AIX安全配置规范.docx

1、AIX安全配置规范AIX 操作系统安全配置规范201年3月第1章概述1.1适用范围适用于中国电信使用AIX操作系统的设备。本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同,配置操作有所不同，本规范以IX 5X为例，给出参考配置操作。第2章安全配置要求2.1账号编号: 要求内容应按照不同的用户分配不同的账号。操作指南、参考配置操作为用户创建账号:#erad userame 创建账号psd usrame #设置密码修改权限：#chmo 50 ectr 其中750为设置的权限，可根据实际情况设置相应的权限，dictory是要更改权限的目录)使用

2、该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作;、检测操作使用不同的账号进行登录并进行一些常用操作;3、补充说明编号：2要求内容应删除或锁定与设备运行、维护等工作无关的账号。操作指南1、参考配置操作删除用户：#uedel userna; 锁定用户:1)修改/tcshado文件,用户名后加*K*2)将/etc/psswd文件中的shell域设置成bin/fale3）psswd userame只有具备超级用户权限的使用者方可使用,#pad- sem锁定用户,用#aswd userame解锁后原有密码失效,登录需输入

3、新密码，修改/eshadow能保留原有密码。2、补充操作说明需要锁定的用户：ltn,gd,eserv,nbdy,nobody、noaces。检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户:len,dm,ebser,obod,nody4、noaces。解锁时间:15分钟编号:3要求内容限制具备超级管理员权限的用户远程登录。需要远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/et/secrit/us,加上：在ot项上输入alse作为rl

4、ogin的值此项只能限制ot用户远程使用tln登录。用ssh登录，修改此项不会看到效果的、补充操作说明如果限制oot从远程sh登录,修改/e/ssh/sd_confg文件，将mitRootLoin ye改为PrmitRooLogin no,重启shd服务。检测方法1、判定条件roo远程登录不成功，提示“没有权限”；普通用户可以登录成功，而且可以切换到roo用户;、检测操作root从远程使用tenet登录;普通用户从远程使用tene登录；root从远程使用ssh登录；普通用户从远程使用sh登录;3、补充说明限制oot从远程s登录，修改/et/s/ssh_config文件,将PriRootLogi

5、n yes改为ermitRotLgin n,重启ssh服务。编号：4要求内容对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。操作指南、参考配置操作把如下shell保存后，运行，会修改ssh的安全设置项:nalias p r seid /u/t-type f grep c sh_cog n 0） ec Caot finsh_cnfg ； 1) DIRfid /us/etc -type f2dev/nul | grepsh_conig$ sed -s：ssh_config:： cd $I cp sh_confi sscoitmp ak /#? *Pro

6、col/ rit Protcol 2; nt； prn sh_config.tmp scoi if grp -E Protocol sh_coig ; thn echoPotocol sh_confg fi msshofig.m cmod 60 ssh_confg ; ） echo Yo havlilesshd_config ils esove eco bfore ontining. ;sac #也可以手动编辑sh_cofig，在 Host 后输入 Prtco 2,cd $D cp shd_onfi shd_config.tmp wk /?*Prtoco/ prit Protoco2;next

7、 ； /#？X11Forwading/ pritX1Fowding es; nt ; /#?*IgnoreRhosts/ printgnrRtse; next; /#? *RhosAutentication/ prin RhAuthntiaion no；next； /？ostsRSAthntiction printRhstsRSAuthentiction; et ; #?*Hostbaseduenicaton pin HstbeAthenticaion no; next; /#？ PritRooLgn/ pn PemitRotLog o; xt; /? rmiEmpyPassors/ prin

8、terimptyssrd no;nxt ； /#? *Banne/ prntBannr /emotd;nex ； prn sshd_conf.tmp sshcnfig rm shd_onfig.tmp chmod 00 ssd_nfig Protoo #使用sh2版本X11owading e#允许窗口图形传输使用ssh加密InoreRhs es完全禁止SHD使用.osts文件hstsAuthenticaton no不设置使用基于rhot的安全验证RhotsRSAutheicatio no #不设置使用RA算法的基于rhst的安全验证HostbsdAtentaionno #不允许基于主机白名单方

