AIX系统安全加固手册 09Word文档格式.docx

1、lslpp La5 如果有可能，重新建立新的启动引导镜像，并重新启动系统bosboot ad /dev/ipldeviceshutdown r6 按照以下步骤确定安装空间以root身份运行smitty update_all在“INPUT device / directory for software”中输入ML升级包的具体位置设定“Preview only？”选项为“yes”设定“COMMIT software updates?”选项为“no”设定“SAVE replaced files?预览安装结束后查阅smit的输出纪录7 安装推荐补丁包安装结束后查阅smit的输出纪录8 重新启动系统sh

2、utdown r注：目前最新推荐维护包将把系统升级至4.3.3.0.11版本补丁安装：1，建立临时efix目录并转移到此目录：# mkdir /tmp/efix# cd /tmp/efix2，把efix移到/tmp/efix，解压补丁：# uncompress secldap_efix.tar.Z# tar xvf secldap_efix.tar# cd secldap_efix3，修改补丁文件以适应用户自身的系统，并设置属主和权限：# mv secldapclntd.xxx secldapclntd # where xxx is 433 or 510# chown root.securit

3、y secldapclntd# chmod 500 secldapclntd4，建立原始两进制程序的备份，并去掉相关权限：# cd /usr/sbin# cp secldapclntd secldapclntd.orig# chmod 0 secldapclntd.orig5，停止secldapclntd守护进程：# kill ps -e|grep secldapclntd|awk print $1 6，使用补丁过的两进制程序代替当前系统程序，使用-p选项维持文件权限：# cp -p /tmp/efix/secldap_efix/secldapclntd /usr/sbin/secldapcl

4、ntd7，重新启动secldapclntd.# /usr/sbin/secldapclntd2 安装系统安全补丁加固查询APAR Database数据库（ ）来获得必要的系统安全补丁信息。1. 进入该数据库后选择有关产品的数据库：AIX Version 4/AIX Version 3/CATIA for AIX 。2. 选择检索选项, 并在下面输入相应的字串： （ APAR Number - 如：IX85874，IY00411Fileset Name - 如：.tcp.serverPTF Number - 如：U464245APAR Abstract - 如：HACMP，maintenance

5、）。3. 按Find Fix钮。4. 用鼠标左键选中所需Fix.（如果需要多个Fix，重复以下的步骤）。5. 选择所用操作系统的版本（如：AIX 4.3.3, 用oslevel可以查出AIX版本）。6. 选择从哪个服务器下载（Fix server）。7. 选择语言（Select languages）是指如果需要，下载何种语言包。8. 按Get Fix Package钮, 将得到符合以上选项的Fix 列表。9. 用鼠标右键依次点击所有的Fix，并选择Save Link As. 到本地硬盘相应目录（可用支持断点续传的软件，一起下载）。10. 安装Fix: 可在Fix所在目录，用smitty ins

6、tall_all来安装。11. 重新启动系统。3 系统配置加固1 加固系统TCP/IP配置通过/usr/sbin/no -o clean_partial_conns=1防止SYN的攻击；通过/usr/sbin/no -o arpt_killc=20设置arp表的清空时间；通过/usr/sbin/no -o icmpaddressmask=0防止网络地址掩码的泄漏；通过/usr/sbin/no -o directed_broadcast=0防止smurf攻击；通过/usr/sbin/no -o ipsrcroutesend=0；/usr/sbin/no -o ipsrcrouteforward=

7、0；/usr/sbin/no -o ip6srcrouteforward =0防止源路由攻击；通过/usr/sbin/no -o ipignoreredirects=1和/usr/sbin/no -o ipsendredirects=0 防止IP重定向；通过tcbck a禁用非信任的rcp，rlogin，rlogind，rsh，rshd，tftp，tftpd等程序和守护进程；利用smit lshostsequiv/smit mkhostsequiv/smit rmhostsquiv或者直接编辑/etc/hosts.equiv，检查所有其中的内容，去除信任主机和用户；利用smit lsftpus

8、ers/smit mkftpusers/smit rmftpusers或者直接编辑/etc/ftpusers来设定不能通过ftp登录系统的用户。设定所有关于网络配置文件的正确的安全属性，见下表：/etc Directory NameOwnerGroupModePermissionsgated.confRootsystem0664rw-rw-r-gatewayshostshosts.equivinetd.conf0644rw-r-r-named.confnamed.datanetworksprotocolsrc.tcpip0774rwxrwxr-resolv.confservices3270.k

9、eys3270keys.rt/usr/bin DirectoryHostSystem4555r-sr-xr-xhostidBin0555r-xr-xr-xhostnamefingerroot0755rwxr-xr-xftpnetstatrexecruptimerwhoTalktelnet/usr/sbin DirectoryArpfingerd0554r-xr-xr-Ftpd4554r-sr-xr-gatedifconfigbininetdnamedr-sr-x-Pingrexecdrouteroutedr-xr-x-rwhodsecuretcpipsetclocksyslogdtalkdte

