AIX系统安全加固手册

AIX系统安全加固手册系统维护升级加固下载系统推荐维护包>在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(MaintenanceLevels,简称ML)由从AIX4.3的基准文件集更新后的一系列文件集组成。每个文件集的更新都是累计的，即它包含了AIX4.3发布以来的所有那个文件集的补丁，并替换了所有以前的更新。维护包(ML)的命名规则是4位的VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。可以通过安装ML来升级操作系统的改进版号modification,例如，从升级到O>推荐维护包(RecommendedMaintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过较多实测过的更新的文件集组成。通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。推荐维护包(RM)的命名规则是4位的VRMF，再加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包RecommendedMaintenance如4330-01是4330的第1个推荐维护包(RM)。可以用以下的命令来判定是否4330-01已经安装在系统里，oslevel将仍然显示,表示系统的ML仍是4330：instfix-ik4330-01_AIX_ML我们可以通过该网站()下载ML或RM,并通过gzip解压缩，然后按照如下提示的详细信息进行安装。解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd/tmp/mlgzip-d*.tar.gzcd/usr/sys/inst.imagesfind/tmp/ml-name\*.tar-exectar-xvf{}\;rm-rf/tmp/ml用df检查系统硬盘空间大小，确保/,/usr,/var,/tmp等目录有足够的空间。用下指令检查当前已安装的程序和升级：lslpp-La如果有可能，重新建立新的启动引导镜像，并重新启动系统bosboot-ad/dev/ipldeviceshutdown-r按照以下步骤确定安装空间以root身份运行smittyupdate_all在“INPUTdevice/directoryforsoftware”中输入ML升级包的具体位置设定"Previewonly?”选项为"yes”设定“COMMITsoftwareupdates?”选项为"no”设定“SAVEreplacedfiles?”选项为"yes”预览安装结束后查阅smit的输出纪录安装推荐补丁包以root身份运行smittyupdate_all在“INPUTdevice/directoryforsoftware”中输入ML升级包的具体位置设定“COMMITsoftwareupdates?”选项为“no”设定“SAVEreplacedfiles?”选项为“yes”安装结束后查阅smit的输出纪录重新启动系统shutdown—r注：目前最新推荐维护包将把系统升级至.11版本补丁安装：1,建立临时efix目录并转移到此目录：mkdir/tmp/efixcd/tmp/efix2，把efix移到/tmp/efix，解压补丁：uncompresssecldap_efix.tar.Ztarxvfsecldap_efix.tarcdsecldap_efix修改补丁文件以适应用户自身的系统，并设置属主和权限：mvsecldapclntd.xxxsecldapclntd#wherexxxis433or510chownroot.securitysecldapclntdchmod500secldapclntd建立原始两进制程序的备份，并去掉相关权限：cd/usr/sbincpsecldapclntdsecldapclntd.origchmod0secldapclntd.orig5，停止secldapclntd守护进程：kill'ps-elgrepsecldapclntdlawk'{print$1}'、6,使用补丁过的两进制程序代替当前系统程序，使用-p选项维持文件权限:cp-p/tmp/efix/secldap_efix/secldapclntd/usr/sbin/secldapclntd

7,重新启动secldapclntd.#/usr/sbin/secldapclntd2安装系统安全补丁加固查询APARDatabase数据库(/rs6000/aix.CAPARdb)来获得必要的系统安全补丁信息。进入该数据库后选择有关产品的数据库： AIXVersion4/AIXVersion3/CATIAforAIX。选择检索选项，并在下面输入相应的字串：(APARNumber----如：IX85874，IY00411FilesetName---如：.tcp.serverPTFNumber----如：U464245APARAbstract--如：HACMP，maintenance)o按FindFix钮。用鼠标左键选中所需Fix.(如果需要多个Fix，重复以下的步骤)。选择所用操作系统的版本(如:AIX4.3.3,用oslevel可以查出AIX版本)。选择从哪个服务器下载(Fixserver)o选择语言(Selectlanguages)是指如果需要，下载何种语言包。按GetFixPackage钮，将得到符合以上选项的Fix列表。用鼠标右键依次点击所有的Fix，并选择"SaveLinkAs..."到本地硬盘相应目录(可用支持断点续传的软件，一起下载)。安装Fix:可在Fix所在目录，用smittyinstall_all来安装。11.重新启动系统。3系统配置加固3系统配置加固1¥1.加固系统TCP/IP配置通过/usr/sbin/no-oclean_partial_conns=1防止SYN的攻击；通过/usr/sbin/no-oarpt_killc=20设置arp表的清空时间；通过/usr/sbin/no-oicmpaddressmask=0防止网络地址掩码的泄漏；通过/usr/sbin/no-odirected_broadcast=0防止smurf攻击；通过/usr/sbin/no-oipsrcroutesend=0；/usr/sbin/no-oipsrcrouteforward=0；/usr/sbin/no-oip6srcrouteforward=0防止源路由攻击；通过/usr/sbin/no-oipignoreredirects=1和/usr/sbin/no-oipsendredirects=0防止IP重定向；通过tcbcka禁用非信任的rcp，rlogin，rlogind，rsh，rshd，tftp，tftpd等程序和守护进程；禾^用smitlshostsequiv/smitmkhostsequiv/smitrmhostsquiv或者直接编辑/etc/hosts.equiv，检查所有其中的内容，去除信任主机和用户；禾^用smitlsftpusers/smitmkftpusers/smitrmftpusers或者直接编辑/etc/ftpusers来设定不能通过ftp登录系统的用户。