AIX安全配置規(guī)范

1、AIX 操作系統(tǒng)安全配置規(guī)范2011年3月第1章 概述1.1 適用范圍適用于中國(guó)電信使用AIX操作系統(tǒng)的設(shè)備。本規(guī)范明確了安全配置的基本要求，可作為編制設(shè)備入網(wǎng)測(cè)試、安全驗(yàn)收、安全檢查規(guī)范等文檔的參考。由于版本不同，配置操作有所不同，本規(guī)范以AIX 5.X為例，給出參考配置操作。第2章 安全配置要求2.1 賬號(hào)編號(hào)： 1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號(hào)。操作指南1、參考配置操作為用戶創(chuàng)建賬號(hào)：#useradd username #創(chuàng)建賬號(hào)#passwd username #設(shè)置密碼修改權(quán)限：#chmod 750 directory #其中750為設(shè)置的權(quán)限，可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限，

2、directory是要更改權(quán)限的目錄)使用該命令為不同的用戶分配不同的賬號(hào)，設(shè)置不同的口令及權(quán)限信息等。2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件能夠登錄成功并且可以進(jìn)行常用操作；2、檢測(cè)操作使用不同的賬號(hào)進(jìn)行登錄并進(jìn)行一些常用操作；3、補(bǔ)充說(shuō)明編號(hào)： 2要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。操作指南1、參考配置操作刪除用戶：#userdel username; 鎖定用戶：1)修改/etc/shadow文件，用戶名后加*LK*2)將/etc/passwd文件中的shell域設(shè)置成/bin/false3)#passwd -l username只有具備超級(jí)用戶權(quán)限的使用者方可使用，#pa

3、sswd -l username鎖定用戶,用#passwd d username解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2、補(bǔ)充操作說(shuō)明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。檢測(cè)方法1、判定條件被刪除或鎖定的賬號(hào)無(wú)法登錄成功；2、檢測(cè)操作使用刪除或鎖定的與工作無(wú)關(guān)的賬號(hào)登錄系統(tǒng)；3、補(bǔ)充說(shuō)明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。解鎖時(shí)間：15分鐘編號(hào)： 3要求內(nèi)容限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。需要遠(yuǎn)程執(zhí)行管理員權(quán)限操

4、作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。操作指南1、 參考配置操作編輯/etc/security/user，加上：在root項(xiàng)上輸入false作為rlogin的值此項(xiàng)只能限制root用戶遠(yuǎn)程使用telnet登錄。用ssh登錄，修改此項(xiàng)不會(huì)看到效果的2、補(bǔ)充操作說(shuō)明如果限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務(wù)。檢測(cè)方法1、判定條件root遠(yuǎn)程登錄不成功，提示“沒有權(quán)限”；普通用戶可以登錄成功，而且可以切換到root用戶；2、

5、檢測(cè)操作root從遠(yuǎn)程使用telnet登錄；普通用戶從遠(yuǎn)程使用telnet登錄；root從遠(yuǎn)程使用ssh登錄；普通用戶從遠(yuǎn)程使用ssh登錄；3、補(bǔ)充說(shuō)明限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務(wù)。編號(hào)：4要求內(nèi)容對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。操作指南1、參考配置操作把如下shell保存后，運(yùn)行，會(huì)修改ssh的安全設(shè)置項(xiàng)：unalias cp rm mv case find /usr /etc -t

6、ype f | grep -c ssh_config$ in 0) echo "Cannot find ssh_config" ; 1) DIR=find /usr /etc -type f 2>/dev/null | grep ssh_config$ | sed -e "s:/ssh_config:" cd $DIR cp ssh_config ssh_config.tmp awk '/#? *Protocol/ print "Protocol 2" next ; print ' ssh_config.tmp

7、> ssh_config if "grep -El Protocol ssh_config" = "" ; then echo 'Protocol 2' >> ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ; *) echo "You have multiple sshd_config files. Resolve" echo "before continuing." ; esac #也可以手動(dòng)編輯 ssh_config，

8、在 "Host *"后輸入 "Protocol 2"，cd $DIR cp sshd_config sshd_config.tmp awk '/#? *Protocol/ print "Protocol 2" next ; /#? *X11Forwarding/ print "X11Forwarding yes" next ; /#? *IgnoreRhosts/ print "IgnoreRhosts yes" next ; /#? *RhostsAuthentication/ pri

