AIX系统安全加固手册Word文件下载.doc
《AIX系统安全加固手册Word文件下载.doc》由会员分享,可在线阅读,更多相关《AIX系统安全加固手册Word文件下载.doc(13页珍藏版)》请在冰豆网上搜索。
2 系统网络参数类 8
2.1 Suid/sgid文件 8
2.2 Umask权限设置 8
2.3 系统核心网络参数安全性增强 9
3 用户管理、访问控制、审计功能类 9
3.1 防止root从远程登录 9
3.2 减少登录会话时间 10
3.3 系统口令强壮度与策略 10
3.4 Root用户历史操作记录 11
3.5 删除默认系统用户 12
4 文件权限 12
4.1 文件权限和文件类型设置 12
1端口与服务
1.1相关端口对应服务禁止
风险描述
21,23,25,111,513,514,515,540,80,6112,161,7,37,110相关rpc等服务禁止
风险等级
l风险高
加固建议
判断上述系统默认服务在本系统是否需要应用来决定关闭或者替换升级
加固的风险/影响
有些业务服务可能需要以上某些系统服务,关闭服务将造成某些系统维护方式或者业务服务不正常,相关系统默认服务(ftp,rsh,kshell,rlogin,krlogin,rexec,comsat,uucp,finger,tftp,talk,ntalk,echo,discard,chargen,daytime,time及rpc小服务),具体说明如下:
Rsh,rlogin,rexec-R远程登录系列服务,容易被窃听
Finger-允许远程查询登陆用户信息
Time-网络时间服务,允许远程察看系统时间
Echo-网络测试服务,回显字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
Discard-网络测试服务,丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
Daytime-网络测试服务,显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
Chargen-网络测试服务,回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
comsat-通知接收的电子邮件,以root用户身份运行,因此涉及安全性,很少需要的,禁用
klogin-Kerberos登录,如果您的站点使用Kerberos认证则启用
kshell-Kerberosshell,如果您的站点使用Kerberos认证则启用
ntalk-允许用户相互交谈,以root用户身份运行,除非绝对需要,否则禁用
talk-在网上两个用户间建立分区屏幕,不是必需服务,与talk命令一起使用,在端口517提供UDP服务
ntalk-newtalk
tftp-以root用户身份运行并且可能危及安全
uucp-除非有使用UUCP的应用程序,否则禁用
dtspc-CDE子过程控制,不用图形管理的话禁用
加固风险规避方法
根据主机的业务需求,关闭对应服务端口,事先将原配置文件做备份
加固成果
关闭不用的端口可以避免非法用户利用这些端口入侵系统,通过升级服务来减少可被利用的漏洞。
加固具体方法
编辑或注释inetd.conf中所对应服务的启动脚本和启动语句来禁止上述服务。
有些服务可能以cron定时启动请检查cron定时脚本。
XXX公司意见
XXX公司管理员对本条风险加固的意见:
l同意
l需要修改(描述修改的意见)
l不同意(描述不同意的原因)
l签名(签字确认)
1.2系统相关服务默认banner消息禁止
系统相关服务如ftpd,telnetd,sendmail等默认banner消息禁止,
l风险中
修改可判断系统版本输出消息的服务banner
连接或使用上述服务将不会返回上述服务版本
避免通过banner信息泄露系统敏感信息
修改/etc/motd文件
修改/etc/ftpmotd文件
检查/etc/security/login.cfg文件中察看herald是否有设置
1.3nfs服务关闭
查看nfs服务是否启用,避免利用nfs服务漏洞入侵系统
若使用nfssharefile服务,则判断该服务目前输出的export
filelist列表中的nfs文件系统挂载权限和允许挂载该文件系统的地址是否是erverone等
该服务加固后将造成某些无授权的ip地址挂载该系统nfs文件系统失败
事先将原配置文件做备份
能避免非法用户挂载nfs文件系统,增强系统安全性
若不使用nfs服务,则从系统当前启动等级中启动脚本移除,若使用该服务则应用share命令对指定文件系统做限制ip挂载地址以及挂载权限参数限制。
注释/etc/inittab文件中关于nfs的行
1.4图形管理服务关闭
检查图形管理界面是否开启,避免利用该服务漏洞入侵系统
若不使用图形管理,将图形管理关闭
无法进行图形方式管理
能避免非法用户利用图形管理服务的漏洞
修改/etc/inittab文件,将dt,dt_nogb注释
1.5FTP服务登入权限
设定/etc/ftpusers文件以及权限
风险中
将不需要使用ftpd服务的用户加入ftpusers文件,来保证ftp服务安全性,确保该文件属性为644来保证文件层安全
可能影响某些使用该帐号ftp登陆的备份,操作,日志记录等脚本
能防止非授权用户登入FTP
编辑/etc/ftpd/ftpusers或/etc/ftpusers文件加入不允许ftp登陆的用户
厂商意见
厂商维护人员对本条风险加固的意见:
1.6禁止rlogin服务
基于pam动态验证库验证机制的.rhosts文件和rlogin服务
风险高
.rhosts文件信任机制是一种极其不安全的用户登陆信任机制,建议若不使用rlogin服务则在/etc/inetd.conf禁止,
造成某些使用.rhosts验证机制的的服务如cluster等服务无法正常使用
事先将原配置文件(/etc/inetd.conf)做备份
避免非法用户利用rlogin入侵系统
若仍使用.rhosts文件的信任机制则因该查找当前系统所用用户$HOME变量下是否存在.rhosts文件,确定其文件属性为600,文件内容为指定的信任主机
若不使用.rhosts文件信任关系
则编辑/etc/inetd.conf将rlogin行注释并删除所有.rhosts文件
1.7Cron服务内容以及服务日志审核批
Cron服务内容以及服务日志审核批
若不使用cron服务,则关闭该服务,若使用该服务则因该保证/var/spool/cron/crontab下的各个用户文件权限为600,并检查各个用户服务内容中是否有包括用户和密码明文使用的备份,传输,任务脚本。
可能造成管理上的一些不便
事先将原配置文件(/var/spool/cron/crontabs/下文件)做备份
消除cron服务脚本中使用用户名和密码明文带来的隐患
Chmod600/var/spool/cron/crontabs/*
1.8Syslog服务属性
修改系统Syslog文件记录及其属性
风险低
改变/etc/syslog.conf中默认的/var/adm日志路径将能更好的保护系统日志不受破坏,确定文件属性为400来保证其安全性
日志的存放路径变更
阻止普通用户获取系统日志信息,增强系统安全性
修改/etc/syslog.conf文件,将日志记录路径修改为其他路径或其他主机地址,chmod400修改该文件属性
2系统网络参数类
2.1Suid/sgid文件
去掉文件不必要的Suid/sgid属性
对系统不必要的suid为root文件,去掉其suid属性来防止文件层,如heap,stack,formatstring等一类的提升权限攻击
可能造成某些使用该suid文件来运行的服务或进程无法以root权限进程来执行
事先将原文件权限记录
避免通过不必要的suid文件获得root权限,增强系统安全性
Chmod–sfilename去掉不需要suid属性文件的suid属性
先运行以下命令查找
find/-typef-perm-4001-user0(先运行此两个命令来查找filename)
find/-typef–perm-2001–group0
loginpasswdmount(不能更改)
XXX公司管理员