AIX 5 操作系統(tǒng)安全基線(試用版).doc

AIX 5操作系統(tǒng)安全基線（試用版）版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2013年3月備注：若此文檔需要日后更新，需填寫(xiě)版本控制表格，否則刪除版本控制表格。目 錄1.概況11.1.目的11.2.適用范圍11.3.適用版本11.4.使用方法11.5.編號(hào)規(guī)則31.6.參考標(biāo)準(zhǔn)32.安全配置要求42.1.帳戶口令安全42.1.1.帳戶共用42.1.2.帳戶鎖定42.1.3.超級(jí)管理員遠(yuǎn)程登錄限制52.1.4.帳戶權(quán)限最小化62.1.5.口令長(zhǎng)度及復(fù)雜度72.1.6.口令最長(zhǎng)使用期限72.1.7.口令重新使用限制82.1.8.口令鎖定策略92.2.服務(wù)及授權(quán)安全92.2.1.重要文件目錄權(quán)限92.2.2.用戶缺省訪問(wèn)權(quán)限102.2.3.服務(wù)開(kāi)啟最小化112.2.4.系統(tǒng)時(shí)間同步122.2.5.DNS服務(wù)指向132.3.補(bǔ)丁安全132.4.日志審計(jì)142.4.1.日志審計(jì)功能設(shè)置142.4.2.日志權(quán)限設(shè)置152.4.3.日志定期備份162.4.4.網(wǎng)絡(luò)日志服務(wù)器設(shè)置（可選）172.5.防堆棧溢出設(shè)置172.6.登錄通信安全182.6.1.遠(yuǎn)程管理加密182.6.2.登錄超時(shí)時(shí)間設(shè)置203.評(píng)審與修訂21（本頁(yè)空白）1. 概況1.1. 目的本基線制定了中國(guó)石化總部及下屬各企業(yè)的AIX操作系統(tǒng)應(yīng)遵循的基本安全配置原則，旨在為企業(yè)的系統(tǒng)建設(shè)、運(yùn)維或安全檢查工作提供規(guī)范性指導(dǎo)。1.2. 適用范圍適用于中國(guó)石化總部及下屬各企業(yè)使用的AIX操作系統(tǒng)。信息化管理部對(duì)各企業(yè)執(zhí)行本基線的情況進(jìn)行指導(dǎo)和督促，各企業(yè)的系統(tǒng)建設(shè)人員、系統(tǒng)運(yùn)維人員、安全管理人員應(yīng)根據(jù)實(shí)際情況嚴(yán)格參照?qǐng)?zhí)行。本基線所列各項(xiàng)基本安全配置要求，僅可作為企業(yè)編制主機(jī)入網(wǎng)測(cè)試、安全驗(yàn)收、安全檢查規(guī)范等文檔的參考，如需進(jìn)行實(shí)際配置修改操作，還應(yīng)在本基線的基礎(chǔ)上制定合理的操作方案，并在實(shí)際環(huán)境中測(cè)試通過(guò)后方可操作。1.3. 適用版本適用于AIX 5.x操作系統(tǒng)。1.4. 使用方法1）系統(tǒng)建設(shè)階段的使用方法信息系統(tǒng)在建設(shè)初期應(yīng)根據(jù)各安全基線要求內(nèi)容進(jìn)行系統(tǒng)整體安全架構(gòu)設(shè)計(jì)，基線使用人員包括但不限于各企業(yè)的系統(tǒng)建設(shè)人員及安全管理人員。在系統(tǒng)建設(shè)階段，系統(tǒng)建設(shè)人員應(yīng)在安全管理人員的協(xié)助下，嚴(yán)格參照各基線中“安全配置要求：安全基線要求內(nèi)容”和“安全配置要求：操作指南”的內(nèi)容，對(duì)所涉及的網(wǎng)絡(luò)、應(yīng)用、主機(jī)、數(shù)據(jù)庫(kù)、中間件等進(jìn)行概要設(shè)計(jì)和詳細(xì)設(shè)計(jì)，明確其安全配置要求，并在系統(tǒng)上線前進(jìn)行安全基線實(shí)施情況檢查，檢查通過(guò)后方可上線。相關(guān)流程如下圖所示：圖1 安全配置基線在系統(tǒng)建設(shè)中的應(yīng)用2）系統(tǒng)運(yùn)維階段的使用方法信息系統(tǒng)在系統(tǒng)運(yùn)維階段應(yīng)依照安全基線要求定期進(jìn)行安全合規(guī)性檢查，基線使用人員包括但不限于各企業(yè)的系統(tǒng)運(yùn)維人員和安全管理人員。