设定所有关于网络配置文件的正确的安全属性，见下表：/etcDirectoryNameOwnerGroupModePermissionsgated.confRootsystem0664rw-rw-r--gatewaysRootsystem0664rw-rw-r--hostsRootsystem0664rw-rw-r--hosts.equivRootsystem0664rw-rw-r--inetd.confRootsystem0644rw-r--r--named.confRootsystem0644rw-r--r--named.dataRootsystem0664rw-rw-r--networksRootsystem0664rw-rw-r--protocolsRootsystem0644rw-r--r--rc.tcpipRootsystem0774rwxrwxr--resolv.confRootsystem0644rw-rw-r--servicesRootsystem0644rw-r--r--3270.keysRootsystem0664rw-rw-r--

3270keys.rtRootsystem0664rw-rw-r--/usr/binDirectoryNameOwnerGroupModePermissionsHostRootSystem4555r-sr-xr-xhostidBinBin0555r-xr-xr-xhostnameBinBin0555r-xr-xr-xfingerrootSystem0755rwxr-xr-xftprootSystem4555r-sr-xr-xnetstatrootBin4555r-sr-xr-xrexecrootBin4555r-sr-xr-xruptimerootSystem4555r-sr-xr-xrwhorootSystem4555r-sr-xr-xTalkBinBin0555r-xr-xr-xtelnetrootSystem4555r-sr-xr-x/usr/sbinDirectoryNameOwnerGroupModePermissionsArprootsystem4555r-sr-xr-xfingerdrootsystem0554r-xr-xr--Ftpdrootsystem4554r-sr-xr--gatedrootsystem4554r-sr-xr--ifconfigbinBin0555r-xr-xr-xinetdrootsystem4554r-sr-xr--namedrootsystem4554r-sr-x--Pingrootsystem4555r-sr-xr-xrexecdrootsystem4554r-sr-xr--routerootsystem4554r-sr-xr--routedrootsystem0554r-xr-x---rwhodrootsystem4554r-sr-xr--securetcpiprootsystem0554r-xr-xr--setclockrootsystem4555r-sr-xr-xsyslogdrootsystem0554r-xr-xr--talkdrootsystem4554r-sr-xr--

/usr/ucbDirectoryNameOwnerGroupModePermissionstnRootsystem4555r-sr-xr-xrootsystem4554/var/spool/rwhoDirectoryNameOwnerGroupModePermissionsrwho(directory)rootsystem0755drwxr-xr-xr-sr-xr--telnetd2.根据系统应用要求关闭不必要的服务：可以通过编辑/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab等文件来实现。r-sr-xr--telnetd从系统管理的角度而言，一般只需要开放如下的服务：telnetftp＞可从/etc/inittab中删除的服务：piobe PrinterIOBackEndqdaemonPrinterQueueingDaemonwritesrvwriteserveruprintfd Constructsandwriteskernelmessageshttpdlite docsearchWebServerdt (通用桌面环境，要用CDE的话不能删除)imnssdocsearchimnssDaemonimqssdocsearchimqssdaemonrcnfsNFSDaemons通过编辑文件/etc/inittab或rmitab命令完成。＞可从/etc/rc.tcpip中删除的服务：routedgateddhcpcddhcpsddhcprdautoconf6ndpd-hostndpd-routerIpdnamedtimedxntpdrwhodsnmp系统网管软件监控dpid2mroutedsendmailnfsdportmap可从/etc/inetd.conf中删除的服务:shellkshellloginkloginexeccomsatuucpbootpsfingersystatnetstattftptalkntalkrpc.rquotadrpc.rexdrpc.rusersdrpc.ttdbserverrpc.spraydrpc.cmsdrpc.rwalldrpc.pcnfsdrpc.rstatdrpc.ssalldechodiscardchargendaytimetimecomsatwebsminstsrvimap2pop3kfclixmquery检查系统中所有的.rhosts,.netrc,hosts.equiv等文件，确保没有存在潜在的信任主机和用户关系，使这些文件内容为空。为root设定复杂的口令，删除临时用户和已经不用的用户，检查现有系统上的用户口令强度，修改弱口令或空口令。