9、nt " RhostsAuthentication no" next ; /#? *RhostsRSAAuthentication/ print "RhostsRSAAuthentication no" next ; /#? *HostbasedAuthentication/ print "HostbasedAuthentication no" next ; /#? *PermitRootLogin/ print "PermitRootLogin no" next ; /#? *PermitEmptyPasswor

10、ds/ print "PermitEmptyPasswords no" next ; /#? *Banner/ print "Banner /etc/motd" next ; print' sshd_config.tmp > sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用ssh2版本X11Forwarding yes #允許窗口圖形傳輸使用ssh加密IgnoreRhosts yes#完全禁止SSHD使用.rhosts文件RhostsAuthenticat

11、ion no #不設(shè)置使用基于rhosts的安全驗(yàn)證RhostsRSAAuthentication no #不設(shè)置使用RSA算法的基于rhosts的安全驗(yàn)證HostbasedAuthentication no #不允許基于主機(jī)白名單方式認(rèn)證PermitRootLogin no #不允許root登錄PermitEmptyPasswords no #不允許空密碼Banner /etc/motd #設(shè)置ssh登錄時(shí)顯示的banner2、補(bǔ)充操作說(shuō)明查看SSH服務(wù)狀態(tài)：# ps elf|grep ssh檢測(cè)方法1、 判定條件# ps elf|grep ssh是否有ssh進(jìn)程存在2、檢測(cè)操作查看SSH服

12、務(wù)狀態(tài)：# ps elf|grep ssh查看telnet服務(wù)狀態(tài)：# ps elf|grep telnet2.2 口令編號(hào)：1要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少3類。操作指南1、參考配置操作chsec -f /etc/security/user -s default -a minlen=8chsec -f /etc/security/user -s default -a minalpha=1chsec -f /etc/security/user -s default -a mindiff=1chsec -f /etc/

13、security/user -s default -a minother=1chsec f /etc/security/user s default -a pwdwarntime=5minlen=8 #密碼長(zhǎng)度最少8位minalpha=1 #包含的字母最少1個(gè)mindiff=1 #包含的唯一字符最少1個(gè)minother=1#包含的非字母最少1個(gè)pwdwarntime=5 #系統(tǒng)在密碼過(guò)期前5天發(fā)出修改密碼的警告信息給用戶2、補(bǔ)充操作說(shuō)明 檢測(cè)方法1、判定條件不符合密碼強(qiáng)度的時(shí)候，系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時(shí)候，可以成功設(shè)置；2、檢測(cè)操作1、檢查口令強(qiáng)度配置選項(xiàng)是否可以進(jìn)行如下配

14、置：i. 配置口令的最小長(zhǎng)度；ii. 將口令配置為強(qiáng)口令。2、創(chuàng)建一個(gè)普通賬號(hào)，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡(jiǎn)單口令以及長(zhǎng)度短于8位的口令，查看系統(tǒng)是否對(duì)口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號(hào)的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。編號(hào)： 2要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長(zhǎng)于90天。操作指南1、 參考配置操作方法一：chsec -f /etc/security/user -s default -a histexpire=13方法二：用vi或其他文本編輯工具修改chsec -f /etc/security/user文件如下值：histe

15、xpire=13histexpire=13 #密碼可重復(fù)使用的星期為13周（91天）2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件密碼過(guò)期后登錄不成功；2、檢測(cè)操作使用超過(guò)90天的帳戶口令登錄會(huì)提示密碼過(guò)期；編號(hào)： 3要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。操作指南1、參考配置操作方法一：chsec -f /etc/security/user -s default -a histsize=5方法二：用vi或其他文本編輯工具修改chsec -f /etc/security/user文件如下值：histsize=5histexpire=5 #可

16、允許的密碼重復(fù)次數(shù)檢測(cè)方法1、判定條件設(shè)置密碼不成功2、檢測(cè)操作cat /etc/security/user，設(shè)置如下histsize=53、補(bǔ)充說(shuō)明默認(rèn)沒有histsize的標(biāo)記，即不記錄以前的密碼。編號(hào)： 4要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次（不含6次），鎖定該用戶使用的賬號(hào)。操作指南1、參考配置操作查看帳戶帳戶屬性： #lsuser username 設(shè)置6次登陸失敗后帳戶鎖定閥值： #chuser loginretries=6 username檢測(cè)方法1、判定條件運(yùn)行l(wèi)suser uasename命令，查看帳戶屬性中是否設(shè)置了6次登陸失敗后帳戶