在系統(tǒng)運(yùn)維階段，安全管理人員應(yīng)在系統(tǒng)運(yùn)維人員的協(xié)助下，嚴(yán)格參照各基線中“安全配置要求：符合性判定方法”的內(nèi)容，結(jié)合“安全配置要求：操作指南”的相關(guān)操作步驟，對(duì)系統(tǒng)所涉及的網(wǎng)絡(luò)、應(yīng)用、主機(jī)、數(shù)據(jù)庫(kù)、中間件等進(jìn)行合規(guī)性檢查，并記錄相關(guān)檢查結(jié)果。安全合規(guī)性檢查完成后，系統(tǒng)運(yùn)維人員應(yīng)在安全管理人員協(xié)助下，依照檢查結(jié)果和各基線中“安全配置要求：操作指南”和“安全配置要求：符合性判定方法”的內(nèi)容進(jìn)行系統(tǒng)整改，整改完成后應(yīng)由安全管理人員進(jìn)行復(fù)查。相關(guān)流程如下圖所示：圖2 安全配置基線在安全檢查中的應(yīng)用1.5. 編號(hào)規(guī)則安全基線采用SBL-設(shè)備系統(tǒng)名稱(chēng)-數(shù)字-數(shù)字-數(shù)字的方式命名，設(shè)備系統(tǒng)名稱(chēng)是指此基線適用的設(shè)備或系統(tǒng)，例如Windows、Oracle等，后續(xù)的數(shù)字編號(hào)指基線要求的具體項(xiàng)目編號(hào)，例如SBL- AIX 5.x-02-02-01是指AIX 5.0操作系統(tǒng)的安全基線，屬于此基線第二章中第二小節(jié)的第一項(xiàng)要求，因此數(shù)字部分為02-02-01。1.6. 參考標(biāo)準(zhǔn) 中國(guó)石化內(nèi)部控制手冊(cè)； 信息系統(tǒng)安全保障評(píng)估框架（GB/T 20274-2008）； 信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2008）； 聯(lián)邦信息和信息系統(tǒng)安全分類(lèi)標(biāo)準(zhǔn)（FIPS199）； 聯(lián)邦信息系統(tǒng)最小安全控制標(biāo)準(zhǔn)（FIPS200）。2. 安全配置要求2.1. 帳戶口令安全2.1.1. 帳戶共用安全基線要求內(nèi)容應(yīng)為不同用戶分配不同帳戶，不允許不同用戶間共享同一系統(tǒng)帳戶。安全基線編號(hào)SBL-AIX 5-02-01-01操作指南1、參考配置操作1）為用戶創(chuàng)建帳戶：#useradd username /創(chuàng)建帳戶#passwd username /設(shè)置密碼2、補(bǔ)充操作說(shuō)明無(wú)。符合性檢測(cè)判定方法1、判定條件不存在不同用戶間共享同一帳戶的情況。2、檢測(cè)操作1）#cat /etc/passwd /查看系統(tǒng)帳戶列表；2）訪談系統(tǒng)管理員，詢問(wèn)各帳戶的使用人情況；3）判定是否存在不同用戶共享帳戶的情況。 3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.1.2. 帳戶鎖定安全基線要求內(nèi)容應(yīng)刪除或鎖定過(guò)期帳戶和無(wú)用帳戶。安全基線編號(hào)SBL-AIX 5-02-01-02操作指南1、參考配置操作#userdel username /刪除用戶鎖定用戶：1)修改/etc/shadow 文件，在用戶名后加*LK*；2)將/etc/passwd文件中的shell 域設(shè)置成/bin/false；3)#passwd -l username。2、補(bǔ)充操作說(shuō)明 1）只有具備超級(jí)用戶權(quán)限的使用者方可使用，#passwd -l username 鎖定用戶，用#passwd -d username 解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow 能保留原有密碼。2）需要鎖定的帳戶：listen,gdm,webservd,nobody, nobody4和 noaccess。符合性檢測(cè)判定方法1、判定條件不存在過(guò)期帳戶和無(wú)用帳戶。2、檢測(cè)操作1）cat /etc/passwd 查看系統(tǒng)帳戶列表；2）訪談系統(tǒng)管理員，詢問(wèn)各帳戶的使用情況；3）判定是否存在過(guò)期或無(wú)用帳戶仍在使用的情況。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.1.3. 超級(jí)管理員遠(yuǎn)程登錄限制安全基線要求內(nèi)容應(yīng)限制root帳戶遠(yuǎn)程登錄。