设定系统日志和审计行为1）增加日志缓冲和日志文件的大小：/usr/lib/errdemon-S4194304B32768monitorsucommand：more/var/adm/suloguselastcommandmonitorcurrentandprevioussystemloginsandlogoutsfile:/var/adm/wtmpusewhocommandmonitorallfailedloginattempts:who/etc/security/failedlogintheuserswhoarecurrentlylogged:usewhocommand./etc/syslogd.conf设定系统审计和日志的主要文件在/etc/profile中设定用户自动logoff的值——TMOUT和TIMEOUT值，如：TMOUT=3600 #forKornShellTIMEOUT=3600 #forBourneShellexportTMOUTTIMEOUT审查root的PATH环境变量，确保没有本地目录出现。修改系统登录前的提示信息(banner),启用SAK,编辑/etc/security/login.cfg文件：sak_enabled=trueherald="\r\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\NOTICETOUSERS\r\n\r\nUseofthismachinewaivesallrightstoyourprivacy,\r\n\r\nandisconsenttobemonitored.\r\n\r\nUnauthorizeduseprohibited.\r\n\r\n\r\nlogin:"用管理工具smitchuser来禁止root远程登录且只能在console登录，并限定登录尝试次数：设置/etc/security/user文件中的login与rlogin值为false,ttys值为tty0,loginretries值为3。通过编辑/etc/security/user文件或使用chsec命令设置默认的口令策略，并启用SAK：minage=0maxage=12maxexpired=4minalpha=4minother=1minlen=8mindiff=3maxrepeats=3histexpire=26histsize=8pwdwarntime=14tpath=onCrontabChmod600/var/spool/cron/crontabs/<ID>eg.Lpsysadm除了root其他用户不能拥有cron访问执行li-Ra-1-a>listofallfiles，保存listofallfiles文件，以备日后核对。实现文件系统的ACL控制，实现针对用户的文件访问控制。（可选）审查NFS策略，如果没有必要，则关闭该服务。审查SNMP策略，如果需要该服务，应当将community的名称设定为较复杂的字符串，并限定访问范围，如果不需要，则关闭该服务。审查sendmail服务策略，如果需要提供该服务，应当修改sendmail.cf文件，使之符合必要的安全要求（不转发，不能vrfy和expn），如果不需要该服务，则关闭该服务。4Setuidandsetgid（可选）•需要setuid:/usr/bin/passwd/usr/bin/ps/usr/bin/su/usr/sbin/tsm/usr/bin/w•只需要setgid的是：/usr/bin/mailx/usr/bin/mail其他的可以去除，但需要注意与数据库相关的setUid和setgid（附：所有对配置文件进行修改的操作，做好的备份和权限管理工作。如cp/etc/inetd.conf/etc/inetd.conf.oldchmod000inetd.conf.old）5AIX5LUserManagement用户/用户组创建用户的具体命令#smittymkgourpOr#smitsecurity创建用户的具体命令：#smittymkuserOr#smitsecurity对于用户组，使用smitgroup对于少量用户的管理，使用smituser对于大量的用户，使用mkuser更改用户属性：smittychuser更改用户组属性：smittychgroup删除用户：smittyrmuser删除用户组：smittyrmgroup口令策略的设置：1.检查AIX系统的用户，口令设置的相关文件有：/etc/passwd用户文件（不含加密的口令）/etc/security/passwd用户的口令文件（类似于/etc/shadow文件,但格式不同）/etc/security/user用户的扩展属性配置文件（锁定，登录，口令策略等）/etc/security/login.cfg登录的配置文件（登录策略等）因此,对口令策略的修改主要是在/etc/security/user文件中进行，有以下三种方式：1） .使用vi直接查看和修改/etc/security/user文件；2） .使用Isuser/chuser命令；3） .通过smit查看和修改口令策略（smitchuser）.Isuseruserl列出用户userl的属性chusermaxage=26userl设置用户userl密码的最长有效期为26周2.加固对用户的以下属性进行配置：maxage=8口令最长有效期为8周minage=0口令最短有效期为0maxexpired=4口令过期后4周内用户可以更改maxrepeats=3口令中某一字符最多只能重复3次minlen=8口令最短为8个字符minalpha=4口令中最少包含4个字母字符minother=1口令中最少包含一个非字母数字字符mindiff=4新口令中最少有4个字符和旧口令不同loginretries=5连续5次登录失败后锁定用户histexpire=26同一口令在26周内不能重复使用histsize=0同一口令与前0个口令不能重复AIX用户配置文件：/etc/passwd用户文件（不含加密的口令）/etc/security/passwd用户的口令文件（类似于/etc/shadow文件,但格式不同）/etc/security/user用户的扩展属性配置文件（锁定，登录，口令策略等）/etc/security/login.cfg登录的配置文件（登录策略等）root的环境变量设置/etc/profile全局的用户登录配置文件，其中可以设置环境变量-/.profile单独用户的登录配置文件，其中可以设置环境变量/etc/environment全局的环境变量设置文件/etc/security/environ可以在其中对单独用户设置环境变量printenv查看当前的环境变量设置chsec-f/etc/security/environ-sroot-aTERM=vt100设置root的TERM环境变量为vt100无用的用户是否删除或禁用检查询问系统管理员.passwd-luserl锁定userl用户#find/-nouser-ls加固建议锁定除了root以外所有的系统用户（默认是无法登录的）.