AIX操作系統(tǒng)安全配置規(guī)范

AIX操作系統(tǒng)安全配置規(guī)范AIX操作系統(tǒng)安全配置規(guī)范AIX操作系統(tǒng)安全配置規(guī)范AIX操作系統(tǒng)安全配置規(guī)范編制僅供參考審核批準(zhǔn)生效日期地址：電話(huà)：傳真:郵編:AIX安全配置程序1賬號(hào)認(rèn)證編號(hào)：安全要求-設(shè)備-通用-配置-1要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。系統(tǒng)內(nèi)存在不可刪除的內(nèi)置賬號(hào)，包括root,bin等。操作指南1、參考配置操作刪除用戶(hù)：#rmuser–pusername;鎖定用戶(hù)：1)修改/etc/shadow文件，用戶(hù)名后加*LK*2)將/etc/passwd文件中的shell域設(shè)置成/bin/false3)#chuseraccount_locked=TRUEusername只有具備超級(jí)用戶(hù)權(quán)限的使用者方可使用，#chuseraccount_locked=TRUEusername鎖定用戶(hù),用#chuseraccount_locked=FALSEusername解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2、補(bǔ)充操作說(shuō)明需要鎖定的用戶(hù)：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd檢測(cè)方法1、判定條件被刪除或鎖定的賬號(hào)無(wú)法登錄成功；2、檢測(cè)操作使用刪除或鎖定的與工作無(wú)關(guān)的賬號(hào)登錄系統(tǒng)；3、補(bǔ)充說(shuō)明需要鎖定的用戶(hù)：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd編號(hào)：安全要求-設(shè)備-通用-配置-2要求內(nèi)容限制具備超級(jí)管理員權(quán)限的用戶(hù)遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶(hù)遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。操作指南參考配置操作編輯/etc/security/user，加上：如果限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLoginyes改為PermitRootLoginno，重啟sshd服務(wù)。2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件root遠(yuǎn)程登錄不成功，提示“Notonsystemconsole”；普通用戶(hù)可以登錄成功，而且可以切換到root用戶(hù)；2、檢測(cè)操作root從遠(yuǎn)程使用telnet登錄；普通用戶(hù)從遠(yuǎn)程使用telnet登錄；root從遠(yuǎn)程使用ssh登錄；普通用戶(hù)從遠(yuǎn)程使用ssh登錄；3、補(bǔ)充說(shuō)明限制root從遠(yuǎn)程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLoginyes改為PermitRootLoginno，重啟sshd服務(wù)。2密碼策略編號(hào)：安全要求-設(shè)備-通用-配置-3要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少2類(lèi)。操作指南1、參考配置操作chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsec–f/etc/security/user–sdefault-apwdwarntime=5minlen=8#密碼長(zhǎng)度最少8位minalpha=1#包含的字母最少1個(gè)mindiff=1#包含的唯一字符最少1個(gè)minother=1#包含的非字母最少1個(gè)pwdwarntime=5#系統(tǒng)在密碼過(guò)期前5天發(fā)出修改密碼的警告信息給用戶(hù)2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件不符合密碼強(qiáng)度的時(shí)候，系統(tǒng)對(duì)口令強(qiáng)度要求進(jìn)行提示；符合密碼強(qiáng)度的時(shí)候，可以成功設(shè)置；2、檢測(cè)操作1、檢查口令強(qiáng)度配置選項(xiàng)是否可以進(jìn)行如下配置：配置口令的最小長(zhǎng)度；將口令配置為強(qiáng)口令。2、創(chuàng)建一個(gè)普通賬號(hào)，為用戶(hù)配置與用戶(hù)名相同的口令、只包含字符或數(shù)字的簡(jiǎn)單口令以及長(zhǎng)度短于8位的口令，查看系統(tǒng)是否對(duì)口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號(hào)的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。