AIX安全配置規(guī)范

1、AIX操作系統(tǒng)安全配置規(guī)范2011年3月第1章概述1.1適用范圍適用于中國(guó)電信使用AIX操作系統(tǒng)的設(shè)備。本規(guī)范明確了安全配置的基本要求，可作為編制設(shè)備入網(wǎng)測(cè)試、安全驗(yàn)收、安全檢查規(guī)范等文檔的參考。由于版本不同，配置操作有所不同，本規(guī)范以AIX5.X為例，給出參考配置操作。第2章安全配置要求2.1賬號(hào)編寫：1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號(hào)。操作指南1、參考配置操作為用戶創(chuàng)建賬號(hào)：#useraddusername#創(chuàng)建賬號(hào)#passwdusername#設(shè)置密碼修改權(quán)限：#chmod750directory#其中750為設(shè)置的權(quán)限，可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)

2、限的目錄）使用該命令為不同的用戶分配不同的賬號(hào)，設(shè)置不同的口令及權(quán)限信息等。2、補(bǔ)充操作說明檢測(cè)方法1、判定條件能夠登錄成功并且可以進(jìn)行常用操作；2、檢測(cè)操作使用不同的賬號(hào)進(jìn)行登錄并進(jìn)彳L些常用操作；3、補(bǔ)充說明編寫：2要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)。操作指南1、參考配置操作刪除用戶：#userdelusername;鎖定用戶：1）修改/etc/shadow文件，用戶名后加*LK*2）將/etc/passwd文件中的shell域設(shè)置成/bin/false3）#passwd-lusername只有具備超級(jí)用戶權(quán)限的使用者方可使用，#passwd-lusername鎖定用戶，

3、用#passwd-dusername解鎖后原有密碼失效，登錄需輸入新號(hào)碼，修改/etc/shadow能保留原有密碼。2、補(bǔ)充操作說明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。檢測(cè)方法1、判定條件被刪除或鎖定的賬號(hào)無法登錄成功；2、檢測(cè)操作使用刪除或鎖定的與工作無關(guān)的賬號(hào)登錄系統(tǒng)；3、補(bǔ)充說明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。解鎖時(shí)間：15分鐘編寫：3要求內(nèi)容限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。需要遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)

4、管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。操作指南1、參考配置操作編輯/etc/security/user,力口上：在root項(xiàng)上輸入false作為rlogin的值此項(xiàng)只能限制root用戶遠(yuǎn)程使用telnet登錄。用ssh登錄，修改此項(xiàng)/、會(huì)看到效果的2、補(bǔ)充操作說明如果限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLoginyes改為PermitRootLoginno,重啟sshd服務(wù)。檢測(cè)方法1、判定條件root遠(yuǎn)程登錄不成功，提示“沒有權(quán)限”；普通用戶可以登錄成功，而且可以切換到root用戶；2、檢測(cè)操作root從遠(yuǎn)程使用telnet登錄；普通

5、用戶從遠(yuǎn)程使用telnet登錄；root從遠(yuǎn)程使用ssh登錄；普通用戶從遠(yuǎn)程使用ssh登錄；3、補(bǔ)充說明限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLoginyes改為PermitRootLoginno,重啟sshd服務(wù)。編號(hào)：4要求內(nèi)容操作指南對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。1、參考配置操作把如下shell保存后，運(yùn)行，會(huì)修改ssh的安全設(shè)置項(xiàng)：unaliascprmmvcase'find/usr/etc-typef|grep-cssh_config$'in

6、0)echo"Cannotfindssh_config"；1)DIR='find/usr/etc-typef2>/dev/null|grepssh_config$|sed-e"s:/ssh_config:"'cd$DIRcpssh_configssh_config.tmpawk7人#?*Protocol/print"Protocol2"next;print'ssh_config.tmp>ssh_configif"'grep-ElAProtocolssh_config'&qu

7、ot;=""thenecho'Protocol2'>>ssh_configfirmssh_config.tmpchmod600ssh_config；*)echo"Youhavemultiplesshd_configfiles.Resolve"echo"beforecontinuing."esac#也可以手動(dòng)編輯ssh_config,在"Host*"后輸入"Protocol2",cd$DIRcpsshd_configsshd_config.tmpawk'/a#?

