aix系统安全加固参考信息

1、Linux系统安全加固参考信息目录 TOC o 1-3 h z u HYPERLINK l _Toc334603874 1操作系统安全-身份鉴别 PAGEREF _Toc334603874 h 4 HYPERLINK l _Toc334603875 1.1对登录操作系统的用户进行身份标识和鉴别 PAGEREF _Toc334603875 h 4 HYPERLINK l _Toc334603876 1.2最小密码长度 PAGEREF _Toc334603876 h 4 HYPERLINK l _Toc334603877 1.3密码复杂度 PAGEREF _Toc334603877 h 4 HYP

2、ERLINK l _Toc334603878 1.4密码字典 PAGEREF _Toc334603878 h 5 HYPERLINK l _Toc334603879 1.5系统密码使用时间 PAGEREF _Toc334603879 h 5 HYPERLINK l _Toc334603880 1.6对失败登录的次数进行限制 PAGEREF _Toc334603880 h 5 HYPERLINK l _Toc334603881 1.7密码重复使用次数设置 PAGEREF _Toc334603881 h 5 HYPERLINK l _Toc334603882 1.8SSH服务IP，端口，协议，允许

3、密码错误的次数，网络中允许打开的会话数 PAGEREF _Toc334603882 h 6 HYPERLINK l _Toc334603883 1.9root账号远程登录设置 PAGEREF _Toc334603883 h 6 HYPERLINK l _Toc334603884 1.10防止任何人使用su命令连接root用户 PAGEREF _Toc334603884 h 7 HYPERLINK l _Toc334603885 1.11系统Banner设置 PAGEREF _Toc334603885 h 7 HYPERLINK l _Toc334603886 2操作系统安全-访问控制 PAGE

4、REF _Toc334603886 h 7 HYPERLINK l _Toc334603887 2.1修改帐户口令，更改默认帐户的访问权限 PAGEREF _Toc334603887 h 7 HYPERLINK l _Toc334603888 2.2删除多余的、过期的帐户，避免共享帐户的存在 PAGEREF _Toc334603888 h 8 HYPERLINK l _Toc334603889 2.3限制超级管理员远程登录 PAGEREF _Toc334603889 h 8 HYPERLINK l _Toc334603890 3操作系统安全-入侵防范 PAGEREF _Toc334603890

5、 h 9 HYPERLINK l _Toc334603891 3.1仅安装需要的应用程序，关闭不需要的服务和端口 PAGEREF _Toc334603891 h 9 HYPERLINK l _Toc334603892 3.2关闭不必要的服务 PAGEREF _Toc334603892 h 9 HYPERLINK l _Toc334603893 3.3网络访问控制策略 PAGEREF _Toc334603893 h 9 HYPERLINK l _Toc334603894 4操作系统安全-资源控制 PAGEREF _Toc334603894 h 10 HYPERLINK l _Toc3346038

6、95 4.1根据安全策略设置登录终端的空闲超时断开会话或锁定 PAGEREF _Toc334603895 h 10 HYPERLINK l _Toc334603896 4.2文件创建初始权限 PAGEREF _Toc334603896 h 10 HYPERLINK l _Toc334603897 4.3设置合适的历史命令数量 PAGEREF _Toc334603897 h 10 HYPERLINK l _Toc334603898 4.4系统磁盘剩余空间充分满足近期的业务需求 PAGEREF _Toc334603898 h 10 HYPERLINK l _Toc334603899 4.5检查并记

7、录操作系统的分区情况和文件系统利用率 PAGEREF _Toc334603899 h 11 HYPERLINK l _Toc334603900 5操作系统安全日志 PAGEREF _Toc334603900 h 11 HYPERLINK l _Toc334603901 5.1日志功能开启 PAGEREF _Toc334603901 h 11 HYPERLINK l _Toc334603902 5.2失败登录日志监控 PAGEREF _Toc334603902 h 11 HYPERLINK l _Toc334603903 5.3syslog日志等级的安全配置 PAGEREF _Toc334603

8、903 h 12 HYPERLINK l _Toc334603904 5.4安全审计策略 PAGEREF _Toc334603904 h 12 HYPERLINK l _Toc334603905 5.5系统日志记录 PAGEREF _Toc334603905 h 12 HYPERLINK l _Toc334603906 5.6启用记录cron行为日志功能和cron/at的使用情况 PAGEREF _Toc334603906 h 13 HYPERLINK l _Toc334603907 6操作系统安全-系统安全 PAGEREF _Toc334603907 h 13 HYPERLINK l _To

