AIX操作系统安全配置手册.docx

1、AIX操作系统安全配置手册AIX操作系统安全配置手册许新新 *.com2011-6-8 版本号：V1.01. 引言 AIX作为IBM Power系列开放平台服务器的专用操作系统，属于UNIX操作系统的一个商业版本。作为企业级服务器的操作平台，安全性是AIX必备的一个重要特性。 由于我们的小型机上往往运行着客户的核心生产业务，因此对于系统的安全设置往往会有着严格的要求。2. 用户管理AIX是一个多用户操作系统，多个用户要在同一个系统环境中协同工作，用户访问权限的设置、用户作业的相互隔离、用户系统资源的限制，都是AIX操作系统不可或缺的功能。2.1 用户账号安全设置为了保证整个操作系统的安全，每个

2、用户账号必须满足如下安全设置要求：（1）每个系统管理员应该设置单独的账号，不允许多个管理员共用一个账号；（2）root用户不允许直接登录，必须通过其他用户登录后，通过su命令获得root用户权限；（3）禁用或者删除不使用的系统账号；（4）设置必要的密码规则。AIX操作系统在安装成功后，默认就会创建一些用户，用户的基本信息保存在/etc/passwd文件中。其中root和bin用户是不可以删除的，其他用户都可以安全地删除或者屏蔽掉，以避免这些系统默认用户账号由于存在弱口令等问题，被黑客所攻击。其中第二列中“！”表示该用户已经设置了密码，“*”表示该用户还没有设置密码。# cat /etc/pas

3、swdroot:!:0:0:/:/usr/bin/kshdaemon:!:1:1:/etc:bin:!:2:2:/bin:sys:!:3:3:/usr/sys:adm:!:4:4:/var/adm:uucp:!:5:5:/usr/lib/uucp:guest:!:100:100:/home/guest:nobody:!:4294967294:4294967294:/:lpd:!:9:4294967294:/:lp:*:11:11:/var/spool/lp:/bin/falseinvscout:*:6:12:/var/adm/invscout:/usr/bin/kshsnapp:*:200:1

4、3:snapp login user:/usr/sbin/snapp:/usr/sbin/snappdipsec:*:201:1:/etc/ipsec:/usr/bin/kshnuucp:*:7:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucicopconsole:*:8:0:/var/adm/pconsole:/usr/bin/kshesaadmin:*:10:0:/var/esa:/usr/bin/ksh#AIX操作系统在安装的时候，会默认建立一些用户组，用户组的基本信息保存在/etc/group文件中，其中system

5、和bin组是不可以删除的。# cat /etc/groupsystem:!:0:root,pconsole,esaadminstaff:!:1:ipsec,esaadmin,sshd,user1,oraclebin:!:2:root,binsys:!:3:root,bin,sysadm:!:4:bin,admuucp:!:5:uucp,nuucpmail:!:6:security:!:7:rootcron:!:8:rootprintq:!:9:lpaudit:!:10:rootecs:!:28:nobody:!:4294967294:nobody,lpdusr:!:100:guestperf:

6、!:20:shutdown:!:21:lp:!:11:root,lpinvscout:!:12:invscoutsnapp:!:13:snappipsec:!:200:pconsole:!:14:pconsole#2.2 删除一个用户账号要删除或者禁用一个用户账号，可以使用三个办法：（1）使用rmuser命令删除用户，格式为 rmuser p user_name。这会删除/etc/passwd和/etc/group文件中关于该用户的内容，同时删除/etc/security/passwd文件中关于该用户的内容。但是该用户的home目录并不会被删除，需要使用rmdir的命令去删除该用户的home目

7、录。（2）编辑/etc/passwd文件，在需要删除的用户名前加上“#”注释符。建议使用第二种方法，因为第二种方法只是注释掉需要删除的用户，此后该用户将无法登录系统，但与该用户相关的信息并不删除，当需要恢复该用户的登录功能时，只需要把/etc/passwd文件中该用户名前的“#”注释符删除即可。（3）编辑/etc/passwd文件，把需要删除的用户的默认shell设置为/bin/false。/bin/false是一个系统空文件，并不是有效的shell程序，因此当该用户登录系统后，由于无法打开shell而登录失败。2.3 禁止root用户直接登录禁止root用户直接登录系统，必须使用普通用户登录

