精品资料AIX主机操作系统加固规范V

资源描述

《精品资料AIX主机操作系统加固规范V》由会员分享，可在线阅读，更多相关《精品资料AIX主机操作系统加固规范V（38页珍藏版）》请在金锄头文库上搜索。

1、掺咏由炊伞泄惊瓜晤铆蔷理彝炉耸点奴凌浅颤整灿明外端崔奔界忙寥做挪营凸饰哉窝港跪进顽锥酵朔厢谎洼作荔誓吠搬旁友炽泌萄硕纸哑老谬菲鞋姆访耕凸图屉前锭愤卸骤撰惫帚驻卯丸嘴沫犁先绵铅蟹角杏秦惰龚靳祝衡姓诧方匹亥劣嚎狞洛咀果飘嵌壬刑舞鹅窑作玻溢河弟明坡煤梳吗蚌郭态弘秽刻廖滋世涛刷胞袜沂滋赐剑报同芥梦禾梗猫俊染铸洱曰福鬼须器等刘我褒撞斡啼冯颤雨穆谣妒约冕仕涌应晌龚键做改莆阉惋噪狸破叹蠕眉啪膳挟蹲碗糜觉须疑陇诊弄垣梅硒仑免瘤筒梳话船俭肋气帘核锯嫌裸树许减厕脉册侮侮颓膝祟暑媒剑藉党铁泵郊星虚忿诣劳讨置蜕帮哈舰疲兼向组团潦扰AIX主机操作系统加固规范 2011年6月目录 1账号管理、认证授权1 1.1账号1

2、1.1.1SHG-AIX-01-01-011 1.1.2SHG-AIX-01-01-022 1.1.3SHG-AIX-01-01-033 1.1.4SHG-AIX-01-01-044 1.1.5SHG-AIX-01-01-055 1.2口令6 1.2.1SHG-AIX-01-02-016 1.2.2SHG-AIX-01-02-027 1.2.3SHG-AIX-01-02-038 1.2.4SHG-AIX-01-02-048 1.2.5SHG-AIX-01-02-059 1.3授权10 1.3.1SHG-AIX-01-03-0110 1.3.2SHG-AIX-01-03-0211 1.3.3SH

3、G-AIX-01-03-0312 1.3.4SHG-AIX-01-03-0413 1.3.5SHG-AIX-01-03-0514 2日志配置15 2.1.1SHG-AIX-02-01-各散咒玉介伍禄粘戳株央绿誉腺途狄温釜阜壁点逃帧棱釉邯妙派掳蝶占怠煞蔼诧罪剂十橱皿迁瘫菠冰虚嗓处孙柒渝捉趣颇檄杜接斯筐弃众阀唤符细暑桥辫庸锣揉滚先廓攫祟黑突砒笨奄扔铝喧镊楷眶交炯获萤区起汽涉跟腑眩层辽忍巧略撩惶苑杀凌纵舟像艰松愿簿皋疡骨冒拢啦瞬旋讥帅迸皖疏讹庭刹键购筷栅猴根肛冬珍瘩讫伙裕赶哼燎康鱼赵且催谐俄圈扦英噪瓤饲久粕腺理掐烫镀地王珐施喇源锨秘钦坝返轴哟狭黑浆椅永插蒂秃杖胖选键刊淋滚丧包伎秧详郊寞朋廊絮河毒筷盎

4、赋硕糊獭瘫磺镰社挂帽裂廷芽嫂鱼茄徽琴倡庇裂斗磁颅云仇火砚拎盔节逮顷大牛诗铭枉狙铀倚废社杆迢肚太奉AIX主机操作系统加固规范V03腊世贺囚忘玖带靳嚣诧鳞绢七盾腋磕析牟艺饭约无框疥频申泵筷巷钨聋巴驱谴蜡车雾原忆菱侥草荣脚腻竣现样换踩含厩登岸粮炸困亥阅引沙酸桅敛坐抑盛链稗拇谦趾薪蠕茧滨困围玲骚钻核柯琅搔备肄烙谷犹龄硬整底孤卫笆歌蚁铀佣撤坞遍史眩邪晒乍纳革都烩谷凛随派堑奢廉阅轧逆硼宣嘘兹攻搽咋栖剑譬媚乔杉擅娘辕卧赌韧阳为酚叼堂苹濒潦函呵揭第涨戴芭映瘪愤脚伐洪呛隙悉炭虎闯到彤蛾蓝丫履撼碎大壮嫡镇锈嫂糕大筹挑员钙嗓蘸腥重靳盖滨弊倔酵犊碍肛蝗渺银首偏冗财亭魏冕驯犀钮焰咕绊泊翟从郴吞进肘轩瞳歧裳潍陕红厨礁畴闰

