aix系统安全加固参考信息24页文档资料.docx

1、aix系统安全加固参考信息24页文档资料Linux系统安全加固参考信息1 操作系统安全-身份鉴别1.1 对登录操作系统的用户进行身份标识和鉴别要求需对所有的帐号设置密码，要求在登陆系统时必须输入口令进行身份验证。解决方法对于当前用户使用命令“passwd ”进行密码设置； 对于其他用户则使用root权限登录后，使用命令“ passwd ” 进行密码设置。备注1.2 最小密码长度要求密码长度、使用密码字典解决方法vi /etc/security/userminlen = 8 /定义口令的最小长度，注意口令的最小长度由minlen和minalpha+minother中较大的一个值来决定。minal

2、pha+minother不应该大于8，如果大于8则minother会变为8-minalpha。（minalpha = 4 /定义在口令中最少的字母的数量，默认是0，范围是：0到8 minother = 0 /定义在口令中最少的非字母的数量，默认是0，范围是：0到8）备注1.3 密码复杂度要求密码复杂度解决方法vi /etc/security/user密码复杂程度要求包含数字和字母/etc/security/userMinalpha4/定义在口令中最少的字母的数量，默认是0，范围是：0到8Minother4/定义在口令中最少的非字母的数量，默认是0，范围是：0到8备注1.4 密码字典要求使用密码

3、字典检查新密码解决方法使用/etc/security/userDictionlist/usr/share/dict/words备注1.5 系统密码使用时间要求密码使用时间解决方法密码定期更改间隔设置为12周或更短/etc/security/userMaxage=12备注1.6 对失败登录的次数进行限制要求对失败登录的次数进行限制解决方法允许的失败登陆次数设置为5次或5次以下/etc/security/userLoginretries=5备注1.7 密码重复使用次数设置要求密码重复使用次数设置为至少8次解决方法/etc/security/userhistsize=8备注1.8 SSH服务IP，端

4、口，协议，允许密码错误的次数，网络中允许打开的会话数要求SSH服务IP，端口，协议，最大允许认证次数，网络中允许打开的会话数解决方法cat /etc/ssh/sshd_configPort 22 /SSH服务端端口为22ListenAddress 0.0.0.0 /SSH服务端监听地址为0.0.0.0SyslogFacility AUTHPRIV /系统登录功能有加密LoginGraceTime 0 /限制用户必须在指定的时间内认证成功，0表示不限制，2m为两个月内。MaxAuthTries 6 /指定每个连接最大允许的认证次数，默认值是6。如果失败认证的次数超过这个数值的一半，连接将被强制断

5、开，且会生成额外的失败日志消息。MaxSessions 10 /指定每个网络连接允许打开会话的最大数目，默认10MaxStarups 10 /最大允许保持多少个未认证的连接，默认10。达到限制后，将不再接受新连接，除非先前的连接认证成功或超过LoginGraceTime的限制。备注修改完成后，重启ssh服务service sshd restart备注1.9 root账号远程登录设置要求不允许root直接登录及相关配置解决方法使用命令“vi /etc/ssh/sshd_config”编辑配置文件#cat /etc/ssh/sshd_config PermitRootLogin yes /是否允许

6、root登录。PasswordAuthentication yes /密码是否有认证 选yes有ChallengeResponseAuthentication no /攻击响应认证 否GSSAPIAuthentication yes /通用安全服务应用程序接口认证 是UsePAM no /如果启用了PAM，那么必须使用root才能运行sshd。设置“PermitRootLogin ”的值为no备注修改完成后，重启ssh服务service sshd restart1.10 防止任何人使用su命令连接root用户要求不想任何人都可以用“su”命令成为root 或只让某些用户有权使用“su”命令解决

7、方法备注1.11 系统Banner设置要求通过修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息解决方法设置系统Banner的操作如下：在/etc/security/login.cfg文件中，在default小节增加：herald = ATTENTION:You have logged onto a secured server.All accesses logged.nnlogin:备注2 操作系统安全-访问控制2.1 修改帐户口令，更改默认帐户的访问权限要求严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令解决方法使用命令cat /et

