AIX安全配置基线要点Word格式.docx

1、基线符合性判定依据需要锁定的用户，如：deamon,bin,sys,adm ,printq,guest,nobody,lpd,备注手工判断，基于业务判断需要锁定的用户2.1.2用户组设置*操作系统AIX用户组安全基线要求项SBL-AIX-02-01-02 用户组设置。more /etc/group ls -l /etc/group不要存在无用的用户组，如：printq手工判断，基于业务判断无用的用户组2.1.3 Root用户远程登录限制操作系统AIX远程登录安全基线要求项SBL-AIX-02-01-03 Root用户远程登录限制。more /etc/security/user ，检查在root

2、项目中是否有下列行:rlogin=falselogin=true su=true sugroup=system禁止root用户直接登录系统2.1.4系统用户登录限制*操作系统AIX用户登录安全基线要求项SBL-AIX-02-01-04 系统用户登录限制。more /etc/security/user ，检查在daemon bin sys adm uucp nuucp printq guest nobody lpd sshd项目中是否有下列行:login=false系统帐号仅被守护进程和服务使用，不应直接由用户登录系统。如果系统没有应用这些守护进程或服务，建议删除这些帐号。手工判断，基于业务判断

3、相关帐号2.1.5帐号用户共享限制*操作系统AIX帐号用户共享限制安全基线要求项SBL-AIX-02-01-05 应按照不同的用户分配不同的帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。1、参考配置操作为用户创建帐号：#useradd username #创建帐号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录）使用该命令为不同的用户分配不同的帐号，设置不同的口令及权限信息等。2、补充操作说明1、判定条件能够登录成功并且可以进行常用

4、操作；2、检测操作使用不同的帐号进行登录并进行一些常用操作；3、补充说明手工判断，基于业务判断2.1.6删除系统无关帐号*操作系统AIX系统无关帐号安全基线要求项SBL-AIX-02-01-06 应删除或锁定与设备运行、维护等工作无关的帐号。删除用户：#rmuser p username; 锁定用户：1）修改/etc/shadow文件，用户名后加*LK*2）将/etc/passwd文件中的shell域设置成/bin/false3）#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd d username解锁

5、后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。需要锁定的用户：deamon,bin,sys,adm ,printq,guest,nobody,lpd系统内存在不可删除的内置帐号，包括root,bin等。被删除或锁定的帐号无法登录成功；使用删除或锁定的与工作无关的帐号登录系统；deamon,bin,sys,adm,printq,guest,nobody,lpd 手工判断，基于业务判断系统无关帐号2.1.7限制具备超级管理员权限的用户远程登录操作系统AIX用户远程管理安全基线要求项SBL-AIX-02-01-07 限制具备超级管理员权限的用户远程登录。远程执行管理员权

6、限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限帐号后执行相应操作。1、 参考配置操作编辑/etc/security/user，加上：在root项上输入false作为rlogin的值此项只能限制root用户远程用ssh登录，修改此项不会看到效果的如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。root远程登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户；root从远程使用ssh登录；普

7、通用户从远程使用ssh登录；限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。2.1.8多帐户组管理*操作系统AIX多帐户组安全基线要求项SBL-AIX-02-01-08 根据系统要求及用户的业务需求，建立多帐户组，将用户帐号分配到相应的帐户组。创建帐户组：#groupadd g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod g group username #将用户username分

8、配到group组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统帐号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；可以查看到用户帐号分配到相应的帐户组中；或都通过命令检查帐号是否属于应有的组：#id use

9、rname 查看组文件：cat /etc/group 文件中的格式说明：group_name:GID:user_list 2.1.9系统帐号登陆限制*操作系统AIX系统帐号登陆安全基线要求项SBL-AIX-02-01-09 对系统帐号进行登录限制，确保系统帐号仅被守护进程和服务使用，不应直接由该帐号登录系统。如果系统没有应用这些守护进程或服务，应删除这些帐号。禁止帐号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除帐号：#rmuser -p username;禁止交互登录的系统帐号，比如uucp nuucp lpd guest printq等被禁止帐号交互式登录的帐户远程

10、登录不成功；用root登录后，新建一帐号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出；1.2 口令2.2.1口令生存期安全要求操作系统AIX口令生存期安全基线要求项SBL-AIX-02-02-01 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天（13周）。more /etc/security/user ，检查histexpireHistexpire小于等于132.2.2口令历史安全要求SBL-AIX-02-02-02 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次内已使用的口令。

11、more /etc/security/user ，检查histsizeHistsize大于等于52.2.3用户口令锁定策略*操作系统AIX口令锁定安全基线要求项SBL-AIX-02-02-03 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的帐号。more /etc/security/user ，检查loginretriesloginretries=10注意！此项设置会影响性能，建议设置后对访问此服务器源地址做限制。2.2.4用户访问权限安全要求操作系统AIX用户访问权限安全基线要求项SBL-AIX-02-02-04 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。more /etc/default/login ，检查umaskumask 0272.2.5用户FTP访问的安全要求*操作系统AIX用户FTP访问安全基线要求项SBL-AIX-02-02-05 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。1、 执行：more /etc/ftpaccess