1、lslpp La5 如果有可能,重新建立新的启动引导镜像,并重新启动系统bosboot ad /dev/ipldeviceshutdown r6 按照以下步骤确定安装空间以root身份运行smitty update_all在“INPUT device / directory for software”中输入ML升级包的具体位置设定“Preview only?”选项为“yes”设定“COMMIT software updates?”选项为“no”设定“SAVE replaced files?预览安装结束后查阅smit的输出纪录7 安装推荐补丁包安装结束后查阅smit的输出纪录8 重新启动系统sh
2、utdown r注:目前最新推荐维护包将把系统升级至4.3.3.0.11版本补丁安装:1,建立临时efix目录并转移到此目录:# mkdir /tmp/efix# cd /tmp/efix2,把efix移到/tmp/efix,解压补丁:# uncompress secldap_efix.tar.Z# tar xvf secldap_efix.tar# cd secldap_efix3,修改补丁文件以适应用户自身的系统,并设置属主和权限:# mv secldapclntd.xxx secldapclntd # where xxx is 433 or 510# chown root.securit
3、y secldapclntd# chmod 500 secldapclntd4,建立原始两进制程序的备份,并去掉相关权限:# cd /usr/sbin# cp secldapclntd secldapclntd.orig# chmod 0 secldapclntd.orig5,停止secldapclntd守护进程:# kill ps -e|grep secldapclntd|awk print $1 6,使用补丁过的两进制程序代替当前系统程序,使用-p选项维持文件权限:# cp -p /tmp/efix/secldap_efix/secldapclntd /usr/sbin/secldapcl
4、ntd7,重新启动secldapclntd.# /usr/sbin/secldapclntd2 安装系统安全补丁加固查询APAR Database数据库( )来获得必要的系统安全补丁信息。1. 进入该数据库后选择有关产品的数据库:AIX Version 4/AIX Version 3/CATIA for AIX 。2. 选择检索选项, 并在下面输入相应的字串: ( APAR Number - 如:IX85874,IY00411Fileset Name - 如:.tcp.serverPTF Number - 如:U464245APAR Abstract - 如:HACMP,maintenance
5、)。3. 按Find Fix钮。4. 用鼠标左键选中所需Fix.(如果需要多个Fix,重复以下的步骤)。5. 选择所用操作系统的版本(如:AIX 4.3.3, 用oslevel可以查出AIX版本)。6. 选择从哪个服务器下载(Fix server)。7. 选择语言(Select languages)是指如果需要,下载何种语言包。8. 按Get Fix Package钮, 将得到符合以上选项的Fix 列表。9. 用鼠标右键依次点击所有的Fix,并选择Save Link As. 到本地硬盘相应目录(可用支持断点续传的软件,一起下载)。10. 安装Fix: 可在Fix所在目录,用smitty ins
6、tall_all来安装。11. 重新启动系统。3 系统配置加固1 加固系统TCP/IP配置通过/usr/sbin/no -o clean_partial_conns=1防止SYN的攻击;通过/usr/sbin/no -o arpt_killc=20设置arp表的清空时间;通过/usr/sbin/no -o icmpaddressmask=0防止网络地址掩码的泄漏;通过/usr/sbin/no -o directed_broadcast=0防止smurf攻击;通过/usr/sbin/no -o ipsrcroutesend=0;/usr/sbin/no -o ipsrcrouteforward=
7、0;/usr/sbin/no -o ip6srcrouteforward =0防止源路由攻击;通过/usr/sbin/no -o ipignoreredirects=1和/usr/sbin/no -o ipsendredirects=0 防止IP重定向;通过tcbck a禁用非信任的rcp,rlogin,rlogind,rsh,rshd,tftp,tftpd等程序和守护进程;利用smit lshostsequiv/smit mkhostsequiv/smit rmhostsquiv或者直接编辑/etc/hosts.equiv,检查所有其中的内容,去除信任主机和用户;利用smit lsftpus
8、ers/smit mkftpusers/smit rmftpusers或者直接编辑/etc/ftpusers来设定不能通过ftp登录系统的用户。设定所有关于网络配置文件的正确的安全属性,见下表:/etc Directory NameOwnerGroupModePermissionsgated.confRootsystem0664rw-rw-r-gatewayshostshosts.equivinetd.conf0644rw-r-r-named.confnamed.datanetworksprotocolsrc.tcpip0774rwxrwxr-resolv.confservices3270.k
9、eys3270keys.rt/usr/bin DirectoryHostSystem4555r-sr-xr-xhostidBin0555r-xr-xr-xhostnamefingerroot0755rwxr-xr-xftpnetstatrexecruptimerwhoTalktelnet/usr/sbin DirectoryArpfingerd0554r-xr-xr-Ftpd4554r-sr-xr-gatedifconfigbininetdnamedr-sr-x-Pingrexecdrouteroutedr-xr-x-rwhodsecuretcpipsetclocksyslogdtalkdte
