aix系統(tǒng)安全加固參考信息

1、Linux系統(tǒng)安全加固參考信息目錄 TOC o 1-3 h z u HYPERLINK l _Toc334603874 1操作系統(tǒng)安全-身份鑒別 PAGEREF _Toc334603874 h 4 HYPERLINK l _Toc334603875 1.1對(duì)登錄操作系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別 PAGEREF _Toc334603875 h 4 HYPERLINK l _Toc334603876 1.2最小密碼長(zhǎng)度 PAGEREF _Toc334603876 h 4 HYPERLINK l _Toc334603877 1.3密碼復(fù)雜度 PAGEREF _Toc334603877 h 4 HYP

2、ERLINK l _Toc334603878 1.4密碼字典 PAGEREF _Toc334603878 h 5 HYPERLINK l _Toc334603879 1.5系統(tǒng)密碼使用時(shí)間 PAGEREF _Toc334603879 h 5 HYPERLINK l _Toc334603880 1.6對(duì)失敗登錄的次數(shù)進(jìn)行限制 PAGEREF _Toc334603880 h 5 HYPERLINK l _Toc334603881 1.7密碼重復(fù)使用次數(shù)設(shè)置 PAGEREF _Toc334603881 h 5 HYPERLINK l _Toc334603882 1.8SSH服務(wù)IP，端口，協(xié)議，允許

3、密碼錯(cuò)誤的次數(shù)，網(wǎng)絡(luò)中允許打開(kāi)的會(huì)話數(shù) PAGEREF _Toc334603882 h 6 HYPERLINK l _Toc334603883 1.9root賬號(hào)遠(yuǎn)程登錄設(shè)置 PAGEREF _Toc334603883 h 6 HYPERLINK l _Toc334603884 1.10防止任何人使用su命令連接root用戶(hù) PAGEREF _Toc334603884 h 7 HYPERLINK l _Toc334603885 1.11系統(tǒng)Banner設(shè)置 PAGEREF _Toc334603885 h 7 HYPERLINK l _Toc334603886 2操作系統(tǒng)安全-訪問(wèn)控制 PAGE

4、REF _Toc334603886 h 7 HYPERLINK l _Toc334603887 2.1修改帳戶(hù)口令，更改默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限 PAGEREF _Toc334603887 h 7 HYPERLINK l _Toc334603888 2.2刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在 PAGEREF _Toc334603888 h 8 HYPERLINK l _Toc334603889 2.3限制超級(jí)管理員遠(yuǎn)程登錄 PAGEREF _Toc334603889 h 8 HYPERLINK l _Toc334603890 3操作系統(tǒng)安全-入侵防范 PAGEREF _Toc334603890

5、 h 9 HYPERLINK l _Toc334603891 3.1僅安裝需要的應(yīng)用程序，關(guān)閉不需要的服務(wù)和端口 PAGEREF _Toc334603891 h 9 HYPERLINK l _Toc334603892 3.2關(guān)閉不必要的服務(wù) PAGEREF _Toc334603892 h 9 HYPERLINK l _Toc334603893 3.3網(wǎng)絡(luò)訪問(wèn)控制策略 PAGEREF _Toc334603893 h 9 HYPERLINK l _Toc334603894 4操作系統(tǒng)安全-資源控制 PAGEREF _Toc334603894 h 10 HYPERLINK l _Toc3346038

6、95 4.1根據(jù)安全策略設(shè)置登錄終端的空閑超時(shí)斷開(kāi)會(huì)話或鎖定 PAGEREF _Toc334603895 h 10 HYPERLINK l _Toc334603896 4.2文件創(chuàng)建初始權(quán)限 PAGEREF _Toc334603896 h 10 HYPERLINK l _Toc334603897 4.3設(shè)置合適的歷史命令數(shù)量 PAGEREF _Toc334603897 h 10 HYPERLINK l _Toc334603898 4.4系統(tǒng)磁盤(pán)剩余空間充分滿(mǎn)足近期的業(yè)務(wù)需求 PAGEREF _Toc334603898 h 10 HYPERLINK l _Toc334603899 4.5檢查并記