8、后，使用su命令切换到root用户权限设置方法是编辑/etc/security/user配置文件中的login、rlogin和su属性。在该文件的头部，详细描述了每一个参数的含义。其中login属性是设置是否允许用户通过本地console登录，本地console包括显示器或者串口。rlogin属性是设置是否允许用户远程登录，远程登录方式包括rlogin和telnet，不包括SSH等其他远程登录方式。su属性是设置是否允许该用户通过su命令获得其他用户的权限。* login Defines whether the user can login.* Possible values : true o

9、r false.* rlogin Defines whether the user account can be accessed by remote * logins. Commands rlogin and telnet support this attribute.* Possible values: true or false.* su Defines whether other users can switch to this user account. * Command su supports this attribute.* Possible values: true or f

10、alse.2.4 用户登录审计在/var/adm/wtmp文件中记录了所有用户的登录时间、登录方式、源IP地址信息。而在/var/adm/sulog文件中，记录了使用su命令切换用户权限的时间点。wtmp文件不是纯文本文件，需要使用who命令来查看。sulog文件是纯文本文件，可以使用cat命令直接查看。结合/var/adm/wtmp文件和/var/adm/sulog文件的输出，就可以确切地判断出在某个时间段是谁获得了root操作权限。启用EXTENDED_HISTORY=ON环境变量，记录用户的命令行操作。在每个用户的$HOME目录下都有一个.sh_history的文本文件，记录了该用户的所

11、有命令行操作。默认情况下，EXTENDED_HISTORY环境变量处于OFF状态。因此在.sh_history文件中只包含执行的命令，不包含时间点。#cat .sh_historywhoamiexitexitpasswderrptioscansu -whoamisarsar 3su -whoamiwhereis sarsar 3.将环境变量EXTENDED_HISTORY设置为ON后，.sh_history文件中就会包含该用户所执行的命令已经时间点。使用命令fc t -1000可以查看本用户最近1000条执行的命令。#fc -t -100021 2011/04/09 14:45:07 : vi

12、 ntp.conf22 2011/04/09 14:46:21 : cat ntp.conf23 2011/04/09 14:46:35 : startsrc -s xntpd24 2011/04/09 14:46:46 : lssrc -a|grep ntp25 2011/04/09 14:46:58 : lssrc -ls xntpd26 2011/04/09 14:47:21 : set -o vi27 2011/04/09 14:47:24 : lssrc -ls xntpd28 2011/04/09 14:47:26 : lssrc -ls xntpd29 2011/04/09 14

13、:47:27 : lssrc -ls xntpd30 2011/04/09 14:47:29 : lssrc -ls xntpd31 2011/04/09 14:47:30 : lssrc -ls xntpd32 2011/04/09 14:47:32 : lssrc -ls xntpd33 2011/04/09 14:47:34 : lssrc -ls xntpd34 2011/04/09 14:47:35 : lssrc -ls xntpd35 2011/04/09 14:47:36 : lssrc -ls xntpd36 2011/04/09 15:28:53 : lssrc -ls x

14、ntpd37 2011/04/09 15:29:02 : lssrc -ls xntpd38 2011/04/09 15:31:05 : vi ntp.conf.每个用户的$HOME目录下还有一个smit.log文件，这个文件记录了该用户通过smit菜单所做的所有操作。这是一个文本文件，通过VI文本编辑器可以直接查看和修改。2.5 密码规则设置AIX支持对密码的复杂度、重复次数、生命期等进行限制，以提高密码被破解或者盗取的难度。AIX最多支持8位密码，多于8位之后的内容将被自动忽略。在/etc/security/user文件存在设置密码规则的参数。logintimes：定义一个用户在某一时间段

15、内允许登录pwdwarntime：定义在密码到期前多少天提醒用户密码即将到期account_locked：定义一个用户是否被锁定loginretries：定义连续多少次输入错误密码后锁定该用户账号histexpire：定义相同密码在多少周内不允许重复使用histsize：定义相同密码在多少次内不允许重复使用minage：定义密码的最少生命期，单位为周，即限制用户频繁更改密码。maxage：定义密码的最大生命期，单位为周，即强迫用户定期修改密码。maxexpired：定义密码超过最大生命期后，多少周内允许用户修改密码。如果在此期间用户没有修改密码，则该用户账号被锁定。minalpha：定义密码中

