AIX操作系統(tǒng)安全配置規(guī)范

1、.AIX安全配置程序.1 賬號認證編號： 安全要求-設(shè)備-通用-配置-1要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬號。系統(tǒng)內(nèi)存在不可刪除的內(nèi)置賬號，包括root,bin等。操作指南1、參考配置操作刪除用戶：#rmuser p username; 鎖定用戶：1)修改/etc/shadow文件，用戶名后加*LK*2)將/etc/passwd文件中的shell域設(shè)置成/bin/false3)#chuser account_locked=TRUE username#passwd -l username只有具備超級用戶權(quán)限的使用者方可使用，#chuser account_locked=TRUE

2、username#passwd -l username鎖定用戶,用#chuser account_locked=FALSE username#passwd d username解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2、補充操作說明需要鎖定的用戶：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)；3、補充說明需要鎖定的用戶：deamon,bin,sys,adm,uucp,nuucp,p

3、rintq,guest,nobody,lpd,sshd 編號： 安全要求-設(shè)備-通用-配置-2要求內(nèi)容限制具備超級管理員權(quán)限的用戶遠程登錄。遠程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應(yīng)操作。操作指南1、 參考配置操作編輯/etc/security/user，加上：如果限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務(wù)。2、補充操作說明檢測方法1、判定條件root遠程登錄不成功，提示“Not on system consol

4、e”；普通用戶可以登錄成功，而且可以切換到root用戶；2、檢測操作root從遠程使用telnet登錄；普通用戶從遠程使用telnet登錄；root從遠程使用ssh登錄；普通用戶從遠程使用ssh登錄；3、補充說明限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務(wù)。2密碼策略編號： 安全要求-設(shè)備-通用-配置-3要求內(nèi)容對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。操作指南1、參考配置操作chsec -f /e

5、tc/security/user -s default -a minlen=8chsec -f /etc/security/user -s default -a minalpha=1chsec -f /etc/security/user -s default -a mindiff=1chsec -f /etc/security/user -s default -a minother=1chsec f /etc/security/user s default -a pwdwarntime=5minlen=8 #密碼長度最少8位minalpha=1 #包含的字母最少1個mindiff=1 #包含的

6、唯一字符最少1個minother=1#包含的非字母最少1個pwdwarntime=5 #系統(tǒng)在密碼過期前5天發(fā)出修改密碼的警告信息給用戶2、補充操作說明 檢測方法1、判定條件不符合密碼強度的時候，系統(tǒng)對口令強度要求進行提示；符合密碼強度的時候，可以成功設(shè)置；2、檢測操作1、檢查口令強度配置選項是否可以進行如下配置：i. 配置口令的最小長度；ii. 將口令配置為強口令。2、創(chuàng)建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于8位的口令，查看系統(tǒng)是否對口令強度要求進行提示；輸入帶有特殊符號的復雜口令、普通復雜口令，查看系統(tǒng)是否可以成功設(shè)置。編號： 安全要求-設(shè)備-

7、通用-配置-4要求內(nèi)容對于采用靜態(tài)口令認證技術(shù)的設(shè)備，帳戶口令的生存期不長于12周（84天）。操作指南1、 參考配置操作方法一：chsec -f /etc/security/user -s default -a histexpire=12方法二：用vi或其他文本編輯工具修改chsec -f /etc/security/user文件如下值：histexpire=13histexpire=13 #密碼可重復使用的星期為12周（84天）2、補充操作說明檢測方法1、判定條件密碼過期后登錄不成功；2、檢測操作使用超過84天的帳戶口令登錄會提示密碼過期；編號： 安全要求-設(shè)備-通用-配置-5要求內(nèi)容對于采