7、錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率 PAGEREF _Toc334603899 h 11 HYPERLINK l _Toc334603900 5操作系統(tǒng)安全日志 PAGEREF _Toc334603900 h 11 HYPERLINK l _Toc334603901 5.1日志功能開(kāi)啟 PAGEREF _Toc334603901 h 11 HYPERLINK l _Toc334603902 5.2失敗登錄日志監(jiān)控 PAGEREF _Toc334603902 h 11 HYPERLINK l _Toc334603903 5.3syslog日志等級(jí)的安全配置 PAGEREF _Toc334603

8、903 h 12 HYPERLINK l _Toc334603904 5.4安全審計(jì)策略 PAGEREF _Toc334603904 h 12 HYPERLINK l _Toc334603905 5.5系統(tǒng)日志記錄 PAGEREF _Toc334603905 h 12 HYPERLINK l _Toc334603906 5.6啟用記錄cron行為日志功能和cron/at的使用情況 PAGEREF _Toc334603906 h 13 HYPERLINK l _Toc334603907 6操作系統(tǒng)安全-系統(tǒng)安全 PAGEREF _Toc334603907 h 13 HYPERLINK l _To

9、c334603908 6.1補(bǔ)丁管理 PAGEREF _Toc334603908 h 13 HYPERLINK l _Toc334603909 6.2檢查并記錄系統(tǒng)開(kāi)啟的網(wǎng)絡(luò)端口 PAGEREF _Toc334603909 h 14 HYPERLINK l _Toc334603910 6.3關(guān)閉無(wú)效服務(wù)和啟動(dòng)項(xiàng) PAGEREF _Toc334603910 h 14 HYPERLINK l _Toc334603911 6.4僅允許特定IP允許訪問(wèn)服務(wù) PAGEREF _Toc334603911 h 15 HYPERLINK l _Toc334603912 7操作系統(tǒng)安全其它服務(wù)安全 PAGERE

10、F _Toc334603912 h 15 HYPERLINK l _Toc334603913 7.1FTP配置文件 PAGEREF _Toc334603913 h 15 HYPERLINK l _Toc334603914 7.2R族文件 PAGEREF _Toc334603914 h 16 HYPERLINK l _Toc334603915 7.3NFS文件系統(tǒng)配置情況檢查 PAGEREF _Toc334603915 h 16 HYPERLINK l _Toc334603916 7.4FTP用戶(hù)及服務(wù)安全 PAGEREF _Toc334603916 h 16操作系統(tǒng)安全-身份鑒別對(duì)登錄操作系統(tǒng)

11、的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別要求需對(duì)所有的帳號(hào)設(shè)置密碼，要求在登陸系統(tǒng)時(shí)必須輸入口令進(jìn)行身份驗(yàn)證。解決方法對(duì)于當(dāng)前用戶(hù)使用命令“passwd ”進(jìn)行密碼設(shè)置； 對(duì)于其他用戶(hù)則使用root權(quán)限登錄后，使用命令“ passwd ” 進(jìn)行密碼設(shè)置。備注最小密碼長(zhǎng)度要求密碼長(zhǎng)度、使用密碼字典解決方法vi /etc/security/userminlen = 8/定義口令的最小長(zhǎng)度，注意口令的最小長(zhǎng)度由minlen和minalpha+minother中較大的一個(gè)值來(lái)決定。minalpha+minother不應(yīng)該大于8，如果大于8則minother會(huì)變?yōu)?-minalpha。（minalpha = 4/定義在

12、口令中最少的字母的數(shù)量，默認(rèn)是0，范圍是：0到8 minother = 0/定義在口令中最少的非字母的數(shù)量，默認(rèn)是0，范圍是：0到8）備注密碼復(fù)雜度要求密碼復(fù)雜度解決方法vi /etc/security/user密碼復(fù)雜程度要求包含數(shù)字和字母/etc/security/userMinalpha4/定義在口令中最少的字母的數(shù)量，默認(rèn)是0，范圍是：0到8Minother4/定義在口令中最少的非字母的數(shù)量，默認(rèn)是0，范圍是：0到8備注密碼字典要求使用密碼字典檢查新密碼解決方法使用/etc/security/userDictionlist/usr/share/dict/words備注系統(tǒng)密碼使用時(shí)間要

