收藏
下载资源

AIX操作系统安全配置手册

上传人:re****.1 文档编号:466505698 上传时间:2022-11-26 格式:DOCX 页数:22 大小:59.19KB
返回 下载 相关 举报
AIX操作系统安全配置手册_第1页
第1页 / 共22页
AIX操作系统安全配置手册_第2页
第2页 / 共22页
AIX操作系统安全配置手册_第3页
第3页 / 共22页
AIX操作系统安全配置手册_第4页
第4页 / 共22页
AIX操作系统安全配置手册_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《AIX操作系统安全配置手册》由会员分享,可在线阅读,更多相关《AIX操作系统安全配置手册(22页珍藏版)》请在金锄头文库上搜索。

1、AIX操作系统安全配置手册许新新 .com2011-6-8 版本号:V1.0目录1. 引言22. 用户管理22.1 用户账号安全设置22.2 删除一个用户账号32.3 禁止 root 用户直接登录 42.4 用户登录审计42.5 密码规则设置62.6 文件和目录的默认访问权限62.7 用户错误登录次数过多导致账号被锁定72.8 查看密码的上次修改时间72.9 chpasswd 和 pwdadmin 命令的使用83. 网络安全93.1安装SSH文件集并设置93.2 TELNET和SSH的安全性比较103.3 禁止 TELNET、FTP、RLOGIN 等网络服务113.4限制某些用户FTP登录12

2、3.5设置目录的FTP访问权限123.6将用户FTP访问限定在自己的$HOME目录153.7实现基于IP地址的访问控制153.8查看当前的TCPIP网络连接184. 系统安全管理194.1 设置用户终端长时间不操作后自动退出194.2设置NTP网络时钟协议204.3 停止 NFS 服务 224.4 设置用户 limits 参数234.5 wtmp 文件 的使用241. 引言AIX作为IBM Power系列开放平台服务器的专用操作系统,属于UNIX操作系统的一 个商业版本。作为企业级服务器的操作平台,安全性是AIX必备的一个重要特性。由于我们的小型机上往往运行着客户的核心生产业务,因此对于系统的

3、安全设置往往会 有着严格的要求。2. 用户管理AIX 是一个多用户操作系统,多个用户要在同一个系统环境中协同工作,用户访问权 限的设置、用户作业的相互隔离、用户系统资源的限制,都是AIX操作系统不可或缺的功2.1 用户账号安全设置为了保证整个操作系统的安全,每个用户账号必须满足如下安全设置要求:(1) 每个系统管理员应该设置单独的账号,不允许多个管理员共用一个账号;(2) root用户不允许直接登录,必须通过其他用户登录后,通过su命令获得root用户权限;(3) 禁用或者删除不使用的系统账号;(4) 设置必要的密码规则。AIX 操作系统在安装成功后,默认就会创建一些用户,用户的基本信息保存在

4、 /etc/passwd文件中。其中root和bin用户是不可以删除的,其他用户都可以安全地删除或者 屏蔽掉,以避免这些系统默认用户账号由于存在弱口令等问题,被黑客所攻击。其中第二列中“!”表示该用户已经设置了密码,“*”表示该用户还没有设置密码。# cat /etc/passwd root:!:0:0:/:/usr/bin/ksh daemon:!:l:l:/etc: bin:!:2:2:/bin:sys:!:3:3:/usr/sys: adm:!:4:4:/var/adm: uucp:!:5:5:/usr/lib/uucp: guest:!:100:100:/home/guest: nob

5、ody:!:4294967294:4294967294:/: lpd:!:9:4294967294:/:lp:*:11:11:/var/spool/lp:/bin/false invscout:*:6:12:/var/adm/invscout:/usr/bin/kshsnapp:*:200:13:snapp login user:/usr/sbin/snapp:/usr/sbin/snappd ipsec:*:201:l:/etc/ipsec:/usr/bin/kshnuucp:*:7:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp

6、/uucico pconsole:*:8:0:/var/adm/pconsole:/usr/bin/ksh esaadmin:*:10:0:/var/esa:/usr/bin/ksh#AIX 操作系统在安装的时候,会默认建立一些用户组,用户组的基本信息保存在 /etc/group文件中,其中system和bin组是不可以删除的。# cat /etc/group system:!:0:root,pconsole,esaadmin staff:!:1:ipsec,esaadmin,sshd,user1,oracle bin:!:2:root,bin sys:!:3:root,bin,sysadm:

7、!:4:bin,adm uucp:!:5:uucp,nuucpmail:!:6: security:!:7:root cron:!:8:root printq:!:9:lp audit:!:10:rootecs:!:28:nobody:!:4294967294:nobody,lpd usr:!:100:guestperf:!:20: shutdown:!:21:lp:!:11:root,lp invscout:!:12:invscout snapp:!:13:snappipsec:!:200: pconsole:!:14:pconsole#2.2 删除要删除或者禁用一个用户账号,可以使用三个办