8、用靜態(tài)口令認證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復使用最近3次（含3次）內(nèi)已使用的口令。操作指南1、參考配置操作方法一：chsec -f /etc/security/user -s default -a histsize=3方法二：用vi或其他文本編輯工具修改chsec -f /etc/security/user文件如下值：histsize=3histexpire=3 #可允許的密碼重復次數(shù)檢測方法1、判定條件設(shè)置密碼不成功2、檢測操作cat /etc/security/user，設(shè)置如下histsize=33、補充說明默認沒有histsize的標記，即不記錄以前的密碼。編號： 安全要求-設(shè)

9、備-通用-配置-6要求內(nèi)容對于采用靜態(tài)口令認證技術(shù)的設(shè)備，應(yīng)配置當用戶連續(xù)認證失敗次數(shù)超過5次（不含5次），鎖定該用戶使用的賬號。操作指南1、參考配置操作指定當本地用戶登陸失敗次數(shù)等于或者大于允許的重試次數(shù)則賬號被鎖定：chsec -f /etc/security/user -s default -a login retries=52、補充操作說明檢測方法1、判定條件帳戶被鎖定，不再提示讓再次登錄；2、檢測操作創(chuàng)建一個普通賬號，為其配置相應(yīng)的口令；并用新建的賬號通過錯誤的口令進行系統(tǒng)登錄5次以上（不含5次）；3審核授權(quán)策略編號： 安全要求-設(shè)備-通用-配置-7(1) 設(shè)置全局審核事件配置/et

10、c/security/audit/config文件，審核特權(quán)帳號和應(yīng)用管理員帳號登錄、注銷，用戶帳號增刪，密碼修改，執(zhí)行任務(wù)更改，組更改，文件屬主、模式更改，TCP連接等事件。classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_JobAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP

11、_connect,TCPIP_access,TCPIP_route,USER_Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime(2) 審核系統(tǒng)安全文件修改配置/etc/security/audit/objects文件，審核如下系統(tǒng)安全相關(guān)文件的修改。/etc/security/environ: w = S_ENVIRON_WR

12、ITE/etc/security/group: w = S_GROUP_WRITE/etc/security/limits: w = S_LIMITS_WRITE/etc/security/login.cfg: w = S_LOGIN_WRITE/etc/security/passwd: r = S_PASSWD_READ w = S_PASSWD_WRITE/etc/security/user: w = S_USER_WRITE/etc/security/audit/config: w = AUD_CONFIG_WR編號： 安全要求-設(shè)備-通用-配置-8要求內(nèi)容在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶

13、的業(yè)務(wù)需要，配置其所需的最小權(quán)限。操作指南1、參考配置操作通過chmod命令對目錄的權(quán)限進行實際設(shè)置。2、 補充操作說明chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod -R go-w,o-r /etc/security/etc/passwd 所有用戶都可讀，root用戶可寫 rw-rr /etc/shadow 只有root可讀 r- /etc/group 必須所有用戶都可讀，root用戶可寫 rw-rr使用如下命令設(shè)置：chmod 644 /etc/passwdchmod 644 /etc/group如果是有寫權(quán)限，

14、就需移去組及其它用戶對/etc的寫權(quán)限（特殊情況除外）執(zhí)行命令#chmod -R go-w,o-r /etc檢測方法1、判定條件1、設(shè)備系統(tǒng)能夠提供用戶權(quán)限的配置選項，并記錄對用戶進行權(quán)限配置是否必須在用戶創(chuàng)建時進行；2、記錄能夠配置的權(quán)限選項內(nèi)容；3、所配置的權(quán)限規(guī)則應(yīng)能夠正確應(yīng)用，即用戶無法訪問授權(quán)范圍之外的系統(tǒng)資源，而可以訪問授權(quán)范圍之內(nèi)的系統(tǒng)資源。2、檢測操作1、利用管理員賬號登錄系統(tǒng)，并創(chuàng)建2個不同的用戶；2、創(chuàng)建用戶時查看系統(tǒng)是否提供了用戶權(quán)限級別以及可訪問系統(tǒng)資源和命令的選項；3、為兩個用戶分別配置不同的權(quán)限，2個用戶的權(quán)限差異應(yīng)能夠分別在用戶權(quán)限級別、可訪問系統(tǒng)資源以及可用命令