是否允许root远程登录检查AIX系统中没有对root远程登录进行单独的限制，和其他用户一样，对root用户远程登录的限制可以在文件/etc/security/user中指定.该操作可以通过以下三种方式进行：1） .使用vi直接查看及更改/etc/security/user文件；2） .使用lsuser和chuser命令；3） .通过smit查看及更改（smitlsuser,smitchuser）.lsuser-arloginroot查看root的rlogin属性（默认为true,允许远程登录,telnet或rlogin）chuserrlogin=falseroot禁止root远程登录lsuser-attysroot查看root的ttys属性（root用户允许登录的端口）chuserttys=lft0root只允许root从lft0端口登录（本机）加固设置root的用户属性rlogin=false，ttys=lft06系统加固本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。对系统的安全配置审计、加固操作起到指导性作用。1账号管理、认证授权账号AIX-01-01-01编号AIX-01-01-01名称 为不同的管理员分配不同的账号实施目的 根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响 账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态 查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作：为用户创建账号：#mkuserusername#passwdusername列出用户属性：#lsuserusername更改用户属性：#chuserattribute=valueusername回退方案 删除新增加的帐户：#rmuserusername判断依据 标记用户用途，定期建立用户列表，比较是否有非法用户实施风险 高重要等级 ★★★备注AIX-01-01-02编号AIX-01-01-02名称配置帐户锁定策略实施目的 锁定不必要的帐户，提高系统安全。问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险，容易被攻击者利用。系统当前状态 查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作：系统管理员出示业务所需帐户列表，根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定user1用户，则采用的命令如下：#chuseraccount_locked=trueuser1回退方案 如对user1用户解除锁定，则采用的命令如下：#chuseraccount_locked=falseuser1判断依据 系统管理员出示业务所需帐户列表。查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外，其他的帐户建议根据实际情况锁定或删除。实施风险 高重要等级 ★★★备注AIX-01-01-03编号AIX-01-01-03名称限制超级管理员远程登录实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。问题影响如允许root远程直接登陆，则系统将面临潜在的安全风险系统当前状态 执行Isuser-arloginroot命令，查看root的rlogin属性并记录实施步骤参考配置操作：查看root的rlogin属性：#lsuser-arloginroot禁止root远程登陆：#chuserrlogin=falseroot回退方案 还原root可以远程登陆，执行如下命令：#chuserrlogin=trueroot判断依据 执行#lsuser-arloginroot命令，查看root的rlogin属性，root是否可以远程登陆，如显示可以，则禁止。实施风险 高重要等级 ★★★备注AIX-01-01-04编号AIX-01-01-04名称对系统账号进行登录限制实施目的 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用问题影响可能利用系统进程默认账号登陆，账号越权使用系统当前状态 查看/etc/security/passwd中各账号状态并记录实施步骤参考配置操作：系统管理员出示业务所需登陆主机的帐户列表，根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。禁止账号交互式登录：#chuseraccount_locked=trueusername删除账号：#rmuserusername补充操作说明：建议禁止交互登录的系统账号有：daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案还原被禁止登陆的帐户：#chuseraccount_locked=falseusername注：对删除帐户的操作无法回退判断依据系统管理员出示业务所需登陆主机的帐户列表。查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外，其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。实施风险 高重要等级 ★备注AIX-01-01-05编号AIX-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响 系统中的帐户存在被非法利用的风险系统当前状态 查看/etc/passwd中的内容并记录实施步骤参考配置操作：用root用户登陆AIX系统，执行passwd命令，给空口令的帐户增加密码。如采用和执行如下命令：#passwdusernamepassword回退方案 Root身份设置用户口令，取消口令如做了口令策略则失败判断依据 登陆系统判断，查看/etc/passwd中的内容，从而判断系统中是否存在空口令的帐户。如发现存在，则建议为该帐户设置密码。