AIX操作系统安全配置基线检查指导文件

AIX操作系统安全配置基线

目录第1章 概述 11.1 目的 11.2 适用范围 11.3 适用版本 11.4 安全基线说明 1第2章 帐号管理认证授权 22.1 帐号 22.1.1用户帐号设置 22.1.2用户组设置 22.1.3Root用户远程登录限制 32.1.4系统用户登录限制 42.1.5帐号用户共享限制 52.1.6删除系统无关帐号 62.1.7限制具备超级管理员权限的用户远程登录 72.1.8多帐户组管理 92.1.9系统帐号登陆限制 112.2 口令 122.2.1口令生存期安全要求 122.2.2口令历史安全要求 132.2.3用户口令锁定策略 142.2.4用户访问权限安全要求 142.2.5用户FTP访问的安全要求 152.2.6用户口令强度要求 16第3章 网络与服务 183.1 服务 183.1.1远程维护安全要求 183.2 IP协议安全要求 193.2.1ICMP重定向安全要求 193.2.2系统开放的端口及服务安全要求 203.2.3远程管理地址安全要求 22第4章 日志审计 244.1 日志 244.1.1添加认证日志 244.2 审计 254.2.1安全事件审计 254.2.2重点日志保存要求 26第5章 设备其他安全配置要求 275.1 设备 275.1.1屏幕保护 275.1.2屏幕锁定 285.2 缓冲区 295.2.1缓冲区溢出 295.3 文件系统 305.3.1重要文件及目录安全 305.4 服务 315.4.1系统服务列表控制 315.4.2系统时间同步 335.5 补丁管理 345.5.1补丁安装 34 AIX操作系统安全配置基线第36页共36页概述目的本文档旨在指导系统管理人员或安全检查人员进行AIX操作系统的安全合规性检查和配置。适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：AIX服务器系统。适用版本AIX系列服务器。安全基线说明本安全基线标准主要包含账户管理、口令要求、服务安全、IP协议安全要求、日志配置、审计安全、设备管理、缓冲区安全、文件系统安全和补丁管理等几个方面，基线内容包括29项安全基线。帐号管理认证授权帐号2.1.1用户帐号设置安全基线项目名称操作系统AIX用户帐户安全基线要求项安全基线编号AIX-01安全基线项说明设置需要锁定的用户帐号。检测操作步骤版本：AIX5.31、执行：lsuser–ahomeALL2、执行：ls–l/etc/passwd基线符合性判定依据需要锁定的用户，如：deamon,bin,sys,adm,printq,guest,nobody,lpd,加固标准登录root帐户#passwd–lusername锁定用户。等级保护基本要求主机安全：1）身份鉴别（S3），b）应对登录操作系统和数据库系统的用户进行身份标识和鉴别；主机安全：2）访问控制（S3），d）应禁用或严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。现状检查结果□符合□不符合整改结果备注2.1.2用户组设置安全基线项目名称操作系统AIX用户组安全基线要求项安全基线编号AIX-02安全基线项说明用户组设置。检测操作步骤版本：AIX5.31、执行：more/etc/group2、执行：ls-l/etc/group基线符合性判定依据不要存在无用的用户组，如：printq等级保护基本要求主机安全：1）身份鉴别（S3），a）应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；主机安全：2）访问控制（S3），d）应禁用或严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。主机安全：2）访问控制（S3），e)应及时删除多余的、过期的帐户，避免共享帐户的存在；现状检查结果□符合□不符合整改结果备注手工判断，基于业务判断无用的用户组2.1.3Root用户远程登录限制安全基线项目名称操作系统AIX远程登录安全基线要求项安全基线编号AIX-03安全基线项说明Root用户远程登录限制。检测操作步骤版本：AIX5.31、执行：more/etc/security/user，检查在root项目中是否有下列行:rlogin=falselogin=truesu=truesugroup=system基线符合性判定依据禁止root用户直接登录系统加固标准#vi/etc/security/user//编辑/etc/security/user文件点击键盘“i”键，进入“INSERT”模式；找到rlogin、login、su、sugroup的参数，修改参数配置。修改完成后点击“esc”键退出“INSERT”模式；点击键盘按键组合“shift+：”输入wq保存并退出。等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。现状检查结果□符合□不符合整改结果备注2.1.4系统用户登录限制安全基线项目名称操作系统AIX用户登录安全基线要求项安全基线编号AIX-04安全基线项说明系统用户登录限制。检测操作步骤版本：AIX5.31、执行：more/etc/security/user，检查在daemonbinsysadmuucpnuucpprintqguestnobodylpdsshd项目中是否有下列行:rlogin=falselogin=false基线符合性判定依据系统帐号仅被守护进程和服务使用，不应直接由用户登录系统。