15、等方面予以體現(xiàn)；4、分別利用2個新建的賬號訪問設(shè)備系統(tǒng)，并分別嘗試訪問允許訪問的內(nèi)容和不允許訪問的內(nèi)容，查看權(quán)限配置策略是否生效。3、補充說明編號： 安全要求-設(shè)備-AIX-配置-9要求內(nèi)容控制用戶缺省訪問權(quán)限，當在創(chuàng)建新文件或目錄時應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。操作指南1、 參考配置操作A.設(shè)置所有存在賬戶的權(quán)限：lsuser -a home ALL | awk print $1 | while read user; do chuser umask=0277 $userdonevi /etc/default/log

16、in在末尾增加umask 027B.設(shè)置默認的profile，用編輯器打開文件/etc/security/user，找到umask這行，修改如下：Umask=02772、補充操作說明如果用戶需要使用一個不同于默認全局系統(tǒng)設(shè)置的umask，可以在需要的時候通過命令行設(shè)置，或者在用戶的shell啟動文件中配置。檢測方法1、判定條件權(quán)限設(shè)置符合實際需要；不應(yīng)有的訪問允許權(quán)限被屏蔽掉；2、檢測操作查看新建的文件或目錄的權(quán)限，操作舉例如下：#ls -l dir ; #查看目錄dir的權(quán)限#cat /etc/default/login 查看是否有umask 027內(nèi)容3、補充說明umask的默認設(shè)置一般為

17、022，這給新創(chuàng)建的文件默認權(quán)限755（777-022=755），這會給文件所有者讀、寫權(quán)限，但只給組成員和其他用戶讀權(quán)限。umask的計算：umask是使用八進制數(shù)據(jù)代碼設(shè)置的，對于目錄，該值等于八進制數(shù)據(jù)代碼777減去需要的默認權(quán)限對應(yīng)的八進制數(shù)據(jù)代碼值；對于文件，該值等于八進制數(shù)據(jù)代碼666減去需要的默認權(quán)限對應(yīng)的八進制數(shù)據(jù)代碼值。4日志配置策略本部分對AIX操作系統(tǒng)設(shè)備的日志功能提出要求，主要考察設(shè)備所具備的日志功能，確保發(fā)生安全事件后，設(shè)備日志能提供充足的信息進行安全事件定位。根據(jù)這些要求，設(shè)備日志應(yīng)能支持記錄與設(shè)備相關(guān)的重要事件，包括違反安全策略的事件、設(shè)備部件發(fā)生故障或其存在環(huán)境

18、異常等，以便通過審計分析工具，發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反ACL規(guī)則的事件時，通過對日志的審計分析，能發(fā)現(xiàn)隱患，提高設(shè)備維護人員的警惕性，防止惡化。編號： 安全要求-設(shè)備-通用-配置-10要求內(nèi)容設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。操作指南1、參考配置操作修改配置文件vi /etc/syslog.conf，加上這幾行：tt/var/adm/authlog*.info;auth.nonett/var/adm/syslogn 建立日志文件，如下命令： touch /var/adm/au

19、thlog /var/adm/syslog chown root:system /var/adm/authlog 配置日志文件權(quán)限，如下命令：chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 重新啟動syslog服務(wù)，依次執(zhí)行下列命令：stopsrc -s syslogd startsrc -s syslogdAIX系統(tǒng)默認不捕獲登錄信息到syslogd，以上配置增加了驗證信息發(fā)送到/var/adm/authlog和/var/adm/syslog，并設(shè)置了權(quán)限為其他用戶和組禁止讀寫日志文件。2、補充操作說明檢測方法1、判定條件列出用戶賬號