实施风险 高重要等级 ★备注1.2口令AIX-01-02-01编号AIX-01-02-01名称缺省密码长度限制实施目的 防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位。且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。问题影响增加系统的帐户密码被暴力破解的成功率和潜在的风险系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录。实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置密码最短长度为8位：#chuserminlen=8username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态。判断依据 运行lsuseruasename命令，查看帐户属性中密码的最短长度策略是否符合8位。如不符合，则进行设置。实施风险低重要等级 ★★★备注AIX-01-02-02编号AIX-01-02-02名称缺省密码复杂度限制实施目的 防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类问题影响增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险系统当前状态 运行Isuserusername命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置口令中最少包含4个字母字符的数量：#chuserminalpha=4username设置口令中最少包含1个非字母数字字符数量：#chuserminother=1username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据 运行lsuseruasename命令，查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合，则进行设置。实施风险低重要等级 ★★★备注AIX-01-02-03编号AIX-01-02-03名称缺省密码生存周期限制实施目的 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患问题影响容易造成密码被非法利用，并且难以管理系统当前状态 运行lsuserusername命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置口令最长有效期为12周（84天）：#chusermaxage=12username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据 运行lsuseruasename命令，查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天，则进行设置。实施风险低重要等级 ★★★备注AIX-01-02-04编号AIX-01-02-04名称密码重复使用限制实施目的 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令问题影响造成系统帐户密码破解的几率增加以及存在潜在的安全风险系统当前状态 运行Isuserusername命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置同一口令与前面5个口令不能重复：#chuserhistsize=5username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态。判断依据 运行Isuseruasename命令，查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个，则进行设置。实施风险低重要等级 ★备注AIX-01-02-05编号AIX-01-02-05名称密码重试限制实施目的 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。问题影响增加系统帐户密码被暴力破解的风险系统当前状态 运行lsuserusername命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置6次登陆失败后帐户锁定阀值：#chuserloginretries=6username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据 运行lsuseruasename命令，查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次，则进行设置。实施风险中重要等级 ★备注1.3授权AIX-01-03-01编号AIX-01-03-01名称设置关键目录的权限实施目的 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响 增加系统关键目录容易被攻击者非法访问的风险系统当前状态 查看/usr/bin、/sbin、/etc目录，并记录关键目录的权限实施步骤 1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明文件或目录属主属组权限/etc/passwdrootsecurity-rw-r--r--/etc/grouprootsecurity-rw-r--r--/etc/filesystemrootsystem-rw-rw-r--/etc/hostsrootsystem -rw-rw-r--/etc/inittabrootsystem-rw /etc/security/faildloginrootsystem-rw-r--r--回退方案通过chmod命令还原目录权限到加固前状态判断依据AIX系统，/usr/bin、/bin、/sbin目录为可执行文件目录，/etc目录为系统配置目录，包括帐户文件，系统配置，网络配置文件等，这些目录和文件相对重要。确认这些配置文件的权限设置是否安全。