13、求密碼使用時(shí)間解決方法密碼定期更改間隔設(shè)置為12周或更短/etc/security/userMaxage=12備注對(duì)失敗登錄的次數(shù)進(jìn)行限制要求對(duì)失敗登錄的次數(shù)進(jìn)行限制解決方法允許的失敗登陸次數(shù)設(shè)置為5次或5次以下/etc/security/userLoginretries=5備注密碼重復(fù)使用次數(shù)設(shè)置要求密碼重復(fù)使用次數(shù)設(shè)置為至少8次解決方法/etc/security/userhistsize=8備注SSH服務(wù)IP，端口，協(xié)議，允許密碼錯(cuò)誤的次數(shù)，網(wǎng)絡(luò)中允許打開(kāi)的會(huì)話數(shù)要求SSH服務(wù)IP，端口，協(xié)議，最大允許認(rèn)證次數(shù)，網(wǎng)絡(luò)中允許打開(kāi)的會(huì)話數(shù)解決方法cat /etc/ssh/sshd_config

14、Port 22 /SSH服務(wù)端端口為22ListenAddress SyslogFacility AUTHPRIV /系統(tǒng)登錄功能有加密LoginGraceTime 0 /限制用戶(hù)必須在指定的時(shí)間內(nèi)認(rèn)證成功，0表示不限制，2m為兩個(gè)月內(nèi)。MaxAuthTries 6 /指定每個(gè)連接最大允許的認(rèn)證次數(shù)，默認(rèn)值是6。如果失敗認(rèn)證的次數(shù)超過(guò)這個(gè)數(shù)值的一半，連接將被強(qiáng)制斷開(kāi)，且會(huì)生成額外的失敗日志消息。MaxSessions 10 /指定每個(gè)網(wǎng)絡(luò)連接允許打開(kāi)會(huì)話的最大數(shù)目，默認(rèn)10MaxStarups 10 /最大允許保持多少個(gè)未認(rèn)證的連接，默認(rèn)10。達(dá)到限制后，將不再接受新連接，除非先前的連接認(rèn)證成

15、功或超過(guò)LoginGraceTime的限制。備注修改完成后，重啟ssh服務(wù)service sshd restart備注root賬號(hào)遠(yuǎn)程登錄設(shè)置要求不允許root直接登錄及相關(guān)配置解決方法使用命令“vi /etc/ssh/sshd_config”編輯配置文件#cat /etc/ssh/sshd_config PermitRootLogin yes /是否允許root登錄。PasswordAuthentication yes /密碼是否有認(rèn)證 選yes有ChallengeResponseAuthentication no /攻擊響應(yīng)認(rèn)證 否GSSAPIAuthentication yes /通用安

16、全服務(wù)應(yīng)用程序接口認(rèn)證 是UsePAM no /如果啟用了PAM，那么必須使用root才能運(yùn)行sshd。設(shè)置“PermitRootLogin ”的值為no備注修改完成后，重啟ssh服務(wù)service sshd restart防止任何人使用su命令連接root用戶(hù)要求不想任何人都可以用“su”命令成為root 或只讓某些用戶(hù)有權(quán)使用“su”命令解決方法備注系統(tǒng)Banner設(shè)置要求通過(guò)修改系統(tǒng)banner，避免泄漏操作系統(tǒng)名稱(chēng)，版本號(hào)，主機(jī)名稱(chēng)等，并且給出登陸告警信息解決方法設(shè)置系統(tǒng)Banner的操作如下：在/etc/security/login.cfg文件中，在default小節(jié)增加：heral