8、c/password 文件来查看默认账户，并使用命令“cat /etc/shadow”查看文件中的口令是否为默认口令。使用root账户进行登录，使用命令“passwd username password”来修改用户的口令。对于无法重命名的系统默认帐号，为增强主机系统的安全性，建议使用命令“smit user”，将与业务无关的系统默认用户进行锁定；备注此操作具有一定的危险性，需要与管理员确认此项操作不会影响到业务系统的登录，以免影响正常业务应用。2.2 删除多余的、过期的帐户，避免共享帐户的存在要求删除多余的、过期的帐户，避免共享帐户的存在解决方法方法一：可使用命令“smit user”，将多余

9、的、过期的帐户，共享帐户等系统默认用户进行锁定；使用命令“smit user”解锁不必要的账号使用命令“smit user”删除多余、过期的账号方法二：vi /etc/security/user相关用户account_locked = true备注此操作具有一定的危险性，需要与管理员确认此项操作不会影响到业务系统的登录，以免影响正常业务应用。2.3 限制超级管理员远程登录要求限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。解决方法系统当前状态： 执行lsuser -a rlogin root命令，查看root的rlogin属

10、性并记录实施步骤：参考配置操作：（1）、查看root的rlogin属性： #lsuser -a rlogin root（2）、禁止root远程登陆： #chuser rlogin=false root备注还原root可以远程登陆，执行如下命令： #chuser rlogin=true root3 操作系统安全-入侵防范3.1 仅安装需要的应用程序，关闭不需要的服务和端口要求1.询问相关维护人员， 主机系统是除装有正常业务应用所需要的程序外，是否还安装有与业务应用无关的其它程序；2.询问相关维护人员并获取授权安装软件清单文档，查看当前操作系统中是否安装有非清单内的应用软件。3.询问相关维护人员，

11、是否关闭了除正常业务应用之外的所有服务与端口，具体检查方法：使用命令“netstat an”查看开放的端口；解决方法使用命令“netstat an”查看开放的端口；备注3.2 关闭不必要的服务要求关闭不必要的服务解决方法（9）要开启审计服务 auditd备注3.3 网络访问控制策略要求1.访谈系统管理员，是否制定了严格的访问控制策略，包括是否限制登录用户，对远程登录的IP是否有限制，采用哪种远程登录方式等。解决方法查看hosts.allow、hosts.deny是否对某些服务，某些IP进行了限制。#cat hosts.allowSshd:210.13.218.*:allow /表示允许210i

12、p段连接shhd服务#cat hosts.denySshd:all:deny /表示拒绝所有sshd远程连接当hosts.allow与hosts.deny相冲突时以hosts.allow为准。备注4 操作系统安全-资源控制4.1 根据安全策略设置登录终端的空闲超时断开会话或锁定要求根据安全策略设置登录终端的空闲超时断开会话或锁定解决方法可使用命令“cat /etc/profile |grep TMOUT”查看超时的时间设置。使用命令“vi /etc/profile”修改配置文件，添加行“TMOUT=180”，单位为秒，即超时时间为3分钟。备注超时时间的设置需要与应用管理员进行确认，以免影响正常

13、业务应用。4.2 文件创建初始权限要求文件创建初始权限解决方法vi /etc/security/user设置umask值umask 077 #适用root用户，其它用户不可读umask 022 #适用非root用户，其它用户可读不可写备注4.3 设置合适的历史命令数量要求设置合适的历史命令数量解决方法编辑“/etc/profile”文件，确保HISTFILESIZE和HISTSIZE都设成了一个比较小的值。HISTSIZE=80HISTFILESIZE=80备注4.4 系统磁盘剩余空间充分满足近期的业务需求要求1.检查用户是否建立有服务器备份存储及介质空间管理制度文档，检查其中是否对主机系统的

