aix主机操作系统加固规范pdf.docx
《aix主机操作系统加固规范pdf.docx》由会员分享,可在线阅读,更多相关《aix主机操作系统加固规范pdf.docx(23页珍藏版)》请在冰豆网上搜索。
aix主机操作系统加固规范pdf
为“圈内人士”做点贡献!
自己写了一个比较全的AIX系统安全加固手册
本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共27项。
对系统的安全配置审计、加固操作起到指导性作用。
1 账号管理、认证授权
1.1 账号
1.1.1 AIX-01-01-01
编号 AIX-01-01-01
名称 为不同的管理员分配不同的账号
实施目的 根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响 账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
为用户创建账号:
#mkuserusername
#passwdusername
列出用户属性:
#lsuserusername
更改用户属性:
#chuserattribute=valueusername
回退方案 删除新增加的帐户:
#rmuserusername
判断依据 标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险 高
重要等级 ★★★
备注
1.1.2 AIX-01-01-02
编号 AIX-01-01-02
名称 配置帐户锁定策略
实施目的 锁定不必要的帐户,提高系统安全。
问题影响 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。
结合实际情况锁定或删除其余帐户。
如要锁定user1用户,则采用的命令如下:
#chuseraccount_locked=trueuser1
回退方案 如对user1用户解除锁定,则采用的命令如下:
#chuseraccount_locked=falseuser1
判断依据 系统管理员出示业务所需帐户列表。
查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。
除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。
实施风险 高
重要等级 ★★★
备注
1.1.3 AIX-01-01-03
编号 AIX-01-01-03
名称 限制超级管理员远程登录
实施目的 限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。
问题影响 如允许root远程直接登陆,则系统将面临潜在的安全风险
系统当前状态 执行lsuser-arloginroot命令,查看root的rlogin属性并记录
实施步骤 参考配置操作:
查看root的rlogin属性:
#lsuser-arloginroot
禁止root远程登陆:
#chuserrlogin=falseroot
回退方案 还原root可以远程登陆,执行如下命令:
#chuserrlogin=trueroot
判断依据 执行#lsuser–arloginroot命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。
实施风险 高
重要等级 ★★★
备注
1.1.4 AIX-01-01-04
编号 AIX-01-01-04
名称 对系统账号进行登录限制
实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用
问题影响 可能利用系统进程默认账号登陆,账号越权使用
系统当前状态 查看/etc/security/passwd中各账号状态并记录
实施步骤 参考配置操作:
系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统与业务所需的登陆帐户。
结合实际情况禁止或删除其余帐户。
禁止账号交互式登录:
#chuseraccount_locked=trueusername
删除账号:
#rmuserusername
补充操作说明:
建议禁止交互登录的系统账号有:
daemon,bin,sys,adm,uucp,guest,nobody,lp,help等
回退方案 还原被禁止登陆的帐户:
#chuseraccount_locked=falseusername
注:
对删除帐户的操作无法回退
判断依据 系统管理员出示业务所需登陆主机的帐户列表。
查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。
除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。
实施风险 高
重要等级 ★
备注
1.1.5 AIX-01-01-05
编号 AIX-01-01-05
名称 为空口令用户设置密码
实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。
问题影响 系统中的帐户存在被非法利用的风险
系统当前状态 查看/etc/passwd中的内容并记录
实施步骤 参考配置操作:
用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。
如采用和执行如下命令:
#passwdusernamepassword
回退方案 Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据 登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。
