AIX安全配置规范

1、AIX操作系统安全配置规范2011年3月第1章概述1.1适用范围适用于中国电信使用AIX操作系统的设备。本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同，配置操作有所不同，本规范以AIX5.X为例，给出参考配置操作。第2章安全配置要求2.1账号编写：1要求内容应按照不同的用户分配不同的账号。操作指南1、参考配置操作为用户创建账号：#useraddusername#创建账号#passwdusername#设置密码修改权限：#chmod750directory#其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权

2、限的目录）使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进彳L些常用操作；3、补充说明编写：2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户：#userdelusername;锁定用户：1）修改/etc/shadow文件，用户名后加*LK*2）将/etc/passwd文件中的shell域设置成/bin/false3）#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户，

3、用#passwd-dusername解锁后原有密码失效，登录需输入新号码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。解锁时间：15分钟编写：3要求内容限制具备超级管理员权限的用户远程登录。需要远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级

4、管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/security/user,力口上：在root项上输入false作为rlogin的值此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项/、会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。检测方法1、判定条件root远程登录不成功，提示“没有权限”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通

5、用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。编号：4要求内容操作指南对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。1、参考配置操作把如下shell保存后，运行，会修改ssh的安全设置项：unaliascprmmvcase'find/usr/etc-typef|grep-cssh_config$'in

6、0)echo"Cannotfindssh_config"；1)DIR='find/usr/etc-typef2>/dev/null|grepssh_config$|sed-e"s:/ssh_config:"'cd$DIRcpssh_configssh_config.tmpawk7人#?*Protocol/print"Protocol2"next;print'ssh_config.tmp>ssh_configif"'grep-ElAProtocolssh_config'&qu

7、ot;=""thenecho'Protocol2'>>ssh_configfirmssh_config.tmpchmod600ssh_config；*)echo"Youhavemultiplesshd_configfiles.Resolve"echo"beforecontinuing."esac#也可以手动编辑ssh_config,在"Host*"后输入"Protocol2",cd$DIRcpsshd_configsshd_config.tmpawk'/a#?

8、*Protocol/print"Protocol2"next;/a#?*X11Forwarding/print"X11Forwardingyes"next;/a#?*IgnoreRhosts/print"IgnoreRhostsyes"next;/a#?*RhostsAuthentication/print"RhostsAuthenticationno"next;/a#?*RhostsRSAAuthentication/print"RhostsRSAAuthenticationno"next;/

9、a#?*HostbasedAuthentication/print"HostbasedAuthenticationno"next;/a#?*PermitRootLogin/print"PermitRootLoginno"next;/a#?*PermitEmptyPasswords/print"PermitEmptyPasswordsno"next;/a#?*Banner/print"Banner/etc/motd"next;print'sshd_config.tmp>sshd_configrmsshd

10、_config.tmpchmod600sshd_configProtocol2#使用ssh2版本X11Forwardingyes#允许窗口图形传输使用ssh加密IgnoreRhostsyes#|g全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不设置使用基于rhosts的验证RhostsRSAAuthenticationno#不设置使用RSA算法的基于rhosts的安全验证HostbasedAuthenticationno#不允主机白名单方式认证PermitRootLoginno#不允许root登录PermitEmptyPasswordsno#不允许空密码Ba

11、nner/etc/motd#设置ssh登录时显示的banner2、补充操作说明查看SSH服务状态：#pself|grepssh检测方法1、判定条件# pself|grepssh是否有ssh进程存在2、检测操作查看SSH服务状态：# pself|grepssh查有telnet服务状态：# pself|greptelnet2.2口令编写：1要求内容对于米用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1、参考配置操作chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/securi

12、ty/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsecf/etc/security/user-sdefault-apwdwarntime=5minlen-8#号码长度最少8位minalpha=1#包含的子母最少1个mindiff-1#包含的唯一字符最少1个minother-1#包含的非子母最少1个pwdwarntime-5#系统在号码过期前5天发出修改号码的警告/息给用户2、补充操作说明检测方法1、判定

