AIX系統(tǒng)安全配置基線

1、AIXAIX 系統(tǒng)安全配置基線系統(tǒng)安全配置基線中國移動通信有限公司中國移動通信有限公司 管理信息系統(tǒng)部管理信息系統(tǒng)部2009 年 3 月版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人V1.0創(chuàng)建2009 年 1 月備備注：注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。目目 錄錄第第 1 章章概述概述.11.1目的.11.2適用范圍.11.3適用版本.11.4實施.11.5例外條款.1第第 2 章章賬號管理認證授權賬號管理認證授權.22.1賬號.22.1.1用戶帳號設置.22.1.2用戶組設置.22.1.3用戶口令設置.32.1.4Roo

2、t用戶遠程登錄限制.32.1.5系統(tǒng)用戶登錄限制.42.2口令.42.2.1口令生存期安全要求.42.2.2口令歷史安全要求.42.2.3用戶口令鎖定策略.52.2.4用戶訪問權限安全要求.52.2.5用戶FTP訪問的安全要求.6第第 3 章章網絡與服務網絡與服務.73.1服務.73.1.1遠程維護安全要求.73.2網絡.73.2.1 ICMP重定向安全要求.7第第 4 章章日志審計日志審計.84.1日志.84.1.1添加認證日志.84.2審計.84.2.1安全事件審計.8第第 5 章章設備其他安全配置要求設備其他安全配置要求.105.1設備.105.1.1屏幕保護.105.2緩沖區(qū).105.

3、2.1緩沖區(qū)溢出.10第第 6 章章評審與修訂評審與修訂.12第第 1 章章概述概述1.1 目的目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的 AIX 操作系統(tǒng)的主機應當遵循的操作系統(tǒng)安全性設置標準，本文檔旨在指導系統(tǒng)管理人員或安全檢查人員進行 AIX 操作系統(tǒng)的安全合規(guī)性檢查和配置。1.2 適用范圍適用范圍本配置標準的使用者包括：服務器系統(tǒng)管理員、應用管理員、網絡安全管理員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的 AIX 服務器系統(tǒng)。1.3 適用版本適用版本AIX 系列服務器；1.4 實施實施本標準的解釋權和修改權屬于中國移動集團管理信息系統(tǒng)部

4、，在本標準的執(zhí)行過程中若有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。1.5 例外條款例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。第第 2 章章賬號管理認證授權賬號管理認證授權2.1 賬號賬號2.1.1 用戶帳號設置用戶帳號設置安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 用戶賬戶安全基線要求項安全基線編安全基線編號號SBL-AIX-02-01-01 安全基線項安全基線項說明說明 用戶帳號設置。檢測操作步檢測操作步驟驟1、執(zhí)行：lsuser a home ALL2、執(zhí)行：ls l /etc/pas

5、swd基線符合性基線符合性判定依據(jù)判定依據(jù)需要鎖定的用戶：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd備注備注2.1.2 用戶組設置用戶組設置安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 用戶組安全基線要求項安全基線編安全基線編號號SBL-AIX-02-01-02 安全基線項安全基線項說明說明 用戶組設置。檢測操作步檢測操作步驟驟1、執(zhí)行：more /etc/group 2、執(zhí)行：ls -l /etc/group基線符合性基線符合性判定依據(jù)判定依據(jù)不要存在無用的用戶組：uucp printq備注備注2.1.3 用戶口令

6、設置用戶口令設置安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 用戶口令安全基線要求項安全基線編安全基線編號號SBL-AIX-02-01-03 安全基線項安全基線項說明說明 用戶口令設置。對于采用靜態(tài)口令認證技術的設備，口令長度至少 6 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號 4 類中至少 2 類檢測操作步檢測操作步驟驟1、執(zhí)行：more /etc/security/user ，檢查 maxage/minlen/minage/pwdwarntime參數(shù)2、執(zhí)行：pwdck n ALL, 檢查是否存在空口令賬號基線符合性基線符合性判定依據(jù)判定依據(jù)不能存在簡單密碼；創(chuàng)建一個普通賬號，為用戶

