收藏
下载资源

AIX操作系统安全配置手册.doc

上传人:灯火****19 文档编号:136109931 上传时间:2020-06-24 格式:DOC 页数:25 大小:120KB
返回 下载 相关 举报
AIX操作系统安全配置手册.doc_第1页
第1页 / 共25页
AIX操作系统安全配置手册.doc_第2页
第2页 / 共25页
AIX操作系统安全配置手册.doc_第3页
第3页 / 共25页
AIX操作系统安全配置手册.doc_第4页
第4页 / 共25页
AIX操作系统安全配置手册.doc_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《AIX操作系统安全配置手册.doc》由会员分享,可在线阅读,更多相关《AIX操作系统安全配置手册.doc(25页珍藏版)》请在金锄头文库上搜索。

1、AIX操作系统安全配置手册许新新 2011-6-8 版本号:V1.0目 录1. 引言22. 用户管理22.1 用户账号安全设置22.2 删除一个用户账号32.3 禁止root用户直接登录42.4 用户登录审计42.5 密码规则设置62.6 文件和目录的默认访问权限62.7 用户错误登录次数过多导致账号被锁定72.8 查看密码的上次修改时间72.9 chpasswd和pwdadmin命令的使用83. 网络安全93.1 安装SSH文件集并设置93.2 TELNET和SSH的安全性比较103.3 禁止TELNET、FTP、RLOGIN等网络服务113.4 限制某些用户FTP登录123.5 设置目录的

2、FTP访问权限123.6 将用户FTP访问限定在自己的$HOME目录153.7 实现基于IP地址的访问控制153.8 查看当前的TCPIP网络连接184. 系统安全管理194.1 设置用户终端长时间不操作后自动退出194.2 设置NTP网络时钟协议204.3 停止NFS服务224.4 设置用户limits参数234.5 wtmp文件的使用241. 引言 AIX作为IBM Power系列开放平台服务器的专用操作系统,属于UNIX操作系统的一个商业版本。作为企业级服务器的操作平台,安全性是AIX必备的一个重要特性。 由于我们的小型机上往往运行着客户的核心生产业务,因此对于系统的安全设置往往会有着严

3、格的要求。2. 用户管理AIX是一个多用户操作系统,多个用户要在同一个系统环境中协同工作,用户访问权限的设置、用户作业的相互隔离、用户系统资源的限制,都是AIX操作系统不可或缺的功能。2.1 用户账号安全设置为了保证整个操作系统的安全,每个用户账号必须满足如下安全设置要求:(1)每个系统管理员应该设置单独的账号,不允许多个管理员共用一个账号;(2)root用户不允许直接登录,必须通过其他用户登录后,通过su命令获得root用户权限;(3)禁用或者删除不使用的系统账号;(4)设置必要的密码规则。AIX操作系统在安装成功后,默认就会创建一些用户,用户的基本信息保存在/etc/passwd文件中。其

4、中root和bin用户是不可以删除的,其他用户都可以安全地删除或者屏蔽掉,以避免这些系统默认用户账号由于存在弱口令等问题,被黑客所攻击。其中第二列中“!”表示该用户已经设置了密码,“*”表示该用户还没有设置密码。# cat /etc/passwdroot:!:0:0:/:/usr/bin/kshdaemon:!:1:1:/etc:bin:!:2:2:/bin:sys:!:3:3:/usr/sys:adm:!:4:4:/var/adm:uucp:!:5:5:/usr/lib/uucp:guest:!:100:100:/home/guest:nobody:!:4294967294:42949672

5、94:/:lpd:!:9:4294967294:/:lp:*:11:11:/var/spool/lp:/bin/falseinvscout:*:6:12:/var/adm/invscout:/usr/bin/kshsnapp:*:200:13:snapp login user:/usr/sbin/snapp:/usr/sbin/snappdipsec:*:201:1:/etc/ipsec:/usr/bin/kshnuucp:*:7:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucicopconsole:*:8:0:/var/a

6、dm/pconsole:/usr/bin/kshesaadmin:*:10:0:/var/esa:/usr/bin/ksh#AIX操作系统在安装的时候,会默认建立一些用户组,用户组的基本信息保存在/etc/group文件中,其中system和bin组是不可以删除的。# cat /etc/groupsystem:!:0:root,pconsole,esaadminstaff:!:1:ipsec,esaadmin,sshd,user1,oraclebin:!:2:root,binsys:!:3:root,bin,sysadm:!:4:bin,admuucp:!:5:uucp,nuucpmail:!