20、、登錄是否成功、登錄時間、遠程登錄時的IP地址。2、檢測操作cat /var/adm/authlogcat /var/adm/syslog3、補充說明編號： 安全要求-設(shè)備-通用-配置-11要求內(nèi)容設(shè)備應(yīng)配置日志功能，記錄對與設(shè)備相關(guān)的安全事件。操作指南1、參考配置操作修改配置文件vi /etc/syslog.conf，配置如下類似語句：*.err;kern.debug;daemon.notice; /var/adm/messages定義為需要保存的設(shè)備相關(guān)安全事件。2、補充操作說明編號： 安全要求-設(shè)備-AIX-配置-12要求內(nèi)容啟用內(nèi)核級審核操作指南1、參考配置操作開始審計用如下命令：#a

21、udit on 下一次系統(tǒng)啟動自動執(zhí)行審計用如下命令：mkitab -i cron audit:2:once:/usr/sbin/audit start 2&1 /dev/console telinit q echo audit shutdown /usr/sbin/shutdown 2、補充操作說明審計能跟蹤和記錄系統(tǒng)發(fā)生的活動，一個組或一個用戶的行為。詳細請參考如下文件的第二個章節(jié) 檢測方法1、 判定條件能設(shè)定審核的內(nèi)容并分析查看2、 檢測操作設(shè)定審核條件后用命令可查看：audit start3、補充說明5.5 IP協(xié)議安全策略編號： 安全要求-設(shè)備-通用-配置-13要求內(nèi)容對于使用IP協(xié)

22、議進行遠程維護的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。操作指南1、參考配置操作把如下shell保存后，運行，會修改ssh的安全設(shè)置項：unalias cp rm mv case find /usr /etc -type f | grep -c ssh_config$ in 0) echo Cannot find ssh_config ; 1) DIR=find /usr /etc -type f 2/dev/null | grep ssh_config$ | sed -e s:/ssh_config: cd $DIR cp ssh_config ssh_config.

23、tmp awk /#? *Protocol/ print Protocol 2; next ; print ssh_config.tmp ssh_config if grep -El Protocol ssh_config = ; then echo Protocol 2 ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ; *) echo You have multiple sshd_config files. Resolve echo before continuing. ; esac #也可以手動編輯 ssh_config，在 Ho

24、st *后輸入 Protocol 2，cd $DIR cp sshd_config sshd_config.tmp awk /#? *Protocol/ print Protocol 2; next ; /#? *X11Forwarding/ print X11Forwarding yes; next ; /#? *IgnoreRhosts/ print IgnoreRhosts yes; next ; /#? *RhostsAuthentication/ print RhostsAuthentication no; next ; /#? *RhostsRSAAuthentication/ p

25、rint RhostsRSAAuthentication no; next ; /#? *HostbasedAuthentication/ print HostbasedAuthentication no; next ; /#? *PermitRootLogin/ print PermitRootLogin no; next ; /#? *PermitEmptyPasswords/ print PermitEmptyPasswords no; next ; /#? *Banner/ print Banner /etc/motd; next ; print sshd_config.tmp ssh

26、d_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用ssh2版本X11Forwarding yes #允許窗口圖形傳輸使用ssh加密IgnoreRhosts yes#完全禁止SSHD使用.rhosts文件RhostsAuthentication no #不設(shè)置使用基于rhosts的安全驗證RhostsRSAAuthentication no #不設(shè)置使用RSA算法的基于rhosts的安全驗證HostbasedAuthentication no #不允許基于主機白名單方式認證PermitRootLogin no #不允許

27、root登錄PermitEmptyPasswords no #不允許空密碼Banner /etc/motd #設(shè)置ssh登錄時顯示的banner2、補充操作說明查看SSH服務(wù)狀態(tài)：# ps elf|grep ssh檢測方法1、 判定條件# ps elf|grep ssh是否有ssh進程存在2、檢測操作查看SSH服務(wù)狀態(tài)：# ps elf|grep sshlssrc s sshd查看telnet服務(wù)狀態(tài)：# ps elf|grep telnetlssrc t telnet6路由協(xié)議安全策略編號： 安全要求-設(shè)備-AIX-配置-14要求內(nèi)容主機系統(tǒng)應(yīng)該禁止ICMP重定向，采用靜態(tài)路由。操作指南1、

