AIX系统安全加固手册Word文件下载.doc

1、2系统网络参数类82.1Suid/sgid文件82.2Umask权限设置82.3系统核心网络参数安全性增强93用户管理、访问控制、审计功能类93.1防止root从远程登录93.2减少登录会话时间103.3系统口令强壮度与策略103.4Root用户历史操作记录113.5删除默认系统用户124文件权限124.1文件权限和文件类型设置121 端口与服务1.1 相关端口对应服务禁止风险描述21, 23 , 25, 111, 513 , 514 , 515, 540 , 80 ，6112， 161 , 7, 37 , 110 相关rpc等服务禁止风险等级l 风险高加固建议判断上述系统默认服务在本系统是否

2、需要应用来决定关闭或者替换升级加固的风险/影响 有些业务服务可能需要以上某些系统服务，关闭服务将造成某些系统维护方式或者业务服务不正常，相关系统默认服务（ftp, rsh, kshell, rlogin, krlogin, rexec, comsat, uucp, finger, tftp, talk,ntalk, echo, discard, chargen, daytime, time及rpc小服务），具体说明如下：Rsh,rlogin,rexec - R远程登录系列服务,容易被窃听Finger -允许远程查询登陆用户信息Time - 网络时间服务，允许远程察看系统时间Echo - 网络测

3、试服务，回显字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Discard - 网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Daytime - 网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Chargen - 网络测试服务，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用comsat -通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 很少需要的,禁用klogin - Kerberos 登录，如果您的站点使用 Kerberos 认证则启用kshell - Ker

4、beros shell，如果您的站点使用 Kerberos 认证则启用ntalk - 允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用talk - 在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务ntalk - new talktftp - 以 root 用户身份运行并且可能危及安全uucp - 除非有使用 UUCP 的应用程序，否则禁用dtspc - CDE 子过程控制，不用图形管理的话禁用加固风险规避方法根据主机的业务需求，关闭对应服务端口，事先将原配置文件做备份加固成果关闭不用的端口可以避免非法用户利用这些端口

5、入侵系统，通过升级服务来减少可被利用的漏洞。加固具体方法编辑或注释inetd.conf 中所对应服务的启动脚本和启动语句来禁止上述服务。 有些服务可能以cron定时启动 请检查cron定时脚本。XXX公司意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）1.2 系统相关服务默认banner消息禁止系统相关服务如ftpd, telnetd, sendmail 等默认banner消息禁止， l 风险中修改可判断系统版本输出消息的服务banner连接或使用上述服务将不会返回上述服务版本避免通过banner信息泄露系统敏感

6、信息修改/etc/motd文件修改/etc/ftpmotd文件 检查/etc/security/login.cfg 文件中察看herald是否有设置1.3 nfs服务关闭查看nfs服务是否启用，避免利用nfs服务漏洞入侵系统若使用nfs share file服务 ，则判断该服务目前输出的export file list列表中的nfs文件系统挂载权限和允许挂载该文件系统的地址是否是erverone 等该服务加固后将造成某些无授权的ip地址挂载该系统nfs文件系统失败事先将原配置文件做备份能避免非法用户挂载nfs文件系统，增强系统安全性若不使用nfs服务，则从系统当前启动等级中启动脚本移除，若使用

7、该服务则应用share 命令对指定文件系统做限制ip挂载地址以及挂载权限参数限制。注释/etc/inittab文件中关于nfs的行1.4 图形管理服务关闭检查图形管理界面是否开启，避免利用该服务漏洞入侵系统若不使用图形管理，将图形管理关闭无法进行图形方式管理能避免非法用户利用图形管理服务的漏洞修改/etc/inittab文件，将dt，dt_nogb注释1.5 FTP服务登入权限设定/etc/ftpusers文件以及权限风险中将不需要使用ftpd服务的用户加入ftpusers文件，来保证ftp服务安全性,确保该文件属性为644来保证文件层安全可能影响某些使用该帐号ftp登陆的备份，操作，日志记录

8、等脚本能防止非授权用户登入FTP编辑/etc/ftpd/ftpusers或/etc/ftpusers文件加入不允许ftp登陆的用户厂商意见厂商维护人员对本条风险加固的意见：1.6 禁止rlogin服务基于pam动态验证库验证机制的.rhosts文件和rlogin服务风险高.rhosts文件信任机制是一种极其不安全的用户登陆信任机制，建议若不使用rlogin服务则在/etc/inetd.conf禁止， 造成某些使用.rhosts验证机制的的服务 如cluster等服务无法正常使用事先将原配置文件（/etc/inetd.conf）做备份避免非法用户利用rlogin入侵系统若仍使用.rhosts文件

9、的信任机制 则因该查找当前系统所用用户$HOME变量下是否存在.rhosts文件，确定其文件属性为600，文件内容为指定的信任主机若不使用.rhosts文件信任关系则编辑/etc/inetd.conf 将rlogin行注释并删除所有.rhosts文件1.7 Cron服务内容以及服务日志审核批Cron服务内容以及服务日志审核批若不使用cron服务，则关闭该服务，若使用该服务则因该保证/var/spool/cron/crontab下的各个用户文件权限为600,并检查各个用户服务内容中是否有包括用户和密码明文使用的备份，传输，任务脚本。可能造成管理上的一些不便事先将原配置文件（/var/spool/

10、cron/crontabs/下文件）做备份消除cron服务脚本中使用用户名和密码明文带来的隐患Chmod 600 /var/spool/cron/crontabs/*1.8 Syslog服务属性修改系统Syslog文件记录及其属性 风险低改变/etc/syslog.conf中默认的/var/adm日志路径将能更好的保护系统日志不受破坏，确定文件属性为 400来保证其安全性日志的存放路径变更阻止普通用户获取系统日志信息，增强系统安全性修改/etc/syslog.conf文件，将日志记录路径修改为其他路径或其他主机地址,chmod 400修改该文件属性2 系统网络参数类2.1 Suid/sgid文

11、件去掉文件不必要的Suid/sgid属性对系统不必要的suid为root文件，去掉其suid属性来防止文件层，如heap,stack,formatstring等一类的提升权限攻击可能造成某些使用该suid文件来运行的服务或进程无法以root权限进程来执行事先将原文件权限记录避免通过不必要的suid文件获得root权限，增强系统安全性Chmod s filename去掉不需要suid属性文件的suid属性先运行以下命令查找find / -type f -perm -4001 -user 0 （先运行此两个命令来查找filename）find / -type f perm -2001 group 0 login passwd mount （不能更改）XXX公司管理员