收藏
下载资源

主机加固操作手册(AIX).doc

上传人:汽*** 文档编号:551109950 上传时间:2022-09-26 格式:DOC 页数:7 大小:76.01KB
返回 下载 相关 举报
主机加固操作手册(AIX).doc_第1页
第1页 / 共7页
主机加固操作手册(AIX).doc_第2页
第2页 / 共7页
主机加固操作手册(AIX).doc_第3页
第3页 / 共7页
主机加固操作手册(AIX).doc_第4页
第4页 / 共7页
主机加固操作手册(AIX).doc_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《主机加固操作手册(AIX).doc》由会员分享,可在线阅读,更多相关《主机加固操作手册(AIX).doc(7页珍藏版)》请在金锄头文库上搜索。

1、 AIX加固操作手册编号加固项备注1.1禁用以下服务:kshell(kerbores协议的shell服务) klogin(kerbores协议的login服务) exec(提供rexec远程执行命令服务) echo(字符回显测试服务) discard(丢弃字符测试服务) chargen(发送字符测试服务) daytime(时间同步服务) time(时间同步服务) ntalk(基于字符的聊天服务服务) rstatd(服务器内核信息查询) rusersd(用户信息查询服务) rwalld(用户信息通告服务) sprayd(系统性能信息查询服务) pcnfsd(非UNIX客户机打印缓冲服务)加固步骤

2、:1. 编辑/etc/inetd.conf文件2. 注释以下单词开头的行:kshell klogin exec echo discard chargen daytime time ntalk rstatd rusersd rwalld sprayd pcnfsd服务3. 重启服务refresh -s inetd回退步骤:1. 编辑/etc/inetd.conf文件2. 取消注释以下单词开头的行:kshell klogin exec echo discard chargen daytime time ntalk rstatd ruserd rwalld sprayd pcnfsd3. 重启服务r

3、efresh -s inetd1.2禁用以下服务:sendmail(邮件服务) routed(基于rip的路由服务) gated(多种路由协议的路由服务) named(DNS服务) timed(时间同步服务) rwhod(用户信息服务) lpd(打印服务) ndpd-router(路由服务) ndpd-host(路由服务) piobe(打印服务) httpdlite(man文档查询) writesrv(用户聊天服务)服务加固步骤:禁用以下服务,以sendmail服务为例:sendmailroutedgatednamedtimedrwhodlpd,ndpd-routerndpd-host1检查服

4、务开启情况lssrc -a2. 停止sendmail服务stopsrc -s sendmail3. 禁止sendmail自启动chrctcp -d sendmail 禁用以下服务,以piobe为例piobehttplitewritesrv服务1. 停止piobe服务stopsrc -s piobe2. 禁止piobe服务自启动编辑/etc/inittab,在piobe开头的行前增加分号回退步骤:启用以下服务,以sendmail服务为例:sendmailroutedgatednamedtimedrwhodlpd,ndpd-routerndpd-host1. 启动sendmail服务startsr

5、c -s sendmail2. 设置sendmail服务自启动chrctcp -a sendmail 启用以下服务,以piobe为例piobehttplitewritesrv1. 启动piobe服务startsrc -s piobe2. 允许piobe服务自启动编辑/etc/inittab,取消piobe行的注释(分号)1.3加强snmp community复杂度加固步骤:1. 编辑/etc/snmpd.conf2. 如果community string为public,则修改public为cpic3. 重启snmpd服务refresh -s snmpd回退步骤:1. 编辑/etc/snmpd.

6、conf2. 修改cpic为public3. 重启snmpd服务refresh -s snmpd1.4禁止syslog接收网络日志加固步骤:1设置syslogd参数chssys -s syslogd a “-r”2. 重启syslogd服务stopsrc -s syslogdstartsrc -s syslogd回退步骤:操作如下:1设置syslogd参数chssys -s syslogd a “”2. 重启syslogd服务stopsrc s syslogdstartsrc -s syslogd1.5设置所有人可写目录的sticky位加固步骤:find / -type d ( -perm -

7、0002 -a ! -perm -1000 ) -print -exec chmod +t ;find / -xdev -type d ( -perm -0002 -a ! -perm -1000 ) print exec chmod +t ;回退步骤:如果某个用户test需要写test1拥有的文件file1,file1所在目录为dir1,修改如下:chmod -t dir11.6规范基于rhosts认证的信任关系1 查找/etc/hosts.equiv与/.rhosts文件,/.rhosts查找方法如下: find / -name .rhosts -print2 如果/etc/hosts.e

8、quiv或/.rhosts文件中存在+号,与系统管理员确认信任关系后删除”+”号,重新设置详细的信任关系1.7禁止系统用户使用ftp服务1编辑或创建/etc/ftpusers2. 每个系统帐号一行,系统帐号如下: daemon bin sys adm uucp guest nobody lpd lp invscout invscout ipsec nuucp1.8限制cron的使用编辑或创建/var/adm/cron/cron.allow文件, 增加如下行:每行都为/var/spool/cron/crontabs目录中一个文件名1.9禁止系统帐号登陆1编辑/etc/passwd2. 设置系统帐

9、号的登录shell为空,系统帐号如下:daemon bin sys adm uucp guest nobody lpd lp invscout invscout ipsec nuucp1.10设置密码策略注意:设置密码最小长度会影响以前密码不符合长度的用户,这步应由系统管理员导出系统帐号,跟应用相关人员确认,如果不符合需先修改密码后再做这一步加固步骤:1. 设置密码最小长度8 chsec -f /etc/security/user -s default -a minlen=8回退步骤:如果需要设置密码最小长度为6,如下chsec -f /etc/security/user -s default -a minlen=61.11确保系统的超级用户都是合法的1. 编辑/etc/passwd2. 如果存在其他uid为0的非root用户,确保其是合法的1.12限制root用户远程登录加固步骤:chuser rlogin=false root回退步骤:chuser rlogin=true root 第5页 共7页

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号