安全基線編號(hào)SBL-AIX 5-02-01-03操作指南1、 參考配置操作1）禁止root賬戶直接通過(guò) ssh 遠(yuǎn)程登錄；2）編輯/etc/ssh/sshd_config文件，將PermitRootLogin yes 改為PermitRootLogin no，同時(shí)去掉#號(hào)，然后重啟sshd服務(wù)。3)重啟sshd服務(wù)依次使用以下命令： startsrc -s sshdstopsrc -s sshd2、補(bǔ)充操作說(shuō)明無(wú)。符合性檢測(cè)判定方法1、判定條件1）root帳戶無(wú)法遠(yuǎn)程登錄；2）普通用戶可以登錄成功，而且可以切換到root用戶。2、檢測(cè)操作1）使用root進(jìn)行遠(yuǎn)程登錄，查看是否能夠登錄成功；2）使用普通用戶進(jìn)行遠(yuǎn)程登錄，查看是否能夠登錄成功，登錄成功后使用“su root”命令查看是否能夠切換至root賬戶。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.1.4. 帳戶權(quán)限最小化安全基線要求內(nèi)容應(yīng)根據(jù)實(shí)際需要為各個(gè)帳戶設(shè)置最小權(quán)限。安全基線編號(hào)SBL-AIX 5-02-01-04操作指南1、參考配置操作創(chuàng)建帳戶組： 1）#groupadd g GID groupname /創(chuàng)建一個(gè)組，并為其設(shè)置GID號(hào)，若不設(shè)GID，系統(tǒng)會(huì)自動(dòng)為該組分配一個(gè)GID號(hào)； 2）#usermod g group username /將用戶username 分配到group 組中；3）#id username /查詢被分配到的組的GID，可以根據(jù)實(shí)際需求使用如上命令進(jìn)行設(shè)置。2、補(bǔ)充操作說(shuō)明1）可以使用 -g 選項(xiàng)設(shè)定新組的 GID。0 到 499 之間的值留給 root、bin、mail 這樣的系統(tǒng)帳戶，因此最好指定該值大于 499。如果新組名或者 GID 已經(jīng)存在，則返回錯(cuò)誤信息；2）當(dāng)group_name字段長(zhǎng)度大于八個(gè)字符，groupadd命令會(huì)執(zhí)行失?。?）當(dāng)用戶希望以其他用戶組成員身份出現(xiàn)時(shí)，需要使用newgrp命令進(jìn)行更改，如#newgrp sys 即把當(dāng)前用戶以sys 組身份運(yùn)行。符合性檢測(cè)判定方法1、判定條件 應(yīng)用帳戶及數(shù)據(jù)庫(kù)帳戶不擁有管理員權(quán)限。2、檢測(cè)操作1） 使用命令#cat /etc/group /查看帳戶分組情況；2） 使用命令#id username 檢測(cè)帳號(hào)是屬于應(yīng)有的組；3） 訪談系統(tǒng)管理員，詢問(wèn)各組及各帳戶權(quán)限分配情況；4） 判斷是否存在帳戶權(quán)限分配不當(dāng)?shù)那闆r。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.1.5. 口令長(zhǎng)度及復(fù)雜度安全基線要求內(nèi)容應(yīng)要求操作系統(tǒng)口令長(zhǎng)度至少為8位，且應(yīng)為數(shù)字、字母和特殊符號(hào)中至少2類(lèi)的組合, 數(shù)字、字母和特殊符號(hào)如下所示：l 英語(yǔ)字母： a ，b，c ， z，A，B，CZ；l 阿拉伯?dāng)?shù)字 ：0，1 ，2 ， 9；l 特殊符號(hào)：，# ， $,，%,，&， * 。安全基線編號(hào)SBL-AIX 5-02-01-05操作指南1、 參考配置操作執(zhí)行以下命令：#chsec -f /etc/security/user -s default -a minlen=8 #chsec -f /etc/security/user -s default -a minalpha=1 #chsec -f /etc/security/user -s default -a mindiff=1 #chsec -f /etc/security/user -s default -a minother=1#chsec f /etc/security/user s default -a pwdwarntime=52、補(bǔ)充操作說(shuō)明minlen=8 #口令長(zhǎng)度最少 8 位 ；minalpha=1 #包含的字母最少 1 個(gè) ；mindiff=1 #包含的唯一字符最少 1 個(gè) ；minother=1#包含的非字母最少 1 個(gè)；pwdwarntime=5 #系統(tǒng)在口令過(guò)期前 5 天發(fā)出修改口令的警告信息。