收藏
下载资源

aix系统安全配置基线

上传人:F****n 文档编号:93489716 上传时间:2019-07-22 格式:DOC 页数:15 大小:520KB
返回 下载 相关 举报
aix系统安全配置基线_第1页
第1页 / 共15页
aix系统安全配置基线_第2页
第2页 / 共15页
aix系统安全配置基线_第3页
第3页 / 共15页
aix系统安全配置基线_第4页
第4页 / 共15页
aix系统安全配置基线_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《aix系统安全配置基线》由会员分享,可在线阅读,更多相关《aix系统安全配置基线(15页珍藏版)》请在金锄头文库上搜索。

1、AIX 安全配置基线 中国移动通信有限公司第 1 页 共 15 页 AIXAIX 系统安全配置基线系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 3 月 AIX 安全配置基线 中国移动通信有限公司第 2 页 共 15 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1.0创建2009 年 1 月 备备注:注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 AIX 安全配置基线 中国移动通信有限公司第 3 页 共 15 页 目目 录录 第第 1 章章概述概述.1 1.1目的.1

2、1.2适用范围.1 1.3适用版本.1 1.4实施.1 1.5例外条款.1 第第 2 章章账号管理认证授权账号管理认证授权.2 2.1账号.2 2.1.1用户帐号设置2 2.1.2用户组设置2 2.1.3用户口令设置3 2.1.4Root用户远程登录限制3 2.1.5系统用户登录限制4 2.2口令.4 2.2.1口令生存期安全要求4 2.2.2口令历史安全要求4 2.2.3用户口令锁定策略5 2.2.4用户访问权限安全要求5 2.2.5用户FTP访问的安全要求.6 第第 3 章章网络与服务网络与服务.7 3.1服务.7 3.1.1远程维护安全要求7 3.2网络.7 3.2.1 ICMP重定向安

3、全要求.7 第第 4 章章日志审计日志审计.8 4.1日志.8 4.1.1添加认证日志8 4.2审计.8 4.2.1安全事件审计8 第第 5 章章设备其他安全配置要求设备其他安全配置要求.10 5.1设备.10 5.1.1屏幕保护10 5.2缓冲区.10 5.2.1缓冲区溢出10 第第 6 章章评审与修订评审与修订.12 AIX 安全配置基线 中国移动通信有限公司第 1 页 共 15 页 第第 1 章章概述概述 1.1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 AIX 操作系统的 主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员 进行

4、 AIX 操作系统的安全合规性检查和配置。 1.2 适用范围适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的 AIX 服 务器系统。 1.3 适用版本适用版本 AIX 系列服务器; 1.4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中 若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送 交中国移动通信有限公司管理信息系统部进行审批备案。 AIX 安

5、全配置基线 中国移动通信有限公司第 2 页 共 15 页 第第 2 章章账号管理认证授权账号管理认证授权 2.1 账号账号 2.1.1 用户帐号设置用户帐号设置 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户账户安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-02-01-01 安全基线项安全基线项 说明说明 用户帐号设置。 检测操作步检测操作步 骤骤 1、执行:lsuser a home ALL 2、执行:ls l /etc/passwd 基线符合性基线符合性 判定依据判定依据 需要锁定的用户:deamon,bin,sys,adm,uucp,nuucp,printq,g

6、uest,nobody,lpd,sshd 备注备注 2.1.2 用户组设置用户组设置 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户组安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-02-01-02 安全基线项安全基线项 说明说明 用户组设置。 检测操作步检测操作步 骤骤 1、执行:more /etc/group 2、执行:ls -l /etc/group 基线符合性基线符合性 判定依据判定依据 不要存在无用的用户组:uucp printq 备注备注 AIX 安全配置基线 中国移动通信有限公司第 3 页 共 15 页 2.1.3 用户口令设置用户口令设置 安全基线项安全

7、基线项 目名称目名称 操作系统 AIX 用户口令安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-02-01-03 安全基线项安全基线项 说明说明 用户口令设置。对于采用静态口令认证技术的设备,口令长度至少 6 位,并 包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 1、执行:more /etc/security/user ,检查 maxage/minlen/minage/pwdwarntime 参数 2、执行:pwdck n ALL, 检查是否存在空口令账号 基线符合性基线符合性 判定依据判定依据 不能存在简单密码; 创建一个普通账号,为用

8、户配置与用户名相同的口令、只包含字符或数字的 简单口令以及长度短于 6 位的口令,查看系统是否对口令强度要求进行提示; 输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。 备注备注 2.1.4Root 用户远程登录限制用户远程登录限制 安全基线项安全基线项 目名称目名称 操作系统 AIX 远程登录安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-02-01-04 安全基线项安全基线项 说明说明 Root 用户远程登录限制。 检测操作步检测操作步 骤骤 1、执行:more /etc/security/user ,检查在 root 项目中是否有下列行: rlogin=f