实施风险高重要等级★★★备注AIX-01-03-02编号AIX-01-03-02名称修改umask值实施目的控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响增加攻击者非法访问目录的风险系统当前状态 查看/etc/security/user文件的配置，并记录实施步骤1、参考配置操作设置umask为027:#vi/etc/security/user在default小节，设置umask为027回退方案修改/etc/security/user文件到加固前状态判断依据 查看/etc/security/user文件中的default小节是否设置umask为027实施风险高重要等级★备注AIX-01-03-03编号AIX-01-03-03名称FTP用户及服务安全实施目的 设置系统中的帐户是否可以通过ftp登陆操作问题影响 增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问目录的安全风险系统当前状态查看/etc/ftpusers文件，并记录实施步骤参考配置操作：根据系统管理员提供允许ftp登陆操作的系统帐户列表，并与系统中当前的允许ftp登陆操作的用户相比对。设置是否允许系统帐户通过ftp方式登陆：#vi/etc/ftpusers注：默认情况下，该文件不存在。将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中（每行一个用户名）。注：在无特殊需求的情况下，以下列表中的用户名是不允许ftp登陆操作的：root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案修改/etc/ftpusers文件设置到系统加固前状态判断依据根据系统管理员提供的允许ftp登陆操作的系统帐户，查看/etc/ftpusers文件，与其相比对，是否与系统管理员所提供的帐户列表相一致。如果发现与列表中不对应的帐户则建议设置成禁止通过ftp登陆操作。实施风险高重要等级★备注AIX-01-03-04编号AIX-01-03-04名称设置目录权限实施目的设置目录权限，防止非法访问目录。问题影响 增加攻击者非法访问系统目录的安全风险系统当前状态 查看重要文件和目录权限：ls-l并记录。实施步骤1、参考配置操作查看重要文件和目录权限：ls-l更改权限：对于重要目录，建议执行如下类似操作：例如：#chmod-R750/etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本回退方案使用chmod命令还原被修改权限的目录判断依据 查看重要文件和目录权限：ls-l查看重要文件和目录下的文件权限设置是否为750以下实施风险高重要等级★备注AIX-01-03-05编号AIX-01-03-05名称设置ftp目录权限实施目的限制ftp用户登陆后在自己当前目录下活动，防止非法访问目录。问题影响增加系统帐户被利用后越权使用的安全风险系统当前状态查看/etc/vsftpd/vsftpd.conf文件并记录当前的配置实施步骤参考配置操作：限制ftp用户登陆后在自己当前目录下活动：#vi/etc/vsftpd/vsftpd.conflocal_root=锁定目录路径chroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_list#vivsftpd.chroot_listusername(锁定用户名)回退方案 还原/etc/vsftpd/vsftpd.conf文件配置到加固前的状态判断依据 查看/etc/vsftpd/vsftpd.conf文件中的配置，查看是否已设置限制ftp用户登陆后在自己当前目录下活动。如未配置则应按要求设置。实施风险中重要等级★备注日志配置要求AIX-02-01-01编号AIX-02-01-01名称启用日志记录功能实施目的 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。问题影响 无法对用户的登陆进行日志记录，增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件中的配置并记录实施步骤参考配置操作：syslog的配置主要通过/etc/syslog.conf配置，日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(@hostname)。startsrc-ssyslogd启动syslog月艮务stopsrc-ssyslogd停止syslog月艮务回退方案 修改/etc/syslog.conf文件设置到系统加固前状态判断依据查看系统进程中是否存在syslogd守护进程。查看/etc/syslog.conf文件中的配置是否启动syslog服务。如系统中不存在syslogd守护进程或在配置文件中发现syslog服务未启动，则应按要求进行配置。实施风险低重要等级★★★备注AIX-02-01-02编号AIX-02-01-02名称syslog日志等级的安全配置实施目的 syslog提供日常维护日志外，还提供系统登陆，攻击尝试等安全性的日志信息，帮助管理员进行审计和追踪。问题影响 无法对用户的操作进行日志记录，增加潜在的安全风险系统当前状态 查看/etc/syslog.conf文件配置并记录实施步骤参考配置操作：syslog配置文件要求：修改文件安全设置

/etc/syslog.conf.err*.alert*.criauth,/etc/syslog.conf.err*.alert*.criauth,配置文件中包含一下日志记录:/var/adm/errorlog/var/adm/alertlog/var/adm/critlog/var/adm/authlog回退方案 修改/etc/syslog.conf文件配置到系统加固前的状态判断依据 查看/etc/syslog.conf文件中的配置是否符合以上安全设置。如不合符则建议应按要求进行设置。实施风险高重要等级★备注AIX-02-01-05编号AIX-02-01-05名称启用记录su日志功能实施目的记录系统中su操作的日志问题影响无法记录su指令的用户切换操作，增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件配置，并记录实施步骤参考配置操作：设置/etc/syslog.conf文件，并启动su日志记录。注：在AIX系统中，su日志记录默认是开启的。查看/var/adm/sulog，用户使用su命令的日志。可根据需要保留60天中有用的内容，其余删除。文件记录以下信息：日期、时间、系统名称以及登录名。/var/adm/sulog文件也记录登录尝试是否成功：+（加号）表示登录成功，-（减号）表示登录失败。