17、鎖定閥值的策略。如未設(shè)置或大于6次，則進(jìn)行設(shè)置2.3 授權(quán)編號(hào)： 1要求內(nèi)容在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。操作指南1、參考配置操作通過(guò)chmod命令對(duì)目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。2、 補(bǔ)充操作說(shuō)明chown -R root:security /etc/passwd /etc/group /etc/security chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod -R go-w,o-r /etc/securit

18、y/etc/passwd /etc/group /etc/security的所有者必須是root和security組成員/etc/security/audit的所有者必須是iroot和audit組成員/etc/passwd 所有用戶都可讀，root用戶可寫 rw-rr /etc/shadow 只有root可讀 r- /etc/group 必須所有用戶都可讀，root用戶可寫 rw-rr使用如下命令設(shè)置：chmod 644 /etc/passwdchmod 644 /etc/group如果是有寫權(quán)限，就需移去組及其它用戶對(duì)/etc的寫權(quán)限（特殊情況除外）執(zhí)行命令#chmod -R go-w,o-

19、r /etc檢測(cè)方法1、判定條件1、設(shè)備系統(tǒng)能夠提供用戶權(quán)限的配置選項(xiàng)，并記錄對(duì)用戶進(jìn)行權(quán)限配置是否必須在用戶創(chuàng)建時(shí)進(jìn)行；2、記錄能夠配置的權(quán)限選項(xiàng)內(nèi)容；3、所配置的權(quán)限規(guī)則應(yīng)能夠正確應(yīng)用，即用戶無(wú)法訪問(wèn)授權(quán)范圍之外的系統(tǒng)資源，而可以訪問(wèn)授權(quán)范圍之內(nèi)的系統(tǒng)資源。2、檢測(cè)操作1、利用管理員賬號(hào)登錄系統(tǒng)，并創(chuàng)建2個(gè)不同的用戶；2、創(chuàng)建用戶時(shí)查看系統(tǒng)是否提供了用戶權(quán)限級(jí)別以及可訪問(wèn)系統(tǒng)資源和命令的選項(xiàng)；3、為兩個(gè)用戶分別配置不同的權(quán)限，2個(gè)用戶的權(quán)限差異應(yīng)能夠分別在用戶權(quán)限級(jí)別、可訪問(wèn)系統(tǒng)資源以及可用命令等方面予以體現(xiàn)；4、分別利用2個(gè)新建的賬號(hào)訪問(wèn)設(shè)備系統(tǒng)，并分別嘗試訪問(wèn)允許訪問(wèn)的內(nèi)容和不允許訪問(wèn)

20、的內(nèi)容，查看權(quán)限配置策略是否生效。3、補(bǔ)充說(shuō)明編號(hào)：2要求內(nèi)容控制FTP進(jìn)程缺省訪問(wèn)權(quán)限，當(dāng)通過(guò)FTP服務(wù)創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問(wèn)允許權(quán)限。操作指南1、參考配置操作a. 限制某些系統(tǒng)帳戶不準(zhǔn)ftp登錄:通過(guò)修改ftpusers文件，增加帳戶#vi /etc/ftpusers b. 限制用戶可使用FTP不能用Telnet，假如用戶為ftpxll創(chuàng)建一個(gè)/etc/shells文件, 添加一行 /bin/true;修改/etc/passwd文件，ftpxll:x:119:1:/home/ftpxll:/bin/true注：還需要把真實(shí)存在的shell目錄加入/etc/she

21、lls文件，否則沒有用戶能夠登錄ftp以上兩個(gè)步驟可參考如下shell自動(dòng)執(zhí)行：lsuser -c ALL | grep -v #name | cut -f1 -d: | while read NAME; do if lsuser -f $NAME | grep id | cut -f2 -d= -lt 200 ; then echo "Adding $NAME to /etc/ftpusers" echo $NAME >> /etc/ftpusers.new fi done sort -u /etc/ftpusers.new > /etc/ftpuser

22、s rm /etc/ftpusers.new chown root:system /etc/ftpusers chmod 600 /etc/ftpusersc. 限制ftp用戶登陸后在自己當(dāng)前目錄下活動(dòng)編輯ftpaccess，加入如下一行restricted-uid *(限制所有)，restricted-uid username（特定用戶） ftpaccess文件與ftpusers文件在同一目錄 d. 設(shè)置ftp用戶登錄后對(duì)文件目錄的存取權(quán)限，可編輯/etc/ftpaccess。chmod no guest,anonymous delete no guest,anonymous overwri