16、最少包含多少个数字和字母（0-9，a-z，A-Z）。minother：定义密码中最少包含多少个特殊字符。minlen：定义密码的最小长度。mindiff：定义新密码与旧密码间至少有多少个字符是不同的。maxrepeats：定义同一个字符在密码中可以最多重复出现多少次。dictionlist：定义密码字典，密码字典为一个文本文件，需要用户来编辑该密码字典，出现在密码字典中的条目将不允许作为密码使用。pwdchecks：定义外部的密码限制方式。建议的密码规则参数如下：minlen=6minalpha=1mindiff=1minother=1pwdwarntime=5maxage=13histsiz

17、e=5loginretries=62.6 文件和目录的默认访问权限 当用户创建一个文件或者创建一个目录时，AIX会自动给该文件或者目录赋予默认的访问权限，为了提高系统安全，建议设置文件的默认访问权限为600，目录的默认访问权限为700，即只允许属主用户读、写和执行，对于其他用户默认禁止所有权限。这需要修改/etc/security/user文件的umask参数。默认umask参数值为022，umask是使用八进制数据代码设置的,。目录的默认访问权限等于八进制代码777减去umask值；文件的默认权限等于八进制代码666减去umaks值。要使默认访问权限为700，则需要修改/etc/securi

18、ty/user文件的umask值为077.2.7 用户错误登录次数过多导致账号被锁定当设置了用户密码规则loginretries，当用户的连续错误登录次数累计到该值后，该用户就会被自动锁定，必须由root用户来解锁。用户的错误登录信息保存在文件/etc/security/lastlog文件中，time_last_login：该用户上次成功登录时间tty_last_login：该用户上次成功登录的端口host_last_login：该用户上次成功登录的源地址unsuccessful_login_count：该用户连续失败的登录次数，当用户登录成功后该值即清0time_last_unsuccess

19、ful_login：该用户上次失败的登录时间tty_last_unsuccessful_login：该用户上次失败的登录端口host_last_unsuccessful_login：该用户上次失败登录的源地址root: time_last_login = 1307599235 tty_last_login = ftp host_last_login = :ffff:9.125.1.251 unsuccessful_login_count = 0 time_last_unsuccessful_login = 1307599199 tty_last_unsuccessful_login = ftp

20、 host_last_unsuccessful_login = :ffff:9.125.1.251 如果一个用户已经因为连续失败登录次数过多被锁定，那么可以使用root用户直接修改/etc/security/lastlog文件，将unsuccessful_login_count修改为0即可。2.8 查看密码的上次修改时间 在系统文件/etc/security/passwd中记录有每个用户登陆密码的加密形式，以及上次修改密码的时间，我们以root为例： root: password = hVvR/QGnSNKlE flags = lastupdate = 1200982154 此处，lastup

21、date为上次密码修改时间，以epoch time表示。 Epoch time是从Epoch（新纪元时间，传说中的标志Unix时代开端的那个拂晓)开始计算起，单位为秒，Epoch则是指定为1970年一月一日凌晨零点零分零秒，格林威治时间。我们可以通过下面的命令来转换epoch time： #perl -le print scalar localtime 1200982154 Tue Jan 22 06:09:14 2008 所以，root用户上次修改密码是在2008年1月22日上午06:09:14。使用命令 date +%s，就可以将当前日期转换为从1970年1月1日0:00开始的秒数。注意：

22、AIX5.3版本才有此参数$ date +%s1290988961$ dateMon Nov 29 08:02:46 BEIST 2010$ perl -le print scalar localtime 1290988961Mon Nov 29 08:02:41 2010$ 也可以使用chsec命令手动修改用户的上次密码修改时间戳，而无需更改密码。命令格式如下：chsec -f /etc/security/passwd -s root -a lastupdate=1307665547即修改/etc/security/passwd文件中root用户段的lastupdate属性，设置值为1307

23、665547。2.9 chpasswd和pwdadmin命令的使用使用passwd命令来修改用户密码，进入的是交互模式。对于希望使用脚本来批量修改或定时修改密码的操作，使用chpasswd命令会更加快捷，因为这个命令不要交互操作，也不需要重复输入两次相同密码使用chpasswd命令修改用户密码的命令格式为：echo user_name:new_password | chpasswd例如#echo ftp:passw0rd| chpasswd，就是给用户ftp设置密码为passw0rd。pwdadmin命令用来查看和设置某个用户的密码属性。例如要查看一个用户的密码属性，可以使用命令pwdadmi