回退方案 修改/etc/syslog.conf文件设置到系统加固前状态判断依据 查看/etc/syslog.conf文件中是否配置了su日志记录查看/var/adm/sulog文件，是否存在su命令使用记录实施风险低重要等级★备注AIX-02-01-06编号AIX-02-01-06名称启用记录cron行为日志功能和cron/at的使用情况实施目的对所有的cron行为以及使用情况进行审计和查看问题影响无法记录和查看cron服务（计划任务），存在潜在安全风险系统当前状态 查看/var/spool/cron/目录下的文件配置，并记录实施步骤参考配置操作：cron/At的相关文件主要有以下几个：/var/spool/cron/crontabs存放cron任务的目录/var/spool/cron/cron.allow允许使用crontab命令的用户/var/spool/cron/cron.deny不允许使用crontab命令的用户/var/spool/cron/atjobs存放at任务的目录/var/spool/cron/at.allow允许使用at的用户/var/spool/cron/at.deny不允许使用at的用户使用crontab和at命令可以分别对cron和at任务进行控制。#crontab-l查看当前的cron任务#at-l查看当前的at任务回退方案 修改/var/spool/cron/目录下的文件设置到系统加固前状态判断依据 查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。实施风险低重要等级★备注通信协议安全配置要求IP协议安全AIX-03-01-01编号AIX-03-01-01名称使用ssh加密传输实施目的 提高远程管理安全性问题影响使用非加密通信，内容易被非法监听，存在潜在安全风险系统当前状态 运行ps-ef|grepssh，查看状态，并记录。实施步骤参考配置操作：如果系统中没有安装SSH，则首先需要正确安装openssh后才能够应用SSH。安装步骤举例说明：在将OpenSSL下载到AIXVersion5.3计算机的本地目录（本示例中为/tmp）之后，可以通过运行下面的命令来安装它：#geninstall-d/tmpR:openssl-0.9.6m可以使用下面两种方法中的任何一种来安装OpenSSH：smitty->SoftwareInstallationandMaintenance->InstallandUpdateSoftware->InstallSoftware或者#geninstall-I"Y"-d/dev/cd0I:openssh.base使用下面的命令启动SSH服务器：#startsrc-gssh使用下面的命令来确认已正确地启动了SSH服务器：#ps-ef|grepssh回退方案卸载SSH、或者停止SSH服务判断依据运行ps-ef|grepssh，查看系统进程中是否存在SSH进程，如不存在，则建议应按照要求安装和配置好SSH服务。实施风险高重要等级★备注AIX-03-01-02编号AIX-03-01-02名称限制管理员登陆IP实施目的 对于通过IP协议进行远程维护的设备，设备应对允许登陆到该设备的IP地址范围进行设定。提高远程维护安全性。问题影响 没有访问控制，系统可能被非法登陆或使用，从而存在潜在的安全风险。系统当前状态 查看/etc/hosts.equiv文件配置并记录实施步骤参考配置操作：建议采用如下安全配置操作：修改文件安全设置操作说明/etc/hosts.equiv（全局配置文件）~/.rhosts（单独用户的配置文件） 限定信任的主机、账号不能有单行的"+'或”++”的配置信息 编辑/etc/host.equiv文件或者〜/.rhosts文件，只增加必须的帐户和主机，删除不必要的信任主机设置。更改/etc/hosts.equiv文件的属性，只允许root可读写。回退方案修改/etc/hosts.equiv文件的配置到加固之前的状态判断依据 查看/etc/hosts.equiv文件的配置是否按照以上要求进行了设置，如未设置则建议应按照要求进行设置。实施风险高重要等级 ★备注路由协议安全AIX-03-02-01编号AIX-03-02-01名称禁止ICMP重定向和关闭数据包转发实施目的 禁止系统发送ICMP重定向包，关闭数据包转发，提高系统、网络的安全性问题影响主机可能存在会被非法改变路由的安全风险系统当前状态 AIX系统网络参数可以通过no命令进行配置，执行no-a，显示所有网络参数并记录实施步骤参考配置操作：建议采用如下设置进行安全配置：AIX系统网络参数可以通过no命令进行配置，比较重要的网络参数有：icmpaddressmask=0忽略ICMP地址掩码请求ipforwarding=0不进行IP包转发ipignoreredirects=1忽略ICMP重定向包ipsendredirects=0不发送ICMP重定向包ipsrcrouteforward=0不转发源路由包ipsrcrouterecv=0不接收源路由包ipsrcroutesend=0不发送源路由包no-a显示当前配置的网络参数

no-oicmpaddressmask=0忽略ICMP地址掩码请求配置方式：no-oipignoreredirects=1no-oipsendredirects=0no-oipsrcrouteforward=0no-oipsrcroutesend=0no-oclean_partial_conns=1no-odirected_broadcast=0以及：策略默认设置安全设置忽略ICMP重定向包ipignoreredirects=0 ipignoreredirects=1不转发源路由包不发送源路由包防御SYN-FLOOD防御不转发源路由包不发送源路由包防御SYN-FLOOD防御SMURF攻击ipsrcrouteforward=1ipsrcrouteforward=0ipsrcroutesend=1ipsrcroutesend=0clean_partial_conns=0clean_partial_conns=1directedbroadcast=1directedbroadcast=0在/etc/文件重添加以下命令：/usr/sbin/no-oicmpaddressmask=0/usr/sbin/no-oipforwarding=0/usr/sbin/no-oipignoreredirects=1/usr/sbin/no-oipsendredirects=0/usr/sbin/no-oipsrcrouteforward=0/usr/sbin/no-oipsrcrouterecv=0/usr/sbin/no-oipsrcroutesend=0回退方案删除在/etc/文件中添加的命令，并使用命令恢复到加固之前的状态判断依据执行no-a命令或查看/etc/文件中是否按照以上命令进行了安全配置，如未设置，则建议应按照要求进行安全配置。