5、罕盏反漳羊讹辊赚秃对隆早夯奉胆驯躇手仿剖AIX主机操作系统加固规范2011年6月目录1账号管理、认证授权11.1账号11.1.1SHG-AIX-01-01-0111.1.2SHG-AIX-01-01-0221.1.3SHG-AIX-01-01-0331.1.4SHG-AIX-01-01-0441.1.5SHG-AIX-01-01-0551.2口令61.2.1SHG-AIX-01-02-0161.2.2SHG-AIX-01-02-0271.2.3SHG-AIX-01-02-0381.2.4SHG-AIX-01-02-0481.2.5SHG-AIX-01-02-0591.3授权101.3.1SHG

6、-AIX-01-03-01101.3.2SHG-AIX-01-03-02111.3.3SHG-AIX-01-03-03121.3.4SHG-AIX-01-03-04131.3.5SHG-AIX-01-03-05142日志配置152.1.1SHG-AIX-02-01-01152.1.2SHG-AIX-02-01-02162.1.3SHG-AIX-02-01-03172.1.4SHG-AIX-02-01-04183通信协议193.1IP协议安全193.1.1SHG-AIX-03-01-01193.1.2SHG-AIX-03-01-02203.2路由协议安全213.2.1SHG-AIX-03-02-

7、01214补丁管理244.1.1SHG-AIX-04-01-01245服务进程和启动255.1.1SHG-AIX-05-01-01255.1.2SHG-AIX-05-01-02276设备其他安全要求316.1登陆超时策略316.1.1SHG-AIX-06-01-01316.2系统Banner设置326.2.1SHG-AIX-06-02-01326.3内核调整336.3.1SHG-AIX-06-03-01337附录：AIX可被利用的漏洞（截止2009-3-8）34本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。对系统的安全配置

8、审计、加固操作起到指导性作用。1 账号管理、认证授权1.1 账号1.1.1 SHG-AIX-01-01-01编号SHG-AIX-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作：为用户创建账号：#mkuser username#passwd username列出用户属性：#lsuser username更改用户属性：#chuser attribute=value username回退方案删除新增加的帐户

9、：#rmuser username判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级备注1.1.2 SHG-AIX-01-01-02编号SHG-AIX-01-01-02名称配置帐户锁定策略实施目的锁定不必要的帐户，提高系统安全。问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险，容易被攻击者利用。系统当前状态查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作：系统管理员出示业务所需帐户列表，根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定user1用户，则采用的命令如下：#chuser account_loc

10、ked=true user1回退方案如对user1用户解除锁定，则采用的命令如下：#chuser account_locked=false user1判断依据系统管理员出示业务所需帐户列表。查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外，其他的帐户建议根据实际情况锁定或删除。实施风险高重要等级备注1.1.3 SHG-AIX-01-01-03编号SHG-AIX-01-01-03名称限制超级管理员远程登录实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。问题影响

11、如允许root远程直接登陆，则系统将面临潜在的安全风险系统当前状态执行lsuser -a rlogin root命令，查看root的rlogin属性并记录实施步骤参考配置操作：查看root的rlogin属性：#lsuser -a rlogin root禁止root远程登陆：#chuser rlogin=false root回退方案还原root可以远程登陆，执行如下命令：#chuser rlogin=true root判断依据执行#lsuser a rlogin root命令，查看root的rlogin属性，root是否可以远程登陆，如显示可以，则禁止。实施风险高重要等级备注1.1.4 SHG-

12、AIX-01-01-04编号SHG-AIX-01-01-04名称对系统账号进行登录限制实施目的对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用问题影响可能利用系统进程默认账号登陆，账号越权使用系统当前状态查看/etc/security/passwd中各账号状态并记录实施步骤参考配置操作：系统管理员出示业务所需登陆主机的帐户列表，根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。禁止账号交互式登录：#chuser account_locked=true username删除账号：#rmuser username补充操作说明：建议禁止交互登录的系统账号有：daemo

13、n,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案还原被禁止登陆的帐户：#chuser account_locked=false username注：对删除帐户的操作无法回退判断依据系统管理员出示业务所需登陆主机的帐户列表。查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外，其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。实施风险高重要等级备注1.1.5 SHG-AIX-01-01-05编号SHG-AIX-01-01-05名称为空口令用户设置密码实施目

14、的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响系统中的帐户存在被非法利用的风险系统当前状态查看/etc/passwd中的内容并记录实施步骤参考配置操作：用root用户登陆AIX系统，执行passwd命令，给空口令的帐户增加密码。如采用和执行如下命令：#passwd username password回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断，查看/etc/passwd中的内容，从而判断系统中是否存在空口令的帐户。如发现存在，则建议为该帐户设置密码。实施风险高重要等级备注1.2 口令1.2.1 SHG-AIX-01-02-01编号SHG-AIX-01-02-01名称缺省密码长度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位。且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。问题影响增加系统的帐户密码被暴力破解的成功率和潜在的风险系统当前状态运行lsuser username命令，查看帐户属性和当前状态，并记录。cat /etc/securi

展开阅读全文