17、d = ATTENTION:You have logged onto a secured server.All accesses logged.nnlogin:備注操作系統(tǒng)安全-訪問(wèn)控制修改帳戶(hù)口令，更改默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限要求嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶(hù)，修改這些帳戶(hù)的默認(rèn)口令解決方法使用命令cat /etc/password 文件來(lái)查看默認(rèn)賬戶(hù)，并使用命令“cat /etc/shadow”查看文件中的口令是否為默認(rèn)口令。使用root賬戶(hù)進(jìn)行登錄，使用命令“passwd username password”來(lái)修改用戶(hù)的口令。對(duì)于無(wú)法重命名的系統(tǒng)默認(rèn)帳號(hào)，為增強(qiáng)主機(jī)系統(tǒng)的安全性

18、，建議使用命令“smit user”，將與業(yè)務(wù)無(wú)關(guān)的系統(tǒng)默認(rèn)用戶(hù)進(jìn)行鎖定；備注此操作具有一定的危險(xiǎn)性，需要與管理員確認(rèn)此項(xiàng)操作不會(huì)影響到業(yè)務(wù)系統(tǒng)的登錄，以免影響正常業(yè)務(wù)應(yīng)用。刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在要求刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在解決方法方法一：可使用命令“smit user”，將多余的、過(guò)期的帳戶(hù)，共享帳戶(hù)等系統(tǒng)默認(rèn)用戶(hù)進(jìn)行鎖定；使用命令“smit user”解鎖不必要的賬號(hào)使用命令“smit user”刪除多余、過(guò)期的賬號(hào)方法二：vi /etc/security/user相關(guān)用戶(hù)account_locked = true備注此操作具有一定的危險(xiǎn)性，需要與管理

19、員確認(rèn)此項(xiàng)操作不會(huì)影響到業(yè)務(wù)系統(tǒng)的登錄，以免影響正常業(yè)務(wù)應(yīng)用。限制超級(jí)管理員遠(yuǎn)程登錄要求限制具備超級(jí)管理員權(quán)限的用戶(hù)遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶(hù)遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬。解決方法系統(tǒng)當(dāng)前狀態(tài)： 執(zhí)行l(wèi)suser -a rlogin root命令，查看root的rlogin屬性并記錄實(shí)施步驟：參考配置操作：（1）、查看root的rlogin屬性： #lsuser -a rlogin root（2）、禁止root遠(yuǎn)程登陸： #chuser rlogin=false root備注還原root可以遠(yuǎn)程登陸，執(zhí)行如下命令： #chuser rlogin=true ro

20、ot操作系統(tǒng)安全-入侵防范僅安裝需要的應(yīng)用程序，關(guān)閉不需要的服務(wù)和端口要求1.詢(xún)問(wèn)相關(guān)維護(hù)人員， 主機(jī)系統(tǒng)是除裝有正常業(yè)務(wù)應(yīng)用所需要的程序外，是否還安裝有與業(yè)務(wù)應(yīng)用無(wú)關(guān)的其它程序；2.詢(xún)問(wèn)相關(guān)維護(hù)人員并獲取授權(quán)安裝軟件清單文檔，查看當(dāng)前操作系統(tǒng)中是否安裝有非清單內(nèi)的應(yīng)用軟件。3.詢(xún)問(wèn)相關(guān)維護(hù)人員，是否關(guān)閉了除正常業(yè)務(wù)應(yīng)用之外的所有服務(wù)與端口，具體檢查方法：使用命令“netstat an”查看開(kāi)放的端口；解決方法使用命令“netstat an”查看開(kāi)放的端口；備注關(guān)閉不必要的服務(wù)要求關(guān)閉不必要的服務(wù)解決方法（9）要開(kāi)啟審計(jì)服務(wù) auditd備注網(wǎng)絡(luò)訪問(wèn)控制策略要求1.訪談系統(tǒng)管理員，是否制定了嚴(yán)