实施风险高重要等级★备注补丁管理AIX-04-01-01AIX-04-01-014.1.1AIX-04-01-01AIX-04-01-01编号名称系统补丁安装标准实施目的 应根据需要及时进行补丁装载。注意：补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。问题影响系统存在严重的安全漏洞，存在被攻击者利用的安全风险系统当前状态 执行oslevel-r命令或instfix-i|grepML命令，查看补丁当前安装的状况和版本实施步骤参考配置操作：使用instfix-aik命令来完成补丁的安装操作。注意：1、 在AIX系统中涉及安全的补丁包有以下几种：推荐维护包(RecommendedMaintenancePackages):由一系列最新的文件集组成的软件包，包含了特定的操作系统(如AIX5.2)发布以来的所有文件集的补丁。关键补丁Criticalfixes(cfix)：自推荐维护包之后，修补关键性漏洞的补丁。紧急补丁Emergencyfixes(efix):自推荐维护包之后，修补紧急安全漏洞的补丁。2、 补丁安装原则：在新装和重新安装系统后，必须安装最新的推荐维护包，以及该最新推荐维护包以来的所有单独的cfix和efix。日常维护中如果厂家推出新的RM、cfix、efix则按照原补丁维护管理规定进行补丁安装。回退方案 根据在加固前执行的oslevel-r命令或instfix-i|grepML命令，查看补丁当前安装的状况和版本的记录，删除或卸载相应的补丁恢复成加固前的状态。判断依据执行oslevel-r命令或instfix-i|grepML命令，查看补丁当前安装的状况和版本是否与IBM最新发布的官方补丁相一致。如不一致，则应根据实际情况和业务需要进行补丁的安装操作。实施风险高重要等级★★备注服务进程和启动AIX-05-01-01编号AIX-05-01-01名称 关闭无效服务和启动项实施目的 关闭无效的服务和启动项，提高系统性能，增加系统安全性问题影响 不用的服务和启动项可能会带来很多安全隐患，容易被攻击者利用，从而存在潜在的安全风险系统当前状态 查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置；查看/etc/inetd.conf文件并记录当前的配置实施步骤参考配置操作：系统管理员提供与业务和应用系统相关的服务和启动项列表。一、rc.dAIX系统中的服务主要在/etc/inittab文件和/etc/rc.*(包括rc.tcpip，rc.nfs)等文件中启动，事实上，/etc/rc.*系列文件主要也是由/etc/inittab启动。同时，AIX中所有启动的服务(至少与业务相关的)都可以同过SRC(SystemResourceManager)进行管理。可以有三种方式查看系统服务的启动情况：1、 使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件；2、 使用lssrc和lsitab命令；3、 通过smit查看和更改。注：SRC本身通过/etc/inittab文件启动。lssrc-a列出所有SRC管理的服务的状态lsitab-a列出所有由/etc/inittab启动的信息，和cat/etc/inittab基本相同，除了没有注释。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。二、inetd.conf由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC启动），因此查看INETD启动的服务的情况有两种方法：1、 使用vi查看/etc/inetd.conf中没有注释的行；2、 使用lssrc命令。lssrc-l-sinetd查看inetd的状态以及由INETD启动的服务的状态；refresh-sinetd更改/etc/inetd.conf文件后重启inetd。建议关闭由inetd启动的所有服务；如果有管理上的需要，可以打开telnetd、ftpd、rlogind、rshd等服务。启动或停止inetd启动的服务（例如ftpd）:1、 使用vi编辑/etc/inetd.conf，去掉注释（启动）或注释掉（停止）ftpd所在的行；2、 重启inetd：refresh-sinetd。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。回退方案 还原/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置到加固前的状态还原/etc/inetd.conf文件的配置到加固前的状态判断依据根据系统管理员提供的业务应用相关的服务与启动项列表，查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置是否按照要求进行了安全配置。查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。如发现以上两个文件中的配置不符合要求，则建议应按照以上要求的操作对系统进行加固，关闭无效服务和启动项。实施风险高重要等级★备注AIX-05-01-02编号AIX-05-01-02名称系统网络与服务安全配置标准实施目的 关闭无效的服务和启动项，提高系统性能，增加系统安全性问题影响 不用的服务和启动项可能会带来很多安全隐患，容易被攻击者利用，从而存在潜在的安全风险系统当前状态查看/etc/inittab文件并记录当前配置；查看/etc/rc.*（包括rc.tcpip，rc.nfs等文件）文件并记录当前配置；查看/etc/inetd.conf文件并记录当前的配置。实施步骤参考配置操作：系统管理员提供与业务和应用系统相关的服务和启动项列表。AIX系统中涉及服务的配置和启动信息的，主要在以下几个文件：/etc/inittab文件/etc/rc.*（包括rc.tcpip，rc.nfs等文件）。由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC启动）。本部分的安全基线主要通过修改这些文件中的内容进行配置。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。建议按照下表进行安全配置：操作的文件 要求禁用的服务 设置方式 操作说明/etc/inittabpiobe 注释掉该行（在该服务所在行加上冒