9、c334603908 6.1补丁管理 PAGEREF _Toc334603908 h 13 HYPERLINK l _Toc334603909 6.2检查并记录系统开启的网络端口 PAGEREF _Toc334603909 h 14 HYPERLINK l _Toc334603910 6.3关闭无效服务和启动项 PAGEREF _Toc334603910 h 14 HYPERLINK l _Toc334603911 6.4仅允许特定IP允许访问服务 PAGEREF _Toc334603911 h 15 HYPERLINK l _Toc334603912 7操作系统安全其它服务安全 PAGERE

10、F _Toc334603912 h 15 HYPERLINK l _Toc334603913 7.1FTP配置文件 PAGEREF _Toc334603913 h 15 HYPERLINK l _Toc334603914 7.2R族文件 PAGEREF _Toc334603914 h 16 HYPERLINK l _Toc334603915 7.3NFS文件系统配置情况检查 PAGEREF _Toc334603915 h 16 HYPERLINK l _Toc334603916 7.4FTP用户及服务安全 PAGEREF _Toc334603916 h 16操作系统安全-身份鉴别对登录操作系统

11、的用户进行身份标识和鉴别要求需对所有的帐号设置密码，要求在登陆系统时必须输入口令进行身份验证。解决方法对于当前用户使用命令“passwd ”进行密码设置； 对于其他用户则使用root权限登录后，使用命令“ passwd ” 进行密码设置。备注最小密码长度要求密码长度、使用密码字典解决方法vi /etc/security/userminlen = 8/定义口令的最小长度，注意口令的最小长度由minlen和minalpha+minother中较大的一个值来决定。minalpha+minother不应该大于8，如果大于8则minother会变为8-minalpha。（minalpha = 4/定义在

12、口令中最少的字母的数量，默认是0，范围是：0到8 minother = 0/定义在口令中最少的非字母的数量，默认是0，范围是：0到8）备注密码复杂度要求密码复杂度解决方法vi /etc/security/user密码复杂程度要求包含数字和字母/etc/security/userMinalpha4/定义在口令中最少的字母的数量，默认是0，范围是：0到8Minother4/定义在口令中最少的非字母的数量，默认是0，范围是：0到8备注密码字典要求使用密码字典检查新密码解决方法使用/etc/security/userDictionlist/usr/share/dict/words备注系统密码使用时间要

13、求密码使用时间解决方法密码定期更改间隔设置为12周或更短/etc/security/userMaxage=12备注对失败登录的次数进行限制要求对失败登录的次数进行限制解决方法允许的失败登陆次数设置为5次或5次以下/etc/security/userLoginretries=5备注密码重复使用次数设置要求密码重复使用次数设置为至少8次解决方法/etc/security/userhistsize=8备注SSH服务IP，端口，协议，允许密码错误的次数，网络中允许打开的会话数要求SSH服务IP，端口，协议，最大允许认证次数，网络中允许打开的会话数解决方法cat /etc/ssh/sshd_config

14、Port 22 /SSH服务端端口为22ListenAddress SyslogFacility AUTHPRIV /系统登录功能有加密LoginGraceTime 0 /限制用户必须在指定的时间内认证成功，0表示不限制，2m为两个月内。MaxAuthTries 6 /指定每个连接最大允许的认证次数，默认值是6。如果失败认证的次数超过这个数值的一半，连接将被强制断开，且会生成额外的失败日志消息。MaxSessions 10 /指定每个网络连接允许打开会话的最大数目，默认10MaxStarups 10 /最大允许保持多少个未认证的连接，默认10。达到限制后，将不再接受新连接，除非先前的连接认证成

15、功或超过LoginGraceTime的限制。备注修改完成后，重启ssh服务service sshd restart备注root账号远程登录设置要求不允许root直接登录及相关配置解决方法使用命令“vi /etc/ssh/sshd_config”编辑配置文件#cat /etc/ssh/sshd_config PermitRootLogin yes /是否允许root登录。PasswordAuthentication yes /密码是否有认证 选yes有ChallengeResponseAuthentication no /攻击响应认证 否GSSAPIAuthentication yes /通用安

16、全服务应用程序接口认证 是UsePAM no /如果启用了PAM，那么必须使用root才能运行sshd。设置“PermitRootLogin ”的值为no备注修改完成后，重启ssh服务service sshd restart防止任何人使用su命令连接root用户要求不想任何人都可以用“su”命令成为root 或只让某些用户有权使用“su”命令解决方法备注系统Banner设置要求通过修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息解决方法设置系统Banner的操作如下：在/etc/security/login.cfg文件中，在default小节增加：heral

17、d = ATTENTION:You have logged onto a secured server.All accesses logged.nnlogin:备注操作系统安全-访问控制修改帐户口令，更改默认帐户的访问权限要求严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令解决方法使用命令cat /etc/password 文件来查看默认账户，并使用命令“cat /etc/shadow”查看文件中的口令是否为默认口令。使用root账户进行登录，使用命令“passwd username password”来修改用户的口令。对于无法重命名的系统默认帐号，为增强主机系统的安全性