8、*Protocol/print"Protocol2"next;/a#?*X11Forwarding/print"X11Forwardingyes"next;/a#?*IgnoreRhosts/print"IgnoreRhostsyes"next;/a#?*RhostsAuthentication/print"RhostsAuthenticationno"next;/a#?*RhostsRSAAuthentication/print"RhostsRSAAuthenticationno"next;/

9、a#?*HostbasedAuthentication/print"HostbasedAuthenticationno"next;/a#?*PermitRootLogin/print"PermitRootLoginno"next;/a#?*PermitEmptyPasswords/print"PermitEmptyPasswordsno"next;/a#?*Banner/print"Banner/etc/motd"next;print'sshd_config.tmp>sshd_configrmsshd

10、_config.tmpchmod600sshd_configProtocol2#使用ssh2版本X11Forwardingyes#允許窗口圖形傳輸使用ssh加密IgnoreRhostsyes#|g全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不設(shè)置使用基于rhosts的驗(yàn)證RhostsRSAAuthenticationno#不設(shè)置使用RSA算法的基于rhosts的安全驗(yàn)證HostbasedAuthenticationno#不允主機(jī)白名單方式認(rèn)證PermitRootLoginno#不允許root登錄PermitEmptyPasswordsno#不允許空密碼Ba

11、nner/etc/motd#設(shè)置ssh登錄時(shí)顯示的banner2、補(bǔ)充操作說明查看SSH服務(wù)狀態(tài)：#pself|grepssh檢測(cè)方法1、判定條件# pself|grepssh是否有ssh進(jìn)程存在2、檢測(cè)操作查看SSH服務(wù)狀態(tài)：# pself|grepssh查有telnet服務(wù)狀態(tài)：# pself|greptelnet2.2口令編寫：1要求內(nèi)容對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少3類。操作指南1、參考配置操作chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/securi

12、ty/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsecf/etc/security/user-sdefault-apwdwarntime=5minlen-8#號(hào)碼長(zhǎng)度最少8位minalpha=1#包含的子母最少1個(gè)mindiff-1#包含的唯一字符最少1個(gè)minother-1#包含的非子母最少1個(gè)pwdwarntime-5#系統(tǒng)在號(hào)碼過期前5天發(fā)出修改號(hào)碼的警告/息給用戶2、補(bǔ)充操作說明檢測(cè)方法1、判定

13、條件不符合密碼強(qiáng)度的時(shí)候，系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時(shí)候，可以成功設(shè)置；2、檢測(cè)操作1、檢查口令強(qiáng)度配置選項(xiàng)是否可以進(jìn)行如下配置：i, 配置口令的最小長(zhǎng)度；ii, 將口令配置為強(qiáng)口令。2、創(chuàng)建一個(gè)普通賬號(hào)，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡(jiǎn)單口令以及長(zhǎng)度短于8位的口令，查看系統(tǒng)是否對(duì)口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號(hào)的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。編號(hào)：2要求內(nèi)容對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長(zhǎng)于90天。操作指南1、參考配置操作方chsec-f/etc/security/user-sdefault-ahistexpir

14、e-13方法二：用vi或其他文本編輯工具修改chsec-f/etc/security/user文件如下值：histexpire-13histexpire-13#密碼可重復(fù)使用的星期為13周（91天）2、補(bǔ)充操作說明檢測(cè)方法1、判定條件密碼過期后登錄不成功；2、檢測(cè)操作使用超過90天的帳戶口令登錄會(huì)提示密碼過期；編號(hào)：3要求內(nèi)容對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。操作指南1、參考配置操作方chsec-f/etc/security/user-sdefault-ahistsize=5方法二：用vi或其他文本編輯工具修改chsec-f/etc

