AIX安全配置基线.docx

1、AIX安全配置基线AIX 系统安全配置基线中国移动通信有限公司 管理信息系统部2009年 3月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章 概述 11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章 账号管理认证授权 22.1 账号 22.1.1用户帐号设置 22.1.2用户组设置 22.1.3用户口令设置 32.1.4Root用户远程登录限制 32.1.5系统用户登录限制 42.2 口令 42.2.1口令生存期安全要求 42.2.2口

2、令历史安全要求 42.2.3用户口令锁定策略 52.2.4用户访问权限安全要求 52.2.5用户FTP访问的安全要求 6第3章 网络与服务 73.1 服务 73.1.1远程维护安全要求 73.2 网络 73.2.1 ICMP重定向安全要求 7第4章 日志审计 84.1 日志 84.1.1添加认证日志 84.2 审计 84.2.1安全事件审计 8第5章 设备其他安全配置要求 105.1 设备 105.1.1屏幕保护 105.2 缓冲区 105.2.1缓冲区溢出 10第6章 评审与修订 12第1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的AIX 操作系统的主机应

3、当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行AIX 操作系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的AIX 服务器系统。1.3 适用版本AIX系列服务器；1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备

4、案。第2章 账号管理认证授权2.1 账号2.1.1用户帐号设置安全基线项目名称操作系统AIX用户账户安全基线要求项安全基线编号SBL-AIX-02-01-01 安全基线项说明 用户帐号设置。检测操作步骤1、执行：lsuser a home ALL2、执行：ls l /etc/passwd基线符合性判定依据需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd备注2.1.2用户组设置安全基线项目名称操作系统AIX用户组安全基线要求项安全基线编号SBL-AIX-02-01-02 安全基线项说明 用户组设置。检测操作步骤1

5、、执行：more /etc/group 2、执行：ls -l /etc/group基线符合性判定依据不要存在无用的用户组：uucp printq备注2.1.3用户口令设置安全基线项目名称操作系统AIX用户口令安全基线要求项安全基线编号SBL-AIX-02-01-03 安全基线项说明 用户口令设置。对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类检测操作步骤1、执行：more /etc/security/user ，检查maxage/minlen/minage/pwdwarntime参数2、执行：pwdck n ALL, 检查是否存在空口令

6、账号基线符合性判定依据不能存在简单密码；创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。备注2.1.4Root用户远程登录限制安全基线项目名称操作系统AIX远程登录安全基线要求项安全基线编号SBL-AIX-02-01-04 安全基线项说明 Root用户远程登录限制。检测操作步骤1、执行：more /etc/security/user ，检查在root项目中是否有下列行:rlogin=falselogin=true su=true sugrou

7、p=system基线符合性判定依据禁止root用户直接登录系统可以增加系统入侵的难度备注2.1.5系统用户登录限制安全基线项目名称操作系统AIX用户登录安全基线要求项安全基线编号SBL-AIX-02-01-05 安全基线项说明 系统用户登录限制。检测操作步骤1、执行：more /etc/security/user ，检查在daemon bin sys adm uucp nuucp printq guest nobody lpd sshd项目中是否有下列行:rlogin=falselogin=false基线符合性判定依据系统账号仅被守护进程和服务使用，不应直接由用户登录系统。如果系统没有应用这些

8、守护进程或服务，建议删除这些账号。备注2.2 口令2.2.1口令生存期安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。检测操作步骤1、执行：more /etc/security/user ，检查histexpire基线符合性判定依据Histexpire小于等于13备注2.2.2口令历史安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，应配置设备，使用户不

9、能重复使用最近5次（含5次）内已使用的口令。检测操作步骤1、执行：more /etc/security/user ，检查histsize基线符合性判定依据Histsize大于等于5备注2.2.3用户口令锁定策略安全基线项目名称操作系统AIX口令锁定安全基线要求项安全基线编号SBL-AIX-02-02-03 安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步骤1、执行：more /etc/security/user ，检查retries基线符合性判定依据retries=6备注2.2.4用户访问权限安全要求安全基线项目

10、名称操作系统AIX用户访问权限安全基线要求项安全基线编号SBL-AIX-02-02-04 安全基线项说明 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤1、执行：more /etc/default/login ，检查umask基线符合性判定依据umask 027备注2.2.5用户FTP访问的安全要求安全基线项目名称操作系统AIX用户FTP访问安全基线要求项安全基线编号SBL-AIX-02-02-05 安全基线项说明 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录

11、时应屏蔽掉新文件或目录不应有的访问允许权限。检测操作步骤1、 执行：more /etc/ftpaccess ，检查restricted-uid2、 执行：more /etc/ftpusers基线符合性判定依据ftpaccess中应有类似一行restricted-uid *(限制所有)；ftpusers列表里边的用户名应包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4备注第3章 网络与服务3.1 服务3.1.1远程维护安全要求安全基线项目名称操作系统AIX远程维护安全基线要求项安全基线编号SBL-AIX-03-01-01 安

12、全基线项说明 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。检测操作步骤1、执行：ps elf|grep ssh2、执行：ps elf|grep telnet基线符合性判定依据ssh启用，telnet禁用备注3.2 网络3.2.1 ICMP重定向安全要求安全基线项目名称操作系统AIX ICMP重定向安全基线要求项安全基线编号SBL-AIX-03-02-01 安全基线项说明 主机系统应该禁止ICMP重定向，采用静态路由。检测操作步骤在/etc/rc2.d/S?inet搜索在/etc/rc2.d/S69inet中搜索基线符合性判定依据要求ip_sen

13、d_redirects=0要求ip6_send_redirects=0备注第4章 日志审计4.1 日志4.1.1添加认证日志安全基线项目名称操作系统AIX认证日志安全基线要求项安全基线编号SBL-AIX-04-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址检测操作步骤1、 执行：cat /etc/syslog.conf ，检查类似配置：auth.info /var/adm/authlog*.info;auth.none /var/adm/syslogn2、检测操作cat /var/a

14、dm/authlogcat /var/adm/syslog基线符合性判定依据列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。备注4.2 审计4.2.1安全事件审计安全基线项目名称操作系统AIX安全事件审计安全基线要求项安全基线编号SBL-AIX-04-02-01 安全基线项说明 设备应配置日志功能，记录对与设备相关的安全事件。检测操作步骤1、执行：cat /etc/syslog.conf ，检查类似配置：*.err;kern.debug;daemon.notice; /var/adm/messages基线符合性判定依据要求有上述类似配置。备注第5章 设备其他安全配置要求5.1 设备

15、5.1.1屏幕保护安全基线项目名称操作系统AIX屏幕保护安全基线要求项安全基线编号SBL-AIX-05-01-01 安全基线项说明 对于具备字符交互界面的设备，应配置定时帐户自动登出。检测操作步骤1、 查看：cat /etc/profile|grep TMOUTcat /etc/environment|grep TMOUTcat /etc/security/.profile|grep TMOUT基线符合性判定依据如果没显示则不符合配置要求。备注5.2 缓冲区5.2.1缓冲区溢出安全基线项目名称操作系统AIX缓冲区溢出安全基线要求项安全基线编号SBL-AIX-05-02-01 安全基线项说明 防止堆栈缓冲溢出。检测操作步骤1、查看：cat /etc/security/limits 2、查看/etc/ profile 文件：基线符合性判定依据cat /etc/security/limits有如下两行：core 0core_hard = 0/etc/ profile 文件有：ulimit c 0备注第6章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。