7、配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于 6 位的口令，查看系統(tǒng)是否對口令強度要求進行提示；輸入帶有特殊符號的復雜口令、普通復雜口令，查看系統(tǒng)是否可以成功設置。備注備注2.1.4Root 用戶遠程登錄限制用戶遠程登錄限制安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 遠程登錄安全基線要求項安全基線編安全基線編號號SBL-AIX-02-01-04 安全基線項安全基線項說明說明 Root 用戶遠程登錄限制。檢測操作步檢測操作步驟驟1、執(zhí)行：more /etc/security/user ，檢查在 root 項目中是否有下列行:rlogin=falselogin=true s

8、u=true sugroup=system基線符合性基線符合性判定依據(jù)判定依據(jù)禁止 root 用戶直接登錄系統(tǒng)可以增加系統(tǒng)入侵的難度備注備注2.1.5 系統(tǒng)用戶登錄限制系統(tǒng)用戶登錄限制安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 用戶登錄安全基線要求項安全基線編安全基線編號號SBL-AIX-02-01-05 安全基線項安全基線項說明說明 系統(tǒng)用戶登錄限制。檢測操作步檢測操作步驟驟1、執(zhí)行：more /etc/security/user ，檢查在 daemon bin sys adm uucp nuucp printq guest nobody lpd sshd 項目中是否有下列行:rlog

9、in=falselogin=false基線符合性基線符合性判定依據(jù)判定依據(jù)系統(tǒng)賬號僅被守護進程和服務使用，不應直接由用戶登錄系統(tǒng)。如果系統(tǒng)沒有應用這些守護進程或服務，建議刪除這些賬號。備注備注2.2 口令口令2.2.1 口令生存期安全要求口令生存期安全要求安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 口令生存期安全基線要求項安全基線編安全基線編號號SBL-AIX-02-02-01 安全基線項安全基線項說明說明 對于采用靜態(tài)口令認證技術的設備，帳戶口令的生存期不長于 90 天。檢測操作步檢測操作步驟驟1、執(zhí)行：more /etc/security/user ，檢查 histexpire基線符

10、合性基線符合性判定依據(jù)判定依據(jù)Histexpire 小于等于 13備注備注2.2.2 口令歷史安全要求口令歷史安全要求安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 口令生存期安全基線要求項安全基線編安全基線編號號SBL-AIX-02-02-02 安全基線項安全基線項說明說明 對于采用靜態(tài)口令認證技術的設備，應配置設備，使用戶不能重復使用最近5 次（含 5 次）內已使用的口令。檢測操作步檢測操作步驟驟1、執(zhí)行：more /etc/security/user ，檢查 histsize基線符合性基線符合性判定依據(jù)判定依據(jù)Histsize 大于等于 5備注備注2.2.3 用戶口令鎖定策略用戶口令鎖

11、定策略安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 口令鎖定安全基線要求項安全基線編安全基線編號號SBL-AIX-02-02-03 安全基線項安全基線項說明說明 對于采用靜態(tài)口令認證技術的設備，應配置當用戶連續(xù)認證失敗次數(shù)超過 6次（不含 6 次） ，鎖定該用戶使用的賬號。檢測操作步檢測操作步驟驟1、執(zhí)行：more /etc/security/user ，檢查 retries基線符合性基線符合性判定依據(jù)判定依據(jù)retries=6備注備注2.2.4 用戶訪問權限安全要求用戶訪問權限安全要求安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 用戶訪問權限安全基線要求項安全基線編安全基線編號號SB

12、L-AIX-02-02-04 安全基線項安全基線項說明說明 控制用戶缺省訪問權限，當在創(chuàng)建新文件或目錄時 應屏蔽掉新文件或目錄不應有的訪問允許權限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。檢測操作步檢測操作步驟驟1、執(zhí)行：more /etc/default/login ，檢查 umask基線符合性基線符合性判定依據(jù)判定依據(jù)umask 027備注備注2.2.5 用戶用戶 FTP 訪問的安全要求訪問的安全要求安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 用戶 FTP 訪問安全基線要求項安全基線編安全基線編號號SBL-AIX-02-02-05 安全基線項安全基線項說明說

