《AIX访问控制安全策略》由会员分享,可在线阅读,更多相关《AIX访问控制安全策略(5页珍藏版)》请在金锄头文库上搜索。
1、一、 AIX 服务器1 1.1 配置密码策略参考配置操作:当前系统管理员密码为弱密码,建议其更换强密码,编辑/etc/security/user设置以下参考数值设定:#vi /etc/security/userminalpha = 1 口令必须包含 1 个字母minother = 2 口令必须包含 2 个非字母字符minlen = 8 口令不得少于 8 个字符maxage = 4 口令可使用周期( 4 周)maxexpired = 1 达到使用周期后 1 周内必须更改口令pwdwarntime = 7 在达到使用周期前 7 天提示修改口令histsize = 5 不能使用上 5 次用过的口令1
2、.2 启用登录失败处理功能参考配置操作:编辑 /etc/security/user 文件,并修改以下内容:loginretries = 3 口令重试 3 次后锁定解锁方法:以 user 用户为例,执行命令:#lsuser user 检查 unsuccessful_login_count 参数(登录失败次数)#chuser unsuccessful_login_count=0 user 重置 user 用户登录失败次数1.3 远程访问加密措施参考配置操作:1)在官网下载 Openssl 和 OPenSSH 软件。2)上传文件将 openssh_5.2p1_aix61.tar.Z 用 ftp 传到
3、/tmp/openssh 目录下将 openssl.0.9.8.1103.tar.Z 用 ftp 传到/tmp/openssl 目录下3)解压文件# cd /tmp/openssh/# uncompress openssh_5.2p1_aix61.tar.Z# tar -xvf openssh_5.2p1_aix61.tar# cd /tmp/openssl/# uncompress openssl.0.9.8.1103.tar.Z# tar -xvf openssl.0.9.8.1103.tar4)安装 openssl进入 openssl 目录# cd /tmp/openssl开始安装# s
4、mitty install顺序选择 Install and Update Software-Install SoftwareINPUT device / directory for software /tmp/openssl 输入 openssl 目录.选中 SOFTWARE to install _all_latest行,按 F4,选择openssl.license,回车选中 ACCEPT new license agreements? 行,按 Teb 键,选择yes回车,执行安装Command:OK 表示安装完成。5)安装 openssh进入 openssh 目录# cd /tmp/ope
5、nssh删除目录下 openssh_5.2p1_aix61.tar 包#rm -rf openssh_5.2p1_aix61.tar开始安装# smitty install顺序选择 Install and Update Software-Install SoftwareINPUT device / directory for software /tmp/openssh 输入 openssl目录.选中 SOFTWARE to install _all_latest行,按 F4,选择查看可安装的选项,F3 返回选中 ACCEPT new license agreements? 行,按 Teb 键,
6、选择yes回车,执行安装Command:OK 表示安装完成。6)安装完成后 SSH 服务会自动启动,确认:# lssrc -s sshd7)禁用 telnet 服务#stopsrc -t telnet8)查看 telnet 服务状态#lssrc -t telnet9)禁止 telnet 开机启动#vi /etc/inetd.conf在 telnet stream tcp6 nowait root /usr/sbin/telnetd telnetd -a 前加“#”注:开启 telnet 服务命令为 startsrc -t telnetopenssh 官方网站:http:/ 官方网站:https
7、:/www.openssl.org/2 2.1 修改 UMASK 值参考配置操作:1)编辑/etc/security/user 文件,设置 umask 值:#vi /etc/security/userumask = 027 #缺省文件权限为 7503 3.1 设定管理登陆地址参考配置操作:1)检查系统中是否安装了 IPSec 的软件包# lslpp -l | grep .ipsec.rte .ipsec.websm2)检查 Ipsec 策略#lsfilt -s -v4 -O 检查 ipsec 策略有三条默认策略,若无多余策略可进行下一步。若存在多余策略,按以下方式删除多余策略。#smitty
8、tcpipConfigure IP Security (IPv4)- Advanced IP Security Configuration-Configure IP Security Filter Rules-Delete IP Security Filter Rules选中某一策略,回车策略将被删除。3)启动 IPsec#smitty tcpipConfigure IP Security (IPv4)-Start/Stop IP Security-Start IP Security- Start IP Securit Now and After Reboot 4)配置策略对于 IP 地址是
9、10.19.0.252 的 AIX 服务器,我们希望只有来自于 10.19.6.212 的终端才可以通过 SSH 访问它, 拒绝来自其他网段的 SSH 请求。在 aix 操作系统中 SSH 缺省使用的端口号是 22,所以在 10.19.6.212服务器上需要设置以下 2 条过滤规则,一条是 permit 规则,一条是 deny 规则。注意 :permit 规则要在 deny 规则之前。genfilt -v 4 -a P -s 10.19.6.212 -m 255.255.255.255 -d 10.19.0.252 -M 255.255.255.0 -g y -c all -o any -p
10、0 -O eq -P 22 -r B -w B -l N -t 0 -i allgenfilt -v 4 -a D -s 0.0.0.0 -m 0.0.0.0 -d 10.19.0.252 -M 255.255.255.255 -g y -c all -o any -p 0 -O eq -P 22 -r B -w B -l N -t 0 -i all执行命令#lsfilt -s -v4 -O 验证 ipsec 策略,若无冲突,则进行下一步骤。5)使 IP 过滤规则生效#mkfilt -v4 -u3.2 设置登录超时策略参考配置操作:1)检查/etc/profile 读写权限ls -l /etc/profile #检查是否有修改权限2)修改/etc/profile 权限chmod 655 /etc/profile3)设置登陆超时时间为 300 秒取消掉#TMOUT=120 前“#”, 修改 TMOUT 值为 300,保存并注销当前账户。4)查看 TMOUT 值echo $TMOUT5)修改修改 /etc/profile 权限chmod 555 /etc/profile #修改回文件默认权限
