AIX系统安全加固手册.docx
《AIX系统安全加固手册.docx》由会员分享,可在线阅读,更多相关《AIX系统安全加固手册.docx(16页珍藏版)》请在冰豆网上搜索。
AIX系统安全加固手册
信息安全加固手册
AIX系统
端口与服务
相关端口对应服务禁止
风险描述
21,23,25,111,513,514,515,540,80,6112,161,7,37,110相关rpc等服务禁止
风险等级
●风险高
加固建议
判断上述系统默认服务在本系统是否需要应用来决定关闭或者替换升级
加固的风险/影响
有些业务服务可能需要以上某些系统服务,关闭服务将造成某些系统维护方式或者业务服务不正常,相关系统默认服务(ftp,rsh,kshell,rlogin,krlogin,rexec,comsat,uucp,finger,tftp,talk,ntalk,echo,discard,chargen,daytime,time及rpc小服务),具体说明如下:
Rsh,rlogin,rexec-R远程登录系列服务,容易被窃听
Finger-允许远程查询登陆用户信息
Time-网络时间服务,允许远程察看系统时间
Echo-网络测试服务,回显字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
Discard-网络测试服务,丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
Daytime-网络测试服务,显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
Chargen-网络测试服务,回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用
comsat-通知接收的电子邮件,以root用户身份运行,因此涉及安全性,很少需要的,禁用
klogin-Kerberos登录,如果您的站点使用Kerberos认证则启用
kshell-Kerberosshell,如果您的站点使用Kerberos认证则启用
ntalk-允许用户相互交谈,以root用户身份运行,除非绝对需要,否则禁用
talk-在网上两个用户间建立分区屏幕,不是必需服务,与talk命令一起使用,在端口517提供UDP服务
ntalk-newtalk
tftp-以root用户身份运行并且可能危及安全
uucp-除非有使用UUCP的应用程序,否则禁用
dtspc-CDE子过程控制,不用图形管理的话禁用
加固风险规避方法
根据主机的业务需求,关闭对应服务端口,事先将原配置文件做备份
加固成果
关闭不用的端口可以避免非法用户利用这些端口入侵系统,通过升级服务来减少可被利用的漏洞。
加固具体方法
编辑或注释inetd.conf中所对应服务的启动脚本和启动语句来禁止上述服务。
有些服务可能以cron定时启动请检查cron定时脚本。
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
系统相关服务默认banner消息禁止
风险描述
系统相关服务如ftpd,telnetd,sendmail等默认banner消息禁止,
风险等级
●风险中
加固建议
修改可判断系统版本输出消息的服务banner
加固的风险/影响
连接或使用上述服务将不会返回上述服务版本
加固风险规避方法
加固成果
避免通过banner信息泄露系统敏感信息
加固具体方法
修改/etc/motd文件
修改/etc/ftpmotd文件
检查/etc/security/login.cfg文件中察看herald是否有设置
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
nfs服务关闭
风险描述
查看nfs服务是否启用,避免利用nfs服务漏洞入侵系统
风险等级
●风险中
加固建议
若使用nfssharefile服务,则判断该服务目前输出的export filelist列表中的nfs文件系统挂载权限和允许挂载该文件系统的地址是否是erverone等
加固的风险/影响
该服务加固后将造成某些无授权的ip地址挂载该系统nfs文件系统失败
加固风险规避方法
事先将原配置文件做备份
加固成果
能避免非法用户挂载nfs文件系统,增强系统安全性
加固具体方法
若不使用nfs服务,则从系统当前启动等级中启动脚本移除,若使用该服务则应用share命令对指定文件系统做限制ip挂载地址以及挂载权限参数限制。
注释/etc/inittab文件中关于nfs的行
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
图形管理服务关闭
风险描述
检查图形管理界面是否开启,避免利用该服务漏洞入侵系统
风险等级
●风险中
加固建议
若不使用图形管理,将图形管理关闭
加固的风险/影响
无法进行图形方式管理
加固风险规避方法
事先将原配置文件做备份
加固成果
能避免非法用户利用图形管理服务的漏洞