符合性檢測(cè)判定方法1、判定條件1）/etc/security/user中已經(jīng)配置口令策略；2）口令未達(dá)長(zhǎng)度及復(fù)雜度要求，無(wú)法成功創(chuàng)建帳戶。2、檢測(cè)操作1）查看文件/etc/security/user中是否已經(jīng)配置口令策略；2）創(chuàng)建測(cè)試帳戶，配置口令長(zhǎng)度短于8位，或口令只包含數(shù)字、字母、符號(hào)中的一類(lèi)，查看帳戶是否能夠創(chuàng)建成功。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.1.6. 口令最長(zhǎng)使用期限安全基線要求內(nèi)容應(yīng)設(shè)置口令的最長(zhǎng)生存周期小于等于90天。安全基線編號(hào)SBL-AIX 5-02-01-06操作指南1、 參考配置操作方法一：#chsec -f /etc/security/user -s default -a histexpire=12方法二：用 vi 或其他文本編輯工具修改/etc/security/user文件中：histexpire=12 #口令可重復(fù)使用的星期為 12周（84 天）。2、 補(bǔ)充操作說(shuō)明無(wú)。符合性檢測(cè)判定方法1、判定條件/etc/security/user配置文件histexpire值小于或等于12。2、檢測(cè)操作查看/etc/security/user 文件histexpire值是否小于或等于12。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.1.7. 口令重新使用限制安全基線要求內(nèi)容應(yīng)配置操作系統(tǒng)用戶不能重復(fù)使用最近 5 次（含 5 次）內(nèi)已使用的口令。安全基線編號(hào)SBL-AIX 5-02-01-07操作指南1、參考配置操作方法一：#chsec -f /etc/security/user -s default -a histsize=5方法二：用 vi 或其他文本編輯工具修改/etc/security/user 文件中：histsize=5 #可允許口令重復(fù)使用5次。2、補(bǔ)充操作說(shuō)明無(wú)。符合性檢測(cè)判定方法1、判定條件已設(shè)置/etc/security/user文件中histsize值小于或等于5。2、檢測(cè)操作查看/etc/security/user文件中histsize值是否小于或等于5。3、補(bǔ)充說(shuō)明默認(rèn)沒(méi)有 histsize 的標(biāo)記，即不記錄以前的口令。檢測(cè)結(jié)果記錄整改情況記錄備注2.1.8. 口令鎖定策略安全基線要求內(nèi)容應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò) 5次（不含 5 次），鎖定該用戶使用的帳戶30分鐘。安全基線編號(hào)SBL-AIX 5-02-01-08操作指南1、參考配置操作1）查看帳戶帳戶屬性：#lsuser username2)設(shè)置 5 次登錄失敗后帳戶鎖定的值：#chuser loginretries=5 username2、補(bǔ)充操作說(shuō)明：root 帳戶不在鎖定范圍內(nèi)。符合性檢測(cè)判定方法1、判定條件帳戶屬性中l(wèi)oginretries值為小于或等于5。2、檢測(cè)操作運(yùn)行 lsuser uasename 命令，查看帳戶屬性中l(wèi)oginretries值是否小于或等于5。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.2. 服務(wù)及授權(quán)安全2.2.1. 重要文件目錄權(quán)限安全基線要求內(nèi)容應(yīng)對(duì)文件和目錄進(jìn)行權(quán)限設(shè)置，合理設(shè)置重要目錄和文件的權(quán)限安全基線編號(hào)SBL-AIX 5-02-02-01操作指南1、參考配置操作通過(guò)chmod命令對(duì)目錄的權(quán)限進(jìn)行配置。