AI系统安全配置基线

18/24AIX系统安全配置基线中国移动通信有限公司管理信息系统部2009年3月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注：若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章 概述 11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章 账号管理认证授权 22.1 账号 22.1.1用户帐号设置 22.1.2用户组设置 22.1.3用户口令设置 32.1.4Root用户远程登录限制 32.1.5系统用户登录限制 42.2 口令 42.2.1口令生存期安全要求 42.2.2口令历史安全要求 42.2.3用户口令锁定策略 52.2.4用户访问权限安全要求 52.2.5用户FTP访问的安全要求 6第3章 网络与服务 73.1 服务 73.1.1远程维护安全要求 73.2 网络 73.2.1ICMP重定向安全要求 7第4章 日志审计 84.1 日志 84.1.1添加认证日志 84.2 审计 84.2.1安全事件审计 8第5章 设备其他安全配置要求 105.1 设备 105.1.1屏幕保护 105.2 缓冲区 105.2.1缓冲区溢出 10第6章 评审与修订 12概述目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的AIX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行AIX操作系统的安全合规性检查和配置。适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的AIX服务器系统。适用版本AIX系列服务器；实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

账号管理认证授权账号2.1.1用户帐号设置安全基线项目名称操作系统AIX用户账户安全基线要求项安全基线编号SBL-AIX-02-01-01安全基线项说明用户帐号设置。检测操作步骤1、执行：lsuser–ahomeALL2、执行：ls–l/etc/passwd基线符合性判定依据需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd备注2.1.2用户组设置安全基线项目名称操作系统AIX用户组安全基线要求项安全基线编号SBL-AIX-02-01-02安全基线项说明用户组设置。检测操作步骤1、执行：more/etc/group2、执行：ls-l/etc/group基线符合性判定依据不要存在无用的用户组：uucpprintq备注2.1.3用户口令设置安全基线项目名称操作系统AIX用户口令安全基线要求项安全基线编号SBL-AIX-02-01-03安全基线项说明用户口令设置。对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类检测操作步骤1、执行：more/etc/security/user，检查maxage/minlen/minage/pwdwarntime参数2、执行：pwdck–nALL,检查是否存在空口令账号基线符合性判定依据不能存在简单密码；创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。备注2.1.4Root用户远程登录限制安全基线项目名称操作系统AIX远程登录安全基线要求项安全基线编号SBL-AIX-02-01-04安全基线项说明Root用户远程登录限制。检测操作步骤1、执行：more/etc/security/user，检查在root项目中是否有下列行:rlogin=falselogin=truesu=truesugroup=system基线符合性判定依据禁止root用户直接登录系统可以增加系统入侵的难度备注2.1.5系统用户登录限制安全基线项目名称操作系统AIX用户登录安全基线要求项安全基线编号SBL-AIX-02-01-05安全基线项说明系统用户登录限制。检测操作步骤1、执行：more/etc/security/user，检查在daemonbinsysadmuucpnuucpprintqguestnobodylpdsshd项目中是否有下列行:rlogin=falselogin=false基线符合性判定依据系统账号仅被守护进程和服务使用，不应直接由用户登录系统。如果系统没有应用这些守护进程或服务，建议删除这些账号。备注口令2.2.1口令生存期安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02安全基线项说明对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。检测操作步骤1、执行：more/etc/security/user，检查histexpire基线符合性判定依据Histexpire小于等于13备注2.2.2口令历史安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02安全基线项说明对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。检测操作步骤1、执行：more/etc/security/user，检查histsize基线符合性判定依据Histsize大于等于5备注2.2.3用户口令锁定策略安全基线项目名称操作系统AIX口令锁定安全基线要求项安全基线编号SBL-AIX-02-02安全基线项说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步骤1、执行：more/etc/security/user，检查retries基线符合性判定依据retries=6备注2.2.4用户访问权限安全要求安全基线项目名称操作系统AIX用户访问权限安全基线要求项安全基线编号SBL-AIX-02-02安全基线项说明控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤1、执行：more/etc/default/login，检查umask基线符合性判定依据umask027备注2.2.5用户FTP访问的安全要求安全基线项目名称操作系统AIX用户FTP访问安全基线要求项安全基线编号SBL-AIX-02-02安全基线项说明控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。检测操作步骤执行：more/etc/ftpaccess，检查restricted-uid执行：more/etc/ftpusers基线符合性判定依据ftpaccess中应有类似一行restricted-uid*(限制所有)；ftpusers列表里边的用户名应包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4备注

网络与服务服务3.1.1远程维护安全要求安全基线项目名称操作系统AIX远程维护安全基线要求项安全基线编号SBL-AIX-03安全基线项说明对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。检测操作步骤1、执行：ps–elf|grepssh2、执行：ps–elf|greptelnet基线符合性判定依据ssh启用，telnet禁用备注网络3.2.1ICMP重定向安全要求安全基线项目名称操作系统AIXICMP重定向安全基线要求项安全基线编号SBL-AIX-03安全基线项说明主机系统应该禁止ICMP重定向，采用静态路由。检测操作步骤在/etc/rc2.d/S??inet搜索在/etc/rc2.d/S69inet中搜索基线符合性判定依据要求ip_send_redirects=0要求ip6_send_redirects=0备注

日志审计日志4.1.1添加认证日志安全基线项目名称操作系统AIX认证日志安全基线要求项安全基线编号SBL-AIX-04安全基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址检测操作步骤执行：cat/etc/syslog.conf，检查类似配置：/var/adm/authlog*.info;auth.none/var/adm/syslog\n"2、检测操作cat/var/adm/authlogcat/var/adm/syslog基线符合性判定依据列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。备注审计4.2.1安全事件审计安全基线项目名称操作系统AIX安全事件审计安全基线要求项安全基线编号SBL