7、:6:security:!:7:rootcron:!:8:rootprintq:!:9:lpaudit:!:10:rootecs:!:28:nobody:!:4294967294:nobody,lpdusr:!:100:guestperf:!:20:shutdown:!:21:lp:!:11:root,lpinvscout:!:12:invscoutsnapp:!:13:snappipsec:!:200:pconsole:!:14:pconsole#2.2 删除一个用户账号要删除或者禁用一个用户账号,可以使用三个办法:(1)使用rmuser命令删除用户,格式为 rmuser p user_na

8、me。这会删除/etc/passwd和/etc/group文件中关于该用户的内容,同时删除/etc/security/passwd文件中关于该用户的内容。但是该用户的home目录并不会被删除,需要使用rmdir的命令去删除该用户的home目录。(2)编辑/etc/passwd文件,在需要删除的用户名前加上“#”注释符。建议使用第二种方法,因为第二种方法只是注释掉需要删除的用户,此后该用户将无法登录系统,但与该用户相关的信息并不删除,当需要恢复该用户的登录功能时,只需要把/etc/passwd文件中该用户名前的“#”注释符删除即可。(3)编辑/etc/passwd文件,把需要删除的用户的默认sh

9、ell设置为/bin/false。/bin/false是一个系统空文件,并不是有效的shell程序,因此当该用户登录系统后,由于无法打开shell而登录失败。2.3 禁止root用户直接登录禁止root用户直接登录系统,必须使用普通用户登录后,使用su命令切换到root用户权限设置方法是编辑/etc/security/user配置文件中的login、rlogin和su属性。在该文件的头部,详细描述了每一个参数的含义。其中login属性是设置是否允许用户通过本地console登录,本地console包括显示器或者串口。rlogin属性是设置是否允许用户远程登录,远程登录方式包括rlogin和te

10、lnet,不包括SSH等其他远程登录方式。su属性是设置是否允许该用户通过su命令获得其他用户的权限。* login Defines whether the user can login.* Possible values : true or false.* rlogin Defines whether the user account can be accessed by remote * logins. Commands rlogin and telnet support this attribute.* Possible values: true or false.* su Define

11、s whether other users can switch to this user account. * Command su supports this attribute.* Possible values: true or false.2.4 用户登录审计在/var/adm/wtmp文件中记录了所有用户的登录时间、登录方式、源IP地址信息。而在/var/adm/sulog文件中,记录了使用su命令切换用户权限的时间点。wtmp文件不是纯文本文件,需要使用who命令来查看。sulog文件是纯文本文件,可以使用cat命令直接查看。结合/var/adm/wtmp文件和/var/adm/

12、sulog文件的输出,就可以确切地判断出在某个时间段是谁获得了root操作权限。启用EXTENDED_HISTORY=ON环境变量,记录用户的命令行操作。在每个用户的$HOME目录下都有一个.sh_history的文本文件,记录了该用户的所有命令行操作。默认情况下,EXTENDED_HISTORY环境变量处于OFF状态。因此在.sh_history文件中只包含执行的命令,不包含时间点。#cat .sh_historywhoamiexitexitpasswderrptioscansu -whoamisarsar 3su -whoamiwhereis sarsar 3.将环境变量EXTENDED_

13、HISTORY设置为ON后,.sh_history文件中就会包含该用户所执行的命令已经时间点。使用命令fc t -1000可以查看本用户最近1000条执行的命令。#fc -t -100021 2011/04/09 14:45:07 : vi ntp.conf22 2011/04/09 14:46:21 : cat ntp.conf23 2011/04/09 14:46:35 : startsrc -s xntpd24 2011/04/09 14:46:46 : lssrc -a|grep ntp25 2011/04/09 14:46:58 : lssrc -ls xntpd26 2011/04

14、/09 14:47:21 : set -o vi27 2011/04/09 14:47:24 : lssrc -ls xntpd28 2011/04/09 14:47:26 : lssrc -ls xntpd29 2011/04/09 14:47:27 : lssrc -ls xntpd30 2011/04/09 14:47:29 : lssrc -ls xntpd31 2011/04/09 14:47:30 : lssrc -ls xntpd32 2011/04/09 14:47:32 : lssrc -ls xntpd33 2011/04/09 14:47:34 : lssrc -ls xntpd34 2011/04/09 14:47:35 : lssrc -ls xntpd35 2011/04/09 14:47:36 : lssrc -ls xntpd36 2011/04/09 15:28:53 : lssrc -ls xntpd37 2011/04/09 15:29:02 : lssrc -ls xntpd38 2011/04/09 15:31:0

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号