13、明 控制 FTP 進程缺省訪問權限，當通過 FTP 服務創(chuàng)建新文件或目錄時應屏蔽掉新文件或目錄不應有的訪問允許權限。檢測操作步檢測操作步驟驟1、 執(zhí)行：more /etc/ftpaccess ，檢查 restricted-uid2、 執(zhí)行：more /etc/ftpusers基線符合性基線符合性判定依據(jù)判定依據(jù)ftpaccess 中應有類似一行 restricted-uid *(限制所有)；ftpusers 列表里邊的用戶名應包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4備注備注第第 3 章章網絡與服務網絡與服務3.1

14、服務服務3.1.1 遠程維護安全要求遠程維護安全要求安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 遠程維護安全基線要求項安全基線編安全基線編號號SBL-AIX-03-01-01 安全基線項安全基線項說明說明 對于使用 IP 協(xié)議進行遠程維護的設備，設備應配置使用 SSH 等加密協(xié)議，并安全配置 SSHD 的設置。檢測操作步檢測操作步驟驟1、執(zhí)行：ps elf|grep ssh2、執(zhí)行：ps elf|grep telnet基線符合性基線符合性判定依據(jù)判定依據(jù)ssh 啟用，telnet 禁用備注備注3.2 網絡網絡3.2.1 ICMP 重定向安全要求重定向安全要求安全基線項安全基線項目名稱目名

15、稱操作系統(tǒng) AIX ICMP 重定向安全基線要求項安全基線編安全基線編號號SBL-AIX-03-02-01 安全基線項安全基線項說明說明 主機系統(tǒng)應該禁止 ICMP 重定向，采用靜態(tài)路由。檢測操作步檢測操作步驟驟在/etc/rc2.d/S?inet 搜索在/etc/rc2.d/S69inet 中搜索基線符合性基線符合性判定依據(jù)判定依據(jù)要求 ip_send_redirects=0要求 ip6_send_redirects=0備注備注第第 4 章章日志審計日志審計4.1 日志日志4.1.1 添加認證日志添加認證日志安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 認證日志安全基線要求項安全基線編安

16、全基線編號號SBL-AIX-04-01-01 安全基線項安全基線項說明說明 設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP 地址檢測操作步檢測操作步驟驟1、 執(zhí)行：cat /etc/syslog.conf ，檢查類似配置： /var/adm/authlog*.info;auth.none /var/adm/syslogn2、檢測操作cat /var/adm/authlogcat /var/adm/syslog基線符合性基線符合性判定依據(jù)判定依據(jù)列出用戶賬號、登錄是否成功、登錄時間、遠程登錄時的

17、IP 地址。備注備注4.2 審計審計4.2.1 安全事件審計安全事件審計安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 安全事件審計安全基線要求項安全基線編安全基線編號號SBL-AIX-04-02-01 安全基線項安全基線項說明說明 設備應配置日志功能，記錄對與設備相關的安全事件。檢測操作步檢測操作步1、執(zhí)行：cat /etc/syslog.conf ，檢查類似配置：驟驟*.err;kern.debug;daemon.notice; /var/adm/messages基線符合性基線符合性判定依據(jù)判定依據(jù)要求有上述類似配置。備注備注第第 5 章章設備其他安全配置要求設備其他安全配置要求5.1

18、設備設備5.1.1 屏幕保護屏幕保護安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 屏幕保護安全基線要求項安全基線編安全基線編號號SBL-AIX-05-01-01 安全基線項安全基線項說明說明 對于具備字符交互界面的設備，應配置定時帳戶自動登出。檢測操作步檢測操作步驟驟1、 查看：cat /etc/profile|grep TMOUTcat /etc/environment|grep TMOUTcat /etc/security/.profile|grep TMOUT基線符合性基線符合性判定依據(jù)判定依據(jù)如果沒顯示則不符合配置要求。備注備注5.2 緩沖區(qū)緩沖區(qū)5.2.1 緩沖區(qū)溢出緩沖區(qū)溢出安全基線項安全基線項目名稱目名稱操作系統(tǒng) AIX 緩沖區(qū)溢出