如果系统没有应用这些守护进程或服务，建议删除这些帐号。加固标准#vi/etc/security/user//编辑/etc/security/user文件点击键盘“i”键，进入“INSERT”模式；找到rlogin、login的参数，修改参数配置。修改完成后点击“esc”键退出“INSERT”模式；点击键盘按键组合“shift+：”输入wq保存并退出。等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。主机安全：7）资源控制（A3），a)应通过设定终端接入方式、网络地址范围等条件限制终端登录；现状检查结果□符合□不符合整改结果备注手工判断，基于业务判断相关帐号2.1.5帐号用户共享限制安全基线项目名称操作系统AIX帐号用户共享限制安全基线要求项安全基线编号AIX-05安全基线项说明应按照不同的用户分配不同的帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。检测操作步骤版本：AIX5.3参考配置操作为用户创建帐号：#useraddusername#创建帐号#passwdusername#设置密码修改权限：#chmod750directory#其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的帐号，设置不同的口令及权限信息等。基线符合性判定依据1.判定条件能够登录成功并且可以进行常用操作；2.检测操作使用不同的帐号进行登录并进行一些常用操作；等级保护基本要求主机安全：1）身份鉴别（S3），a)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；主机安全：2）访问控制（S3），e）应及时删除多余的、过期的帐户，避免共享帐户的存在。现状检查结果□符合□不符合整改结果备注手工判断，基于业务判断2.1.6删除系统无关帐号安全基线项目名称操作系统AIX系统无关帐号安全基线要求项安全基线编号AIX-06安全基线项说明应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤版本：AIX5.31.参考配置操作删除用户：#rmuser–pusername;锁定用户：1)修改/etc/shadow文件，用户名后加LK2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2.补充操作说明需要锁定的用户：deamon,bin,sys,adm,printq,guest,nobody,lpd系统内存在不可删除的内置帐号，包括root,bin等。基线符合性判定依据1.判定条件被删除或锁定的帐号无法登录成功；2.检测操作使用删除或锁定的与工作无关的帐号登录系统；3.补充说明需要锁定的用户：deamon,bin,sys,adm,printq,guest,nobody,lpd等级保护基本要求主机安全：1）身份鉴别（S3），a)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；主机安全：2）访问控制（S3），e）应及时删除多余的、过期的帐户，避免共享帐户的存在。现状检查结果□符合□不符合整改结果备注手工判断，基于业务判断系统无关帐号2.1.7限制具备超级管理员权限的用户远程登录安全基线项目名称操作系统AIX用户远程管理安全基线要求项安全基线编号AIX-07安全基线项说明限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限帐号后执行相应操作。检测操作步骤版本：AIX5.31.参考配置操作编辑/etc/security/user，加上：在root项上输入false作为rlogin的值此项只能限制root用户远程用ssh登录，修改此项不会看到效果的2.补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。加固标准#vi/etc/security/user//编辑etc/security/user文件点击键盘“i”键，进入“INSERT”模式；找到rlogin的参数配置，将参数配置修改为false，即rlogin=false；Vi/etc/ssh/sshd_config文件,找到PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。基线符合性判定依据1.判定条件root远程登录不成功，提示“Notonsystemconsole”；普通用户可以登录成功，而且可以切换到root用户；2.检测操作root从远程使用ssh登录；普通用户从远程使用ssh登录；3.补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。等级保护基本要求主机安全：1）身份鉴别（S3），e)主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别，当通过互联网对服务器进行远程管理时，应采取加密措施，防止鉴别信息在网络传输过程中被窃听；主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问；主机安全：7）资源控制（A3），a)应通过设定终端接入方式、网络地址范围等条件限制终端登录。