收藏
下载资源

AIX操作系统安全配置规范V中国移动内部资料

上传人:游客 文档编号:126372261 上传时间:2020-03-24 格式:DOC 页数:33 大小:499KB
返回 下载 相关 举报
AIX操作系统安全配置规范V中国移动内部资料_第1页
第1页 / 共33页
AIX操作系统安全配置规范V中国移动内部资料_第2页
第2页 / 共33页
AIX操作系统安全配置规范V中国移动内部资料_第3页
第3页 / 共33页
AIX操作系统安全配置规范V中国移动内部资料_第4页
第4页 / 共33页
AIX操作系统安全配置规范V中国移动内部资料_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《AIX操作系统安全配置规范V中国移动内部资料》由会员分享,可在线阅读,更多相关《AIX操作系统安全配置规范V中国移动内部资料(33页珍藏版)》请在金锄头文库上搜索。

1、中中 国国 移移 动动A I X 操操 作作 系系 统统 安安 全全 配配 置置 规规 范范 安安 全全 配配 置置 规规 范范 S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版版 本本 号号 1 0 0 xxx 发布xxx 实施 中国移动通信有限公司网络部中国移动通信有限公司网络部 中国移动 AIX 操作系统安全配置规范 目录 1范围范围 1 2规范性引用文件规范性引用文件 1 3术语和定义和缩略语术语和定义和缩略语 1 4AIX 设备

2、安全配置要求设备安全配置要求 1 4 1账号管理 认证授权 2 4 1 1账号 2 4 1 2口令 4 4 1 3授权 7 4 2日志配置要求 10 4 3IP 协议安全配置要求 14 4 3 1IP 协议安全 14 4 3 2路由协议安全 17 4 4设备其他安全配置要求 19 4 4 1屏幕保护 19 4 4 2文件系统及访问权限 20 4 4 3物理端口设置 22 4 4 4补丁管理 22 4 4 5服务 23 4 4 6内核调整 26 4 4 7启动项 27 5编制历史编制历史 29 中国移动 AIX 操作系统安全配置规范 前言 为了贯彻安全三同步的要求 在设备选型 入网测试 工程验收

3、以及运行维护等环节 明确并落实安全功能和配置要求 有限公司组织部分省公司编制了中国移动设备安全功能 和配置系列规范 本系列规范可作为编制设备技术规范 设备入网测试规范 工程验收手 册 局数据模板等文档的依据 本规范是该系列规范之一 明确了中国移动各类型设备所 需满足的通用安全功能和配置要求 并作为本系列其他规范的编制基础 本标准起草单位 中国移动通信有限公司网络部 中国移动通信集团天津 江苏有限 公司 本标准解释单位 同提出单位 本标准主要起草人 张瑾 赵强 石磊 陈敏时 周智 曹一生 中国移动通信和 设备通用安全配置规范 1 1 范围范围 本规范适用于中国移动通信网 业务系统和支撑系统中使用

4、 AIX 操作系统 的设备 本规范明确了 AIX 操作系统配置的基本安全要求 在未特别说明的情 况下 均适用于所有运行的 AIX 操作系统版本 2 规范性引用文件规范性引用文件 本规范是在 中国移动设备通用设备安全功能和配置规范 以下简称 通 用规范 各项设备配置要求的基础上 提出的 AIX 操作系统安全配置要求 以 本规范还针对直接引用 通用规范 的配置要求 给出了在 AIX 操作系统 上的具体配置方法和检测方法 编号编号采纳意见采纳意见补充说明补充说明 安全要求安全要求 设备设备 通用通用 配置配置 1完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 2完全采纳完全采纳 安

5、全要求安全要求 设备设备 通用通用 配置配置 3 可选可选完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 4完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 5 完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 29 可选可选 未采纳未采纳 安全要求安全要求 设备设备 通用通用 配置配置 6 可选可选 完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 7 可选可选完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 9完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 12 完全采纳完全采纳 安全要求安

6、全要求 设备设备 通用通用 配置配置 13 可选可选 未采纳未采纳 安全要求安全要求 设备设备 通用通用 配置配置 24 可选可选 完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 14 可选可选 完全采纳完全采纳 中国移动通信和 设备通用安全配置规范 2 安全要求安全要求 设备设备 通用通用 配置配置 28未采纳未采纳 安全要求安全要求 设备设备 通用通用 配置配置 16 可选可选未采纳未采纳 安全要求安全要求 设备设备 通用通用 配置配置 17 可选可选 完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 19完全采纳完全采纳 安全要求安全要求 设备设备 通用

7、通用 配置配置 20 可选可选完全采纳完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 27未采纳未采纳 本规范新增的安全配置要求 如下 安全要求安全要求 设备设备 AIX 配置配置 4 可选可选 安全要求安全要求 设备设备 AIX 配置配置 5 可选可选 安全要求安全要求 设备设备 AIX 配置配置 12 可选可选 安全要求安全要求 设备设备 AIX 配置配置 13 可选可选 安全要求安全要求 设备设备 AIX 配置配置 18 可选可选 安全要求安全要求 设备设备 AIX 配置配置 19 可选可选 安全要求安全要求 设备设备 AIX 配置配置 21 可选可选 安全要求安全要求 设备设

8、备 AIX 配置配置 22 可选可选 安全要求安全要求 设备设备 AIX 配置配置 23 可选可选 安全要求安全要求 设备设备 AIX 配置配置 24 可选可选 安全要求安全要求 设备设备 AIX 配置配置 27 可选可选 安全要求安全要求 设备设备 AIX 配置配置 28 可选可选 安全要求安全要求 设备设备 AIX 配置配置 31 可选可选 安全要求安全要求 设备设备 AIX 配置配置 32 可选可选 安全要求安全要求 设备设备 AIX 配置配置 33 可选可选 安全要求安全要求 设备设备 AIX 配置配置 34 可选可选 安全要求安全要求 设备设备 AIX 配置配置 35 可选可选 安全

