AIX系統(tǒng)安全加固手冊

1、精選優(yōu)質文檔-傾情為你奉上 信息安全加固手冊AIX系統(tǒng)目 錄1 端口與服務1.1 相關端口對應服務禁止風險描述21, 23 , 25, 111, 513 , 514 , 515, 540 , 80 ，6112， 161 , 7, 37 , 110 相關rpc等服務禁止風險等級l 風險高加固建議判斷上述系統(tǒng)默認服務在本系統(tǒng)是否需要應用來決定關閉或者替換升級加固的風險/影響 有些業(yè)務服務可能需要以上某些系統(tǒng)服務，關閉服務將造成某些系統(tǒng)維護方式或者業(yè)務服務不正常，相關系統(tǒng)默認服務（ftp, rsh, kshell, rlogin, krlogin, rexec, comsat, uucp, fing

2、er, tftp, talk,ntalk, echo, discard, chargen, daytime, time及rpc小服務），具體說明如下：Rsh,rlogin,rexec - R遠程登錄系列服務,容易被竊聽Finger -允許遠程查詢登陸用戶信息Time - 網絡時間服務，允許遠程察看系統(tǒng)時間Echo - 網絡測試服務，回顯字符串, 為“拒絕服務”攻擊提供機會, 除非正在測試網絡，否則禁用Discard - 網絡測試服務，丟棄輸入, 為“拒絕服務”攻擊提供機會, 除非正在測試網絡，否則禁用Daytime - 網絡測試服務，顯示時間, 為“拒絕服務”攻擊提供機會, 除非正在測試網絡，

3、否則禁用Chargen - 網絡測試服務，回應隨機字符串, 為“拒絕服務”攻擊提供機會, 除非正在測試網絡，否則禁用comsat -通知接收的電子郵件，以 root 用戶身份運行，因此涉及安全性, 很少需要的,禁用klogin - Kerberos 登錄，如果您的站點使用 Kerberos 認證則啟用kshell - Kerberos shell，如果您的站點使用 Kerberos 認證則啟用ntalk - 允許用戶相互交談，以 root 用戶身份運行，除非絕對需要，否則禁用talk - 在網上兩個用戶間建立分區(qū)屏幕，不是必需服務，與 talk 命令一起使用，在端口 517 提供 UDP 服務

4、ntalk - new talktftp - 以 root 用戶身份運行并且可能危及安全uucp - 除非有使用 UUCP 的應用程序，否則禁用dtspc - CDE 子過程控制，不用圖形管理的話禁用加固風險規(guī)避方法根據主機的業(yè)務需求，關閉對應服務端口，事先將原配置文件做備份加固成果關閉不用的端口可以避免非法用戶利用這些端口入侵系統(tǒng)，通過升級服務來減少可被利用的漏洞。加固具體方法編輯或注釋inetd.conf 中所對應服務的啟動腳本和啟動語句來禁止上述服務。 有些服務可能以cron定時啟動 請檢查cron定時腳本。XXX公司意見XXX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修

5、改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）1.2 系統(tǒng)相關服務默認banner消息禁止風險描述系統(tǒng)相關服務如ftpd, telnetd, sendmail 等默認banner消息禁止， 風險等級l 風險中加固建議修改可判斷系統(tǒng)版本輸出消息的服務banner加固的風險/影響 連接或使用上述服務將不會返回上述服務版本加固風險規(guī)避方法加固成果避免通過banner信息泄露系統(tǒng)敏感信息加固具體方法修改/etc/motd文件修改/etc/ftpmotd文件 檢查/etc/security/login.cfg 文件中察看herald是否有設置XXX公司意見XXX公司管理員對本條風險加固的意

6、見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）1.3 nfs服務關閉風險描述查看nfs服務是否啟用，避免利用nfs服務漏洞入侵系統(tǒng)風險等級l 風險中加固建議若使用nfs share file服務 ，則判斷該服務目前輸出的export file list列表中的nfs文件系統(tǒng)掛載權限和允許掛載該文件系統(tǒng)的地址是否是erverone 等加固的風險/影響 該服務加固后將造成某些無授權的ip地址掛載該系統(tǒng)nfs文件系統(tǒng)失敗加固風險規(guī)避方法事先將原配置文件做備份加固成果能避免非法用戶掛載nfs文件系統(tǒng)，增強系統(tǒng)安全性加固具體方法若不使用nfs服務，則從系統(tǒng)當