9、alse login=true su=true sugroup=system 基线符合性基线符合性 判定依据判定依据 禁止 root 用户直接登录系统可以增加系统入侵的难度 备注备注 AIX 安全配置基线 中国移动通信有限公司第 4 页 共 15 页 2.1.5 系统用户登录限制系统用户登录限制 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户登录安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-02-01-05 安全基线项安全基线项 说明说明 系统用户登录限制。 检测操作步检测操作步 骤骤 1、执行:more /etc/security/user ,检查在 daemon

10、bin sys adm uucp nuucp printq guest nobody lpd sshd 项目中是否有下列行: rlogin=false login=false 基线符合性基线符合性 判定依据判定依据 系统账号仅被守护进程和服务使用,不应直接由用户登录系统。如果系统没 有应用这些守护进程或服务,建议删除这些账号。 备注备注 2.2 口令口令 2.2.1 口令生存期安全要求口令生存期安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 口令生存期安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-02-02-01 安全基线项安全基线项 说明说明 对于采用静态口令认

11、证技术的设备,帐户口令的生存期不长于 90 天。 检测操作步检测操作步 骤骤 1、执行:more /etc/security/user ,检查 histexpire 基线符合性基线符合性 判定依据判定依据 Histexpire 小于等于 13 备注备注 2.2.2 口令历史安全要求口令历史安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 口令生存期安全基线要求项 AIX 安全配置基线 中国移动通信有限公司第 5 页 共 15 页 安全基线编安全基线编 号号 SBL-AIX-02-02-02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复

12、使用最近 5 次(含 5 次)内已使用的口令。 检测操作步检测操作步 骤骤 1、执行:more /etc/security/user ,检查 histsize 基线符合性基线符合性 判定依据判定依据 Histsize 大于等于 5 备注备注 2.2.3 用户口令锁定策略用户口令锁定策略 安全基线项安全基线项 目名称目名称 操作系统 AIX 口令锁定安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-02-02-03 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次) ,锁定该用户使用的账号。 检测操作步检测操作步 骤

13、骤 1、执行:more /etc/security/user ,检查 retries 基线符合性基线符合性 判定依据判定依据 retries=6 备注备注 2.2.4 用户访问权限安全要求用户访问权限安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户访问权限安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-02-02-04 安全基线项安全基线项 说明说明 控制用户缺省访问权限,当在创建新文件或目录时 应屏蔽掉新文件或目录 不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该 用户的文件或更高限制。 检测操作步检测操作步 骤骤 1、执行:more /et

14、c/default/login ,检查 umask 基线符合性基线符合性 判定依据判定依据 umask 027 AIX 安全配置基线 中国移动通信有限公司第 6 页 共 15 页 备注备注 2.2.5 用户用户 FTP 访问的安全要求访问的安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户 FTP 访问安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-02-02-05 安全基线项安全基线项 说明说明 控制 FTP 进程缺省访问权限,当通过 FTP 服务创建新文件或目录时应屏蔽 掉新文件或目录不应有的访问允许权限。 检测操作步检测操作步 骤骤 1、 执行:more /

15、etc/ftpaccess ,检查 restricted-uid 2、 执行:more /etc/ftpusers 基线符合性基线符合性 判定依据判定依据 ftpaccess 中应有类似一行 restricted-uid *(限制所有); ftpusers 列表里边的用户名应包括: root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 备注备注 AIX 安全配置基线 中国移动通信有限公司第 7 页 共 15 页 第第 3 章章网络与服务网络与服务 3.1 服务服务 3.1.1 远程维护安全要求远程维护安全要求

16、安全基线项安全基线项 目名称目名称 操作系统 AIX 远程维护安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-03-01-01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密协议, 并安全配置 SSHD 的设置。 检测操作步检测操作步 骤骤 1、执行:ps elf|grep ssh 2、执行:ps elf|grep telnet 基线符合性基线符合性 判定依据判定依据 ssh 启用,telnet 禁用 备注备注 3.2 网络网络 3.2.1 ICMP 重定向安全要求重定向安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX ICMP 重定向安全基线要求项 安全基线编安全基线编 号号 SBL-AIX-03-02-01 安全基线项安全基线项 说明说明 主机系统应该禁止 ICMP 重定向,采用静态路由。 检测操作步检测操作步 骤骤 在/etc/rc2.d/S?inet 搜索 在/etc/rc2.d/S69inet 中搜索 基线符合性基线符合性 判定依据判定依据 要求 ip_sen

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号