23、te no guest,anonymous rename no guest,anonymous umask no anonymous2、補(bǔ)充操作說(shuō)明查看# cat ftpusers說(shuō)明: 在這個(gè)列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4檢測(cè)方法1、判定條件權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問(wèn)允許權(quán)限被屏蔽掉；2、檢測(cè)操作查看新建的文件或目錄的權(quán)限，操作舉例如下：#more /etc/ftpusers #more /etc/passwd#more /etc/ftpaccess 3、補(bǔ)充說(shuō)明

24、查看# cat ftpusers說(shuō)明: 在這個(gè)列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody42.4 補(bǔ)丁安全編號(hào)：1要求內(nèi)容應(yīng)根據(jù)需要及時(shí)進(jìn)行補(bǔ)丁裝載。對(duì)服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測(cè)試。操作指南1、參考配置操作先把補(bǔ)丁集拷貝到一個(gè)目錄，如/08update，然后執(zhí)行#smit update_all選擇安裝目錄/08update默認(rèn)SOFTWARE to update _update_all選擇不提交，保存被覆蓋的文件，可以回滾操作，接受許可協(xié)議 COMMIT software updates

25、? no SAVE replaced files? yes ACCEPT new license agreements? yes然后回車執(zhí)行安裝。2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件查看最新的補(bǔ)丁號(hào)，確認(rèn)已打上了最新補(bǔ)??；2、檢測(cè)操作檢查某一個(gè)補(bǔ)丁，比如LY59082是否安裝#instfix a ivk LY59082檢查文件集（filesets）是否安裝#lslpp l bos.adt.libm3、補(bǔ)充說(shuō)明補(bǔ)丁下載 2.5 日志安全要求編號(hào)：1要求內(nèi)容設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。操作指南1

26、、參考配置操作修改配置文件vi /etc/syslog.conf，加上這幾行：tt/var/adm/authlog*.info;auth.nonett/var/adm/syslogn" 建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 重新啟動(dòng)syslog服務(wù)，依次執(zhí)行下列命令：stopsrc -s syslogd startsrc -s syslogdAIX系統(tǒng)默認(rèn)不捕獲登錄信息到syslogd，以上配置增加了驗(yàn)證信息發(fā)送到/var/adm/

27、authlog和/var/adm/syslog2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件列出用戶賬號(hào)、登錄是否成功、登錄時(shí)間、遠(yuǎn)程登錄時(shí)的IP地址。2、檢測(cè)操作cat /var/adm/authlogcat /var/adm/syslog3、補(bǔ)充說(shuō)明編號(hào)： 2（可選）要求內(nèi)容啟用記錄cron行為日志功能和cron/at的使用情況 操作指南1、參考配置操作cron/At的相關(guān)文件主要有以下幾個(gè)： /var/spool/cron/crontabs 存放cron任務(wù)的目錄 /var/spool/cron/cron.allow 允許使用crontab命令的用戶 /var/spool/cron/cron.de

28、ny 不允許使用crontab命令的用戶 /var/spool/cron/atjobs 存放at任務(wù)的目錄 /var/spool/cron/at.allow 允許使用at的用戶 /var/spool/cron/at.deny 不允許使用at的用戶 使用crontab和at命令可以分別對(duì)cron和at任務(wù)進(jìn)行控制。 #crontab -l 查看當(dāng)前的cron任務(wù) #at -l 查看當(dāng)前的at任務(wù) 檢測(cè)方法1、判定條件2、檢測(cè)操作查看/var/spool/cron/目錄下的文件配置是否按照以上要求進(jìn)行了安全配置。如未配置則建議按照要求進(jìn)行配置。 編號(hào)：3要求內(nèi)容設(shè)備應(yīng)配置權(quán)限，控制對(duì)日志文件讀取、

29、修改和刪除等操作。操作指南1、參考配置操作配置日志文件權(quán)限，如下命令：chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 并設(shè)置了權(quán)限為其他用戶和組禁止讀寫日志文件。檢測(cè)方法1、判定條件沒有相應(yīng)權(quán)限的用戶不能查看或刪除日志文件2、檢測(cè)操作查看syslog.conf文件中配置的日志存放文件：more /etc/syslog.conf使用ls l /var/adm查看的目錄下日志文件的權(quán)限，如：authlog、syslog的權(quán)限應(yīng)分別為600、644。3、補(bǔ)充說(shuō)明對(duì)于其他日志文件，也應(yīng)該設(shè)置適當(dāng)?shù)臋?quán)限，如登錄失敗事件的日志、操作日志，具體文件查