28、 參考配置操作A.把以下網(wǎng)絡(luò)參數(shù)保持到一個文本里：cat /etc/-tune #!/bin/ksh # 優(yōu)化參數(shù)，抵制 SYN-flood 攻擊/usr/sbin/no -o clean_partial_conns=1 # 不允許被SMURF廣播攻擊 /usr/sbin/no -o directed_broadcast=0 # 不允許其他機器重新設(shè)置此機網(wǎng)絡(luò)掩碼 /usr/sbin/no -o icmpaddressmask=0 # 忽略ICMP重定向報文并不發(fā)送它們. /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendred

29、irects=0 # 拒絕任何源路由報文 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o nonlocsrcroute=0 EOF B.賦予執(zhí)行權(quán)限chmod +x /etc/-tune C.將新的記錄添加到/etc/inittab中，并告知init命令在啟動rctcpip之后執(zhí)行/etc/-tunemkitab -i rctcpip rcnettune:2:wait:/etc/-tune /dev/cons

30、ole 2&12、補充操作說明/usr/sbin/no命令是管理網(wǎng)絡(luò)調(diào)整參數(shù)的mkitab命令是在/etc/inittab添加啟動記錄的檢測方法1、判定條件在/etc/rc2.d/S?inet搜索看是否有ndd -set /dev/ip ip_send_redirects=0內(nèi)容/etc/rc2.d/S69inet中包含的是ndd -set /dev/ip ip6_send_redirects=02、檢測操作查看當前的路由信息：#netstat -rn3、補充說明編號： 安全要求-設(shè)備-AIX-配置-15要求內(nèi)容對于不做路由功能的系統(tǒng)，應(yīng)該關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)功能。操作指南1、 參考配置操作惡意用戶

31、可以使用IP重定向來修改遠程主機中的路由表，因此發(fā)送和接受重定向信息報都要關(guān)閉：/usr/sbin/no -o ipignoreredirects=1/usr/sbin/no -o ipsendredirects=0通過源路由，攻擊者可以嘗試到達內(nèi)部IP地址，因此不接受源路由信息包可以防止內(nèi)部網(wǎng)絡(luò)被探測：/usr/sbin/no -o ipsrcroutesend=0/usr/sbin/no -o ipsrcrouteforward=0/usr/sbin/no -o ipsrcrouterecv=0/usr/sbin/no -o nonlocsrcroute=0調(diào)整廣播Echo響應(yīng)以防止Smu

32、rf攻擊，不響應(yīng)直接廣播：/usr/sbin/no -o directed_broadcast=0vi /etc/init.d/inetinitIP Forwarding (IP轉(zhuǎn)發(fā)) a. 關(guān)閉IP轉(zhuǎn)發(fā) /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o nonlocsrcroute=0 b. 嚴格限定多主宿主機,如果是多宿主機，還可以加上更嚴格的限定防止ip spoof的攻擊 ndd -set /dev/ip

33、 ip_strict_dst_multihoming 1 c. 轉(zhuǎn)發(fā)包廣播由于在轉(zhuǎn)發(fā)狀態(tài)下默認是允許的，為了防止被用來實施smurf攻擊，關(guān)閉這一特性 ndd -set /dev/ip ip_forward_directed_broadcasts 0 路由： a. 關(guān)閉轉(zhuǎn)發(fā)源路由包 ndd -set /dev/ip ip_forward_src_routed 02、補充操作說明注意：啟動過程中IP轉(zhuǎn)發(fā)功能關(guān)閉前AIX主機依舊可以在多塊網(wǎng)卡之間進行IP轉(zhuǎn)發(fā),存在小小的潛在安全隱患。對于AIX 2.4(或者更低版本)，在/etc/init.d/inetinit文件的最后增加一行 ndd -set