现状检查结果□符合□不符合整改结果备注2.1.8多帐户组管理安全基线项目名称操作系统AIX多帐户组安全基线要求项安全基线编号AIX-08安全基线项说明根据系统要求及用户的业务需求，建立多帐户组，将用户帐号分配到相应的帐户组。检测操作步骤版本：AIX5.31.参考配置操作创建帐户组：#groupadd–gGIDgroupname#创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod–ggroupusername#将用户username分配到group组中。查询被分配到的组的GID：#idusername可以根据实际需求使用如上命令进行设置。2.补充操作说明可以使用-g选项设定新组的GID。0到499之间的值留给root、bin、mail这样的系统帐号，因此最好指定该值大于499。如果新组名或者GID已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrpsys即把当前用户以sys组身份运行；基线符合性判定依据1.判定条件可以查看到用户帐号分配到相应的帐户组中；或都通过命令检查帐号是否属于应有的组：#idusername2.检测操作查看组文件：cat/etc/group3.补充说明文件中的格式说明：group_name::GID:user_list等级保护基本要求主机安全：1）身份鉴别（S3），b)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；主机安全：2）访问控制（S3），d）应禁用或严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。现状检查结果□符合□不符合整改结果备注手工判断，基于业务判断2.1.9系统帐号登陆限制安全基线项目名称操作系统AIX系统帐号登陆安全基线要求项安全基线编号AIX-09安全基线项说明对系统帐号进行登录限制，确保系统帐号仅被守护进程和服务使用，不应直接由该帐号登录系统。如果系统没有应用这些守护进程或服务，应删除这些帐号。检测操作步骤版本：AIX5.31.参考配置操作禁止帐号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除帐号：#rmuser-pusername;2.补充操作说明禁止交互登录的系统帐号，比如uucpnuucplpdguestprintq等基线符合性判定依据1.判定条件被禁止帐号交互式登录的帐户远程登录不成功；2.检测操作用root登录后，新建一帐号，密码不设，从远程用此帐户登录，登录会显示loginincorrect，如果root用户没设密码没有任何提示信息直接退出；等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。现状检查结果□符合□不符合整改结果备注手工判断，基于业务判断口令2.2.1口令生存期安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号AIX-10安全基线项说明对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天（13周）。检测操作步骤版本：AIX5.3执行：more/etc/security/user，检查histexpire基线符合性判定依据Histexpire小于等于13加固标准#vi/etc/security/user//编辑etc/security/user文件点击键盘“i”键，进入“INSERT”模式；找到histexpire的参数配置，将参数牌婀至修改为13，即histexpire=13；修改完成后点击“esc”键退出“INSERT”模式；点击键盘按键组合“shift+：”输入wq保存并退出。等级保护基本要求主机安全：1）身份鉴别（S3），c)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，系统的静态口令应在7位以上并由字母、数字、符号等混合组成并每三个月更换口令；现状检查结果□符合□不符合整改结果备注2.2.2口令历史安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号AIX-11安全基线项说明对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次内已使用的口令。检测操作步骤版本：AIX5.3执行：more/etc/security/user，检查histsize基线符合性判定依据Histsize大于等于5加固标准#vi/etc/security/user//编辑etc/security/user文件点击键盘“i”键，进入“INSERT”模式；找到histsize参数配置，将参数配置修改为5，即histsize=5；修改完成后点击“esc”键退出“INSERT”模式；点击键盘按键组合“shift+：”输入wq保存并退出。如图：等级保护基本要求6．2.1.3主机安全：1）身份鉴别（S3），c)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，系统的静态口令应在7位以上并由字母、数字、符号等混合组成并每三个月更换口令；现状检查结果□符合□不符合整改结果备注2.2.3用户口令锁定策略安全基线项目名称操作系统AIX口令锁定安全基线要求项安全基线编号AIX-12安全基线项说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的帐号。