如发现存在,则建议为该帐户设置密码。
实施风险 高
重要等级 ★
备注
1.2 口令
1.2.1 AIX-01-02-01
编号 AIX-01-02-01
名称 缺省密码长度限制
实施目的 防止系统弱口令的存在,减少安全隐患。
对于采用静态口令认证技术的设备,口令长度至少6位。
且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。
问题影响 增加系统的帐户密码被暴力破解的成功率和潜在的风险
系统当前状态 运行lsuserusername命令,查看帐户属性和当前状态,并记录。
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuserusername
设置密码最短长度为8位:
#chuserminlen=8username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuseruasename命令,查看帐户属性中密码的最短长度策略是否符合8位。
如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.2 AIX-01-02-02
编号 AIX-01-02-02
名称 缺省密码复杂度限制
实施目的 防止系统弱口令的存在,减少安全隐患。
对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类
问题影响 增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险
系统当前状态 运行lsuserusername命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuserusername
设置口令中最少包含4个字母字符的数量:
#chuserminalpha=4username
设置口令中最少包含1个非字母数字字符数量:
#chuserminother=1username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuseruasename命令,查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。
如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.3 AIX-01-02-03
编号 AIX-01-02-03
名称 缺省密码生存周期限制
实施目的 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患
问题影响 容易造成密码被非法利用,并且难以管理
系统当前状态 运行lsuserusername命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuserusername
设置口令最长有效期为12周(84天):
#chusermaxage=12username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuseruasename命令,查看帐户属性中口令的最长有效期是否小于90天。
如未设置或大于90天,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.4 AIX-01-02-04
编号 AIX-01-02-04
名称 密码重复使用限制
实施目的 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
问题影响 造成系统帐户密码破解的几率增加以及存在潜在的安全风险
系统当前状态 运行lsuserusername命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuserusername
设置同一口令与前面5个口令不能重复:
#chuserhistsize=5username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuseruasename命令,查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。
如未设置或大于5个,则进行设置。
实施风险 低
重要等级 ★
备注
1.2.5 AIX-01-02-05
编号 AIX-01-02-05
名称 密码重试限制
实施目的 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
问题影响 增加系统帐户密码被暴力破解的风险
系统当前状态 运行lsuserusername命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuserusername
设置6次登陆失败后帐户锁定阀值:
#chuserloginretries=6username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuseruasename命令,查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。
如未设置或大于6次,则进行设置。
实施风险 中
重要等级 ★
备注
1.3 授权
1.3.1 AIX-01-03-01
编号 AIX-01-03-01
名称 设置关键目录的权限
实施目的 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