13、条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i, 配置口令的最小长度；ii, 将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。编号：2要求内容对于米用静态口令认证技术的设备，帐户口令的生存期不长于90天。操作指南1、参考配置操作方chsec-f/etc/security/user-sdefault-ahistexpir

14、e-13方法二：用vi或其他文本编辑工具修改chsec-f/etc/security/user文件如下值：histexpire-13histexpire-13#密码可重复使用的星期为13周（91天）2、补充操作说明检测方法1、判定条件密码过期后登录不成功；2、检测操作使用超过90天的帐户口令登录会提示密码过期；编号：3要求内容对于米用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作方chsec-f/etc/security/user-sdefault-ahistsize=5方法二：用vi或其他文本编辑工具修改chsec-f/etc

15、/security/user文件如下值：histsize=5histexpire=5#可允许的密码重复次数检测方法1、判定条件设置密他不成功2、检测操作cat/etc/security/user,设置如下histsize=53、补充说明默认没有histsize的标记，即不记录以前的密码。编号：4要求内容对于米用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作查看帐户帐户属性：#lsuserusername设置6次登陆失败后帐户锁定阀值：#chuserloginretries=6username检测方法1、判定条件运行lsu

16、seruasename命令，查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次，则进行设置2.3授权编号：1要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明chown-Rroot:security/etc/passwd/etc/group/etc/securitychown-Rroot:audit/etc/security/auditchmod644/etc/passwd/etc/groupchmod750/etc/securitychmod-Rgo-w,o-r

17、/etc/security/etc/passwd/etc/group/etc/security的所启皆必须是root和security组成员/etc/security/audit的所启皆必须是iroot和audit组成员/etc/passwd所有用户都可读，root用户可写-rw-rr/etc/shadow只有root可读-r/etc/group必须所有用户都可读，root用户可写-rw-rr使用如下命令设置：chmod644/etc/passwdchmod644/etc/group如果是后写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod-Rgo-w,o-r/

18、etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不向的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面于以体现；4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容

19、，查看权限配置策略是否生效。3、补充说明编号：2要求内容控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏敝掉新文件或目录不应后的访问允许权限。操作指南1、参考配置操作a.限制某些系统帐户不准ftp登录：通过修改ftpusers文件，增加帐户#vi/etc/ftpusersb.限制用户可使用FTP不能用Telnet,假如用户为即划创建一个/etc/shells文件,添加一行/bin/true;修改/etc/passwd文件，ftpxll:x:119:1:/home/ftpxll:/bin/true注：还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能

20、够登录ftp以上两个步骤可参考如下shell自动执行：lsuser-cALL|grep-vA#name|cut-f1-d:|whilereadNAME;doif'lsuser-f$NAME|grepid|cut-f2-d='-lt200;thenecho"Adding$NAMEto/etc/ftpusers"echo$NAME>>/etc/ftpusers.newfidonesort-u/etc/ftpusers.new>/etc/ftpusersrm/etc/ftpusers.newchownroot:system/etc/ftpuser

21、schmod600/etc/ftpusersc.限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess,加入如下一行restricted-uid*（限制所有），restricted-uidusername（特定用户）ftpaccess文件与ftpusers文件在向目录d.设置即用户登录后对文件目录的存取权限，可编辑/etc/ftpaccess。chmodnoguest,anonymousdeletenoguest,anonymousoverwritenoguest,anonymousrenamenoguest,anonymousumasknoanonymous2、补充操作说明查看#ca

22、tftpusers说明：在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#more/etc/ftpusers#more/etc/passwd#more/etc/ftpaccess3、补充说明查看#catftpusers说明：在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoacce

23、ssnobody42.4 补丁安全编号：1要求内容应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。操作指南1、参考配置操作先把补丁集拷贝到一个目录，如/08update,然后执行#smitupdate_all选择安装目录/08update默认SOFTWAREtoupdate_update_all选择不提交，保存被覆盖的文件，可以回滚操作，接受许可协议COMMITsoftwareupdates?noSAVEreplacedfiles?yesACCEPTnewlicenseagreements?yes然后回车执行安装。2、补充操作说明检测方法1、判定条件查看最新的补丁号，确认已打上了最