检测操作步骤版本：AIX5.3执行：more/etc/security/user，检查loginretries基线符合性判定依据loginretries=10加固标准#vi/etc/security/user//编辑etc/security/user文件点击键盘“i”键，进入“INSERT”模式；找到检查loginretries，将参数修改进行修改，即loginretries=10；修改完成后点击“esc”键退出“INSERT”模式；点击键盘按键组合“shift+：”输入wq保存并退出。等级保护基本要求主机安全：1）身份鉴别（S3），d)应启用登录失败处理功能，可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施；现状检查结果□符合□不符合整改结果备注2.2.4用户访问权限安全要求安全基线项目名称操作系统AIX用户访问权限安全基线要求项安全基线编号AIX-13安全基线项说明控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤版本：AIX5.3执行：more/etc/default/login，检查umask基线符合性判定依据umask027加固标准Vi/etc/default/login编辑/etc/default/login文件点击键盘“i”键，进入“INSERT”模式；找到umask参数配置，将参数配置进行修改，即umask027；修改完成后点击“esc”键退出“INSERT”模式；点击键盘按键组合“shift+：”输入wq保存并退出。等级保护基本要求主机安全：1）访问控制（S3），b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；现状检查结果□符合□不符合整改结果备注2.2.5用户FTP访问的安全要求安全基线项目名称操作系统AIX用户FTP访问安全基线要求项安全基线编号AIX-14安全基线项说明控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。检测操作步骤版本：AIX5.3执行：more/etc/ftpaccess，检查restricted-uid执行：more/etc/ftpusers基线符合性判定依据ftpaccess中应有类似一行restricted-uid(限制所有)；ftpusers列表里边的用户名应包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4等级保护基本要求6．2.1.3主机安全：2）访问控制（S3），b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。现状检查结果□符合□不符合整改结果备注手工检查，根据实际情况进行分析判断。2.2.6用户口令强度要求安全基线项目名称操作系统AIX用户口令安全基线要求项安全基线编号AIX-15安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤版本：AIX5.3参考配置操作chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsec–f/etc/security/user–sdefault-apwdwarntime=5minlen=8#密码长度最少8位minalpha=1#包含的字母最少1个mindiff=1#包含的唯一字符最少1个minother=1#包含的非字母最少1个pwdwarntime=5#系统在密码过期前5天发出修改密码的警告信息给用户基线符合性判定依据1.判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2.检测操作1、检查口令强度配置选项是否可以进行如下配置：配置口令的最小长度；将口令配置为强口令。2、创建一个普通帐号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。加固标准#vi/etc/security/user//编辑etc/security/user文件点击键盘“i”键，进入“INSERT”模式；找到检查项，将参数修改进行修改，即：pwdwarntime=5、minlen=8、minalpha=1、mindiff=1、minother=1pwdwarntime=5，修改完成后点击“esc”键退出“INSERT”模式；点击键盘按键组合“shift+：”输入wq保存并退出。点击键盘按键组合“shift+：”输入wq保存并退出。等级保护基本要求主机安全：1）身份鉴别（S3），c)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，系统的静态口令应在7位以上并由字母、数字、符号等混合组成并每三个月更换口令。现状检查结果□符合□不符合整改结果备注网络与服务服务3.1.1远程维护安全要求安全基线项目名称操作系统AIX远程维护安全基线要求项安全基线编号AIX-16安全基线项说明对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。检测操作步骤版本：AIX5.31.判定条件#ps–elf|grepssh是否有ssh进程存在2.