9、式认证PmRoooin no #不允许登录ermEmptyPordsn#不允许空密码Banne etc/motd #设置sh登录时显示的baner2、补充操作说明查看SSH服务状态： sel|grp h检测方法1、判定条件# s elf|grep sh是否有sh进程存在2、检测操作查看SH服务状态：#s elf|grepssh查看teet服务状态: s elf|re telnet2.2口令编号：1要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。操作指南1、参考配置操作chs f /etc/securityusr-sdeault

10、-ainlen=8hec -f /et/securitser-sdefa -a inlha=1chec -f /etc/secuityusr -s default mindiff=1chsec -f ecsectyusersdfaut iother=1chcf /etcscuriy/uer deault a wdwarme=5mnlen8 #密码长度最少8位minlpha1 #包含的字母最少1个mndif=1 #包含的唯一字符最少个minother=1#包含的非字母最少1个pwwrntim=5#系统在密码过期前天发出修改密码的警告信息给用户2、补充操作说明 检测方法1、判定条件不符合密码强度的

11、时候，系统对口令强度要求进行提示；符合密码强度的时候,可以成功设置;、检测操作1、检查口令强度配置选项是否可以进行如下配置：i.配置口令的最小长度；ii.将口令配置为强口令。、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于位的口令，查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。编号：2要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于0天。操作指南1、参考配置操作方法一:hsec f /ececuity/usr - efalt -ahitxpie方法二:用vi或其他文本编辑工具修改ec

12、 /etc/ecity/uer文件如下值:htere13histpre=13 #密码可重复使用的星期为周(1天）2、补充操作说明检测方法、判定条件密码过期后登录不成功;、检测操作使用超过0天的帐户口令登录会提示密码过期;编号: 3要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近次（含5次)内已使用的口令。操作指南1、参考配置操作方法一:chse-f /etc/ertser - defult -assze=方法二：用v或其他文本编辑工具修改hsec /tcsecrtyur文件如下值:histsizehistexpire=5#可允许的密码重复次数检测方法1、判定条件设置密

13、码不成功、检测操作cat/etc/secity/uer，设置如下issie=5、补充说明默认没有histsize的标记,即不记录以前的密码。编号: 4要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含次），锁定该用户使用的账号。操作指南、参考配置操作查看帐户帐户属性: #lssrna 设置6次登陆失败后帐户锁定阀值： #hser onretrie=6 usernme检测方法1、判定条件运行lsuserasna命令,查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次，则进行设置2.3授权编号:1要求内容在设备权限配置能力内，根据用户的业务

14、需要，配置其所需的最小权限。操作指南1、参考配置操作通过hmo命令对目录的权限进行实际设置。2、补充操作说明chwn- root:security /etc/paswd /tc/grup/etc/secritycwn-R rot:audi tc/eritud chmod 44 /etpasswd/ec/grouchmod750 /etc/securymoR gow，o- /ecsecurty/ecpassw/et/goup etc/erity的所有者必须是o和scurity组成员etcsecurity/audit的所有者必须是root和audi组成员/cpasw所有用户都可读，root用户可写

15、 rw-r /tc/hado 只有root可读 r- tcgoup 必须所有用户都可读，root用户可写 rw-r使用如下命令设置:hmod644 /etcpassdchod 644/e/oup如果是有写权限，就需移去组及其它用户对的写权限（特殊情况除外）执行命令#chmod -R gw,- /ec检测方法1、判定条件1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。2、检测操作、利用管理员账号登录系统，并创建个不同

16、的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。、补充说明编号:要求内容控制TP进程缺省访问权限,当通过服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。操作指南1、参考配置操作a.限制某些系统帐户不准ftp登录：通过修改文件,增加帐户vi tc/ b.限制用户可使用FTP不能用Te,假如用户为创建一个etcsells

17、文件,添加一行 /bitru;修改tc/paswd文件，注:还需要把真实存在的sell目录加入/echels文件,否则没有用户能够登录p以上两个步骤可参考如下ell自动执行:lsuer- L gep-v #nm | cu - d：whilread NAM; do if lsuser -fNME |grep id| u2 -lt20 ； thn co Adig $NM to /etc NAME /ec/ fi doe or -u c /etc/ m /ec c root：systm etc/chmo 600/etc/c.限制fp用户登陆后在自己当前目录下活动编辑,加入如下一行restitd-ui