21、格的訪問(wèn)控制策略，包括是否限制登錄用戶(hù)，對(duì)遠(yuǎn)程登錄的IP是否有限制，采用哪種遠(yuǎn)程登錄方式等。解決方法查看hosts.allow、hosts.deny是否對(duì)某些服務(wù)，某些IP進(jìn)行了限制。#cat hosts.allowSshd:210.13.218.*:allow /表示允許210ip段連接shhd服務(wù)#cat hosts.denySshd:all:deny /表示拒絕所有sshd遠(yuǎn)程連接當(dāng)hosts.allow與hosts.deny相沖突時(shí)以hosts.allow為準(zhǔn)。備注操作系統(tǒng)安全-資源控制根據(jù)安全策略設(shè)置登錄終端的空閑超時(shí)斷開(kāi)會(huì)話或鎖定要求根據(jù)安全策略設(shè)置登錄終端的空閑超時(shí)斷開(kāi)會(huì)話或鎖定

22、解決方法可使用命令“cat /etc/profile |grep TMOUT”查看超時(shí)的時(shí)間設(shè)置。使用命令“vi /etc/profile”修改配置文件，添加行“TMOUT=180”，單位為秒，即超時(shí)時(shí)間為3分鐘。備注超時(shí)時(shí)間的設(shè)置需要與應(yīng)用管理員進(jìn)行確認(rèn)，以免影響正常業(yè)務(wù)應(yīng)用。文件創(chuàng)建初始權(quán)限要求文件創(chuàng)建初始權(quán)限解決方法vi /etc/security/user設(shè)置umask值umask 077 #適用root用戶(hù)，其它用戶(hù)不可讀umask 022 #適用非root用戶(hù)，其它用戶(hù)可讀不可寫(xiě)備注設(shè)置合適的歷史命令數(shù)量要求設(shè)置合適的歷史命令數(shù)量解決方法編輯“/etc/profile”文件，確保H

23、ISTFILESIZE和HISTSIZE都設(shè)成了一個(gè)比較小的值。HISTSIZE=80HISTFILESIZE=80備注系統(tǒng)磁盤(pán)剩余空間充分滿(mǎn)足近期的業(yè)務(wù)需求要求1.檢查用戶(hù)是否建立有服務(wù)器備份存儲(chǔ)及介質(zhì)空間管理制度文檔，檢查其中是否對(duì)主機(jī)系統(tǒng)的磁盤(pán)空間的大小做出明確的要求；2.檢查主機(jī)系統(tǒng)的磁盤(pán)空間，查看各個(gè)分區(qū)是否有充足的剩余磁盤(pán)空間來(lái)滿(mǎn)足近期的業(yè)務(wù)需求。使用命令“df hl”命令來(lái)查看當(dāng)前磁盤(pán)占用空間情況解決方法建議如下：1.建立服務(wù)器備份存儲(chǔ)及介質(zhì)空間管理制度文檔，并在其中對(duì)程序及重要數(shù)據(jù)的備份、對(duì)主機(jī)系統(tǒng)的磁盤(pán)空間的大小等項(xiàng)目做出明確的要求；2.管理員定期檢查所有主機(jī)系統(tǒng)的磁盤(pán)占用空

24、間及其它資源占用情況，如果發(fā)現(xiàn)磁盤(pán)空間不夠，由相關(guān)技術(shù)人員提出申請(qǐng)，進(jìn)行磁盤(pán)空間的擴(kuò)充。備注檢查并記錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率要求檢查并記錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率解決方法df h可以查看相關(guān)信息：Filesystem size used avail use% mounted on文件系統(tǒng) 大小 已用 可用 使用率 掛載點(diǎn)當(dāng)使用率過(guò)高時(shí)要注意了！備注操作系統(tǒng)安全日志日志功能開(kāi)啟要求啟用日志記錄功能解決方法syslog的配置主要通過(guò)/etc/syslog.conf配置，日志信息可以記錄在本地的文件當(dāng)中(如/var/adm/messages)或遠(yuǎn)程的主機(jī)上(hostname)。