加固具体方法
修改/etc/inittab文件,将dt,dt_nogb注释
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
FTP服务登入权限
风险描述
设定/etc/ftpusers文件以及权限
风险等级
风险中
加固建议
将不需要使用ftpd服务的用户加入ftpusers文件,来保证ftp服务安全性,确保该文件属性为644来保证文件层安全
加固的风险/影响
可能影响某些使用该帐号ftp登陆的备份,操作,日志记录等脚本
加固成果
能防止非授权用户登入FTP
加固具体方法
编辑/etc/ftpd/ftpusers或/etc/ftpusers文件加入不允许ftp登陆的用户
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
禁止rlogin服务
风险描述
基于pam动态验证库验证机制的.rhosts文件和rlogin服务
风险等级
风险高
加固建议
.rhosts文件信任机制是一种极其不安全的用户登陆信任机制,建议若不使用rlogin服务则在/etc/inetd.conf禁止,
加固的风险/影响
造成某些使用.rhosts验证机制的的服务如cluster等服务无法正常使用
加固风险规避方法
事先将原配置文件(/etc/inetd.conf)做备份
加固成果
避免非法用户利用rlogin入侵系统
加固具体方法
若仍使用.rhosts文件的信任机制则因该查找当前系统所用用户$HOME变量下是否存在.rhosts文件,确定其文件属性为600,文件内容为指定的信任主机
若不使用.rhosts文件信任关系
则编辑/etc/inetd.conf将rlogin行注释并删除所有.rhosts文件
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
Cron服务内容以及服务日志审核批
风险描述
Cron服务内容以及服务日志审核批
风险等级
●风险中
加固建议
若不使用cron服务,则关闭该服务,若使用该服务则因该保证/var/spool/cron/crontab下的各个用户文件权限为600,并检查各个用户服务内容中是否有包括用户和密码明文使用的备份,传输,任务脚本。
加固的风险/影响
可能造成管理上的一些不便
加固风险规避方法
事先将原配置文件(/var/spool/cron/crontabs/下文件)做备份
加固成果
消除cron服务脚本中使用用户名和密码明文带来的隐患
加固具体方法
Chmod600/var/spool/cron/crontabs/*
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
Syslog服务属性
风险描述
修改系统Syslog文件记录及其属性
风险等级
风险低
加固建议
改变/etc/syslog.conf中默认的/var/adm日志路径将能更好的保护系统日志不受破坏,确定文件属性为400来保证其安全性
加固的风险/影响
日志的存放路径变更
加固风险规避方法
加固成果
阻止普通用户获取系统日志信息,增强系统安全性
加固具体方法
修改/etc/syslog.conf文件,将日志记录路径修改为其他路径或其他主机地址,chmod400修改该文件属性
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
系统网络参数类
Suid/sgid文件
风险描述
去掉文件不必要的Suid/sgid属性
风险等级
风险高
加固建议
对系统不必要的suid为root文件,去掉其suid属性来防止文件层,如heap,stack,formatstring等一类的提升权限攻击
加固的风险/影响
可能造成某些使用该suid文件来运行的服务或进程无法以root权限进程来执行
加固风险规避方法
事先将原文件权限记录
加固成果
避免通过不必要的suid文件获得root权限,增强系统安全性
加固具体方法
Chmod–sfilename去掉不需要suid属性文件的suid属性
先运行以下命令查找
find/-typef-perm-4001-user0(先运行此两个命令来查找filename)
find/-typef–perm-2001–group0
loginpasswdmount(不能更改)
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
Umask权限设置
风险描述
Umask权限设置
风险等级
●风险中
加固建议
修改umask文件权限为027来修改文件默认建立的属性来增强系统安全性
加固的风险/影响
用户建立文件的默认属性为640
加固风险规避方法
加固成果
加固后,用户建立文件的默认属性都640,增强文件的安全性
加固具体方法
修改或加入/etc/profile中的umask值为022或027
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