/etc/passwd須所有用戶都可讀，root 用戶可寫(xiě) -rw-rr/etc/shadow 只有root 可讀 -r-/etc/group 須所有用戶都可讀，root 用戶可寫(xiě) -rw-rr/etc/init.d/ 須只有root可讀、寫(xiě)、執(zhí)行這個(gè)目錄下的腳本-rwxr-x-使用如下命令設(shè)置：#chmod 644 /etc/passwd#chmod 600 /etc/shadow#chmod 644 /etc/group#chmod R 750 /etc/init.d/2、補(bǔ)充操作說(shuō)明如果/etc/目錄存在寫(xiě)權(quán)限，應(yīng)移去非root用戶對(duì)/etc目錄的寫(xiě)權(quán)限。命令如下：#chmod -R go-w /etc符合性檢測(cè)判定方法1、 判定條件已對(duì)重要文件目錄的權(quán)限進(jìn)行合理配置。2、檢測(cè)操作1）利用root用戶登錄系統(tǒng)，查看重要文件目錄權(quán)限分配情況；2）訪談系統(tǒng)管理員，詢問(wèn)各帳戶權(quán)限分配情況；3）判定是否存在帳戶權(quán)限分配不當(dāng)?shù)那闆r。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.2.2. 用戶缺省訪問(wèn)權(quán)限安全基線要求內(nèi)容應(yīng)配置用戶缺省訪問(wèn)權(quán)限。安全基線編號(hào)SBL-AIX 5-02-02-02操作指南1、 參考配置操作1）修改/etc/default/login配置文件在/etc/default/login文件末尾增加參數(shù)umask 0272）修改/etc/security/user配置文件在/etc/security/user，找到umask 這行，修改如下：umask=0272、補(bǔ)充操作說(shuō)明 如果用戶需要使用一個(gè)不同于默認(rèn)全局系統(tǒng)設(shè)置的 umask，可以在需要的時(shí)候通過(guò)命令行設(shè)置，或者在用戶的 shell 啟動(dòng)文件中配置。符合性檢測(cè)判定方法1、判定條件配置文件/etc/default/login中umask值為027。2、檢測(cè)操作 查看新建的文件或目錄的權(quán)限，操作舉例如下：1）使用命令“#ls -l dir ）查看目錄 dir 的權(quán)限2）使用命令“#cat /etc/default/login” 查看是否有 umask 027 參數(shù)。3、補(bǔ)充說(shuō)明umask 的默認(rèn)設(shè)置一般為 022，這給新創(chuàng)建的文件默認(rèn)權(quán)限 755（777-022=755），這會(huì)給文件所有者讀、寫(xiě)權(quán)限，但只給組成員和 其他用戶讀權(quán)限。umask 的計(jì)算：umask 是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置的，對(duì)于目錄，該值等于八進(jìn)制 數(shù)據(jù)代碼 777 減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值；對(duì)于文件，該值等于八進(jìn)制數(shù)據(jù)代碼 666 減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值。檢測(cè)結(jié)果記錄整改情況記錄備注2.2.3. 服務(wù)開(kāi)啟最小化安全基線要求內(nèi)容應(yīng)關(guān)閉不必要的服務(wù)。安全基線編號(hào)SBL-AIX 5-02-02-03操作指南1、參考配置操作查看所有開(kāi)啟的服務(wù)：#ps -e -f在inetd.conf中關(guān)閉不用的服務(wù) 1）使用命令“#cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup”復(fù)制inetd.conf文件2）使用命令“#vi inetd.conf”編輯文件，對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開(kāi)頭標(biāo)記#字符， 重啟inetd服務(wù)；3）重新啟用該服務(wù)，使用命令：#refresh -s inetd#sh dis_server.sh2、補(bǔ)充操作說(shuō)明 參考常見(jiàn)_AIX_系統(tǒng)服務(wù)摘要，根據(jù)具體情況禁止不必要的服務(wù)。 