編號(hào)：安全要求-設(shè)備-通用-配置-4要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶(hù)口令的生存期不長(zhǎng)于12周（84天）。操作指南參考配置操作方法一：chsec-f/etc/security/user-sdefault-ahistexpire=12方法二：用vi或其他文本編輯工具修改chsec-f/etc/security/user文件如下值：histexpire=13histexpire=13#密碼可重復(fù)使用的星期為12周（84天）2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件密碼過(guò)期后登錄不成功；2、檢測(cè)操作使用超過(guò)84天的帳戶(hù)口令登錄會(huì)提示密碼過(guò)期；編號(hào)：安全要求-設(shè)備-通用-配置-5要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶(hù)不能重復(fù)使用最近3次（含3次）內(nèi)已使用的口令。操作指南1、參考配置操作方法一：chsec-f/etc/security/user-sdefault-ahistsize=3方法二：用vi或其他文本編輯工具修改chsec-f/etc/security/user文件如下值：histsize=3histexpire=3#可允許的密碼重復(fù)次數(shù)檢測(cè)方法1、判定條件設(shè)置密碼不成功2、檢測(cè)操作cat/etc/security/user，設(shè)置如下histsize=33、補(bǔ)充說(shuō)明默認(rèn)沒(méi)有histsize的標(biāo)記，即不記錄以前的密碼。編號(hào)：安全要求-設(shè)備-通用-配置-6要求內(nèi)容對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)超過(guò)5次（不含5次），鎖定該用戶(hù)使用的賬號(hào)。操作指南1、參考配置操作指定當(dāng)本地用戶(hù)登陸失敗次數(shù)等于或者大于允許的重試次數(shù)則賬號(hào)被鎖定：chsec-f/etc/security/user-sdefault-aloginretries=52、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件帳戶(hù)被鎖定，不再提示讓再次登錄；2、檢測(cè)操作創(chuàng)建一個(gè)普通賬號(hào)，為其配置相應(yīng)的口令；并用新建的賬號(hào)通過(guò)錯(cuò)誤的口令進(jìn)行系統(tǒng)登錄5次以上（不含5次）；3審核授權(quán)策略編號(hào)：安全要求-設(shè)備-通用-配置-7設(shè)置全局審核事件配置/etc/security/audit/config文件，審核特權(quán)帳號(hào)和應(yīng)用管理員帳號(hào)登錄、注銷(xiāo)，用戶(hù)帳號(hào)增刪，密碼修改，執(zhí)行任務(wù)更改，組更改，文件屬主、模式更改，TCP連接等事件。classes:custom=USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_JobAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER_Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime審核系統(tǒng)安全文件修改配置/etc/security/audit/objects文件，審核如下系統(tǒng)安全相關(guān)文件的修改。/etc/security/environ:w="S_ENVIRON_WRITE"/etc/security/group:w="S_GROUP_WRITE"/etc/security/limits:w="S_LIMITS_WRITE"/etc/security/:w="S_LOGIN_WRITE"/etc/security/passwd:r="S_PASSWD_READ"w="S_PASSWD_WRITE"/etc/security/user:w="S_USER_WRITE"/etc/security/audit/config:w="AUD_CONFIG_WR"編號(hào)：安全要求-設(shè)備-通用-配置-8要求內(nèi)容在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的業(yè)務(wù)需要，配置其所需的最小權(quán)限。操作指南1、參考配置操作通過(guò)chmod命令對(duì)目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。補(bǔ)充操作說(shuō)明chmod644/etc/passwd/etc/group