18、，建议使用命令“smit user”，将与业务无关的系统默认用户进行锁定；备注此操作具有一定的危险性，需要与管理员确认此项操作不会影响到业务系统的登录，以免影响正常业务应用。删除多余的、过期的帐户，避免共享帐户的存在要求删除多余的、过期的帐户，避免共享帐户的存在解决方法方法一：可使用命令“smit user”，将多余的、过期的帐户，共享帐户等系统默认用户进行锁定；使用命令“smit user”解锁不必要的账号使用命令“smit user”删除多余、过期的账号方法二：vi /etc/security/user相关用户account_locked = true备注此操作具有一定的危险性，需要与管理

19、员确认此项操作不会影响到业务系统的登录，以免影响正常业务应用。限制超级管理员远程登录要求限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。解决方法系统当前状态： 执行lsuser -a rlogin root命令，查看root的rlogin属性并记录实施步骤：参考配置操作：（1）、查看root的rlogin属性： #lsuser -a rlogin root（2）、禁止root远程登陆： #chuser rlogin=false root备注还原root可以远程登陆，执行如下命令： #chuser rlogin=true ro

20、ot操作系统安全-入侵防范仅安装需要的应用程序，关闭不需要的服务和端口要求1.询问相关维护人员， 主机系统是除装有正常业务应用所需要的程序外，是否还安装有与业务应用无关的其它程序；2.询问相关维护人员并获取授权安装软件清单文档，查看当前操作系统中是否安装有非清单内的应用软件。3.询问相关维护人员，是否关闭了除正常业务应用之外的所有服务与端口，具体检查方法：使用命令“netstat an”查看开放的端口；解决方法使用命令“netstat an”查看开放的端口；备注关闭不必要的服务要求关闭不必要的服务解决方法（9）要开启审计服务 auditd备注网络访问控制策略要求1.访谈系统管理员，是否制定了严

21、格的访问控制策略，包括是否限制登录用户，对远程登录的IP是否有限制，采用哪种远程登录方式等。解决方法查看hosts.allow、hosts.deny是否对某些服务，某些IP进行了限制。#cat hosts.allowSshd:210.13.218.*:allow /表示允许210ip段连接shhd服务#cat hosts.denySshd:all:deny /表示拒绝所有sshd远程连接当hosts.allow与hosts.deny相冲突时以hosts.allow为准。备注操作系统安全-资源控制根据安全策略设置登录终端的空闲超时断开会话或锁定要求根据安全策略设置登录终端的空闲超时断开会话或锁定

22、解决方法可使用命令“cat /etc/profile |grep TMOUT”查看超时的时间设置。使用命令“vi /etc/profile”修改配置文件，添加行“TMOUT=180”，单位为秒，即超时时间为3分钟。备注超时时间的设置需要与应用管理员进行确认，以免影响正常业务应用。文件创建初始权限要求文件创建初始权限解决方法vi /etc/security/user设置umask值umask 077 #适用root用户，其它用户不可读umask 022 #适用非root用户，其它用户可读不可写备注设置合适的历史命令数量要求设置合适的历史命令数量解决方法编辑“/etc/profile”文件，确保H

23、ISTFILESIZE和HISTSIZE都设成了一个比较小的值。HISTSIZE=80HISTFILESIZE=80备注系统磁盘剩余空间充分满足近期的业务需求要求1.检查用户是否建立有服务器备份存储及介质空间管理制度文档，检查其中是否对主机系统的磁盘空间的大小做出明确的要求；2.检查主机系统的磁盘空间，查看各个分区是否有充足的剩余磁盘空间来满足近期的业务需求。使用命令“df hl”命令来查看当前磁盘占用空间情况解决方法建议如下：1.建立服务器备份存储及介质空间管理制度文档，并在其中对程序及重要数据的备份、对主机系统的磁盘空间的大小等项目做出明确的要求；2.管理员定期检查所有主机系统的磁盘占用空

24、间及其它资源占用情况，如果发现磁盘空间不够，由相关技术人员提出申请，进行磁盘空间的扩充。备注检查并记录操作系统的分区情况和文件系统利用率要求检查并记录操作系统的分区情况和文件系统利用率解决方法df h可以查看相关信息：Filesystem size used avail use% mounted on文件系统 大小 已用 可用 使用率 挂载点当使用率过高时要注意了！备注操作系统安全日志日志功能开启要求启用日志记录功能解决方法syslog的配置主要通过/etc/syslog.conf配置，日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(hostname)。