24、n q 。#pwdadm -q ftp ftp: lastupdate = 1307634431 flags = ADMCHG# 可以看到ftp用户的密码修改时间为1307634431；同时flags=ADMCHG说明该用户密码为root管理员所设置，当该ftp用户第一次登录系统时，会强制用户修改密码。AIX Version 5Copyright IBM Corporation, 1982, 2007.login: ftpftps Password: compat: 3004-610 You are required to change your password. Please choose

25、 a new one.ftps New password: 在用chpasswd命令设置用户密码时，可以加上-c参数，这样就会去掉flags=ADMCHG参数，当该用户第一次登录系统时就不会强制修改密码了。#echo ftp:abcd1234 | chpasswd -c #pwdadm -q ftpftp: lastupdate = 1307635016#3. 网络安全3.1 安装SSH文件集并设置 在AIX的缺省安装情况下，只安装了telnet服务，用于对系统的远程管理。如果需要使用更加安全的SSH服务，则需要另外安装openssl和openssh软件包。openssl文件位于AIX Too

26、lbox for Linux Applications安装光盘中，也可以从AIX Web Download Pack Programs页面下载，下载地址： openssh文件位于AIX 5L V5.3 Expansion Pack安装光盘中，也可以从sorceforge开源软件网站下载：默认情况下，ssh软件包安装之后会自动随AIX操作系统启动。即AIX重启后，自动启动ssh服务。使用命令lssrc g ssh来查看sshd后台守护进程是否启动。默认情况下，AIX使用SSH2协议。安装ssh成功后，不需要进行额外的配置，其他主机就可以通过SSH2协议访问22端口来远程登录。 要实现禁止root

27、用户通过SSH直接登录，需要编辑SSH配置文件/etc/ssh/sshd_config，找到“#PermitRootLogin yes”行，去掉该行前面的注释符“#”，并将yes修改为no。需要重新启动sshd服务，才能使新的配置文件生效#stopsrc -s sshd#startsrc -s sshd此时root用户将不能直接SSH登录，必须首先使用普通用户登录，然后“su -”转为root用户权限。此外，我们还可以编辑/etc/ssh/sshd_config文件的下列参数，实现安全配置。Protocol 2：使用ssh2版本X11Forwarding yes：允许窗口图形传输使用ssh加密

28、IgnoreRhosts yes：完全禁止SSHD使用.rhosts文件RhostsAuthentication no：不设置使用基于rhosts的安全验证RhostsRSAAuthentication no：不设置使用RSA算法的基于rhosts的安全验证HostbasedAuthentication no：不允许基于主机白名单方式认证PermitRootLogin no：不允许root登录PermitEmptyPasswords no：不允许空密码Banner /etc/motd：设置ssh登录时显示的banner3.2 TELNET和SSH的安全性比较TELNET协议使用明文（ASCII

29、码）来传递数据，因此只要使用TCPIP嗅探工具就可以从telnet的数据包中找到用户名和密码。AIX中自带的iptrace工具就可以实现这个功能。iptrace使用比较简单，可以针对特定的网络接口、特定的源地址、目的地址、端口进行数据包的抓取。使用命令：iptrace -a -s 10.60.28.47 -b -p telnet telnet.trace1参数的含义是：忽略arp数据包，只抓取与10.60.28.47相关的数据包（抓包在IP为10.60.28.45的机器，telnet客户端来自10.60.28.47），-p参数指定了只监听telnet服务的端口，当然这里也可以直接用端口号23代

30、替telnet，最后把生成的日志文件保存为telnet.trace1。接下来，我们去10.60.28.47上运行telnet客户端连接10.60.28.45几秒钟后，停掉iptrace进程，命令为“kill -15 #iptrace进程号”。然后把生成的日志文件转换为文本文件，命令为：ipreport -sn telnet.trace1telnet.report1Packet Number 86ETH: =( 70 bytes transmitted on interface en0 )= 13:18:40.399148726ETH: 00:14:5e:5f:66:82 - 00:14:5e:d1:4a:36 type 800 (IP)IP: (AIX33_bt1)IP: IP: ip_v=4, ip_hl=20, ip_tos=0, ip_len=56, ip_id=1814, ip_off=0 DFIP: ip_ttl=60, ip_sum=dc04, ip_p = 6 (TCP)TCP: sourc