18、d*（限制所有），restricd-uid username(特定用户） 文件与文件在同一目录 d. 设置ft用户登录后对文件目录的存取权限,可编辑c/。chmod n guest，anoymos ele nogust,nnymous overwrie n gue，annymous renm n ge，anonmos umk no nonymus、补充操作说明查看 ct 说明： 在这个列表里边的用户名是不允许tp登陆的。otdmnbnssdmpupucplinnobdynoacesoody4检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录

19、的权限，操作举例如下：#more /ec/ #me /et/pasdmore/t/ 、补充说明查看 cat 说明: 在这个列表里边的用户名是不允许ftp登陆的。rotdaemonbnsysadmlpuucnulitennobodynoccessnod2.4补丁安全编号：要求内容应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。操作指南、参考配置操作先把补丁集拷贝到一个目录,如/8pate，然后执行#smi update_all选择安装目录/0updae默认SOFARE t updat _udate_all选择不提交,保存被覆盖的文件，可以回滚操作,接受许可协议 COMT softar

20、e udes? no SAVE replaced iles? yes ACCEPTw license agreements? yes然后回车执行安装。、补充操作说明检测方法1、判定条件查看最新的补丁号,确认已打上了最新补丁;2、检测操作检查某一个补丁，比如LY908是否安装#nsfix av LY5982检查文件集(）是否安装#lslpp o.atib3、补充说明补丁下载2.5日志安全要求编号：要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功,登录时间,以及远程登录时，用户使用的P地址。操作指南1、参考配置操作修改配置文件v /etc/syslo.c

21、of,加上这几行：aut.infott/va/adm/authog*.ino;at.nonet/varam/sslgn 建立日志文件,如下命令： touch /var/dm/utho/var/a/sylg chon roo:yste /v/amautlo 重新启动sylog服务,依次执行下列命令：spsrc sslgd startsrssylogAIX系统默认不捕获登录信息到yslogd，以上配置增加了验证信息发送到varam/authlog和ara/slog2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。2、检测操作cat/v/amautlog

22、a /r/adm/sylg3、补充说明编号: 2（可选)要求内容启用记录cron行为日志功能和crn/at的使用情况 操作指南1、参考配置操作ronAt的相关文件主要有以下几个： apolcronrntab存放cron任务的目录 /varp/con/cr.alow允许使用rnab命令的用户 /ar/spol/cn/c.deny 不允许使用cronb命令的用户 /varpoolon/aobs 存放a任务的目录 /var/pool/cront.alow允许使用at的用户 /a/sol/ro/.den 不允许使用at的用户 使用rtab和a命令可以分别对cron和t任务进行控制。 #crontab

23、- 查看当前的cron任务 #at l 查看当前的t任务 检测方法、判定条件2、检测操作查看/v/spol/r/目录下的文件配置是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。 编号:3要求内容设备应配置权限，控制对日志文件读取、修改和删除等操作。操作指南1、参考配置操作配置日志文件权限,如下命令:chmod6/varadm/authlogchod 64/var/adm/syslog 并设置了权限为其他用户和组禁止读写日志文件。检测方法1、判定条件没有相应权限的用户不能查看或删除日志文件2、检测操作查看syslogcof文件中配置的日志存放文件:mor /ec/ylo.cof使

24、用l l /vr/am查看的目录下日志文件的权限,如：auhlg、sog的权限应分别为6、6。3、补充说明对于其他日志文件,也应该设置适当的权限,如登录失败事件的日志、操作日志，具体文件查看sslog.conf中的配置。2.6不必要的服务、端口编号：1要求内容列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。操作指南1、参考配置操作查看所有开启的服务:#ps -方法一:手动方式操作在netd.conf中关闭不用的服务 首先复制/tc/ie/nt.onf。 #cpetc/ietetd.con/etci/inetd.conf.backup然后用vi编辑器编辑inetcf文件，对于需要注释掉的服务在相应行开头标记#字符，重启ntd服务,即可。重新启用该服务，使用命令：refresh s etd方法二：自动方式操作把以下复制到文本里：forSVCi shll se oginklogin eec cho dicard argn daytmetime ttdsever dtspc; do ech sablng SVC TP chsuerr -d -v $SV-p tcpd for SVCin ntalk rstatd usrsd rwalld