25、startsrc -s syslogd 啟動(dòng)syslog服務(wù)stopsrc-s syslogd 停止syslog服務(wù)備注失敗登錄日志監(jiān)控要求通過(guò)系統(tǒng)日志的方式記錄失敗的登錄嘗試解決方法系統(tǒng)記錄失敗的用戶(hù)登錄/etc/security/failedloginWho /etc/security/failedlogin 查看備注syslog日志等級(jí)的安全配置要求syslog日志等級(jí)的安全配置解決方法syslog配置文件要求：修改文件 安全設(shè)置/etc/syslog.conf 配置文件中包含一下日志記錄：*.err /var/adm/errorlog*.alert /var/adm/alertlog*

26、.cri /var/adm/critlogauth, /var/adm/authlog備注安全審計(jì)策略要求安全審計(jì)策略解決方法方法：查看系統(tǒng)日志配置，執(zhí)行：#cat /etc/syslog.conf 查看syslogd的配置，并確認(rèn)日志文件是否存在*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages/系統(tǒng)日志默認(rèn)存放在 /var/log/messagescron.* /var/log/cron /cron日志默認(rèn)存放在/var/log/cronauthpriv.* /var/log/secure /安全日志默認(rèn)

27、存放在/var/log/secure備注系統(tǒng)日志記錄要求查年系統(tǒng)日志記錄解決方法執(zhí)行： cat /etc/log/secure /記錄pop3,telnet,ssh,ftp登陸信息的文件last R /查看前50次登陸系統(tǒng)用戶(hù)的信息cat /etc/log/messages /查看系統(tǒng)發(fā)生的錯(cuò)誤信息（包括登陸信息）備注啟用記錄cron行為日志功能和cron/at的使用情況要求啟用記錄cron行為日志功能和cron/at的使用情況解決方法cron/At的相關(guān)文件主要有以下幾個(gè)：/var/spool/cron/crontabs 存放cron任務(wù)的目錄/var/spool/cron/cron.all

28、ow 允許使用crontab命令的用戶(hù)/var/spool/cron/cron.deny 不允許使用crontab命令的用戶(hù)/var/spool/cron/atjobs 存放at任務(wù)的目錄/var/spool/cron/at.allow 允許使用at的用戶(hù)/var/spool/cron/at.deny 不允許使用at的用戶(hù)使用crontab和at命令可以分別對(duì)cron和at任務(wù)進(jìn)行控制。#crontab -l 查看當(dāng)前的cron任務(wù)#at -l 查看當(dāng)前的at任務(wù)備注操作系統(tǒng)安全-系統(tǒng)安全補(bǔ)丁管理要求系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)解決方法執(zhí)行oslevel r命令或instfix -i|grep ML命令，

29、查看補(bǔ)丁當(dāng)前安裝的狀況和版本。使用instfix aik命令來(lái)完成補(bǔ)丁的安裝操作。注意：（1）、在AIX系統(tǒng)中涉及安全的補(bǔ)丁包有以下幾種： 推薦維護(hù)包（Recommended Maintenance Packages）: 由一系列最新的文件集組成的軟件包，包含了特定的操作系統(tǒng)（如AIX 5.2）發(fā)布以來(lái)的所有文件集的補(bǔ)丁。關(guān)鍵補(bǔ)丁Critical fixes(cfix)：自推薦維護(hù)包之后，修補(bǔ)關(guān)鍵性漏洞的補(bǔ)丁。緊急補(bǔ)丁Emergency fixes(efix): 自推薦維護(hù)包之后，修補(bǔ)緊急安全漏洞的補(bǔ)丁。（2）、補(bǔ)丁安裝原則： 在新裝和重新安裝系統(tǒng)后，必須安裝最新的推薦維護(hù)包，以及該最新推薦維