25、startsrc -s syslogd 启动syslog服务stopsrc-s syslogd 停止syslog服务备注失败登录日志监控要求通过系统日志的方式记录失败的登录尝试解决方法系统记录失败的用户登录/etc/security/failedloginWho /etc/security/failedlogin 查看备注syslog日志等级的安全配置要求syslog日志等级的安全配置解决方法syslog配置文件要求：修改文件 安全设置/etc/syslog.conf 配置文件中包含一下日志记录：*.err /var/adm/errorlog*.alert /var/adm/alertlog*

26、.cri /var/adm/critlogauth, /var/adm/authlog备注安全审计策略要求安全审计策略解决方法方法：查看系统日志配置，执行：#cat /etc/syslog.conf 查看syslogd的配置，并确认日志文件是否存在*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages/系统日志默认存放在 /var/log/messagescron.* /var/log/cron /cron日志默认存放在/var/log/cronauthpriv.* /var/log/secure /安全日志默认

27、存放在/var/log/secure备注系统日志记录要求查年系统日志记录解决方法执行： cat /etc/log/secure /记录pop3,telnet,ssh,ftp登陆信息的文件last R /查看前50次登陆系统用户的信息cat /etc/log/messages /查看系统发生的错误信息（包括登陆信息）备注启用记录cron行为日志功能和cron/at的使用情况要求启用记录cron行为日志功能和cron/at的使用情况解决方法cron/At的相关文件主要有以下几个：/var/spool/cron/crontabs 存放cron任务的目录/var/spool/cron/cron.all

28、ow 允许使用crontab命令的用户/var/spool/cron/cron.deny 不允许使用crontab命令的用户/var/spool/cron/atjobs 存放at任务的目录/var/spool/cron/at.allow 允许使用at的用户/var/spool/cron/at.deny 不允许使用at的用户使用crontab和at命令可以分别对cron和at任务进行控制。#crontab -l 查看当前的cron任务#at -l 查看当前的at任务备注操作系统安全-系统安全补丁管理要求系统补丁安装标准解决方法执行oslevel r命令或instfix -i|grep ML命令，

29、查看补丁当前安装的状况和版本。使用instfix aik命令来完成补丁的安装操作。注意：（1）、在AIX系统中涉及安全的补丁包有以下几种： 推荐维护包（Recommended Maintenance Packages）: 由一系列最新的文件集组成的软件包，包含了特定的操作系统（如AIX 5.2）发布以来的所有文件集的补丁。关键补丁Critical fixes(cfix)：自推荐维护包之后，修补关键性漏洞的补丁。紧急补丁Emergency fixes(efix): 自推荐维护包之后，修补紧急安全漏洞的补丁。（2）、补丁安装原则： 在新装和重新安装系统后，必须安装最新的推荐维护包，以及该最新推荐维

30、护包以来的所有单独的cfix和efix。 日常维护中如果厂家推出新的RM、cfix、efix则按照原补丁维护管理规定进行补丁安装。备注应根据需要及时进行补丁装载。注意：补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。检查并记录系统开启的网络端口要求检查并记录系统开启的网络端口解决方法netstat antp (查看开启的tcp端口)netstat anup （查看开启的udp端口）其中：Proto 显示连接使用的协议 Local Address 查看本地地址及端口备注关闭无效服务和启动项要求关闭无效服务和启动项解决方法查看/etc/inittab、/e

31、tc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置；查看/etc/inetd.conf文件并记录当前的配置（一）、rc.dAIX系统中的服务主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中启动，事实上，/etc/rc.*系列文件主要也是由/etc/inittab启动。同时，AIX中所有启动的服务（至少与业务相关的）都可以同过SRC（System Resource Manager）进行管理。可以有三种方式查看系统服务的启动情况：（1）、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件

32、；（2）、使用lssrc和lsitab命令；（3）、通过smit查看和更改。注：SRC本身通过/etc/inittab文件启动。lssrc -a 列出所有SRC管理的服务的状态lsitab -a 列出所有由/etc/inittab启动的信息，和cat /etc/inittab基本相同，除了没有注释。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。（二）、inetd.conf由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC

33、启动），因此查看INETD启动的服务的情况有两种方法：（1）、使用vi查看/etc/inetd.conf中没有注释的行；（2）、使用lssrc命令。lssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态；refresh -s inetd 更改/etc/inetd.conf文件后重启inetd。建议关闭由inetd启动的所有服务；如果有管理上的需要，可以打开telnetd、ftpd、rlogind、rshd等服务。启动或停止inetd启动的服务（例如ftpd）：（1）、使用vi编辑/etc/inetd.conf，去掉注释（启动）或注释掉（停止）ftpd所在的行；（2）、重启inetd：refresh -s inetd。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。备注仅允许特定IP允许访问服务要求仅允许特定IP允许访问