30、看syslog.conf中的配置。2.6 不必要的服務(wù)、端口編號(hào)：1要求內(nèi)容列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。操作指南1、 參考配置操作查看所有開啟的服務(wù)：#ps e -f 方法一：手動(dòng)方式操作在inetd.conf中關(guān)閉不用的服務(wù) 首先復(fù)制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi編輯器編輯inetd.conf文件，對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記"#"字符，重啟inetd服務(wù),即可。重新啟用該服務(wù)，使用命令：refr

31、esh s inetd方法二：自動(dòng)方式操作A.把以下復(fù)制到文本里：for SVC in ftp telnet shell kshell login klogin exec echo discard chargen daytime time ttdbserver dtspc; do echo "Disabling $SVC TCP" chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime time c

32、msd; do echo "Disabling $SVC UDP" chsubserver -d -v $SVC -p udp done refresh -s inetdB.執(zhí)行命令：#sh dis_server.sh2、補(bǔ)充操作說(shuō)明參考附表，根據(jù)具體情況禁止不必要的基本網(wǎng)絡(luò)服務(wù)。注意：改變了“inetd.conf”文件之后，需要重新啟動(dòng)inetd。對(duì)必須提供的服務(wù)采用tcpwapper來(lái)保護(hù)并且為了防止服務(wù)取消后斷線，一定要啟用SSHD服務(wù)，用以登錄操作和文件傳輸。檢測(cè)方法1、判定條件所需的服務(wù)都列出來(lái)；沒有不必要的服務(wù)；2、檢測(cè)操作查看所有開啟的服務(wù):cat /etc/

33、inet/inetd.conf,cat /etc/inet/services3、補(bǔ)充說(shuō)明在/etc/inetd.conf文件中禁止下列不必要的基本網(wǎng)絡(luò)服務(wù)。Tcp服務(wù)如下：ftp telnet shell kshell login klogin execUDP服務(wù)如下：ntalk rstatd rusersd rwalld sprayd pcnfsd注意：改變了“inetd.conf”文件之后，需要重新啟動(dòng)inetd。對(duì)必須提供的服務(wù)采用tcpwapper來(lái)保護(hù)2.7 文件與目錄權(quán)限編號(hào)：1要求內(nèi)容控制用戶缺省訪問(wèn)權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí) 應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問(wèn)允許權(quán)限。防止同屬

34、于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。操作指南1、 參考配置操作A.設(shè)置所有存在賬戶的權(quán)限：lsuser -a home ALL | awk 'print $1' | while read user; do chuser umask=077 $userdonevi /etc/default/login在末尾增加umask 027B.設(shè)置默認(rèn)的profile，用編輯器打開文件/etc/security/user，找到umask這行，修改如下：Umask=0772、補(bǔ)充操作說(shuō)明如果用戶需要使用一個(gè)不同于默認(rèn)全局系統(tǒng)設(shè)置的umask，可以在需要的時(shí)候通過(guò)命令行設(shè)置

35、，或者在用戶的shell啟動(dòng)文件中配置。檢測(cè)方法1、判定條件權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問(wèn)允許權(quán)限被屏蔽掉；2、檢測(cè)操作查看新建的文件或目錄的權(quán)限，操作舉例如下：#ls -l dir ; #查看目錄dir的權(quán)限#cat /etc/default/login 查看是否有umask 027內(nèi)容3、補(bǔ)充說(shuō)明umask的默認(rèn)設(shè)置一般為022，這給新創(chuàng)建的文件默認(rèn)權(quán)限755（777-022=755），這會(huì)給文件所有者讀、寫權(quán)限，但只給組成員和其他用戶讀權(quán)限。umask的計(jì)算：umask是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置的，對(duì)于目錄，該值等于八進(jìn)制數(shù)據(jù)代碼777減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值；對(duì)于文件