14、磁盘空间的大小做出明确的要求；2.检查主机系统的磁盘空间，查看各个分区是否有充足的剩余磁盘空间来满足近期的业务需求。使用命令“df hl”命令来查看当前磁盘占用空间情况解决方法建议如下：1.建立服务器备份存储及介质空间管理制度文档，并在其中对程序及重要数据的备份、对主机系统的磁盘空间的大小等项目做出明确的要求；2.管理员定期检查所有主机系统的磁盘占用空间及其它资源占用情况，如果发现磁盘空间不够，由相关技术人员提出申请，进行磁盘空间的扩充。备注4.5 检查并记录操作系统的分区情况和文件系统利用率要求检查并记录操作系统的分区情况和文件系统利用率解决方法df h可以查看相关信息：Filesystem

15、 size used avail use% mounted on文件系统 大小 已用 可用 使用率 挂载点当使用率过高时要注意了！备注5 操作系统安全日志5.1 日志功能开启要求启用日志记录功能解决方法syslog的配置主要通过/etc/syslog.conf配置，日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(hostname)。startsrc -s syslogd 启动syslog服务stopsrc-s syslogd 停止syslog服务备注5.2 失败登录日志监控要求通过系统日志的方式记录失败的登录尝试解决方法系统记录失败的用户登录/etc/s

16、ecurity/failedloginWho /etc/security/failedlogin 查看备注5.3 syslog日志等级的安全配置要求syslog日志等级的安全配置解决方法syslog配置文件要求：修改文件 安全设置/etc/syslog.conf 配置文件中包含一下日志记录：*.err /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth,authpriv /var/adm/authlog备注5.4 安全审计策略要求安全审计策略解决方法方法：查看系统日志配置，执行：#cat /etc/syslo

17、g.conf 查看syslogd的配置，并确认日志文件是否存在*;mail.none;news.none;authpriv.none;cron.none /var/log/messages/系统日志默认存放在 /var/log/messagescron.* /var/log/cron /cron日志默认存放在/var/log/cronauthpriv.* /var/log/secure /安全日志默认存放在/var/log/secure备注5.5 系统日志记录要求查年系统日志记录解决方法执行： cat /etc/log/secure /记录pop3,telnet,ssh,ftp登陆信息的文件l

18、ast R /查看前50次登陆系统用户的信息cat /etc/log/messages /查看系统发生的错误信息（包括登陆信息）备注5.6 启用记录cron行为日志功能和cron/at的使用情况要求启用记录cron行为日志功能和cron/at的使用情况解决方法cron/At的相关文件主要有以下几个：/var/spool/cron/crontabs 存放cron任务的目录/var/spool/cron/cron.allow 允许使用crontab命令的用户/var/spool/cron/cron.deny 不允许使用crontab命令的用户/var/spool/cron/atjobs 存放at任

19、务的目录/var/spool/cron/at.allow 允许使用at的用户/var/spool/cron/at.deny 不允许使用at的用户使用crontab和at命令可以分别对cron和at任务进行控制。#crontab -l 查看当前的cron任务#at -l 查看当前的at任务备注6 操作系统安全-系统安全6.1 补丁管理要求系统补丁安装标准解决方法执行oslevel r命令或instfix -i|grep ML命令，查看补丁当前安装的状况和版本。使用instfix aik命令来完成补丁的安装操作。注意：（1）、在AIX系统中涉及安全的补丁包有以下几种： 推荐维护包（Recommen

20、dedl Maintenance Packages）: 由一系列最新的文件集组成的软件包，包含了特定的操作系统（如AIX 5.2）发布以来的所有文件集的补丁。关键补丁Critical fixes(cfix)：自推荐维护包之后，修补关键性漏洞的补丁。紧急补丁Emergency fixes(efix): 自推荐维护包之后，修补紧急安全漏洞的补丁。（2）、补丁安装原则： 在新装和重新安装系统后，必须安装最新的推荐维护包，以及该最新推荐维护包以来的所有单独的cfix和efix。 日常维护中如果厂家推出新的RM、cfix、efix则按照原补丁维护管理规定进行补丁安装。备注应根据需要及时进行补丁装载。注意