30、護(hù)包以來(lái)的所有單獨(dú)的cfix和efix。 日常維護(hù)中如果廠家推出新的RM、cfix、efix則按照原補(bǔ)丁維護(hù)管理規(guī)定進(jìn)行補(bǔ)丁安裝。備注應(yīng)根據(jù)需要及時(shí)進(jìn)行補(bǔ)丁裝載。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過(guò)測(cè)試和驗(yàn)證。檢查并記錄系統(tǒng)開(kāi)啟的網(wǎng)絡(luò)端口要求檢查并記錄系統(tǒng)開(kāi)啟的網(wǎng)絡(luò)端口解決方法netstat antp (查看開(kāi)啟的tcp端口)netstat anup （查看開(kāi)啟的udp端口）其中：Proto 顯示連接使用的協(xié)議 Local Address 查看本地地址及端口備注關(guān)閉無(wú)效服務(wù)和啟動(dòng)項(xiàng)要求關(guān)閉無(wú)效服務(wù)和啟動(dòng)項(xiàng)解決方法查看/etc/inittab、/e

31、tc/rc.tcpip和/etc/rc.nfs等文件并記錄當(dāng)前配置；查看/etc/inetd.conf文件并記錄當(dāng)前的配置（一）、rc.dAIX系統(tǒng)中的服務(wù)主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中啟動(dòng)，事實(shí)上，/etc/rc.*系列文件主要也是由/etc/inittab啟動(dòng)。同時(shí)，AIX中所有啟動(dòng)的服務(wù)（至少與業(yè)務(wù)相關(guān)的）都可以同過(guò)SRC（System Resource Manager）進(jìn)行管理?？梢杂腥N方式查看系統(tǒng)服務(wù)的啟動(dòng)情況：（1）、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件

32、；（2）、使用lssrc和lsitab命令；（3）、通過(guò)smit查看和更改。注：SRC本身通過(guò)/etc/inittab文件啟動(dòng)。lssrc -a 列出所有SRC管理的服務(wù)的狀態(tài)lsitab -a 列出所有由/etc/inittab啟動(dòng)的信息，和cat /etc/inittab基本相同，除了沒(méi)有注釋。根據(jù)管理員所提供的服務(wù)列表與當(dāng)前系統(tǒng)中所啟動(dòng)的服務(wù)列表相對(duì)比，如果發(fā)現(xiàn)與業(yè)務(wù)應(yīng)用無(wú)關(guān)的服務(wù)，或不必要的服務(wù)和啟動(dòng)項(xiàng)，則關(guān)閉掉或禁用；也可以對(duì)服務(wù)做適當(dāng)配置。（二）、inetd.conf由INETD啟動(dòng)的服務(wù)在文件/etc/inetd.conf定義（inetd本身在/etc/rc.tcpip中由SRC

33、啟動(dòng)），因此查看INETD啟動(dòng)的服務(wù)的情況有兩種方法：（1）、使用vi查看/etc/inetd.conf中沒(méi)有注釋的行；（2）、使用lssrc命令。lssrc -l -s inetd 查看inetd的狀態(tài)以及由INETD啟動(dòng)的服務(wù)的狀態(tài)；refresh -s inetd 更改/etc/inetd.conf文件后重啟inetd。建議關(guān)閉由inetd啟動(dòng)的所有服務(wù)；如果有管理上的需要，可以打開(kāi)telnetd、ftpd、rlogind、rshd等服務(wù)。啟動(dòng)或停止inetd啟動(dòng)的服務(wù)（例如ftpd）：（1）、使用vi編輯/etc/inetd.conf，去掉注釋?zhuān)▎?dòng)）或注釋掉（停止）ftpd所在的行；（2）、重啟inetd：refresh -s inetd。根據(jù)管理員所提供的服務(wù)列表與當(dāng)前系統(tǒng)中所啟動(dòng)的服務(wù)列表相對(duì)比，如果發(fā)現(xiàn)與業(yè)務(wù)應(yīng)用無(wú)關(guān)的服務(wù)，或不必要的服務(wù)和啟動(dòng)項(xiàng)，則關(guān)閉掉或禁用；也可以對(duì)服務(wù)做適當(dāng)配置。備注僅允許特定IP允許訪問(wèn)服務(wù)要求僅允許特定IP允許訪問(wèn)