主机加固操作手册.docx
《主机加固操作手册.docx》由会员分享,可在线阅读,更多相关《主机加固操作手册.docx(8页珍藏版)》请在冰豆网上搜索。
主机加固操作手册
AIX加固操作手册
编号
加固项
备注
1.1
禁用以下服务:
kshell(kerbores协议的shell服务)klogin
(kerbores协议的login服务)exec(提供rexec远程执行命令服务)echo(子符回显测试服务)
discard(丢弃子付测试服务)chargen(发
送字符测试服务)daytime(时间同步服务)time(时间同步服务)
ntalk(基于字符的聊天服务服务)rstatd
(服务器内核信息查询)rusersd(用户信
息查询服务)rwalld(用户信息通告服务)sprayd(系统性能信息查询服务)pcnfsd(非UNIX客户机打印缓冲服务)
加固步骤:
1.编辑/etc/inetd.conf文件
2.注释以下单词开头的行:
kshellkloginexecechodiscardchargendaytimetimentalkrstatdrusersdrwalldspraydpcnfsd服务
3.重启服务
refresh-sinetd
回退步骤:
1.编辑/etc/inetd.conf文件
2.取消注释以下单词开头的行:
kshell
klogin
execechodiscard
chargendaytimetimentalkrstatdruserdrwalldspraydpcnfsd
3.重启服务
refresh-sinetd
1.2
禁用以下服务:
sendmail(由B件服务)
routed(基于rip的路由服务)gated(多种路由协议的路由服务)named(DNS服务)
timed(时间同步服务)rwhod(用户信息服务)lpd(打印服务)
ndpd-router(路由服务)
ndpd-host(路由服务)
piobe(打印服务)
httpdlite(man文档查询)
writesrv(用户聊天服务)服务
加固步骤:
禁用以下服务,以sendmail服务为例:
sendmail
routed
gated
named
timed
rwhod
lpd,
ndpd-router
ndpd-host
1.检查服务开启情况
lssrc-a
2.停止sendmail服务
stopsrc-ssendmail
3.禁止sendmail自启动chrctcp-dsendmail
禁用以下服务,以piobe为例
piobe
httplite
writesrv月服务
1.停止piobe服务stopsrc-spiobe
2.禁止piobe服务自启动编辑/etc/inittab,在
piobe开头的行前增
加分号
回退步骤:
启用以下服务,以sendmail服务为例:
sendmail
routed
gated
named
timed
rwhod
lpd,
ndpd-router
ndpd-host
1.启动sendmail服务
startsrc-ssendmail
2.设置sendmail服务自启动chrctcp-asendmail
启用以下服务,以piobe为例
piobe
httplite
writesrv
1.启动piobe服务
startsrc-spiobe
2.允许piobe服务自启动
编辑/etc/inittab,取消piobe行的注释
(分号)
1.3
力口强snmpcommunity复杂度
加固步骤:
1.编辑/etc/snmpd.conf
2.如果communitystring为public,则修改
public为cpic
3.重启snmpd服务
refresh-ssnmpd
回退步骤:
1.编辑/etc/snmpd.conf
2.修改cpic为public
3.重启snmpd服务
refresh-ssnmpd
1.4
禁止syslog接收网络日志
加固步骤:
1.设置syslogd参数
chssys-ssyslogd-a-r”
2.重启syslogd服务
stopsrc-ssyslogd
startsrc-ssyslogd
回退步骤:
操作如下:
1.设置syslogd参数
chssys-ssyslogd-a””
2.重启syslogd服务
stopsrc-ssyslogd
startsrc-ssyslogd
1.5
设置所有人可写目录的sticky位
加固步骤:
find/-typed\(-perm-0002-a!
-perm-1000\)-print-execchmod+t{}\;
回退步骤:
如果某个用户test需要与test1拥后的文件file1,file1所在目录为d『1,修改如
下:
chmod-tdir1
1.6
规范基于rhosts认证的/任关系
1.查找/etc/hosts.equiv与~/.rhosts文件,
~/.rhosts查找方法如下:
find/-name.rhosts'-print
2.女口果/etc/hosts.equiv或~一/.rhosts文件
中存在+号,与系统管理员确认信任
关系后删除"+”号,重新设置详细的信任关系
1.7
禁止系统用户使用ftp服务
1.编辑或创建/etc/ftpusers
2.每个系统帐号一行,系统帐号如下:
daemonbinsysadmuucpguestnobody
lpdlpinvscoutinvscoutipsecnuucp
1.8
限制cron的使用
编辑或创建/var/adm/cron/cron.allow
文件,增加如下行:
每行都为/var/spool/cron/crontabs目
录中一个文件名
1.9
禁止系统帐号登陆
1.编辑/etc/passwd
2.设置系统帐号的登录shell为空,系统
帐号如下:
daemonbinsysadmuucpguestnobodyIpdIp
invscoutinvscoutipsecnuucp
1.10
设置密码策略
注意:
设置密码最小长度会影响以前密
他/、符合长度的用户,这步应由系统管理员
导出系统帐号,跟应用相关人员确
认,如果/、符合需先修改密码后再做这
加固步骤:
1.设置密码最小长度8
chsec-f/etc/security/user-sdefault-a
minlen=8
回退步骤:
如果需要设置密码最小长度为6,如下
chsec-f/etc/security/user-sdefault-aminlen=6
1.11
确保系统的超级用户都是合法的
1.编辑/etc/passwd
2.如果存在具他uid为0的非root用户,
确保其是合法的
1.12
限制root用户远程登录
加固步骤:
chuserrlogin=falseroot
回退步骤:
chuserrlogin=trueroot