7、前啟動等級中啟動腳本移除，若使用該服務則應用share 命令對指定文件系統(tǒng)做限制ip掛載地址以及掛載權限參數(shù)限制。注釋/etc/inittab文件中關于nfs的行XXX公司意見XXX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）1.4 圖形管理服務關閉風險描述檢查圖形管理界面是否開啟，避免利用該服務漏洞入侵系統(tǒng)風險等級l 風險中加固建議若不使用圖形管理，將圖形管理關閉加固的風險/影響 無法進行圖形方式管理加固風險規(guī)避方法事先將原配置文件做備份加固成果能避免非法用戶利用圖形管理服務的漏洞加固具體方法修改/etc/initt

8、ab文件，將dt，dt_nogb注釋XXX公司意見XXX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）1.5 FTP服務登入權限風險描述設定/etc/ftpusers文件以及權限風險等級風險中加固建議將不需要使用ftpd服務的用戶加入ftpusers文件，來保證ftp服務安全性,確保該文件屬性為644來保證文件層安全加固的風險/影響 可能影響某些使用該帳號ftp登陸的備份，操作，日志記錄等腳本加固成果能防止非授權用戶登入FTP加固具體方法編輯/etc/ftpd/ftpusers或/etc/ftpusers文件加入不允許f

9、tp登陸的用戶XXX公司意見XXX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）廠商意見廠商維護人員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）1.6 禁止rlogin服務風險描述基于pam動態(tài)驗證庫驗證機制的.rhosts文件和rlogin服務風險等級風險高加固建議.rhosts文件信任機制是一種極其不安全的用戶登陸信任機制，建議若不使用rlogin服務則在/etc/inetd.conf禁止， 加固的風險/影響 造成某些使用.rhosts驗證機制的的服務

10、 如cluster等服務無法正常使用加固風險規(guī)避方法事先將原配置文件（/etc/inetd.conf）做備份加固成果避免非法用戶利用rlogin入侵系統(tǒng)加固具體方法若仍使用.rhosts文件的信任機制 則因該查找當前系統(tǒng)所用用戶$HOME變量下是否存在.rhosts文件，確定其文件屬性為600，文件內容為指定的信任主機若不使用.rhosts文件信任關系則編輯/etc/inetd.conf 將rlogin行注釋并刪除所有.rhosts文件XXX公司意見XXX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）1.7 Cron服務

11、內容以及服務日志審核批風險描述Cron服務內容以及服務日志審核批風險等級l 風險中加固建議若不使用cron服務，則關閉該服務，若使用該服務則因該保證/var/spool/cron/crontab下的各個用戶文件權限為600,并檢查各個用戶服務內容中是否有包括用戶和密碼明文使用的備份，傳輸，任務腳本。加固的風險/影響 可能造成管理上的一些不便加固風險規(guī)避方法事先將原配置文件（/var/spool/cron/crontabs/下文件）做備份加固成果消除cron服務腳本中使用用戶名和密碼明文帶來的隱患加固具體方法Chmod 600 /var/spool/cron/crontabs/*XXX公司意見X

12、XX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）1.8 Syslog服務屬性風險描述修改系統(tǒng)Syslog文件記錄及其屬性 風險等級風險低加固建議改變/etc/syslog.conf中默認的/var/adm日志路徑將能更好的保護系統(tǒng)日志不受破壞，確定文件屬性為 400來保證其安全性加固的風險/影響 日志的存放路徑變更加固風險規(guī)避方法加固成果阻止普通用戶獲取系統(tǒng)日志信息，增強系統(tǒng)安全性加固具體方法修改/etc/syslog.conf文件，將日志記錄路徑修改為其他路徑或其他主機地址,chmod 400修改該文件屬性XXX公司

13、意見XXX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）2 系統(tǒng)網絡參數(shù)類2.1 Suid/sgid文件風險描述去掉文件不必要的Suid/sgid屬性風險等級風險高加固建議對系統(tǒng)不必要的suid為root文件，去掉其suid屬性來防止文件層，如heap,stack,formatstring等一類的提升權限攻擊加固的風險/影響 可能造成某些使用該suid文件來運行的服務或進程無法以root權限進程來執(zhí)行加固風險規(guī)避方法事先將原文件權限記錄加固成果避免通過不必要的suid文件獲得root權限，增強系統(tǒng)安全性加固具體方法Chm