检测操作查看SSH服务状态：#ps–elf|grepssh查看telnet服务状态：#ps–elf|greptelnet基线符合性判定依据建议启用ssh，禁用telnet加固建议在AIX系统中，OpenSSH为远程管理高安全性工具，可保护管理过程中传输数据的安全，AIX6.0以下的版本默认不自动安全OpenSSH,需要通过手动安装。在AIX4.3.3系统里，OpenSSH是用RPM格式的安装包来安装的，而在5.1和5.2的系统里使用installp格式的安装包来安装的。等级保护基本要求主机安全：1）身份鉴别（S3），e)主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别，当通过互联网对服务器进行远程管理时，应采取加密措施，防止鉴别信息在网络传输过程中被窃听；主机安全：2)访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问；主机安全：7）资源控制（A3），a)应通过设定终端接入方式、网络地址范围等条件限制终端登录。现状检查结果□符合□不符合整改结果备注IP协议安全要求3.2.1ICMP重定向安全要求安全基线项目名称操作系统AIXICMP重定向安全基线要求项安全基线编号AIX-17安全基线项说明主机系统应该禁止ICMP重定向，采用静态路由。检测操作步骤版本：AIX5.3使用命令“vi/etc/”修改配置文件，添加以下内容：ipignoreredirects=1 忽略ICMP重定向包ipignoreredirects=1 不发送ICMP重定向包基线符合性判定依据使用命令“no–a”查看当前网络参数ipignoreredirects=1 忽略ICMP重定向包ipsendredirects=0 不发送ICMP重定向包加固标准vi/etc///编辑/etc/文件点击键盘“i”键，进入“INSERT”模式；添加ipignoreredirects=1、ipignoreredirects=1，添加完成后点击“esc”键退出“INSERT”模式；点击键盘按键组合“shift+：”输入wq保存并退出。等级保护基本要求主机安全：1）身份鉴别（S3），e)主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别，当通过互联网对服务器进行远程管理时，应采取加密措施，防止鉴别信息在网络传输过程中被窃听；主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问；主机安全：7）资源控制（A3），a)应通过设定终端接入方式、网络地址范围等条件限制终端登录。现状检查结果□符合□不符合整改结果备注3.2.2系统开放的端口及服务安全要求安全基线项目名称操作系统AIX系统开放端口及服务安全基线要求项安全基线编号AIX-18安全基线项说明设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。检测操作步骤版本：AIX5.31.参考配置操作开放的服务列表命令:#cat/etc/inetd.conf开放的端口列表命令:#netstat-an服务端口和进程对应表：命令：cat/etc/services2.补充操作说明ftp-data20/tcpftp21/tcpssh22/tcptelnet23/tcpsmtp25/tcppop2109/tcppop3110/tcpimap143/tcpldap389/udptftp69/udprje77/tcpfinger79/tcplink87/tcpsupdup95/tcpiso-tsap102/tcpx400103/tcpx400-snd104/tcpntp123/tcplogin513/tcpshell514/tcpsyslog514/udp基线符合性判定依据1.判定条件能够列出端口和服务对应表。2.检测操作开放的服务列表命令:#cat/etc/inetd.conf开放的端口列表命令:#netstat-an服务端口和进程对应表：命令：cat/etc/services等级保护基本要求主机安全：1）身份鉴别（S3），e)主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别，当通过互联网对服务器进行远程管理时，应采取加密措施，防止鉴别信息在网络传输过程中被窃听；主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问；主机安全：7）资源控制（A3），a)应通过设定终端接入方式、网络地址范围等条件限制终端登录。现状检查结果□符合□不符合整改结果备注需要人工判断开放的端口和服务，可能影响业务3.2.3远程管理地址安全要求安全基线项目名称操作系统AIX远程管理地址安全基线要求项安全基线编号AIX-19安全基线项说明对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定。检测操作步骤版本：AIX5.31.参考配置操作编辑/etc/hosts.allow和/etc/hosts.deny两个文件vi/etc/hosts.allow增加一行<service>:允许访问的IP；举例如下：all:4:allow#允许单个IP；ssh:192.168.1.:allow#允许192.168.1的整个网段vi/etc/hosts.deny增加一行all:all重启进程：#refresh-sinetd2.补充操作说明更改/etc/inetd.conf文件后，刷新inetd的命令是：

