AIX系统安全加固手册 09Word文档格式.docx

AIX系统安全加固手册 09Word文档格式.docx

《AIX系统安全加固手册 09Word文档格式.docx》由会员分享，可在线阅读，更多相关《AIX系统安全加固手册 09Word文档格式.docx（11页珍藏版）》请在冰豆网上搜索。

lslpp–La

5．如果有可能，重新建立新的启动引导镜像，并重新启动系统

bosboot–ad/dev/ipldevice

shutdown–r

6．按照以下步骤确定安装空间

以root身份运行smittyupdate_all

在“INPUTdevice/directoryforsoftware”中输入ML升级包的具体位置

设定“Previewonly？

”选项为“yes”

设定“COMMITsoftwareupdates?

”选项为“no”

设定“SAVEreplacedfiles?

预览安装结束后查阅smit的输出纪录

7．安装推荐补丁包

安装结束后查阅smit的输出纪录

8．重新启动系统

shutdown－r

注：

目前最新推荐维护包将把系统升级至4.3.3.0.11版本

补丁安装：

1，建立临时efix目录并转移到此目录：

#mkdir/tmp/efix

#cd/tmp/efix

2，把efix移到/tmp/efix，解压补丁：

#uncompresssecldap_efix.tar.Z

#tarxvfsecldap_efix.tar

#cdsecldap_efix

3，修改补丁文件以适应用户自身的系统，并设置属主和权限：

#mvsecldapclntd.xxxsecldapclntd#wherexxxis433or510

#chownroot.securitysecldapclntd

#chmod500secldapclntd

4，建立原始两进制程序的备份，并去掉相关权限：

#cd/usr/sbin

#cpsecldapclntdsecldapclntd.orig

#chmod0secldapclntd.orig

5，停止secldapclntd守护进程：

#kill`ps-e|grepsecldapclntd|awk'

{print$1}'

`

6，使用补丁过的两进制程序代替当前系统程序，使用-p选项维持文件权限：

#cp-p/tmp/efix/secldap_efix/secldapclntd/usr/sbin/secldapclntd

7，重新启动secldapclntd.

#/usr/sbin/secldapclntd

2安装系统安全补丁加固

查询APARDatabase数据库（）来获得必要的系统安全补丁信息。

1.进入该数据库后选择有关产品的数据库：

AIXVersion4/AIXVersion3/CATIAforAIX。

2.选择检索选项,并在下面输入相应的字串：

（APARNumber----如：

IX85874，IY00411

FilesetName---如：

.tcp.server

PTFNumber----如：

U464245

APARAbstract--如：

HACMP，maintenance）。

3.按FindFix钮。

4.用鼠标左键选中所需Fix.（如果需要多个Fix，重复以下的步骤）。

5.选择所用操作系统的版本（如：

AIX4.3.3,用oslevel可以查出AIX版本）。

6.选择从哪个服务器下载（Fixserver）。

7.选择语言（Selectlanguages）是指如果需要，下载何种语言包。

8.按GetFixPackage钮,将得到符合以上选项的Fix列表。

9.用鼠标右键依次点击所有的Fix，并选择"

SaveLinkAs..."

到本地硬盘相应目录（可用支持断点续传的软件，一起下载）。

10.安装Fix:

可在Fix所在目录，用smittyinstall_all来安装。

11.重新启动系统。

3系统配置加固

1．加固系统TCP/IP配置

通过/usr/sbin/no-oclean_partial_conns=1防止SYN的攻击；

通过/usr/sbin/no-oarpt_killc=20设置arp表的清空时间；

通过/usr/sbin/no-oicmpaddressmask=0防止网络地址掩码的泄漏；

通过/usr/sbin/no-odirected_broadcast=0防止smurf攻击；

通过/usr/sbin/no-oipsrcroutesend=0；

/usr/sbin/no-oipsrcrouteforward=0；

/usr/sbin/no-oip6srcrouteforward=0防止源路由攻击；

通过/usr/sbin/no-oipignoreredirects=1和/usr/sbin/no-oipsendredirects=0防止IP重定向；

通过tcbck–a禁用非信任的rcp，rlogin，rlogind，rsh，rshd，tftp，tftpd等程序和守护进程；

利用smitlshostsequiv/smitmkhostsequiv/smitrmhostsquiv或者直接编辑/etc/hosts.equiv，检查所有其中的内容，去除信任主机和用户；

利用smitlsftpusers/smitmkftpusers/smitrmftpusers或者直接编辑/etc/ftpusers来设定不能通过ftp登录系统的用户。