注意：改變了“inetd.conf”文件之后，需要重新啟動(dòng)inetd。 符合性檢測(cè)判定方法1、判定條件不存在不必要的服務(wù)；2、檢測(cè)操作1）使用命令ps -e -f查看當(dāng)前運(yùn)行服務(wù)；2）訪談系統(tǒng)管理員，參照服務(wù)摘要文檔，詢問(wèn)當(dāng)前開(kāi)啟的是否都是必要的服務(wù)。3、補(bǔ)充說(shuō)明 在/etc/inetd.conf文件中禁止下列不必要的基本網(wǎng)絡(luò)服務(wù)。 Tcp服務(wù)，例如：ftp telnet shell kshell login klogin execUDP服務(wù)，例如：ntalk rstatd rusersd rwalld sprayd pcnfsd 注意：改變了“inetd.conf”文件之后，需要重新啟動(dòng)inetd。 檢測(cè)結(jié)果記錄整改情況記錄備注2.2.4. 系統(tǒng)時(shí)間同步安全基線要求內(nèi)容應(yīng)確保系統(tǒng)時(shí)間與NTP服務(wù)器同步。安全基線編號(hào)SBL-AIX 5-02-02-04操作指南1、參考配置操作ntp 的配置文件： /etc/inet/ntp.conf1）修改配置文件/etc/inet/ntp.conf中server IP地址（NTP服務(wù)器地址）；2）#driftfile /var/ntp/ntp.drift （建drift文件及相關(guān)目錄，這個(gè)文件是用于在ntp重起的時(shí)候快速的和服務(wù)器進(jìn)行同步）；3）#startsrc s xntpd 啟動(dòng)NTP客戶端守護(hù)進(jìn)程；4）#smitty xntpd 通過(guò)調(diào)用smitty，使 xntpd 在以后重啟服務(wù)器時(shí)能自動(dòng)啟動(dòng)。2、補(bǔ)充操作說(shuō)明/etc/inet/ntp.conf默認(rèn)是沒(méi)有的，需要做server的話，就把ntp.server拷貝更名為/etc/inet/ntp.conf，如果做client的話，就把ntp.client拷貝更名為/etc/inet/ntp.conf。符合性檢測(cè)判定方法1、判定條件系統(tǒng)時(shí)間已與NTP服務(wù)器同步。2、檢測(cè)操作使用命令“#cat /etc/inet/ntp.conf”查看ntp 的配置文件是否添加NTP服務(wù)器IP地址。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.2.5. DNS服務(wù)指向安全基線要求內(nèi)容應(yīng)配置系統(tǒng)DNS指向企業(yè)內(nèi)部DNS服務(wù)器。安全基線編號(hào)SBL-AIX 5-02-02-05操作指南1、參考配置操作1）編輯resolv.conf文件#vi /etc/resolv.conf 添加如下配置：searchdomain XX.XX.domain （域名）nameserver XX.XX.XX.XX nameserver XX.XX.XX.XX 注：XX.XX.XX.XX為DNS服務(wù)器的 ip地址。2、補(bǔ)充操作說(shuō)明無(wú)。符合性檢測(cè)判定方法1、判定條件DNS地址已配置為企業(yè)內(nèi)部DNS服務(wù)器ip地址。2、檢測(cè)操作1）通過(guò)nslookup解析DNS服務(wù)器ip地址；2）使用命令“cat /etc/resolv.conf”來(lái)查看DNS服務(wù)器ip地址是否為企業(yè)內(nèi)部DNS服務(wù)器ip地址3、補(bǔ)充說(shuō)明：無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.3. 補(bǔ)丁安全安全基線要求內(nèi)容應(yīng)在確保業(yè)務(wù)不受影響的情況下及時(shí)更新操作系統(tǒng)補(bǔ)丁。