AIX安全配置基线.docx

AIX安全配置基线.docx

《AIX安全配置基线.docx》由会员分享，可在线阅读，更多相关《AIX安全配置基线.docx（12页珍藏版）》请在冰豆网上搜索。

AIX安全配置基线

AIX系统安全配置基线

中国移动通信有限公司管理信息系统部

2009年3月

版本

版本控制信息

更新日期

更新人

审批人

V1.0

创建

2009年1月

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录

第1章概述1

1.1目的1

1.2适用范围1

1.3适用版本1

1.4实施1

1.5例外条款1

第2章账号管理认证授权2

2.1账号2

2.1.1用户帐号设置2

2.1.2用户组设置2

2.1.3用户口令设置3

2.1.4Root用户远程登录限制3

2.1.5系统用户登录限制4

2.2口令4

2.2.1口令生存期安全要求4

2.2.2口令历史安全要求4

2.2.3用户口令锁定策略5

2.2.4用户访问权限安全要求5

2.2.5用户FTP访问的安全要求6

第3章网络与服务7

3.1服务7

3.1.1远程维护安全要求7

3.2网络7

3.2.1ICMP重定向安全要求7

第4章日志审计8

4.1日志8

4.1.1添加认证日志8

4.2审计8

4.2.1安全事件审计8

第5章设备其他安全配置要求10

5.1设备10

5.1.1屏幕保护10

5.2缓冲区10

5.2.1缓冲区溢出10

第6章评审与修订12

第1章概述

1.1目的

本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的AIX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行AIX操作系统的安全合规性检查和配置。

1.2适用范围

本配置标准的使用者包括：

服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：

中国移动总部和各省公司信息化部门维护管理的AIX服务器系统。

1.3适用版本

AIX系列服务器；

1.4实施

本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章账号管理认证授权

2.1账号

2.1.1用户帐号设置

安全基线项目名称

操作系统AIX用户账户安全基线要求项

安全基线编号

SBL-AIX-02-01-01

安全基线项说明

用户帐号设置。

检测操作步骤

1、执行：

lsuser–ahomeALL

2、执行：

ls–l/etc/passwd

基线符合性判定依据

需要锁定的用户：

deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd

备注

2.1.2用户组设置

安全基线项目名称

操作系统AIX用户组安全基线要求项

安全基线编号

SBL-AIX-02-01-02

安全基线项说明

用户组设置。

检测操作步骤

1、执行：

more/etc/group

2、执行：

ls-l/etc/group

基线符合性判定依据

不要存在无用的用户组：

uucpprintq

备注

2.1.3用户口令设置

安全基线项目名称

操作系统AIX用户口令安全基线要求项

安全基线编号

SBL-AIX-02-01-03

安全基线项说明

用户口令设置。

对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类

检测操作步骤

1、执行：

more/etc/security/user，检查maxage/minlen/minage/pwdwarntime参数

2、执行：

pwdck–nALL,检查是否存在空口令账号

基线符合性判定依据

不能存在简单密码；

创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。

备注

2.1.4Root用户远程登录限制

安全基线项目名称

操作系统AIX远程登录安全基线要求项

安全基线编号

SBL-AIX-02-01-04

安全基线项说明

Root用户远程登录限制。

检测操作步骤

1、执行：

more/etc/security/user，检查在root项目中是否有下列行:

rlogin=false

login=true

su=truesugroup=system

基线符合性判定依据

禁止root用户直接登录系统可以增加系统入侵的难度

备注

2.1.5系统用户登录限制

安全基线项目名称

操作系统AIX用户登录安全基线要求项

安全基线编号

SBL-AIX-02-01-05

安全基线项说明

系统用户登录限制。

检测操作步骤

1、执行：

more/etc/security/user，检查在daemonbinsysadmuucpnuucpprintqguestnobodylpdsshd项目中是否有下列行:

rlogin=false

login=false

基线符合性判定依据

系统账号仅被守护进程和服务使用，不应直接由用户登录系统。

如果系统没有应用这些守护进程或服务，建议删除这些账号。

备注

2.2口令

2.2.1口令生存期安全要求

安全基线项目名称

操作系统AIX口令生存期安全基线要求项

安全基线编号

SBL-AIX-02-02-01

安全基线项说明

对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。

检测操作步骤

1、执行：

more/etc/security/user，检查histexpire

基线符合性判定依据

Histexpire小于等于13

备注

2.2.2口令历史安全要求

安全基线项目名称

操作系统AIX口令生存期安全基线要求项

安全基线编号

SBL-AIX-02-02-02

安全基线项说明

对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

检测操作步骤

1、执行：

more/etc/security/user，检查histsize

基线符合性判定依据

Histsize大于等于5

备注

2.2.3用户口令锁定策略

安全基线项目名称

操作系统AIX口令锁定安全基线要求项

安全基线编号

SBL-AIX-02-02-03

安全基线项说明

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

检测操作步骤

1、执行：

more/etc/security/user，检查retries

基线符合性判定依据

retries=6

备注

2.2.4用户访问权限安全要求

安全基线项目名称

操作系统AIX用户访问权限安全基线要求项

安全基线编号

SBL-AIX-02-02-04

安全基线项说明

控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

检测操作步骤

1、执行：

more/etc/default/login，检查umask

基线符合性判定依据

umask027

备注

2.2.5用户FTP访问的安全要求

安全基线项目名称

操作系统AIX用户FTP访问安全基线要求项

安全基线编号

SBL-AIX-02-02-05

安全基线项说明

控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

检测操作步骤

1、执行：

more/etc/ftpaccess，检查restricted-uid

2、执行：

more/etc/ftpusers

基线符合性判定依据

ftpaccess中应有类似一行restricted-uid*（限制所有）；

ftpusers列表里边的用户名应包括：

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

备注

第3章

网络与服务

3.1服务

3.1.1远程维护安全要求

安全基线项目名称

操作系统AIX远程维护安全基线要求项

安全基线编号

SBL-AIX-03-01-01

安全基线项说明

对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。

检测操作步骤

1、执行：

ps–elf|grepssh

2、执行：

ps–elf|greptelnet

基线符合性判定依据

ssh启用，telnet禁用

备注

3.2网络

3.2.1ICMP重定向安全要求

安全基线项目名称

操作系统AIXICMP重定向安全基线要求项

安全基线编号

SBL-AIX-03-02-01

安全基线项说明

主机系统应该禁止ICMP重定向，采用静态路由。

检测操作步骤

在/etc/rc2.d/S?

?

inet搜索

在/etc/rc2.d/S69inet中搜索

基线符合性判定依据

要求ip_send_redirects=0

要求ip6_send_redirects=0

备注

第4章

日志审计

4.1日志

4.1.1添加认证日志

安全基线项目名称

操作系统AIX认证日志安全基线要求项

安全基线编号

SBL-AIX-04-01-01

安全基线项说明

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址

检测操作步骤

1、执行：

cat/etc/syslog.conf，检查类似配置：

auth.info/var/adm/authlog

*.info;auth.none/var/adm/syslog\n"

2、检测操作

cat/var/adm/authlog

cat/var/adm/syslog

基线符合性判定依据

列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。

备注

4.2审计

4.2.1安全事件审计

安全基线项目名称

操作系统AIX安全事件审计安全基线要求项

安全基线编号

SBL-AIX-04-02-01

安全基线项说明

设备应配置日志功能，记录对与设备相关的安全事件。

检测操作步骤

1、执行：

cat/etc/syslog.conf，检查类似配置：

*.err;kern.debug;daemon.notice;/var/adm/messages

基线符合性判定依据

要求有上述类似配置。

备注

第5章

设备其他安全配置要求

5.1设备

5.1.1屏幕保护

安全基线项目名称

操作系统AIX屏幕保护安全基线要求项

安全基线编号

SBL-AIX-05-01-01

安全基线项说明

对于具备字符交互界面的设备，应配置定时帐户自动登出。

检测操作步骤

1、查看：

cat/etc/profile|grepTMOUT

cat/etc/environment|grepTMOUT

cat/etc/security/.profile|grepTMOUT

基线符合性判定依据

如果没显示则不符合配置要求。

备注

5.2缓冲区

5.2.1缓冲区溢出

安全基线项目名称

操作系统AIX缓冲区溢出安全基线要求项

安全基线编号

SBL-AIX-05-02-01

安全基线项说明

防止堆栈缓冲溢出。

检测操作步骤

1、查看：

cat/etc/security/limits

2、查看/etc/profile文件：

基线符合性判定依据

cat/etc/security/limits有如下两行：

core0

core_hard=0

/etc/profile文件有：

ulimit–c0

备注

第6章

评审与修订

本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。