chmod750/etc/security

chmod-Rgo-w,o-r/etc/security/etc/passwd所有用戶(hù)都可讀，root用戶(hù)可寫(xiě)–rw-r—r—/etc/shadow只有root可讀–r--------/etc/group必須所有用戶(hù)都可讀，root用戶(hù)可寫(xiě)–rw-r—r—使用如下命令設(shè)置：chmod644/etc/passwdchmod644/etc/group如果是有寫(xiě)權(quán)限，就需移去組及其它用戶(hù)對(duì)/etc的寫(xiě)權(quán)限（特殊情況除外）執(zhí)行命令#chmod-Rgo-w,o-r/etc檢測(cè)方法1、判定條件1、設(shè)備系統(tǒng)能夠提供用戶(hù)權(quán)限的配置選項(xiàng)，并記錄對(duì)用戶(hù)進(jìn)行權(quán)限配置是否必須在用戶(hù)創(chuàng)建時(shí)進(jìn)行；2、記錄能夠配置的權(quán)限選項(xiàng)內(nèi)容；3、所配置的權(quán)限規(guī)則應(yīng)能夠正確應(yīng)用，即用戶(hù)無(wú)法訪問(wèn)授權(quán)范圍之外的系統(tǒng)資源，而可以訪問(wèn)授權(quán)范圍之內(nèi)的系統(tǒng)資源。2、檢測(cè)操作1、利用管理員賬號(hào)登錄系統(tǒng)，并創(chuàng)建2個(gè)不同的用戶(hù)；2、創(chuàng)建用戶(hù)時(shí)查看系統(tǒng)是否提供了用戶(hù)權(quán)限級(jí)別以及可訪問(wèn)系統(tǒng)資源和命令的選項(xiàng)；3、為兩個(gè)用戶(hù)分別配置不同的權(quán)限，2個(gè)用戶(hù)的權(quán)限差異應(yīng)能夠分別在用戶(hù)權(quán)限級(jí)別、可訪問(wèn)系統(tǒng)資源以及可用命令等方面予以體現(xiàn)；4、分別利用2個(gè)新建的賬號(hào)訪問(wèn)設(shè)備系統(tǒng)，并分別嘗試訪問(wèn)允許訪問(wèn)的內(nèi)容和不允許訪問(wèn)的內(nèi)容，查看權(quán)限配置策略是否生效。3、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-AIX-配置-9要求內(nèi)容控制用戶(hù)缺省訪問(wèn)權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問(wèn)允許權(quán)限。防止同屬于該組的其它用戶(hù)及別的組的用戶(hù)修改該用戶(hù)的文件或更高限制。操作指南參考配置操作A.設(shè)置所有存在賬戶(hù)的權(quán)限：lsuser-ahomeALL|awk'{print$1}'|whilereaduser;do

chuserumask=027$userdonevi/etc/default/login在末尾增加umask027B.設(shè)置默認(rèn)的profile，用編輯器打開(kāi)文件/etc/security/user，找到umask這行，修改如下：Umask=0272、補(bǔ)充操作說(shuō)明如果用戶(hù)需要使用一個(gè)不同于默認(rèn)全局系統(tǒng)設(shè)置的umask，可以在需要的時(shí)候通過(guò)命令行設(shè)置，或者在用戶(hù)的shell啟動(dòng)文件中配置。檢測(cè)方法1、判定條件權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問(wèn)允許權(quán)限被屏蔽掉；2、檢測(cè)操作查看新建的文件或目錄的權(quán)限，操作舉例如下：#ls-ldir;#查看目錄dir的權(quán)限#cat/etc/default/login查看是否有umask027內(nèi)容3、補(bǔ)充說(shuō)明umask的默認(rèn)設(shè)置一般為022，這給新創(chuàng)建的文件默認(rèn)權(quán)限755（777-022=755），這會(huì)給文件所有者讀、寫(xiě)權(quán)限，但只給組成員和其他用戶(hù)讀權(quán)限。umask的計(jì)算：umask是使用八進(jìn)制數(shù)據(jù)代碼設(shè)置的，對(duì)于目錄，該值等于八進(jìn)制數(shù)據(jù)代碼777減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值；對(duì)于文件，該值等于八進(jìn)制數(shù)據(jù)代碼666減去需要的默認(rèn)權(quán)限對(duì)應(yīng)的八進(jìn)制數(shù)據(jù)代碼值。4日志配置策略本部分對(duì)AIX操作系統(tǒng)設(shè)備的日志功能提出要求，主要考察設(shè)備所具備的日志功能，確保發(fā)生安全事件后，設(shè)備日志能提供充足的信息進(jìn)行安全事件定位。根據(jù)這些要求，設(shè)備日志應(yīng)能支持記錄與設(shè)備相關(guān)的重要事件，包括違反安全策略的事件、設(shè)備部件發(fā)生故障或其存在環(huán)境異常等，以便通過(guò)審計(jì)分析工具，發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反ACL規(guī)則的事件時(shí)，通過(guò)對(duì)日志的審計(jì)分析，能發(fā)現(xiàn)隱患，提高設(shè)備維護(hù)人員的警惕性，防止惡化。編號(hào)：安全要求-設(shè)備-通用-配置-10要求內(nèi)容設(shè)備應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶(hù)使用的IP地址。操作指南1、參考配置操作修改配置文件vi/etc/，加上這幾行：\t\t/var/adm/authlog*.info;\t\t/var/adm/syslog\n"建立日志文件，如下命令：touch/var/adm/authlog/var/adm/syslog