安全基線編號(hào)SBL-AIX 5-02-03-01操作指南1、參考配置操作1）把補(bǔ)丁集拷貝到一個(gè)目錄，如/08update；2）執(zhí)行#smit update_all 選擇安裝目錄/08update /默認(rèn) SOFTWARE to update _update_all COMMIT software updates? no /選擇不提交SAVE replaced files? yes /保存被覆蓋的文件ACCEPT new license agreements? yes /接受許可協(xié)議然后回車(chē)執(zhí)行安裝。2、補(bǔ)充操作說(shuō)明無(wú)。符合性檢測(cè)判定方法1、判定條件已安全了最新補(bǔ)丁。2、檢測(cè)操作查看最新的補(bǔ)丁號(hào)，通過(guò)命令instfix a ivk LYxxxx檢查某一個(gè)補(bǔ)丁是否安裝，例如 LY59082 是否安裝：#instfix a ivk LY59082檢查文件集（filesets）是否安裝：#lslpp l bos.adt.libm3、補(bǔ)充說(shuō)明補(bǔ)丁下載 /eserver/support/fixes/檢測(cè)結(jié)果記錄整改情況記錄備注2.4. 日志審計(jì)2.4.1. 日志審計(jì)功能設(shè)置安全基線要求內(nèi)容應(yīng)配置日志審計(jì)功能。安全基線編號(hào)SBL-AIX 5-02-04-01操作指南1、參考配置操作1）修改配置文件 vi /etc/syslog.conf，添加：*.info;auth.none /var/adm/syslog /記錄幾乎系統(tǒng)所有的錯(cuò)誤日志；*.err /var/adm/errorlog /記錄系統(tǒng)故障日志；*.alert /var/adm/alertlog /記錄系統(tǒng)報(bào)警日志；*.cri /var/adm/critlog /記錄系統(tǒng)嚴(yán)重錯(cuò)誤日志；auth, /var/adm/authlog /記錄登錄方面的信息（包括login程序，ssh、telnet、su、sudo）。2）建立日志文件，如下命令：#touch /var/adm/authlog /var/adm/syslog #chown root:system /var/adm/authlog3）重新啟動(dòng) syslog 服務(wù)，依次執(zhí)行下列命令：#stopsrc -s syslogd #startsrc -s syslogd2、補(bǔ)充操作說(shuō)明/var/adm/wtmp /記錄正確登錄系統(tǒng)帳戶與錯(cuò)誤登錄,對(duì)追蹤一般帳號(hào)使用行為很有幫助；/var/adm/cron/log /例行性工作調(diào)度方面的信息；/var/adm/sulog /記錄使用su命令切換帳號(hào)日志。AIX 系統(tǒng)默認(rèn)不捕獲登錄信息到 syslogd，以上配置增加了驗(yàn)證信息發(fā)送到/var/adm/authlog 和/var/adm/syslog。符合性檢測(cè)判定方法1、判定條件/etc/syslog.conf 存在如下參數(shù)：*.info;auth.none /var/adm/syslog*.err /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth, /var/adm/authlog2、檢測(cè)操作使用命令#cat /etc/syslog.conf是否配置一下參數(shù)：*.info;auth.none /var/adm/syslog*.err /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth, /var/adm/authlog3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.4.2. 日志權(quán)限設(shè)置安全基線要求內(nèi)容應(yīng)配置帳戶對(duì)日志文件讀取、修改和刪除等操作權(quán)限進(jìn)行限制。安全基線編號(hào)SBL-AIX 5-02-04-02操作指南1、參考配置操作配置日志文件權(quán)限，使用如下命令：#chmod 600 /var/adm/authlog #chmod 640 /var/adm/syslog 2、補(bǔ)充操作說(shuō)明無(wú)。