15、/security/user文件如下值：histsize=5histexpire=5#可允許的密碼重復(fù)次數(shù)檢測(cè)方法1、判定條件設(shè)置密他不成功2、檢測(cè)操作cat/etc/security/user,設(shè)置如下histsize=53、補(bǔ)充說明默認(rèn)沒有histsize的標(biāo)記，即不記錄以前的密碼。編號(hào)：4要求內(nèi)容對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號(hào)。操作指南1、參考配置操作查看帳戶帳戶屬性：#lsuserusername設(shè)置6次登陸失敗后帳戶鎖定閥值：#chuserloginretries=6username檢測(cè)方法1、判定條件運(yùn)行l(wèi)su

16、seruasename命令，查看帳戶屬性中是否設(shè)置了6次登陸失敗后帳戶鎖定閥值的策略。如未設(shè)置或大于6次，則進(jìn)行設(shè)置2.3授權(quán)編號(hào)：1要求內(nèi)容在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。操作指南1、參考配置操作通過chmod命令對(duì)目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。2、補(bǔ)充操作說明chown-Rroot:security/etc/passwd/etc/group/etc/securitychown-Rroot:audit/etc/security/auditchmod644/etc/passwd/etc/groupchmod750/etc/securitychmod-Rgo-w,o-r

17、/etc/security/etc/passwd/etc/group/etc/security的所啟皆必須是root和security組成員/etc/security/audit的所啟皆必須是iroot和audit組成員/etc/passwd所有用戶都可讀，root用戶可寫-rw-rr/etc/shadow只有root可讀-r/etc/group必須所有用戶都可讀，root用戶可寫-rw-rr使用如下命令設(shè)置：chmod644/etc/passwdchmod644/etc/group如果是后寫權(quán)限，就需移去組及其它用戶對(duì)/etc的寫權(quán)限（特殊情況除外）執(zhí)行命令#chmod-Rgo-w,o-r/

18、etc檢測(cè)方法1、判定條件1、設(shè)備系統(tǒng)能夠提供用戶權(quán)限的配置選項(xiàng)，并記錄對(duì)用戶進(jìn)行權(quán)限配置是否必須在用戶創(chuàng)建時(shí)進(jìn)行；2、記錄能夠配置的權(quán)限選項(xiàng)內(nèi)容；3、所配置的權(quán)限規(guī)則應(yīng)能夠正確應(yīng)用，即用戶無法訪問授權(quán)范圍之外的系統(tǒng)資源，而可以訪問授權(quán)范圍之內(nèi)的系統(tǒng)資源。2、檢測(cè)操作1、利用管理員賬號(hào)登錄系統(tǒng)，并創(chuàng)建2個(gè)不向的用戶；2、創(chuàng)建用戶時(shí)查看系統(tǒng)是否提供了用戶權(quán)限級(jí)別以及可訪問系統(tǒng)資源和命令的選項(xiàng)；3、為兩個(gè)用戶分別配置不同的權(quán)限，2個(gè)用戶的權(quán)限差異應(yīng)能夠分別在用戶權(quán)限級(jí)別、可訪問系統(tǒng)資源以及可用命令等方面于以體現(xiàn)；4、分別利用2個(gè)新建的賬號(hào)訪問設(shè)備系統(tǒng)，并分別嘗試訪問允許訪問的內(nèi)容和不允許訪問的內(nèi)容

19、，查看權(quán)限配置策略是否生效。3、補(bǔ)充說明編號(hào)：2要求內(nèi)容控制FTP進(jìn)程缺省訪問權(quán)限，當(dāng)通過FTP服務(wù)創(chuàng)建新文件或目錄時(shí)應(yīng)屏敝掉新文件或目錄不應(yīng)后的訪問允許權(quán)限。操作指南1、參考配置操作a.限制某些系統(tǒng)帳戶不準(zhǔn)ftp登錄：通過修改ftpusers文件，增加帳戶#vi/etc/ftpusersb.限制用戶可使用FTP不能用Telnet,假如用戶為即劃創(chuàng)建一個(gè)/etc/shells文件,添加一行/bin/true;修改/etc/passwd文件，ftpxll:x:119:1:/home/ftpxll:/bin/true注：還需要把真實(shí)存在的shell目錄加入/etc/shells文件，否則沒有用戶能