问题影响 增加系统关键目录容易被攻击者非法访问的风险
系统当前状态 查看/usr/bin、/sbin、/etc目录,并记录关键目录的权限
实施步骤 1、参考配置操作
通过chmod命令对目录的权限进行实际设置。
2、补充操作说明
文件或目录 属主 属组 权限
/etc/passwd root security -rw-r--r--
/etc/group root security -rw-r--r--
/etc/filesystem root system -rw-rw-r--
/etc/hosts root system -rw-rw-r--
/etc/inittab root system -rw-------
/etc/security/faildlogin root system -rw-r--r--
回退方案 通过chmod命令还原目录权限到加固前状态
判断依据 AIX系统,/usr/bin、/bin、/sbin目录为可执行文件目录,/etc目录为系统配置目录,包括帐户文件,系统配置,网络配置文件等,这些目录和文件相对重要。
确认这些配置文件的权限设置是否安全。
实施风险 高
重要等级 ★★★
备注
1.3.2 AIX-01-03-02
编号 AIX-01-03-02
名称 修改umask值
实施目的 控制用户缺省访问权限,当在创建新文件或目录时,屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
问题影响 增加攻击者非法访问目录的风险
系统当前状态 查看/etc/security/user文件的配置,并记录
实施步骤 1、参考配置操作
设置umask为027:
#vi/etc/security/user
在default小节,设置umask为027
回退方案 修改/etc/security/user文件到加固前状态
判断依据 查看/etc/security/user文件中的default小节是否设置umask为027
实施风险 高
重要等级 ★
备注
1.3.3 AIX-01-03-03
编号 AIX-01-03-03
名称 FTP用户及服务安全
实施目的 设置系统中的帐户是否可以通过ftp登陆操作
问题影响 增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问目录的安全风险
系统当前状态 查看/etc/ftpusers文件,并记录
实施步骤 参考配置操作:
根据系统管理员提供允许ftp登陆操作的系统帐户列表,并与系统中当前的允许ftp登陆操作的用户相比对。
设置是否允许系统帐户通过ftp方式登陆:
#vi/etc/ftpusers
注:
默认情况下,该文件不存在。
将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中(每行一个用户名)。
注:
在无特殊需求的情况下,以下列表中的用户名是不允许ftp登陆操作的:
root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help等
回退方案 修改/etc/ftpusers文件设置到系统加固前状态
判断依据 根据系统管理员提供的允许ftp登陆操作的系统帐户,查看/etc/ftpusers文件,与其相比对,是否与系统管理员所提供的帐户列表相一致。
如果发现与列表中不对应的帐户则建议设置成禁止通过ftp登陆操作。
实施风险 高
重要等级 ★
备注
1.3.4 AIX-01-03-04
编号 AIX-01-03-04
名称 设置目录权限
实施目的 设置目录权限,防止非法访问目录。
问题影响 增加攻击者非法访问系统目录的安全风险
系统当前状态 查看重要文件和目录权限:
ls–l并记录。
实施步骤 1、参考配置操作
查看重要文件和目录权限:
ls–l
更改权限:
对于重要目录,建议执行如下类似操作:
例如:
#chmod-R750/etc/init.d/*
这样只有root可以读、写和执行这个目录下的脚本
回退方案 使用chmod命令还原被修改权限的目录
判断依据 查看重要文件和目录权限:
ls–l
查看重要文件和目录下的文件权限设置是否为750以下
实施风险 高
重要等级 ★
备注
1.3.5 AIX-01-03-05
编号 AIX-01-03-05
名称 设置ftp目录权限
实施目的 限制ftp用户登陆后在自己当前目录下活动,防止非法访问目录。
问题影响 增加系统帐户被利用后越权使用的安全风险
系统当前状态 查看/etc/vsftpd/vsftpd.conf文件并记录当前的配置
实施步骤 参考配置操作:
限制ftp用户登陆后在自己当前目录下活动:
#vi/etc/vsftpd/vsftpd.conf
local_root=锁定目录路径
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
#vivsftpd.chroot_list
username(锁定用户名)
回退方案 还原/etc/vsftpd/vsftpd.conf文件配置到加固前的状态
判断依据 查看/etc/vsftpd/vsftpd.conf文件中的配置,查看是否已设置限制ftp用户登陆后在自己当前目录下活动。
如未配置则应按要求设置。
实施风险 中
重要等级 ★
备注
2 日志配置要求
2.1.1 AIX-02-01-01
编号 AIX-02-01-01
名称 启用日志记录功能
实施目的 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
问题影响 无法对用户的登陆进行日志记录,增加潜在的安全风险