9、要求安全要求 设备设备 AIX 配置配置 36 可选可选 安全要求安全要求 设备设备 AIX 配置配置 37 可选可选 中国移动通信和 设备通用安全配置规范 3 3 术语和定义术语和定义和缩略语和缩略语 对于规范出现的英文缩略语或符号在这里统一说明 语词英文描述中文描述 4 AIX 设备安全配置设备安全配置要求要求 本规范所指的设备为采用 AIX 操作系统的设备 本规范提出的安全配置要 求 在未特别说明的情况下 均适用于采用 AIX 操作系统的设备 本规范从运行 AIX 操作系统设备的认证授权功能 安全日志功能 IP 网络 安全功能 其他自身安全配置功能四个方面提出安全配置要求 4 1 账号管

10、理 认证授权账号管理 认证授权 4 1 1 账号账号 编号 编号 安全要求安全要求 设备设备 通用通用 配置配置 1 要求内容要求内容应按照不同的用户分配不同的账号 避免不同用户间共享账号 避免用户账号和设备间通信使用的账号共享 操作指南操作指南1 参考配置操作 参考配置操作 为用户创建账号 useradd username 创建账号 passwd username 设置密码 修改权限 chmod 750 directory 其中 755 为设置的权限 可根据实际情况 设置相应的权限 directory 是要更改权限的目录 使用该命令为不同的用户分配不同的账号 设置不同的口令及权 限信息等 2

11、 补充操作说明 补充操作说明 检测方法检测方法1 判定条件 判定条件 中国移动通信和 设备通用安全配置规范 4 能够登录成功并且可以进行常用操作 2 检测操作 检测操作 使用不同的账号进行登录并进行一些常用操作 3 补充说明 补充说明 编号 编号 安全要求安全要求 设备设备 通用通用 配置配置 2 要求内容要求内容应删除或锁定与设备运行 维护等工作无关的账号 系统内存在 不 可删除的内置账号 包括 root bin 等 操作指南操作指南1 参考配置操作 参考配置操作 删除用户 rmuser p username 锁定用户 1 修改 etc shadow 文件 用户名后加 LK 2 将 etc

12、passwd 文件中的 shell 域设置成 bin false 3 passwd l username 只有具备超级用户权限的使用者方可使用 passwd l username 锁 定用户 用 passwd d username 解锁后原有密码失效 登录需输入 新密码 修改 etc shadow 能保留原有密码 2 补充操作说明 补充操作说明 需要锁定的用户 deamon bin sys adm uucp nuucp printq guest nobody lpd sshd 检测方法检测方法1 判定条件 判定条件 被删除或锁定的账号无法登录成功 2 检测操作 检测操作 使用删除或锁定的与工作

13、无关的账号登录系统 3 补充说明 补充说明 需要锁定的用户 deamon bin sys adm uucp nuucp printq guest nobody lpd sshd 编号 编号 安全要求安全要求 设备设备 通用通用 配置配置 3 要求内容要求内容限制具备超级管理员权限的用户远程登录 远程执行管理员权限 操作 应先以普通权限用户远程登录后 再切换到超级管理员权 限账号后执行相应操作 操作指南操作指南1 参考配置操作参考配置操作 编辑 etc security user 加上 在 root 项上输入 false 作为 rlogin 的值 此项只能限制 root 用户远程使用 telne

14、t 登录 用 ssh 登录 修改此 项不会看到效果的 2 补充操作说明 补充操作说明 如果限制 root 从远程 ssh 登录 修改 etc ssh sshd config 文件 将 PermitRootLogin yes 改为 PermitRootLogin no 重启 sshd 服务 中国移动通信和 设备通用安全配置规范 5 检测方法检测方法1 判定条件 判定条件 root 远程登录不成功 提示 Not on system console 普通用户可以登录成功 而且可以切换到 root 用户 2 检测操作 检测操作 root 从远程使用 telnet 登录 普通用户从远程使用 telnet

15、 登录 root 从远程使用 ssh 登录 普通用户从远程使用 ssh 登录 3 补充说明 补充说明 限制 root 从远程 ssh 登录 修改 etc ssh sshd config 文件 将 PermitRootLogin yes 改为 PermitRootLogin no 重启 sshd 服务 编号 编号 安全要求安全要求 设备设备 AIX 配置配置 4 可选可选 要求内容要求内容根据系统要求及用户的业务需求 建立多帐户组 将用户账号分 配到相应的帐户组 操作指南操作指南1 参考配置操作 参考配置操作 创建帐户组 groupadd g GID groupname 创建一个组 并为其设置

16、GID 号 若不设 GID 系统会自动为该组分配一个 GID 号 usermod g group username 将用户 username 分配到 group 组中 查询被分配到的组的 GID id username 可以根据实际需求使用如上命令进行设置 2 补充操作说明 补充操作说明 可以使用 g 选项设定新组的 GID 0 到 499 之间的值留给 root bin mail 这样的系统账号 因此最好指定该值大于 499 如果新组名或者 GID 已经存在 则返回错误信息 当 group name 字段长度大于八个字符 groupadd 命令会执行失败 当用户希望以其他用户组成员身份出现时 需要使用 newgrp 命令 进行更改 如 newgrp sys 即把当前用户以 sys 组身份运行 检测方法检测方法1 判定条件 判定条件 可以查看到用户账号分配到相应的帐户组中 或都通过命令检查账号是否属于应有的组 id username 2 检测操作 检测操作 查看组文件 cat etc group 3 补充说明 补充说明 文件中的格式说明 group name GID user list

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 研究报告 > 信息产业

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号