系统核心网络参数安全性增强
风险描述
系统核心网络参数安全性增强
风险等级
●风险高
加固建议
设置系统核心网络参数将造成某些特殊的网络攻击比较难以实现
加固的风险/影响
可能造成网络ipsocket部分功能无法正常使用,网络负荷可能提高%2-%8之间
加固风险规避方法
加固成果
增加某些网络攻击的难度,增强系统安全性
加固具体方法
修改以下参数
no–oipforwarding=0#禁止ip源路由包转发
no–oipsrcrouteforward=0#禁止转发原路由包
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
用户管理、访问控制、审计功能类
防止root从远程登录
风险描述
阻止root从远程登录
风险等级
●风险高
加固建议
防止root直接从remote设备来登陆系统,来增强系统安全性。
加固的风险/影响
Root将不能远程直接登陆系统,但可以以普通用户登陆系统来su到root
加固风险规避方法
事先将原配置文件做备份
加固成果
远程只能采取以普通用户登陆系统来su到root,能增强系统安全性,减少被入侵的可能
加固具体方法
修改/etc/security/user文件,将root段的rlogin修改为flase
XXX公司意见
XXX公司管理员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
减少登录会话时间
风险描述
减少用户登录会话时间
风险等级
风险中
加固建议
减少用户登录会话超时时间来保证用户登陆进程长期在系统有效存在
加固的风险/影响
将缩小系统用户登陆超时时间
加固风险规避方法
事先将原配置文件做备份
加固成果
通过减少用户登录超时判定时间来增强系统安全性,减少忘记登出用户被非法利用的可能性
加固具体方法
增加或修改(/etc/profile,/etc/environment,/etc/security/.profile)文件中如下行
TMOUT=600;TIMEOUT=600;exportTMOUTTIMEOUT
XXX公司意见
XXX公司管理员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
系统口令强壮度与策略
风险描述
增强其口令策略,默认长度值,复杂程度,口令使用周期来增强系统安全
风险等级
风险中
加固建议
修改系统用户passwd强度来增强系统安全性
加固的风险/影响
可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效
加固风险规避方法
事先将原配置文件做备份
加固成果
增强用户密码的强度,大大降低用户密码被猜解的可能性
加固具体方法
加固具体方法:
修改/etc/security/user文件,按需要的口令策略设置或加入如下参数
minlen=8
XXX公司意见
XXX公司管理员对本条风险加固的意见:
同意
需要修改(描述修改的意见)
不同意(描述不同意的原因)
签名(签字确认)
Root用户历史操作记录
风险描述
记录root用户的shell键值可能造成安全隐患,泄漏敏感信息
风险等级
风险低
加固建议
不记录root的操作记录或记录很少条记录
加固的风险/影响
Root用户的操作记录减少
加固风险规避方法
事先将原配置文件做备份
加固成果
避免通过历史记录获得一些敏感信息,增强系统安全性
加固具体方法
对于root可设置其$HOME目录变量下.profile文件属性,确认histsize指定大小为小于10
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
删除默认系统用户
风险描述
默认的系统用户可能造成非法登录隐患
风险等级
风险低
加固建议
删除不用的默认系统用户
加固的风险/影响
删除的默认系统用户无法使用
加固风险规避方法
事先将原配置文件做备份
加固成果
删除了不用的系统用户,避免利用这些用户的非法登录
加固具体方法
修改/etc/passwd文件,在lpd,guest,uucp,nobody,lpd用户前用’#’注释
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)
文件权限
文件权限和文件类型设置
风险描述
重要用户配置文件和相关系统重要目录下的文件权限(包括对所有用户可写文件)和文件类型设置
风险等级
●风险中
加固建议
如/usr/lib,/etc,/dev,/lib,*。
Conf,.profile,hosts等文件进行严格的文件权限设置,建议设置为644
加固的风险/影响
其它组/用户无法修改这些文件
加固风险规避方法
加固成果
避免其它用户修改重要的配置文件,增强系统安全
加固具体方法
Chmod644filename
XXX公司意见
XXX公司管理员对本条风险加固的意见:
●同意
●需要修改(描述修改的意见)
●不同意(描述不同意的原因)
●签名(签字确认)