36、，該值等于八進(jìn)制數(shù)據(jù)代碼666減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值。編號(hào)： 2要求內(nèi)容對(duì)文件和目錄進(jìn)行權(quán)限設(shè)置，合理設(shè)置重要目錄和文件的權(quán)限操作指南1、參考配置操作查看重要文件和目錄權(quán)限：ls l更改權(quán)限：對(duì)于重要目錄，建議執(zhí)行如下類似操作：# chmod -R 750 /etc/init.d/*這樣只有root可以讀、寫和執(zhí)行這個(gè)目錄下的腳本。2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件用root外的其它帳戶登錄，對(duì)重要文件和目錄進(jìn)行刪除、修改等操作不能夠成功即為符合。2、檢測(cè)操作查看重要文件和目錄權(quán)限：ls l用root外的其它帳戶登錄，對(duì)重要文件和目錄進(jìn)行刪除、修改等操作3、補(bǔ)充說(shuō)明2.8系

37、統(tǒng)Banner設(shè)置 要求內(nèi)容修改系統(tǒng)banner，避免泄漏操作系統(tǒng)名稱，版本號(hào)，主機(jī)名稱等，并且給出登陸告警信息操作指南1、參考配置操作設(shè)置系統(tǒng)Banner的操作如下： 在/etc/security/login.cfg文件中，在default小節(jié)增加： herald = "ATTENTION:You have logged onto a secured server.All accesses logged.nnlogin:"檢測(cè)方法查看/etc/security/login.cfg文件中的配置是否按照以上要求進(jìn)行了配置2.9登錄超時(shí)時(shí)間設(shè)置要求內(nèi)容對(duì)于具備字符交互界面的設(shè)備

38、，配置定時(shí)帳戶自動(dòng)登出操作指南1、 參考配置操作設(shè)置登陸超時(shí)時(shí)間為300秒，修改/etc/security/.profile文件，增加一行： TMOUT300；TIMEOUT=300；export readonly TMOUT TIMEOUT2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件查看/etc/security/.profile文件中的配置，是否存在登陸超時(shí)時(shí)間的設(shè)置。如未設(shè)置，則建議應(yīng)按照要求進(jìn)行配置2.10內(nèi)核調(diào)整（可選）要求內(nèi)容防止堆棧緩沖溢出操作指南1、參考配置操作編輯/etc/security/limits并且改變core值為0，并增加一行在后面，如下：core 0core_hard =

39、 0保存文件后退出，執(zhí)行命令： echo "# Added by Nsfocus Security Benchmark" >> /etc/profile echo "ulimit -c 0" >> /etc/profile chdev -l sys0 -a fullcore=false1、 補(bǔ)充操作說(shuō)明應(yīng)用程序在發(fā)生錯(cuò)誤的時(shí)候會(huì)把自身的敏感信息從內(nèi)存里DUMP到文件，一旦被攻擊者獲取容易引發(fā)攻擊。檢測(cè)方法1、判定條件能夠防止core文件產(chǎn)生2、檢測(cè)操作查看/etc/security/limits文件：cat /etc/securi

40、ty/limits是否有如下兩行：core 0core_hard = 0查看/etc/ profile 文件：cat /etc/security/limits是否有如下行：ulimit c 02.11使用SSH加密協(xié)議要求內(nèi)容對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。操作指南1、參考配置操作把如下shell保存后，運(yùn)行，會(huì)修改ssh的安全設(shè)置項(xiàng)：unalias cp rm mv case find /usr /etc -type f | grep -c ssh_config$ in 0) echo "Cannot find ssh_

41、config" ; 1) DIR=find /usr /etc -type f 2>/dev/null | grep ssh_config$ | sed -e "s:/ssh_config:" cd $DIR cp ssh_config ssh_config.tmp awk '/#? *Protocol/ print "Protocol 2" next ; print ' ssh_config.tmp > ssh_config if "grep -El Protocol ssh_config" =

42、 "" ; then echo 'Protocol 2' >> ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ; *) echo "You have multiple sshd_config files. Resolve" echo "before continuing." ; esac #也可以手動(dòng)編輯 ssh_config，在 "Host *"后輸入 "Protocol 2"，cd $DIR cp ssh

43、d_config sshd_config.tmp awk '/#? *Protocol/ print "Protocol 2" next ; /#? *X11Forwarding/ print "X11Forwarding yes" next ; /#? *IgnoreRhosts/ print "IgnoreRhosts yes" next ; /#? *RhostsAuthentication/ print " RhostsAuthentication no" next ; /#? *RhostsRSA