10、lnetd/usr/ucb Directorytn/var/spool/rwho Directory rwho (directory)drwxr-xr-x2 根据系统应用要求关闭不必要的服务:可以通过编辑/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab等文件来实现。从系统管理的角度而言,一般只需要开放如下的服务: 可从/etc/inittab中删除的服务:piobe Printer IO BackEndqdaemon Printer Queueing Daemon writesrv write serveruprintfd Constru
11、cts and writes kernel messageshttpdlite docsearch Web Serverdt (通用桌面环境,要用CDE的话不能删除)imnss docsearch imnss Daemonimqss docsearch imqss daemonrcnfs NFS Daemons通过编辑文件/etc/inittab或rmitab命令完成。 可从/etc/rc.tcpip中删除的服务:dhcpcddhcpsddhcprdautoconf6ndpd-hostndpd-routerlpdtimedxntpdsnmpdpid2mroutedsendmailnfsdpor
12、tmap 可从/etc/inetd.conf中删除的服务:shellkshellloginkloginexeccomsatuucpbootpssystattftptalkntalkrpc.rquotadrpc.rexdrpc.rusersdrpc.ttdbserverrpc.spraydrpc.cmsdrpc.rwalldrpc.pcnfsdrpc.rstatdrpc.ssalldechodiscardchargendaytimetimewebsminstsrvimap2pop3kfclixmquery3 检查系统中所有的.rhosts,.netrc,hosts.equiv等文件,确保没有存在
13、潜在的信任主机和用户关系,使这些文件内容为空。4 为root设定复杂的口令,删除临时用户和已经不用的用户,检查现有系统上的用户口令强度,修改弱口令或空口令。5 设定系统日志和审计行为1) 增加日志缓冲和日志文件的大小:/usr/lib/errdemon -s4194304 B327682) monitor su command:more /var/adm/sulog3) use last command monitor current and previous system logins and logouts file : /var/adm/wtmp4) use who command mo
14、nitor all failed login attempts:who /etc/security/failedlogin5) the users who are currently logged:use who command.6) /etc/syslogd.conf 设定系统审计和日志的主要文件6 在/etc/profile中设定用户自动logoff的值TMOUT和TIMEOUT值,如:TMOUT3600 #for Korn ShellTIMEOUT3600 #for Bourne Shellexport TMOUT TIMEOUT7 审查root的PATH环境变量,确保没有本地目录出现。
15、8 修改系统登录前的提示信息(banner),启用 SAK,编辑/etc/security/login.cfg文件:sak_enabled=trueherald = rnnnnnnnnnnnnnnn NOTICE TOUSERSrnrnUse of this machine waives all rights to yourprivacy,rnrn and is consent to be monitored.rnrnUnauthorizeduse prohibited.rnrnrnlogin: 9 用管理工具smit chuser来禁止root远程登录且只能在console登录,并限定登录尝
16、试次数:设置/etc/security/user文件中的login与rlogin值为false,ttys值为tty0,loginretries值为3。10 通过编辑/etc/security/user文件或使用chsec命令设置默认的口令策略,并启用SAK:minage=0maxage=12maxexpired=4minalpha=4minother=1minlen=8mindiff=3maxrepeats=3histexpire=26histsize=8pwdwarntime=14tpath=on11 Crontab Chmod 600 /var/spool/cron/crontabs/ e
17、g. Lp sys adm 除了root其他用户不能拥有cron 访问12 执行li Ra l a listofallfiles,保存listofallfiles文件,以备日后核对。13 实现文件系统的ACL控制,实现针对用户的文件访问控制。(可选)14 审查NFS策略,如果没有必要,则关闭该服务。15 审查SNMP策略,如果需要该服务,应当将community的名称设定为较复杂的字符串,并限定访问范围,如果不需要,则关闭该服务。16 审查sendmail服务策略,如果需要提供该服务,应当修改sendmail.cf文件,使之符合必要的安全要求(不转发,不能vrfy和expn),如果不需要该服务,则关闭该服务。4 Setuid and setgid (可选) 需要 setuid :/usr/bin/passwd/usr/bin/ps/usr/bin/su/usr/sbin/tsm/usr/bin/w 只需要 setgid 的是 :/usr/bin/mailx/usr/bin/mail其他的可以去除,但需要注意与数据库相关的setUid 和 setgid(附:所有对配置文件进行修改的操作,做好的备份和权限管理工作。如 cp /etc/inetd.conf /etc/inetd.conf.oldchmod 000 inetd.conf.old )
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1