24、新补丁；2、检测操作检查某一个补丁，比如LY59082是否安装#instfix-aWkLY59082检查义彳集（filesets）是否安装#lslpp-lbos.adt.libm3、补充说明补卜载http:2.5 日志安全要求编号：1要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作修改配置文件vi/etc/syslog.conf,加上这几行：tt/var/adm/authlog*.info;auth.nonett/var/adm/syslogn"建立日

25、志文件，如下命令：touch/var/adm/authlog/var/adm/syslogchownroot:system/var/adm/authlog重新启动syslog服务，依次执行卜列命令：stopsrc-ssyslogdstartsrc-ssyslogdAIX系统默认不捕获登录信息到syslogd,以上配置增加了验证信息发送至U/var/adm/authlog和/var/adm/syslog2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。2、检测操作cat/var/adm/authlogcat/var/adm/syslog3、补充说明编

26、号：2（可选）要求内容启用记录cron行为日志功能和cron/at的使用情况操作指南1、参考配置操作cron/At的相关文件主要后以下几个：/var/spool/cron/crontabs存放cron任务的目录/var/spool/cron/cron.allow允许使用crontab命令的用户/var/spool/cron/cron.deny不允许使用crontab命令的用户/var/spool/cron/atjobs存放at任务的目录/var/spool/cron/at.allow允许使用at的用户/var/spool/cron/at.deny不允许使用at的用户使用crontab和at命令

27、可以分别对cron和at任务进行控制。#crontab-l查看当前的cron任务#at-l查看当前的at任务检测方法1、判定条件2、检测操作查看/var/spool/cron/目录下的文件配直是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。编号：3要求内容设备应配置权限，控制对日志文件读取、修改和删除等操作。操作指南1、参考配置操作配置日志文件权限，如下命令：chmod600/var/adm/authlogchmod640/var/adm/syslog并设置了权限为其他用户和组禁止读写日志文件。检测方法1、判定条件没有相应权限的用户不能查看或删除日志文件2、检测操作查看sysl

28、og.conf文件中配直的日志仔放文件：more/etc/syslog.conf使用ls-l/var/adm查看的目录下日志文件的权限，如：authlog、syslog的权限应分别为600、644。3、补充说明对于其他日志文件，也应该设置适当的权限，如登录失败事件的日志、操作日志，具体文件查看syslog.conf中的配置。2.6 不必要的服务、端口编号：1要求内容列出所需要服务的列表（包括所需的系统服务），不在此列表的服务需关闭。操作指南1、参考配置操作查看所有开启的服务：#ps-e-f方法一：手动方式操作在inetd.conf中关闭不用的服务首先复制/etc/inet/inetd.conf

29、。#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.backup然后用vi编to?编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务，即可。重新启用该服务，使用命令：refresh-sinetd方法二：自动方式操作A.把以下复制到文本里：forSVCinftptelnetshellkshellloginkloginexecechodiscardchargendaytimetimettdbserverdtspc;doecho"Disabling$SVCTCP"chsubse

30、rver-d-v$SVC-ptcpdoneforSVCinntalkrstatdrusersdrwalldspraydpcnfsdechodiscardchargendaytimetimecmsd;doecho"Disabling$SVCUDP”chsubserver-d-v$SVC-pudpdonerefresh-sinetdB.执行命令：#shdis_server.sh2、补充操作说明参考附表，根据具体情况禁止不必要的基本网络服务。注意：改变了-inetd.conf仪件之后，需要重新启动inetd。对必须提供白服务采用tcpwapper来保护并且为了防止服务取消后断线，一定要启用SSHD艮务，用以登录操作和文件传输。检测方法1、判定条件所需的服务都列出来；没后/、必要的服务；2、检测操作查看所有开启的服务:cat/etc/inet/inetd.conf,cat/etc/inet/services3、补充说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。Tcp服务如下：ftptelnetshellkshellloginkloginexecUDP服务如下：ntalkrstatdruse