设定所有关于网络配置文件的正确的安全属性，见下表：

/etcDirectory

Name

Owner

Group

Mode

Permissions

gated.conf

Root

system

0664

rw-rw-r--

gateways

hosts

hosts.equiv

inetd.conf

0644

rw-r--r--

named.conf

named.data

networks

protocols

rc.tcpip

0774

rwxrwxr--

resolv.conf

services

3270.keys

3270keys.rt

/usr/binDirectory

Host

System

4555

r-sr-xr-x

hostid

Bin

0555

r-xr-xr-x

hostname

finger

root

0755

rwxr-xr-x

ftp

netstat

rexec

ruptime

rwho

Talk

telnet

/usr/sbinDirectory

Arp

fingerd

0554

r-xr-xr--

Ftpd

4554

r-sr-xr--

gated

ifconfig

bin

inetd

named

r-sr-x--

Ping

rexecd

route

routed

r-xr-x---

rwhod

securetcpip

setclock

syslogd

talkd

telnetd

/usr/ucbDirectory

tn

/var/spool/rwhoDirectory

rwho（directory）

drwxr-xr-x

2．根据系统应用要求关闭不必要的服务：

可以通过编辑/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab等文件来实现。

从系统管理的角度而言，一般只需要开放如下的服务：

可从/etc/inittab中删除的服务：

piobePrinterIOBackEnd

qdaemonPrinterQueueingDaemon

writesrvwriteserver

uprintfdConstructsandwriteskernelmessages

httpdlitedocsearchWebServer

dt（通用桌面环境，要用CDE的话不能删除）

imnssdocsearchimnssDaemon

imqssdocsearchimqssdaemon

rcnfsNFSDaemons

通过编辑文件/etc/inittab或rmitab命令完成。

可从/etc/rc.tcpip中删除的服务：

dhcpcd

dhcpsd

dhcprd

autoconf6

ndpd-host

ndpd-router

lpd

timed

xntpd

snmp

dpid2

mrouted

sendmail

nfsd

portmap

可从/etc/inetd.conf中删除的服务：

shell

kshell

login

klogin

exec

comsat

uucp

bootps

systat

tftp

talk

ntalk

rpc.rquotad

rpc.rexd

rpc.rusersd

rpc.ttdbserver

rpc.sprayd

rpc.cmsd

rpc.rwalld

rpc.pcnfsd

rpc.rstatd

rpc.ssalld

echo

discard

chargen

daytime

time

websm

instsrv

imap2

pop3

kfcli

xmquery

3．检查系统中所有的.rhosts，.netrc，hosts.equiv等文件，确保没有存在潜在的信任主机和用户关系，使这些文件内容为空。

4．为root设定复杂的口令，删除临时用户和已经不用的用户，检查现有系统上的用户口令强度，修改弱口令或空口令。

5．设定系统日志和审计行为

1）增加日志缓冲和日志文件的大小：

/usr/lib/errdemon-s4194304–B32768

2）monitorsucommand：

more/var/adm/sulog

3）uselastcommandmonitorcurrentandprevioussystemloginsandlogoutsfile:

/var/adm/wtmp

4）usewhocommandmonitorallfailedloginattempts:

who/etc/security/failedlogin

5）theuserswhoarecurrentlylogged:

usewhocommand.

6）/etc/syslogd.conf设定系统审计和日志的主要文件

6．在/etc/profile中设定用户自动logoff的值——TMOUT和TIMEOUT值，如：

TMOUT＝3600#forKornShell

TIMEOUT＝3600#forBourneShell

exportTMOUTTIMEOUT

7．审查root的PATH环境变量，确保没有本地目录出现。

8．修改系统登录前的提示信息（banner），启用SAK，编辑/etc/security/login.cfg文件：

sak_enabled=true

herald="

\r\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\NOTICETO

USERS\r\n\r\nUseofthismachinewaivesallrightstoyour

privacy,\r\n\r\nandisconsenttobemonitored.\r\n\r\nUnauthorized

useprohibited.\r\n\r\n\r\nlogin:

"

9．用管理工具smitchuser来禁止root远程登录且只能在console登录，并限定登录尝试次数：

设置/etc/security/user文件中的login与rlogin值为false，ttys值为tty0，loginretries值为3。

10．通过编辑/etc/security/user文件或使用chsec命令设置默认的口令策略，并启用SAK：

minage=0

maxage=12

maxexpired=4

minalpha=4

minother=1

minlen=8

mindiff=3

maxrepeats=3

histexpire=26

histsize=8

pwdwarntime=14

tpath=on

11．Crontab

Chmod600/var/spool/cron/crontabs/<

ID>

eg.Lpsysadm

除了root其他用户不能拥有cron访问

12．执行li–Ra–l–a>

listofallfiles，保存listofallfiles文件，以备日后核对。

13．实现文件系统的ACL控制，实现针对用户的文件访问控制。

（可选）

14．审查NFS策略，如果没有必要，则关闭该服务。

15．审查SNMP策略，如果需要该服务，应当将community的名称设定为较复杂的字符串，并限定访问范围，如果不需要，则关闭该服务。

16．审查sendmail服务策略，如果需要提供该服务，应当修改sendmail.cf文件，使之符合必要的安全要求（不转发，不能vrfy和expn），如果不需要该服务，则关闭该服务。

4Setuidandsetgid（可选）

∙需要setuid:

/usr/bin/passwd

/usr/bin/ps

/usr/bin/su

/usr/sbin/tsm

/usr/bin/w

∙只需要setgid的是:

/usr/bin/mailx

/usr/bin/mail

其他的可以去除，但需要注意与数据库相关的setUid和setgid

（附：

所有对配置文件进行修改的操作，做好的备份和权限管理工作。

如

cp/etc/inetd.conf/etc/inetd.conf.old

chmod000inetd.conf.old）