IBMAIX安全配置基线Word文件下载.docx
《IBMAIX安全配置基线Word文件下载.docx》由会员分享,可在线阅读,更多相关《IBMAIX安全配置基线Word文件下载.docx(11页珍藏版)》请在冰豆网上搜索。
服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的AIX服务器系统。
1.3适用版本
AIX系列服务器;
1.4实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章账号管理认证授权
2.1账号
2.1.1用户帐号设置
安全基线项目名称
操作系统AIX用户账户安全基线要求项
安全基线编号
SBL-AIX-02-01-01
安全基线项说明
用户帐号设置。
检测操作步骤
1、执行:
lsuser–ahomeALL
2、执行:
ls–l/etc/passwd
基线符合性判定依据
需要锁定的用户:
deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd
备注
2.1.2用户组设置
操作系统AIX用户组安全基线要求项
SBL-AIX-02-01-02
用户组设置。
more/etc/group
ls-l/etc/group
不要存在无用的用户组:
uucpprintq
2.1.3用户口令设置
操作系统AIX用户口令安全基线要求项
SBL-AIX-02-01-03
用户口令设置。
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类
more/etc/security/user,检查maxage/minlen/minage/pwdwarntime参数
pwdck–nALL,检查是否存在空口令账号
不能存在简单密码;
创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;
输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
2.1.4Root用户远程登录限制
操作系统AIX远程登录安全基线要求项
SBL-AIX-02-01-04
Root用户远程登录限制。
more/etc/security/user,检查在root项目中是否有下列行:
rlogin=false
login=true
su=truesugroup=system
禁止root用户直接登录系统可以增加系统入侵的难度
2.1.5系统用户登录限制
操作系统AIX用户登录安全基线要求项
SBL-AIX-02-01-05
系统用户登录限制。
more/etc/security/user,检查在daemonbinsysadmuucpnuucpprintqguestnobodylpdsshd项目中是否有下列行:
login=false
系统账号仅被守护进程和服务使用,不应直接由用户登录系统。
如果系统没有应用这些守护进程或服务,建议删除这些账号。
2.2口令
2.2.1口令生存期安全要求
操作系统AIX口令生存期安全基线要求项
SBL-AIX-02-02-01
对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。
more/etc/security/user,检查histexpire
Histexpire小于等于13
2.2.2口令历史安全要求
SBL-AIX-02-02-02
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。
more/etc/security/user,检查histsize
Histsize大于等于5
2.2.3用户口令锁定策略
操作系统AIX口令锁定安全基线要求项
SBL-AIX-02-02-03
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
more/etc/security/user,检查retries
retries=6
2.2.4用户访问权限安全要求
操作系统AIX用户访问权限安全基线要求项
SBL-AIX-02-02-04
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
more/etc/default/login,检查umask
umask027
2.2.5用户FTP访问的安全要求
操作系统AIX用户FTP访问安全基线要求项
SBL-AIX-02-02-05
控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
more/etc/ftpaccess,检查restricted-uid
more/etc/ftpusers
ftpaccess中应有类似一行restricted-uid*(限制所有);
ftpusers列表里边的用户名应包括:
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
noaccess
nobody4
第3章
网络与服务
3.1服务
3.1.1远程维护安全要求
操作系统AIX远程维护安全基线要求项
SBL-AIX-03-01-01
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。
ps–elf|grepssh
ps–elf|greptelnet
ssh启用,telnet禁用
3.2网络
3.2.1ICMP重定向安全要求
操作系统AIXICMP重定向安全基线要求项
SBL-AIX-03-02-01
主机系统应该禁止ICMP重定向,采用静态路由。
在/etc/rc2.d/S?
?
inet搜索
在/etc/rc2.d/S69inet中搜索
要求ip_send_redirects=0
要求ip6_send_redirects=0
第4章
日志审计
4.1日志
4.1.1添加认证日志
操作系统AIX认证日志安全基线要求项
SBL-AIX-04-01-01
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
cat/etc/syslog.conf,检查类似配置:
auth.info/var/adm/authlog
*.info;
auth.none/var/adm/syslog\n"
2、检测操作
cat/var/adm/authlog
cat/var/adm/syslog
列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。
4.2审计
4.2.1安全事件审计
操作系统AIX安全事件审计安全基线要求项
SBL-AIX-04-02-01
设备应配置日志功能,记录对与设备相关的安全事件。
*.err;
kern.debug;
daemon.notice;
/var/adm/messages
要求有上述类似配置。
第5章
设备其他安全配置要求
5.1设备
5.1.1屏幕保护
操作系统AIX屏幕保护安全基线要求项
SBL-AIX-05-01-01
对于具备字符交互界面的设备,应配置定时帐户自动登出。
1、查看:
cat/etc/profile|grepTMOUT
cat/etc/environment|grepTMOUT
cat/etc/security/.profile|grepTMOUT
如果没显示则不符合配置要求。
5.2缓冲区
5.2.1缓冲区溢出
操作系统AIX缓冲区溢出安全基线要求项
SBL-AIX-05-02-01
防止堆栈缓冲溢出。
cat/etc/security/limits
2、查看/etc/profile文件:
cat/etc/security/limits有如下两行:
core0
core_hard=0
/etc/profile文件有:
ulimit–c0
第6章
评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
升级会员 