系统当前状态 查看/etc/syslog.conf文件中的配置并记录
实施步骤 参考配置操作:
syslog的配置主要通过/etc/syslog.conf配置,日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(@hostname)。
startsrc-ssyslogd启动syslog服务
stopsrc-ssyslogd停止syslog服务
回退方案 修改/etc/syslog.conf文件设置到系统加固前状态
判断依据 查看系统进程中是否存在syslogd守护进程。
查看/etc/syslog.conf文件中的配置是否启动syslog服务。
如系统中不存在syslogd守护进程或在配置文件中发现syslog服务未启动,则应按要求进行配置。
实施风险 低
重要等级 ★★★
备注
2.1.2 AIX-02-01-02
编号 AIX-02-01-02
名称 syslog日志等级的安全配置
实施目的 syslog提供日常维护日志外,还提供系统登陆,攻击尝试等安全性的日志信息,帮助管理员进行审计和追踪。
问题影响 无法对用户的操作进行日志记录,增加潜在的安全风险
系统当前状态 查看/etc/syslog.conf文件配置并记录
实施步骤 参考配置操作:
syslog配置文件要求:
修改文件 安全设置
/etc/syslog.conf 配置文件中包含一下日志记录:
*.err /var/adm/errorlog
*.alert /var/adm/alertlog
*.cri /var/adm/critlog
auth,authpriv.info /var/adm/authlog
回退方案 修改/etc/syslog.conf文件配置到系统加固前的状态
判断依据 查看/etc/syslog.conf文件中的配置是否符合以上安全设置。
如不合符则建议应按要求进行设置。
实施风险 高
重要等级 ★
备注
2.1.3 AIX-02-01-05
编号 AIX-02-01-05
名称 启用记录su日志功能
实施目的 记录系统中su操作的日志
问题影响 无法记录su指令的用户切换操作,增加潜在的安全风险
系统当前状态 查看/etc/syslog.conf文件配置,并记录
实施步骤 参考配置操作:
设置/etc/syslog.conf文件,并启动su日志记录。
注:
在AIX系统中,su日志记录默认是开启的。
查看/var/adm/sulog,用户使用su命令的日志。
可根据需要保留60天中有用的内容,其余删除。
文件记录以下信息:
日期、时间、系统名称以及登录名。
/var/adm/sulog文件也记录登录尝试是否成功:
+(加号)表示登录成功,-(减号)表示登录失败。
回退方案 修改/etc/syslog.conf文件设置到系统加固前状态
判断依据 查看/etc/syslog.conf文件中是否配置了su日志记录
查看/var/adm/sulog文件,是否存在su命令使用记录
实施风险 低
重要等级 ★
备注
2.1.4 AIX-02-01-06
编号 AIX-02-01-06
名称 启用记录cron行为日志功能和cron/at的使用情况
实施目的 对所有的cron行为以及使用情况进行审计和查看
问题影响 无法记录和查看cron服务(计划任务),存在潜在安全风险
系统当前状态 查看/var/spool/cron/目录下的文件配置,并记录
实施步骤 参考配置操作:
cron/At的相关文件主要有以下几个:
/var/spool/cron/crontabs存放cron任务的目录
/var/spool/cron/cron.allow允许使用crontab命令的用户
/var/spool/cron/cron.deny不允许使用crontab命令的用户
/var/spool/cron/atjobs存放at任务的目录
/var/spool/cron/at.allow允许使用at的用户
/var/spool/cron/at.deny不允许使用at的用户
使用crontab和at命令可以分别对cron和at任务进行控制。
#crontab-l查看当前的cron任务
#at-l查看当前的at任务
回退方案 修改/var/spool/cron/目录下的文件设置到系统加固前状态
判断依据 查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安全配置。
如未配置则建议按照要求进行配置。
实施风险 低
重要等级 ★
备注
3 通信协议安全配置要求
3.1 IP协议安全
3.1.1 AIX-03-01-01
编号 AIX-03-01-01
名称 使用ssh加密传输
实施目的 提高远程管理安全性
问题影响 使用非加密通信,内容易被非法监听,存在潜在安全风险
系统当前状态 运行ps-ef|grepssh,查看状态,并记录。
实施步骤 参考配置操作:
如果系统中没有安装SSH,则首先需要正确安装openssh后才能够应用SSH。
安装步骤举例说明:
在将OpenSSL下载到AIXVersion5.3计算机的本地目录(本示例中为/tmp)之后,可以通过运行下面的命令来安装它:
#geninstall-d/tmpR:
openssl-0.9.6m
可以使用下面两种方法中的任何一种来安装OpenSSH:
smitty->SoftwareInstallationandMaintenance->Installand
UpdateSoftware->InstallSoftware
或者
#geninstall-I"Y"-d/dev/cd0I:
openssh.base
使用下面的命令启动SSH服务器:
#startsrc-gssh
使用下面的命令来确认已正确地启动了SSH