chownroot:system/var/adm/authlog

配置日志文件權(quán)限，如下命令：chmod600/var/adm/authlog

chmod640/var/adm/syslog

重新啟動(dòng)syslog服務(wù)，依次執(zhí)行下列命令：stopsrc-ssyslogd

startsrc-ssyslogdAIX系統(tǒng)默認(rèn)不捕獲登錄信息到syslogd，以上配置增加了驗(yàn)證信息發(fā)送到/var/adm/authlog和/var/adm/syslog，并設(shè)置了權(quán)限為其他用戶(hù)和組禁止讀寫(xiě)日志文件。2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件列出用戶(hù)賬號(hào)、登錄是否成功、登錄時(shí)間、遠(yuǎn)程登錄時(shí)的IP地址。2、檢測(cè)操作cat/var/adm/authlogcat/var/adm/syslog3、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-通用-配置-11要求內(nèi)容設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備相關(guān)的安全事件。操作指南1、參考配置操作修改配置文件vi/etc/，配置如下類(lèi)似語(yǔ)句：*.err;;;/var/adm/messages定義為需要保存的設(shè)備相關(guān)安全事件。2、補(bǔ)充操作說(shuō)明編號(hào)：安全要求-設(shè)備-AIX-配置-12要求內(nèi)容啟用內(nèi)核級(jí)審核操作指南1、參考配置操作開(kāi)始審計(jì)用如下命令：#auditon下一次系統(tǒng)啟動(dòng)自動(dòng)執(zhí)行審計(jì)用如下命令：mkitab-icron"audit:2:once:/usr/sbin/auditstart2>&1>/dev/console"

telinitq

echo"auditshutdown">>/usr/sbin/shutdown

2、補(bǔ)充操作說(shuō)明審計(jì)能跟蹤和記錄系統(tǒng)發(fā)生的活動(dòng)，一個(gè)組或一個(gè)用戶(hù)的行為。詳細(xì)請(qǐng)參考如下文件的第二個(gè)章節(jié)檢測(cè)方法判定條件能設(shè)定審核的內(nèi)容并分析查看檢測(cè)操作設(shè)定審核條件后用命令可查看：auditstart3、補(bǔ)充說(shuō)明IP協(xié)議安全策略編號(hào)：安全要求-設(shè)備-通用-配置-13要求內(nèi)容對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。操作指南1、參考配置操作把如下shell保存后，運(yùn)行，會(huì)修改ssh的安全設(shè)置項(xiàng)：unaliascprmmv

case`find/usr/etc-typef|grep-cssh_config$`in

0)echo"Cannotfindssh_config"

;;

1)DIR=`find/usr/etc-typef2>/dev/null|\

grepssh_config$|sed-e"s:/ssh_config::"`

cd$DIR

cpssh_config

awk'/^#*Protocol/{print"Protocol2";next};

{print}'>ssh_config

if["`grep-El^Protocolssh_config`"=""];then

echo'Protocol2'>>ssh_config

fi

rm

chmod600ssh_config

;;

*)echo"Youhavemultiplesshd_configfiles.Resolve"

echo"beforecontinuing."

;;

esac

#也可以手動(dòng)編輯ssh_config，在"Host*"后輸入"Protocol2"，

cd$DIR

cpsshd_config

awk'/^#*Protocol/{print"Protocol2";next};

/^#*X11Forwarding/\

{print"X11Forwardingyes";next};

/^#*IgnoreRhosts/\

{print"IgnoreRhostsyes";next};

/^#*RhostsAuthentication/\

{print"RhostsAuthenticationno";next};

/^#*RhostsRSAAuthentication/\

{print"RhostsRSAAuthenticationno";next};

/^#*HostbasedAuthentication/\

{print"HostbasedAuthenticationno";next};

/^#*PermitRootLogin/\

{print"PermitRootLoginno";next};

/^#*PermitEmptyPasswords/\

{print"PermitEmptyPasswordsno";next};

/^#*Banner/\

{print"Banner/etc/motd";next};