14、od s filename去掉不需要suid屬性文件的suid屬性先運行以下命令查找find / -type f -perm -4001 -user 0 （先運行此兩個命令來查找filename）find / -type f perm -2001 group 0 login passwd mount (不能更改)XXX公司意見XXX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）2.2 Umask權限設置風險描述Umask權限設置風險等級l 風險中加固建議修改umask文件權限為027來修改文件默認建立的屬性來增強系統(tǒng)安全

15、性加固的風險/影響 用戶建立文件的默認屬性為640加固風險規(guī)避方法加固成果加固后，用戶建立文件的默認屬性都640，增強文件的安全性加固具體方法修改或加入/etc/profile中的umask值為022或027XXX公司意見XXX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）2.3 系統(tǒng)核心網絡參數(shù)安全性增強風險描述系統(tǒng)核心網絡參數(shù)安全性增強風險等級l 風險高加固建議設置系統(tǒng)核心網絡參數(shù)將造成某些特殊的網絡攻擊比較難以實現(xiàn)加固的風險/影響 可能造成網絡ip socket部分功能無法正常使用，網絡負荷可能提高%2-%8之間加

16、固風險規(guī)避方法加固成果增加某些網絡攻擊的難度，增強系統(tǒng)安全性加固具體方法修改以下參數(shù)no o ipforwarding=0 #禁止ip源路由包轉發(fā) no o ipsrcrouteforward=0 #禁止轉發(fā)原路由包 XXX公司意見XXX公司管理員對本條風險加固的意見：l 同意l 需要修改（描述修改的意見）l 不同意（描述不同意的原因）l 簽名（簽字確認）3 用戶管理、訪問控制、審計功能類3.1 防止root從遠程登錄風險描述阻止root從遠程登錄風險等級l 風險高加固建議防止root直接從remote設備來登陸系統(tǒng)，來增強系統(tǒng)安全性。加固的風險/影響 Root將不能遠程直接登陸系統(tǒng)，但可以以

17、普通用戶登陸系統(tǒng)來su到root加固風險規(guī)避方法事先將原配置文件做備份加固成果遠程只能采取以普通用戶登陸系統(tǒng)來su到root，能增強系統(tǒng)安全性，減少被入侵的可能加固具體方法修改/etc/security/user文件 ，將root段的rlogin修改為flaseXXX公司意見XXX公司管理員對本條風險加固的意見：同意需要修改（描述修改的意見）不同意（描述不同意的原因）簽名（簽字確認）3.2 減少登錄會話時間風險描述減少用戶登錄會話時間風險等級風險中加固建議減少用戶登錄會話超時時間來保證用戶登陸進程長期在系統(tǒng)有效存在加固的風險/影響 將縮小系統(tǒng)用戶登陸超時時間加固風險規(guī)避方法事先將原配置文件做備

18、份加固成果通過減少用戶登錄超時判定時間來增強系統(tǒng)安全性，減少忘記登出用戶被非法利用的可能性加固具體方法增加或修改( /etc/profile, /etc/environment, /etc/security/.profile )文件中如下行TMOUT=600 ; TIMEOUT=600 ; export TMOUT TIMEOUTXXX公司意見XXX公司管理員對本條風險加固的意見：同意需要修改（描述修改的意見）不同意（描述不同意的原因）簽名（簽字確認）3.3 系統(tǒng)口令強壯度與策略風險描述增強其口令策略，默認長度值，復雜程度，口令使用周期來增強系統(tǒng)安全風險等級風險中加固建議修改系統(tǒng)用戶passw

19、d強度來增強系統(tǒng)安全性加固的風險/影響 可能造成某些其他系統(tǒng)來使用弱口令登陸本系統(tǒng)用戶來做同步備份或操作的腳本失效加固風險規(guī)避方法事先將原配置文件做備份加固成果增強用戶密碼的強度，大大降低用戶密碼被猜解的可能性加固具體方法加固具體方法:修改/etc/security/user文件，按需要的口令策略設置或加入如下參數(shù)minlen =8XXX公司意見XXX公司管理員對本條風險加固的意見：同意需要修改（描述修改的意見）不同意（描述不同意的原因）簽名（簽字確認）3.4 Root用戶歷史操作記錄風險描述記錄root用戶的shell鍵值 可能造成安全隱患，泄漏敏感信息風險等級風險低加固建議不記錄root的操作記錄或記錄很少條記錄加固的風險/影響 Root用戶的操作記錄減少加固風險規(guī)避方法事先將原配置文件做備份加固成果避免通過歷史記錄獲得一些敏感信息，增強系統(tǒng)安全性加固具體方法對于root可設置其$HOME目錄變量下.profile文件屬性，確認hi