建议修改系统用户passw

19、d强度来增强系统安全性加固的风险/影响可能造成某些其他系统来使用弱口令登陆本系统用户来做冋步备份或操作的脚本失效加固风险规避方法事先将原配置文件做备份加固成果增强用户密码的强度，大大降低用户密码被猜解的可能性加固具体方法加固具体方法：修改/etc/security/user文件，按需要的口令策略设置或加入如下参数minlen=8XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.4Root用户历史操作记录风险描述记录root用户的shell键值可能造成安全隐患，泄漏敏感信息风险等级风险低加固建议不记录root的操作记录或记录很少条记录加固的风险/影响Root用户的操作记录减少加固风险规避方法事先将原配置文件做备份加固成果避免通过历史记录获得一些敏感信息，增强系统安全性加固具体方法对于root