8、法:(1) 使用rmuser命令删除用户,格式为rmuser - user_name。 这会删除/etc/passwd 和/etc/group文件中关于该用户的内容,同时删除 /etc/security/passwd 文件中关于该用户的内容。但是该用户的home目录并不会被删除,需要使用rmdir的命令去删除该用户的home目录。(2) 编辑/etc/passwd文件,在需要删除的用户名前加上“# ”注释符。建议使用第二种方法,因为第二种方法只是注释掉需要删除的用户,此后该用户将无法登录 系统,但与该用户相关的信息并不删除,当需要恢复该用户的登录功能时,只需要把/etc/passwd 文件中该

9、用户名前的“#”注释符删除即可。(3)编辑/etc/passwd文件,把需要删除的用户的默认shell设置为/bin/false。/bin/false 是一个系统空文件,并不是有效的 shell 程序,因此当该用户登录系统后,由于无 法打开shell而登录失败。2.3 禁止 root 用户直接登录禁止root用户直接登录系统,必须使用普通用户登录后,使用su命令切换到root用户 权限设置方法是编辑/etc/security/user配置文件中的login、rlogin和su属性。在该文件的头 部,详细描述了每一个参数的含义。其中login属性是设置是否允许用户通过本地console登录,本地

10、console包括显示器或 者串口。rlogin属性是设置是否允许用户远程登录,远程登录方式包括rlogin和telnet,不包括SSH 等其他远程登录方式。su属性是设置是否允许该用户通过su命令获得其他用户的权限。* loginDefines whether the user can login.*Possible values : true or false.* rloginDefines whether the user account can be accessed by remote*logins. Commands rlogin and telnet support this a

11、ttribute.*Possible values: true or false.* suDefines whether other users can switch to this user account.*Command su supports this attribute.*Possible values: true or false.2.4 用户登录审计在/var/adm/wtmp文件中记录了所有用户的登录时间、登录方式、源IP地址信息。而在 /var/adm/sulog 文件中,记录了使用 su 命令切换用户权限的时间点。 wtmp 文件不是纯文本 文件,需要使用who命令来查看。

12、sulog文件是纯文本文件,可以使用cat命令直接查看。结合/var/adm/wtmp文件和/var/adm/sulog文件的输出,就可以确切地判断出在某个时间 段是谁获得了 root操作权限。启用EXTENDED_HISTORY=ON环境变量,记录用户的命令行操作。在每个用户的$HOME目录下都有一个.sh_history的文本文件,记录了该用户的所有命 令行操作。默认情况下,EXTENDED_HISTORY环境变量处于OFF状态。因此在.sh_history 文件中只包含执行的命令,不包含时间点。#cat .sh_historywhoamiexitexitpasswd errpt iosc

13、an su - whoami sar sar 3 su - whoami whereis sar sar 3将环境变量EXTENDED_HISTORY设置为ON后,.sh_history文件中就会包含该用户所执行的命令已经时间点。使用命令fc -t -1000可以查看本用户最近1000条执行的命令。#fc -t -1000212011/04/09 14:45:07 :vi ntp.conf222011/04/09 14:46:21 :cat ntp.conf232011/04/09 14:46:35 :startsrc -s xntpd242011/04/09 14:46:46 :lssrc

14、-algrep ntp252011/04/09 14:46:58 :lssrc -ls xntpd262011/04/09 14:47:21 :set -o vi272011/04/09 14:47:24 :lssrc -ls xntpd282011/04/09 14:47:26 :lssrc -ls xntpd292011/04/09 14:47:27 :lssrc -ls xntpd302011/04/09 14:47:29 :lssrc -ls xntpd312011/04/09 14:47:30 :lssrc -ls xntpd322011/04/09 14:47:32 :lssrc

15、-ls xntpd332011/04/09 14:47:34 :lssrc -ls xntpd342011/04/09 14:47:35 :lssrc -ls xntpd352011/04/09 14:47:36 :lssrc -ls xntpd362011/04/09 15:28:53 :lssrc -ls xntpd372011/04/09 15:29:02 :lssrc -ls xntpd382011/04/09 15:31:05 :vi ntp.conf每个用户的$HOME目录下还有一个smit.log文件,这个文件记录了该用户通过smit菜 单所做的所有操作。这是一个文本文件,通过VI文本编辑器可以直接查看和修改。2.5 密码规则设置AIX 支持对密码的复杂度、重复次数、生命期等进行限制,以提高密码被破解或者盗 取的难度。AIX最多支持8位密码,多于8位之后的内容将被自动忽略。在/etc/securit

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 机械/制造/汽车 > 电气技术

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号