20、夠登錄ftp以上兩個(gè)步驟可參考如下shell自動(dòng)執(zhí)行：lsuser-cALL|grep-vA#name|cut-f1-d:|whilereadNAME;doif'lsuser-f$NAME|grepid|cut-f2-d='-lt200;thenecho"Adding$NAMEto/etc/ftpusers"echo$NAME>>/etc/ftpusers.newfidonesort-u/etc/ftpusers.new>/etc/ftpusersrm/etc/ftpusers.newchownroot:system/etc/ftpuser

21、schmod600/etc/ftpusersc.限制ftp用戶登陸后在自己當(dāng)前目錄下活動(dòng)編輯ftpaccess,加入如下一行restricted-uid*（限制所有），restricted-uidusername（特定用戶）ftpaccess文件與ftpusers文件在向目錄d.設(shè)置即用戶登錄后對(duì)文件目錄的存取權(quán)限，可編輯/etc/ftpaccess。chmodnoguest,anonymousdeletenoguest,anonymousoverwritenoguest,anonymousrenamenoguest,anonymousumasknoanonymous2、補(bǔ)充操作說明查看#ca

22、tftpusers說明：在這個(gè)列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4檢測(cè)方法1、判定條件權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問允許權(quán)限被屏蔽掉；2、檢測(cè)操作查看新建的文件或目錄的權(quán)限，操作舉例如下：#more/etc/ftpusers#more/etc/passwd#more/etc/ftpaccess3、補(bǔ)充說明查看#catftpusers說明：在這個(gè)列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoacce

23、ssnobody42.4 補(bǔ)丁安全編號(hào)：1要求內(nèi)容應(yīng)根據(jù)需要及時(shí)進(jìn)行補(bǔ)丁裝載。對(duì)服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測(cè)試。操作指南1、參考配置操作先把補(bǔ)丁集拷貝到一個(gè)目錄，如/08update,然后執(zhí)行#smitupdate_all選擇安裝目錄/08update默認(rèn)SOFTWAREtoupdate_update_all選擇不提交，保存被覆蓋的文件，可以回滾操作，接受許可協(xié)議COMMITsoftwareupdates?noSAVEreplacedfiles?yesACCEPTnewlicenseagreements?yes然后回車執(zhí)行安裝。2、補(bǔ)充操作說明檢測(cè)方法1、判定條件查看最新的補(bǔ)丁號(hào)，確認(rèn)已打上了最

24、新補(bǔ)??；2、檢測(cè)操作檢查某一個(gè)補(bǔ)丁，比如LY59082是否安裝#instfix-aWkLY59082檢查義彳集（filesets）是否安裝#lslpp-lbos.adt.libm3、補(bǔ)充說明補(bǔ)卜載http:2.5 日志安全要求編號(hào)：1要求內(nèi)容設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。操作指南1、參考配置操作修改配置文件vi/etc/syslog.conf,加上這幾行：tt/var/adm/authlog*.info;auth.nonett/var/adm/syslogn"建立日

25、志文件，如下命令：touch/var/adm/authlog/var/adm/syslogchownroot:system/var/adm/authlog重新啟動(dòng)syslog服務(wù)，依次執(zhí)行卜列命令：stopsrc-ssyslogdstartsrc-ssyslogdAIX系統(tǒng)默認(rèn)不捕獲登錄信息到syslogd,以上配置增加了驗(yàn)證信息發(fā)送至U/var/adm/authlog和/var/adm/syslog2、補(bǔ)充操作說明檢測(cè)方法1、判定條件列出用戶賬號(hào)、登錄是否成功、登錄時(shí)間、遠(yuǎn)程登錄時(shí)的IP地址。2、檢測(cè)操作cat/var/adm/authlogcat/var/adm/syslog3、補(bǔ)充說明編