#refresh-sinetd基线符合性判定依据1.判定条件被允许的服务和IP范围可以登录到该设备，其它的都被拒绝。2.检测操作查看/etc/hosts.allow和/etc/hosts.deny两个文件cat/etc/hosts.allowcat/etc/hosts.deny等级保护基本要求主机安全：1）身份鉴别（S3），e)主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别，当通过互联网对服务器进行远程管理时，应采取加密措施，防止鉴别信息在网络传输过程中被窃听；主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问；主机安全：7）资源控制（A3），a)应通过设定终端接入方式、网络地址范围等条件限制终端登录。现状检查结果□符合□不符合整改结果备注手工判断日志审计日志4.1.1添加认证日志安全基线项目名称操作系统AIX认证日志安全基线要求项安全基线编号AIX-20安全基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址检测操作步骤版本：AIX5.31.执行：cat/etc/syslog.conf，检查类似配置：/var/adm/;auth.none/var/adm/syslog\n"2.检测操作cat/var/adm/authlogcat/var/adm/syslog基线符合性判定依据列出用户帐号、登录是否成功、登录时间、远程登录时的IP地址。等级保护基本要求主机安全：3）安全审计（G3），a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；主机安全：3）安全审计（G3），b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件；主机安全：3）安全审计（G3），c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等，并定期备份审计记录，涉及敏感数据的记录保存时间不少于半年；主机安全：3）安全审计（G3），d)应能够根据记录数据进行分析，并生成审计报表；主机安全：3）安全审计（G3），e)应保护审计进程，避免受到未预期的中断；主机安全：3）安全审计（G3），f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。现状检查结果□符合□不符合整改结果备注手工检查审计4.2.1安全事件审计安全基线项目名称操作系统AIX安全事件审计安全基线要求项安全基线编号AIX-21安全基线项说明设备应配置日志功能，记录对与设备相关的安全事件。检测操作步骤版本：AIX5.3执行：cat/etc/syslog.conf，检查类似配置：.err;kern.debug;daemon.notice;/var/adm/messages基线符合性判定依据要求有上述类似配置。等级保护基本要求主机安全：3）安全审计（G3），a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；主机安全：3）安全审计（G3），b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件；现状检查结果□符合□不符合整改结果备注手工检查4.2.2重点日志保存要求安全基线项目名称操作系统AIX日志服务器安全基线要求项安全基线编号AIX-22安全基线项说明设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检测操作步骤版本：AIX5.31.参考配置操作修改配置文件vi/etc/syslog.conf，加上这几行：\t\t@loghost