符合性檢測(cè)判定方法1、判定條件沒(méi)有相應(yīng)權(quán)限的用戶不能查看或刪除日志文件2、檢測(cè)操作1）查看 syslog.conf 文件中配置的日志存放路徑：#more /etc/syslog.conf2）使用 ls -l /var/adm 查看的目錄下日志文件的權(quán)限，如：authlog權(quán)限是否為600、syslog 的權(quán)限是否為 600、644。3）使用低權(quán)限帳戶登錄系統(tǒng)，是否能夠進(jìn)行日志查看及刪除操作。3、補(bǔ)充說(shuō)明：對(duì)于其他日志文件，也應(yīng)該設(shè)置適當(dāng)?shù)臋?quán)限，如登錄失敗事件的日志、操作日志，具體文件查看 syslog.conf 中的配置。檢測(cè)結(jié)果記錄整改情況記錄備注2.4.3. 日志定期備份 安全基線要求內(nèi)容應(yīng)定期對(duì)系統(tǒng)日志進(jìn)行備份安全基線編號(hào)SBL-AIX 5-02-04-03操作指南1、參考配置操作 1）建立日志備份管理機(jī)制，搭建日志備份存儲(chǔ)服務(wù)器； 2）依據(jù)日志備份管理機(jī)制，定期對(duì)系統(tǒng)日志進(jìn)行備份。2、補(bǔ)充操作說(shuō)明系統(tǒng)日志至少每3個(gè)月進(jìn)行一次轉(zhuǎn)儲(chǔ)，并至少保存6個(gè)月。符合性檢測(cè)判定方法1、判定條件 存在備份管理機(jī)制，并存在備份系統(tǒng)日志。2、檢測(cè)操作1）詢問(wèn)管理員是否已建立日志備份管理機(jī)制，是否已搭建日志備份存儲(chǔ)服務(wù)器；2）查看日志備份管理機(jī)制，確認(rèn)是否存在備份日志；3）判定是否已按照日志備份機(jī)制對(duì)系統(tǒng)日志進(jìn)行備份。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.4.4. 網(wǎng)絡(luò)日志服務(wù)器設(shè)置（可選）安全基線要求內(nèi)容應(yīng)配置統(tǒng)一的網(wǎng)絡(luò)日志服務(wù)器。安全基線編號(hào)SBL-AIX 5-02-04-04操作指南1、參考配置操作在配置文件/etc/syslog.conf中添加配置如下：printf # Following lines added by CISecurity AIX syslog.confn* info;mail.none xx.xx.xx.xx*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug;mail.none xx.xx.xx.xxn /etc/syslog.conf stopsrc -s syslogd startsrc -s syslogd2、補(bǔ)充操作說(shuō)明（xx.xx.xx.xx為統(tǒng)一的網(wǎng)絡(luò)服務(wù)器ip地址）符合性檢測(cè)判定方法1、判定條件/etc/syslog.conf已配置統(tǒng)一的網(wǎng)絡(luò)日志服務(wù)器IP地址。2、檢測(cè)操作查看配置文件/etc/syslog.conf中是否存在相關(guān)指向日志服務(wù)器地址內(nèi)容，地址指向是否正確。3、補(bǔ)充說(shuō)明無(wú)。檢測(cè)結(jié)果記錄整改情況記錄備注2.5. 防堆棧溢出設(shè)置安全基線要求內(nèi)容防止堆棧緩沖溢出。安全基線編號(hào)SBL-AIX 5-02-05-01操作指南1、參考配置操作編輯/etc/security/limits 并且改變 core 值為 0，并增加一行在后面， 如下：core 0 core_hard = 0 保存文件后退出，執(zhí)行命令：#echo # Added by Nsfocus Security Benchmark /etc/profile #echo ulimit -c 0 /etc/profile#chdev -l sys0 -a fullcore=false2、 補(bǔ)充操作說(shuō)明應(yīng)用程序在發(fā)生錯(cuò)誤的時(shí)候會(huì)把自身的敏感信息從內(nèi)存里 DUMP到文件，易被攻擊者利用。注：內(nèi)核參數(shù)改動(dòng)后需要重啟服務(wù)器才生效。符合性檢測(cè)判定方法1、判定條件配置文件/etc/security/limits中已添加：core 0 、core_hard=0，在配置文件/etc/profile中已添加ulimit c 02、檢測(cè)操作查看/etc/security/limits 文件是否有如下兩行參數(shù)：core