34、/dev/ip ip_forwarding 0 對于AIX 2.5(或者更高版本),在/etc目錄下創(chuàng)建一個叫notrouter的空文件，touch /etc/notrouter檢測方法1、判定條件2、檢測操作查看/etc/init.d/inetinit文件cat /etc/init.d/inetinit3、補充說明注意：啟動過程中IP轉(zhuǎn)發(fā)功能關(guān)閉前AIX主機依舊可以在多塊網(wǎng)卡之間進行IP轉(zhuǎn)發(fā),存在小小的潛在安全隱患。7服務(wù)與啟動項策略編號： 安全要求-設(shè)備-AIX-配置-16要求內(nèi)容列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。操作指南1、 參考配置操作查看所有開啟的服

35、務(wù)：#ps e -f 方法一：手動方式操作在inetd.conf中關(guān)閉不用的服務(wù) 首先復制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi編輯器編輯inetd.conf文件，對于需要注釋掉的服務(wù)在相應(yīng)行開頭標記#字符，重啟inetd服務(wù),即可。重新啟用該服務(wù)，使用命令：refresh s inetd方法二：自動方式操作A.把以下復制到文本里：for SVC in shell kshell login klogin exec echo discard chargen daytime t

36、ime ttdbserver dtspc; do echo Disabling $SVC TCP chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime time cmsd; do echo Disabling $SVC UDP chsubserver -d -v $SVC -p udp done refresh -s inetdB.執(zhí)行命令：#sh dis_server.sh2、補充操作說明在/etc/inetd.c

37、onf文件中禁止下列不必要的基本網(wǎng)絡(luò)服務(wù)。Tcp服務(wù)如下： shell kshell login klogin execUDP服務(wù)如下：ntalk rstatd rusersd rwalld sprayd pcnfsd注意：改變了“inetd.conf”文件之后，需要重新啟動inetd。對必須提供的服務(wù)采用tcp來保護并且為了防止服務(wù)取消后斷線，一定要啟用SSHD服務(wù)，用以登錄操作和文件傳輸。檢測方法1、判定條件所需的服務(wù)都列出來；沒有不必要的服務(wù)；2、檢測操作查看所有開啟的服務(wù):cat /etc/inet/inetd.conf,cat /etc/inet/services3、補充說明在/et

38、c/inetd.conf文件中禁止下列不必要的基本網(wǎng)絡(luò)服務(wù)。Tcp服務(wù)如下： shell kshell login klogin execUDP服務(wù)如下：ntalk rstatd rusersd rwalld sprayd pcnfsd注意：改變了“inetd.conf”文件之后，需要重新啟動inetd。對必須提供的服務(wù)采用tcp來保護編號： 安全要求-設(shè)備-AIX-配置-17要求內(nèi)容NFS服務(wù)：如果沒有必要，需要停止NFS服務(wù)；如果需要NFS服務(wù)，需要限制能夠訪問NFS服務(wù)的IP范圍。操作指南1、 參考配置操作根據(jù)本機角色挑選下面的之一執(zhí)行：A.禁止NFS服務(wù)端命令 lslpp -L .ni

39、s.server 2&1 | grep -c not installed -eq 0 & /usr/lib/instl/sm_inst installp_cmd -u -.nis.serverB.禁止nfs客戶端命令： lslpp -L .nis.client 2&1 | grep -c not installed -eq 0 & /usr/lib/instl/sm_inst installp_cmd -u -.nis.client限制能夠訪問NFS服務(wù)的IP范圍：編輯文件：vi /etc/hosts.allow增加一行: nfs: 允許訪問的IP2、補充操作說明需要判斷本機的NFS角色是否服務(wù)端或客戶端檢測方法1、判定條件NFS狀態(tài)顯示為：disabled；或者只有規(guī)定的IP范圍可以訪問NFS服務(wù)；2、檢測操作查看nfs進程：#ps elf|grep nfs查看NFS服務(wù)端是否安裝，如沒安裝返回 not installed# lslpp -L .nis.server查看NFS客戶端是否安裝，如沒安裝返回 not installed# lslpp -L .nis