10、lnetd/usr/ucb Directorytn/var/spool/rwho Directory rwho （directory）drwxr-xr-x2 根据系统应用要求关闭不必要的服务：可以通过编辑/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab等文件来实现。从系统管理的角度而言，一般只需要开放如下的服务： 可从/etc/inittab中删除的服务：piobe Printer IO BackEndqdaemon Printer Queueing Daemon writesrv write serveruprintfd Constru

11、cts and writes kernel messageshttpdlite docsearch Web Serverdt （通用桌面环境，要用CDE的话不能删除）imnss docsearch imnss Daemonimqss docsearch imqss daemonrcnfs NFS Daemons通过编辑文件/etc/inittab或rmitab命令完成。 可从/etc/rc.tcpip中删除的服务：dhcpcddhcpsddhcprdautoconf6ndpd-hostndpd-routerlpdtimedxntpdsnmpdpid2mroutedsendmailnfsdpor

12、tmap 可从/etc/inetd.conf中删除的服务：shellkshellloginkloginexeccomsatuucpbootpssystattftptalkntalkrpc.rquotadrpc.rexdrpc.rusersdrpc.ttdbserverrpc.spraydrpc.cmsdrpc.rwalldrpc.pcnfsdrpc.rstatdrpc.ssalldechodiscardchargendaytimetimewebsminstsrvimap2pop3kfclixmquery3 检查系统中所有的.rhosts，.netrc，hosts.equiv等文件，确保没有存在

13、潜在的信任主机和用户关系，使这些文件内容为空。4 为root设定复杂的口令，删除临时用户和已经不用的用户，检查现有系统上的用户口令强度，修改弱口令或空口令。5 设定系统日志和审计行为1） 增加日志缓冲和日志文件的大小：/usr/lib/errdemon -s4194304 B327682） monitor su command：more /var/adm/sulog3） use last command monitor current and previous system logins and logouts file : /var/adm/wtmp4） use who command mo

14、nitor all failed login attempts:who /etc/security/failedlogin5） the users who are currently logged:use who command.6） /etc/syslogd.conf 设定系统审计和日志的主要文件6 在/etc/profile中设定用户自动logoff的值TMOUT和TIMEOUT值，如：TMOUT3600 #for Korn ShellTIMEOUT3600 #for Bourne Shellexport TMOUT TIMEOUT7 审查root的PATH环境变量，确保没有本地目录出现。

15、8 修改系统登录前的提示信息（banner），启用 SAK，编辑/etc/security/login.cfg文件：sak_enabled=trueherald = rnnnnnnnnnnnnnnn NOTICE TOUSERSrnrnUse of this machine waives all rights to yourprivacy,rnrn and is consent to be monitored.rnrnUnauthorizeduse prohibited.rnrnrnlogin: 9 用管理工具smit chuser来禁止root远程登录且只能在console登录，并限定登录尝

16、试次数：设置/etc/security/user文件中的login与rlogin值为false，ttys值为tty0，loginretries值为3。10 通过编辑/etc/security/user文件或使用chsec命令设置默认的口令策略，并启用SAK：minage=0maxage=12maxexpired=4minalpha=4minother=1minlen=8mindiff=3maxrepeats=3histexpire=26histsize=8pwdwarntime=14tpath=on11 Crontab Chmod 600 /var/spool/cron/crontabs/ e

17、g. Lp sys adm 除了root其他用户不能拥有cron 访问12 执行li Ra l a listofallfiles，保存listofallfiles文件，以备日后核对。13 实现文件系统的ACL控制，实现针对用户的文件访问控制。（可选）14 审查NFS策略，如果没有必要，则关闭该服务。15 审查SNMP策略，如果需要该服务，应当将community的名称设定为较复杂的字符串，并限定访问范围，如果不需要，则关闭该服务。16 审查sendmail服务策略，如果需要提供该服务，应当修改sendmail.cf文件，使之符合必要的安全要求（不转发，不能vrfy和expn），如果不需要该服务，则关闭该服务。4 Setuid and setgid （可选） 需要 setuid :/usr/bin/passwd/usr/bin/ps/usr/bin/su/usr/sbin/tsm/usr/bin/w 只需要 setgid 的是 :/usr/bin/mailx/usr/bin/mail其他的可以去除，但需要注意与数据库相关的setUid 和 setgid（附：所有对配置文件进行修改的操作，做好的备份和权限管理工作。如 cp /etc/inetd.conf /etc/inetd.conf.oldchmod 000 inetd.conf.old ）