21、：补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。6.2 检查并记录系统开启的网络端口要求检查并记录系统开启的网络端口解决方法netstat antp (查看开启的tcp端口)netstat anup （查看开启的udp端口）其中：Proto 显示连接使用的协议 Local Address 查看本地地址及端口备注6.3 关闭无效服务和启动项要求关闭无效服务和启动项解决方法查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置；查看/etc/inetd.conf文件并记录当前的配置（一）、rc.dAIX系统中

22、的服务主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中启动，事实上，/etc/rc.*系列文件主要也是由/etc/inittab启动。同时，AIX中所有启动的服务（至少与业务相关的）都可以同过SRC（System Resource Manager）进行管理。可以有三种方式查看系统服务的启动情况：（1）、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件；（2）、使用lssrc和lsitab命令；（3）、通过smit查看和更改。注：SRC本身通过/etc/inittab文件启动。lssrc -a 列出

23、所有SRC管理的服务的状态lsitab -a 列出所有由/etc/inittab启动的信息，和cat /etc/inittab基本相同，除了没有注释。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。（二）、inetd.conf由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC启动），因此查看INETD启动的服务的情况有两种方法：（1）、使用vi查看/etc/inetd.conf中没有注释的行；（2）、使用lssrc命令。l

24、ssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态；refresh -s inetd 更改/etc/inetd.conf文件后重启inetd。建议关闭由inetd启动的所有服务；如果有管理上的需要，可以打开telnetd、ftpd、rlogind、rshd等服务。启动或停止inetd启动的服务（例如ftpd）：（1）、使用vi编辑/etc/inetd.conf，去掉注释（启动）或注释掉（停止）ftpd所在的行；（2）、重启inetd：refresh -s inetd。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，

25、或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。备注6.4 仅允许特定IP允许访问服务要求仅允许特定IP允许访问服务解决方法查看hosts.allow、hosts.deny是否对某些服务，某些IP进行了限制。#cat /etc/hosts.allowSshd:210.13.218.*:allow /表示允许210ip段连接shhd服务#cat /etc/hosts.denySshd:all:deny /表示拒绝所有sshd远程连接当hosts.allow与hosts.deny相冲突时以hosts.allow为准。备注7 操作系统安全-其它服务安全7.1 FTP配置文件要求FTP

26、配置文件解决方法(1)若没有开启FTP服务，则不用检查此项。执行：#netstat -autl(2)检查FTP服务配置情况，执行：#cat /etc/vsftpd/vsftpd.conf查看是否允许匿名登录。文件：anonymous_enable = YES /允许匿名用户访问local_enable = YES /允许本地用户访问write_enable =YES /具有写权限local_umask =022 /本地用户创建文件或目录的掩码connect_from_port_20 =YES /开启20端口(3)查看上述配置文件的属性，确保不为其他人可写，执行：ls -l /etc/vsftp

27、d.ftpusers /etc/vsftpd/vsftpd.conf备注7.2 R族文件要求解决方法通过扫描工具，查看系统。或执行ps ef | grep service_name查询是否开启R族服务备注7.3 NFS文件系统配置情况检查要求NFS文件系统配置情况检查解决方法若没有开启NFS服务，则不用检查此项检查共享出的目录列表，执行：showmount -e检查NFS文件系统配置文件/etc/exports，确保文件中没有使用通配符，尽量不要赋予目录写权限，执行：cat /etc/exportsls -al /etc/exports它的格式一般是：共享的目录主机名1或IP1(参数1，参数2

28、)主机名2或IP2(参数3参数4)备注7.4 FTP用户及服务安全要求设置系统中的帐户是否可以通过ftp登陆操作解决方法（1）根据系统管理员提供允许ftp登陆操作的系统帐户列表，并与系统中当前的允许ftp登陆操作的用户相比对。设置是否允许系统帐户通过ftp方式登陆： #vi /etc/ftpusers注：默认情况下，该文件不存在。（2）将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中(每行一个用户名)。注：在无特殊需求的情况下，以下列表中的用户名是不允许ftp登陆操作的：root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help等备注希望以上资料对你有所帮助，附励志名言3条：1、有志者自有千计万计，无志者只感千难万难。2、实现自己既定的目标，必须能耐得住寂寞单干。3、世界会向那些有目标和远见的人让路。