.info;auth.none\t\t@loghost

.emerg\t\t@loghost

local7.\t\t@loghost可以将此处loghost替换为实际的IP或域名。重新启动syslog服务，依次执行下列命令：stopsrc-ssyslogd

startsrc-ssyslogd2.补充操作说明注意：

.和@之间为一个Tab基线符合性判定依据1.判定条件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2.检测操作查看日志服务器上的所收到的日志文件。等级保护基本要求主机安全：3）安全审计（G3），f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。现状检查结果□符合□不符合整改结果备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。设备其他安全配置要求设备5.1.1屏幕保护安全基线项目名称操作系统AIX屏幕保护安全基线要求项安全基线编号AIX-23安全基线项说明对于具备字符交互界面的设备，应配置定时帐户300秒自动登出。检测操作步骤版本：AIX5.3查看：cat/etc/profile|grepTMOUTcat/etc/environment|grepTMOUTcat/etc/security/.profile|grepTMOUT基线符合性判定依据如果没显示则不符合配置要求。加固标准分别编辑Vi/etc/profile、/etc/environment、/etc/security/.profile按“i”键进入编辑模式，修改或添加tmout值，按esc键，退出编辑模式，按“shift+：”输入wq保存退出。等级保护基本要求主机安全：1）身份鉴别（S3），d)应启用登录失败处理功能，可采取结束会话、限制登录间隔、限制非法登录次数和自动退出等措施；主机：资源控制（A3），b）应根据安全策略设置登录终端的操作超时锁定。现状检查结果□符合□不符合整改结果备注5.1.2屏幕锁定安全基线项目名称操作系统AIX屏幕锁定安全基线要求项安全基线编号AIX-24安全基线项说明对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。检测操作步骤版本：AIX5.31、参考配置操作forfilein/usr/dt/config//sys.resources;do

dir=`dirname$file|sed-es/usr/etc/`

mkdir-p$dir

echo'dtsessionsaverTimeout:10'>>$dir/sys.resources

echo'dtsessionlockTimeout:10'>>$dir/sys.resources

done在配置文件yss.resources增加了两行，为10分钟无鼠标和键盘动作后自动锁屏。2、补充操作说明

操作系统默认是30分钟无键盘和鼠标动作锁屏，现在更改为10分钟基线符合性判定依据1、判定条件登录后，在设定时间内不进行任何操作，检查屏幕被锁定即为符合。2、检测操作查看/usr/dt/config//sys.resources文件是否有相应选项，命令#cat/usr/dt/config//sys.resources|grepTimeout3、补充说明注：其中的表示所有目录等级保护基本要求主机安全：7）资源控制（A3），b）应根据安全策略设置登录终端的操作超时锁定。现状检查结果□符合□不符合整改结果备注手工检查缓冲区5.2.1缓冲区溢出安全基线项目名称操作系统AIX缓冲区溢出安全基线要求项安全基线编号AIX-25安全基线项说明防止堆栈缓冲溢出。检测操作步骤版本：AIX5.31.查看：cat/etc/security/limits2.查看/etc/profile文件：基线符合性判定依据cat/etc/security/limits有如下两行：core0core_hard=0/etc/profile文件有：ulimit–c0加固标准分别编辑vi/etc/security/limits、/etc/profile文件修改或添加core0、core_hard=0、ulimit–c0，修改完成后，按esc键退出编辑模式，再按“shift+：”输入wq保存退出。等级保护基本要求主机安全：入侵防范（G3），c）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。现状检查结果□符合□不符合整改结果备注文件系统5.3.1重要文件及目录安全安全基线项目名称操作系统AIX重要文件及目录安全基线要求项安全基线编号AIX-26安全基线项说明涉及帐号、帐号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改。检测操作步骤版本：AIX5.3参考配置操作查看重要文件和目录权限：ls–l更改权限：对于重要目录，建议执行如下类似操作：#chmod-R750/etc/init.d/文件权限设置这样只有root可以读、写和执行这个目录下的脚本。基线符合性判定依据1.判定条件用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作不能够成功即为符合。2.检测操作查看重要文件和目录权限：ls–l用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作等级保护基本要求主机安全：2）访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。主机安全：2）访问控制（S3），f）宜对重要信息资源设置敏感标记。主机安全：2）访问控制（S3），g）宜依据安全策略严格控制用户对有敏感标记重要信息资源的操作。现状检查结果□符合□不符合整改结果备注重要目录默认为etc/init.d/服务5.4.1系统服务列表控制安全基线项目名称操作系统AIX系统服务列表安全基线要求项安全基线编号AIX-27安全基线项说明列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检测操作步骤版本：AIX5.31.参考配置操作查看所有开启的服务：#ps–e-f手动方式操作在inetd.conf中关闭不用的服务首先备份配置文件/etc/inet/inetd.conf。#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.backup然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务,即可。重新启用该服务，使用命令：refresh–sinetd2.补充操作说明

在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。Tcp服务如下：ftptelnetshellkshelll