26、號(hào)：2（可選）要求內(nèi)容啟用記錄cron行為日志功能和cron/at的使用情況操作指南1、參考配置操作cron/At的相關(guān)文件主要后以下幾個(gè)：/var/spool/cron/crontabs存放cron任務(wù)的目錄/var/spool/cron/cron.allow允許使用crontab命令的用戶/var/spool/cron/cron.deny不允許使用crontab命令的用戶/var/spool/cron/atjobs存放at任務(wù)的目錄/var/spool/cron/at.allow允許使用at的用戶/var/spool/cron/at.deny不允許使用at的用戶使用crontab和at命令

27、可以分別對(duì)cron和at任務(wù)進(jìn)行控制。#crontab-l查看當(dāng)前的cron任務(wù)#at-l查看當(dāng)前的at任務(wù)檢測(cè)方法1、判定條件2、檢測(cè)操作查看/var/spool/cron/目錄下的文件配直是否按照以上要求進(jìn)行了安全配置。如未配置則建議按照要求進(jìn)行配置。編號(hào)：3要求內(nèi)容設(shè)備應(yīng)配置權(quán)限，控制對(duì)日志文件讀取、修改和刪除等操作。操作指南1、參考配置操作配置日志文件權(quán)限，如下命令：chmod600/var/adm/authlogchmod640/var/adm/syslog并設(shè)置了權(quán)限為其他用戶和組禁止讀寫日志文件。檢測(cè)方法1、判定條件沒有相應(yīng)權(quán)限的用戶不能查看或刪除日志文件2、檢測(cè)操作查看sysl

28、og.conf文件中配直的日志仔放文件：more/etc/syslog.conf使用ls-l/var/adm查看的目錄下日志文件的權(quán)限，如：authlog、syslog的權(quán)限應(yīng)分別為600、644。3、補(bǔ)充說明對(duì)于其他日志文件，也應(yīng)該設(shè)置適當(dāng)?shù)臋?quán)限，如登錄失敗事件的日志、操作日志，具體文件查看syslog.conf中的配置。2.6 不必要的服務(wù)、端口編號(hào)：1要求內(nèi)容列出所需要服務(wù)的列表（包括所需的系統(tǒng)服務(wù)），不在此列表的服務(wù)需關(guān)閉。操作指南1、參考配置操作查看所有開啟的服務(wù)：#ps-e-f方法一：手動(dòng)方式操作在inetd.conf中關(guān)閉不用的服務(wù)首先復(fù)制/etc/inet/inetd.conf

29、。#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.backup然后用vi編to?編輯inetd.conf文件，對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記"#"字符，重啟inetd服務(wù)，即可。重新啟用該服務(wù)，使用命令：refresh-sinetd方法二：自動(dòng)方式操作A.把以下復(fù)制到文本里：forSVCinftptelnetshellkshellloginkloginexecechodiscardchargendaytimetimettdbserverdtspc;doecho"Disabling$SVCTCP"chsubse

30、rver-d-v$SVC-ptcpdoneforSVCinntalkrstatdrusersdrwalldspraydpcnfsdechodiscardchargendaytimetimecmsd;doecho"Disabling$SVCUDP”chsubserver-d-v$SVC-pudpdonerefresh-sinetdB.執(zhí)行命令：#shdis_server.sh2、補(bǔ)充操作說明參考附表，根據(jù)具體情況禁止不必要的基本網(wǎng)絡(luò)服務(wù)。注意：改變了-inetd.conf儀件之后，需要重新啟動(dòng)inetd。對(duì)必須提供白服務(wù)采用tcpwapper來保護(hù)并且為了防止服務(wù)取消后斷線，一定要啟用SSHD艮務(wù)，用以登錄操作和文件傳輸。檢測(cè)方法1、判定條件所需的服務(wù)都列出來；沒后/、必要的服務(wù)；2、檢測(cè)操作查看所有開啟的服務(wù):cat/etc/inet/inetd.conf,cat/etc/inet/services3、補(bǔ)充說明在/etc/inetd.conf文件中禁止下列不必要的基本網(wǎng)絡(luò)服務(wù)。Tcp服務(wù)如下：ftptelnetshellkshellloginkloginexecUDP服務(wù)如下：ntalkrstatdruse