AIX訪問控制安全策略

1、AIX 服務(wù)器學(xué)習(xí)文檔 僅供參考1 1.1 配置密碼策略 參考配置操作：當(dāng)前系統(tǒng)管理員密碼為弱密碼，建議其更換強(qiáng)密碼，編輯/etc/security/user設(shè)置以下參考數(shù)值設(shè)定：#vi /etc/security/userminalpha = 1minother = 2minlen = 8maxage = 4maxexpired = 1pwdwarntime = 7histsize = 51.2 啟用登錄失敗處理功能參考配置操作：口令必須包含 1 個(gè)字母口令必須包含 2 個(gè)非字母字符8 個(gè)字符口令可使用周期 4 周到達(dá)使用周期后 1 周內(nèi)必須更改口令在到達(dá)使用周期前7 天提示修改口令不能使用

2、上5 次用過的口令編輯 /etc/security/user 文件，并修改以下內(nèi)容：loginretries = 3 口令重試 3 次后鎖定解鎖方法：以 user 用戶為例，執(zhí)行命令：#lsuser user 檢查 unsuccessful_login_count 參數(shù)登錄失敗次數(shù)#chuser unsuccessful_login_count=0 user 重置 user 用戶登錄失敗次數(shù)1.3 遠(yuǎn)程訪問加密措施 參考配置操作：1在官網(wǎng)下載Openssl 和 OPenSSH 軟件。2上傳文件將用ftp 傳到 /tmp/openssh 目錄下將用ftp 傳到 /tmp/openssl 目錄下3

3、解壓文件# cd /tmp/openssh/# cd /tmp/openssl/4安裝 openssl進(jìn)入 openssl 目錄# cd /tmp/openssl開始安裝# smitty install順序選擇 Install and Update Software -Install SoftwareINPUT device / directory for software /tmp/openssl 輸入 openssl 目 錄.選中 SOFTWARE to install _all_latest 行，按 F4 ，選擇，回車選中 ACCEPT new license agreements? 行

4、，按 Teb 鍵，選擇 yes回車，執(zhí)行安裝Command:OK 表示安裝完成。5安裝 openssh進(jìn)入 openssh 目錄# cd /tmp/openssh刪除目錄下包開始安裝# smitty install順序選擇 Install and Update Software -Install SoftwareINPUT device / directory for software /tmp/openssh 輸入 openssl 目 錄.選中 SOFTWARE to install _all_latest 行，按 F4 ，選擇查看可安裝的選項(xiàng)， F3 返回選中 ACCEPT new lic

5、ense agreements? 行，按 Teb 鍵，選擇 yes回車，執(zhí)行安裝Command:OK 表示安裝完成。6) 安裝完成后SSH 服務(wù)會(huì)自動(dòng)啟動(dòng)，確認(rèn)：# lssrc -s sshd7禁用telnet 服務(wù)# stopsrc -t telnet8查看telnet 服務(wù)狀態(tài)# lssrc -t telnet9禁止telnet 開機(jī)啟動(dòng)在 telnet stream tcp6 nowait root /usr/sbin/telnetd telnetd -a 前加“#”注： 開啟 telnet 服務(wù)命令為 startsrc -t telnetopenssh 官方網(wǎng)站：:/openssh /

6、openssl 官方網(wǎng)站：s:/2 2.1 修改 UMASK 值參考配置操作：1 編輯 /etc/security/user 文件，設(shè)置umask 值：#vi /etc/security/userumask = 027#缺省文件權(quán)限為7503 3.1 設(shè)定管理登陸地址參考配置操作：1 檢查系統(tǒng)中是否安裝了 IPSec 的軟件包# lslpp -l | grep ipsec .ipsec.rte2 檢查 Ipsec 策略#lsfilt -s -v4 -O 檢查 ipsec 策略有三條默認(rèn)策略， 假設(shè)無多余策略可進(jìn)行下一步。 假設(shè)存在多余策略， 按 以下方式刪除多余策略。#smitty tcpip

7、Configure IP Security (IPv4) - Advanced IP Security Configuration -Configure IP Security Filter Rules -Delete IP Security Filter Rules選中某一策略，回車策略將被刪除。3 啟動(dòng) IPsec#smitty tcpipConfigure IP Security (IPv4) -Start/Stop IP Security -Start IP Security -Start IP Securit Now and After Reboot4配置策略對(duì)于 IP 地址是的 A

8、IX 服務(wù)器，我們希望只有來自于的終端才可以通過SSH 訪問它， 拒絕來自其他網(wǎng)段的 SSH 請(qǐng)求。在 aix 操作系統(tǒng)中 SSH 缺省使用的端口號(hào)是22 ， 所以在服務(wù)器上需要設(shè)置以下 2 條過濾規(guī)則，一條是permit 規(guī)則，一條是deny 規(guī)則。注意 :permit 規(guī)則要在 deny 規(guī)則之前。genfilt -v 4 -a P -s 12 -m 55 -d 52-M -g y -c all -o any -p 0 -O eq -P 22 -r B -w B -l N -t 0-i allgenf

9、ilt -v 4 -a D -s -m -d 52 -M 55 -g y -c all -o any -p 0 -O eq -P 22 -r B -w B -l N -t 0 -i all執(zhí)行命令 #lsfilt -s -v4 -O 驗(yàn)證 ipsec 策略， 假設(shè)無沖突， 則進(jìn)行下一步驟。5 使 IP 過濾規(guī)則生效#mkfilt -v4 -u3.2 設(shè)置登錄超時(shí)策略參考配置操作：1 檢查/etc/profile 讀寫權(quán)限ls -l /etc/profile # 檢查是否有修改權(quán)限2 修改/etc/profile 權(quán)限chmod 655 /etc/profi