44、Authentication/ print "RhostsRSAAuthentication no" next ; /#? *HostbasedAuthentication/ print "HostbasedAuthentication no" next ; /#? *PermitRootLogin/ print "PermitRootLogin no" next ; /#? *PermitEmptyPasswords/ print "PermitEmptyPasswords no" next ; /#? *Ban

45、ner/ print "Banner /etc/motd" next ; print' sshd_config.tmp > sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用ssh2版本X11Forwarding yes #允許窗口圖形傳輸使用ssh加密IgnoreRhosts yes#完全禁止SSHD使用.rhosts文件RhostsAuthentication no #不設(shè)置使用基于rhosts的安全驗(yàn)證RhostsRSAAuthentication no #不設(shè)置使用RS

46、A算法的基于rhosts的安全驗(yàn)證HostbasedAuthentication no #不允許基于主機(jī)白名單方式認(rèn)證PermitRootLogin no #不允許root登錄PermitEmptyPasswords no #不允許空密碼Banner /etc/motd #設(shè)置ssh登錄時(shí)顯示的banner2、補(bǔ)充操作說(shuō)明查看SSH服務(wù)狀態(tài)：# ps elf|grep ssh檢測(cè)方法2、 判定條件# ps elf|grep ssh是否有ssh進(jìn)程存在2、檢測(cè)操作查看SSH服務(wù)狀態(tài)：# ps elf|grep ssh查看telnet服務(wù)狀態(tài)：# ps elf|grep telnet2.12 FT

47、P設(shè)置編號(hào)1：要求內(nèi)容禁止root登陸FTP操作指南1、參考配置操作 Echo root >>/etc/ftpusers檢測(cè)方法使用root 登錄ftp編號(hào)2：要求內(nèi)容禁止匿名ftp操作指南1、參考配置操作默認(rèn)不支持匿名，需要做專門的配置。檢查方法:使用ftp 做匿名登錄嘗試，如能登錄，則刪除/etc/passwd下的ftp賬號(hào)。檢測(cè)方法檢查方法:使用ftp 做匿名登錄嘗試編號(hào)3：要求內(nèi)容修改FTP banner 信息操作指南1、參考配置操作cat << EOF >> /etc/ftpmotd Authorized uses only. All activi

48、ty may be monitored and reported EOF檢測(cè)方法1、 判斷依據(jù)ftp登錄嘗試2、 檢查操作附表：端口及服務(wù)服務(wù)名稱端口應(yīng)用說(shuō)明關(guān)閉方法處置建議daytime13/tcpRFC867 白天協(xié)議#daytime stream tcp nowait root internal建議關(guān)閉13/udpRFC867 白天協(xié)議#daytime dgram udp nowait root internaltime37/tcp時(shí)間協(xié)議#time stream tcp nowait root internalecho7/tcpRFC862_回聲協(xié)議#echo stream tcp n

49、owait root internal7/udpRFC862_回聲協(xié)議#echo dgram udp nowait root internaldiscard9/tcpRFC863 廢除協(xié)議#discard stream tcp nowait root internal9/udp#discard dgram udp nowait root internalchargen19/tcpRFC864 字符產(chǎn)生協(xié)議#chargen stream tcp nowait root internal19/udp#chargen dgram udp nowait root internalftp21/tcp文件

50、傳輸協(xié)議(控制)#ftp stream tcp nowait root /usr/lbin/ftpd根據(jù)情況選擇開放telnet23/tcp虛擬終端協(xié)議#telnet stream tcp nowait root /usr/lbin/telnetd telnetd 根據(jù)情況選擇開放sendmail25/tcp簡(jiǎn)單郵件發(fā)送協(xié)議rc.tcpip/sendmail 建議關(guān)閉names53/udp域名服務(wù)/etc/rc.tcpip根據(jù)情況選擇開放53/tcp域名服務(wù)/etc/rc.tcpip根據(jù)情況選擇開放login513/tcp遠(yuǎn)程登錄#login stream tcp nowait root /usr/lbin/rlogind rlogind根據(jù)情況選擇開放shell514/tcp遠(yuǎn)程命令, no passwd used#shell stream tcp nowait root /usr/lbin/remshd remshd根據(jù)情況選擇開放exec512/tcpremote execution, passwd required#exec stream tcp nowait root /usr/lbin/rexecd rexecd根據(jù)情況選擇開放ntalk518/udpnew ta