{print}'>sshd_config

rm

chmod600sshd_configProtocol2#使用ssh2版本X11Forwardingyes#允許窗口圖形傳輸使用ssh加密IgnoreRhostsyes#完全禁止SSHD使用.rhosts文件RhostsAuthenticationno#不設(shè)置使用基于rhosts的安全驗(yàn)證RhostsRSAAuthenticationno#不設(shè)置使用RSA算法的基于rhosts的安全驗(yàn)證HostbasedAuthenticationno#不允許基于主機(jī)白名單方式認(rèn)證PermitRootLoginno#不允許root登錄PermitEmptyPasswordsno#不允許空密碼Banner/etc/motd#設(shè)置ssh登錄時(shí)顯示的banner2、補(bǔ)充操作說(shuō)明查看SSH服務(wù)狀態(tài)：#ps–elf|grepssh檢測(cè)方法判定條件#ps–elf|grepssh是否有ssh進(jìn)程存在 2、檢測(cè)操作查看SSH服務(wù)狀態(tài)：#lssrc–ssshd查看telnet服務(wù)狀態(tài)：#lssrc–ttelnet6路由協(xié)議安全策略編號(hào)：安全要求-設(shè)備-AIX-配置-14要求內(nèi)容主機(jī)系統(tǒng)應(yīng)該禁止ICMP重定向，采用靜態(tài)路由。操作指南參考配置操作A.把以下網(wǎng)絡(luò)參數(shù)保持到一個(gè)文本里：cat<<EOF>/etc/

#!/bin/ksh

#優(yōu)化參數(shù)，抵制SYN-flood攻擊/usr/sbin/no-oclean_partial_conns=1

#不允許被SMURF廣播攻擊

/usr/sbin/no-odirected_broadcast=0

#不允許其他機(jī)器重新設(shè)置此機(jī)網(wǎng)絡(luò)掩碼

/usr/sbin/no-oicmpaddressmask=0

#忽略ICMP重定向報(bào)文并不發(fā)送它們.

/usr/sbin/no-oipignoreredirects=1

/usr/sbin/no-oipsendredirects=0

#拒絕任何源路由報(bào)文

/usr/sbin/no-oipsrcrouteforward=0

/usr/sbin/no-oipsrcrouterecv=0/usr/sbin/no-oipsrcroutesend=0

/usr/sbin/no-ononlocsrcroute=0

EOF

B.賦予執(zhí)行權(quán)限chmod+x/etc/

C.將新的記錄添加到/etc/inittab中，并告知init命令在啟動(dòng)rctcpip之后執(zhí)行/etc/mkitab-irctcpip"rcnettune:2:wait:/etc/>\

/dev/console2>&1"2、補(bǔ)充操作說(shuō)明/usr/sbin/no命令是管理網(wǎng)絡(luò)調(diào)整參數(shù)的mkitab命令是在/etc/inittab添加啟動(dòng)記錄的檢測(cè)方法1、判定條件在/etc/Sinet搜索看是否有ndd-set/dev/ipip_send_redirects=0內(nèi)容/etc/S69inet中包含的是ndd-set/dev/ipip6_send_redirects=02、檢測(cè)操作查看當(dāng)前的路由信息：#netstat-rn3、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-AIX-配置-15要求內(nèi)容對(duì)于不做路由功能的系統(tǒng)，應(yīng)該關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)功能。操作指南參考配置操作惡意用戶(hù)可以使用IP重定向來(lái)修改遠(yuǎn)程主機(jī)中的路由表，因此發(fā)送和接受重定向信息報(bào)都要關(guān)閉：/usr/sbin/no-oipignoreredirects=1/usr/sbin/no-oipsendredirects=0通過(guò)源路由，攻擊者可以嘗試到達(dá)內(nèi)部IP地址，因此不接受源路由信息包可以防止內(nèi)部網(wǎng)絡(luò)被探測(cè)：/usr/sbin/no-oipsrcroutesend=0/usr/sbin/no-oipsrcrouteforward=0/usr/sbin/no-oipsrcrouterecv=0/usr/sbin/no-ononlocsrcroute=0調(diào)整廣播Echo響應(yīng)以防止Smurf攻擊，不響應(yīng)直接廣播：/usr/sbin/no-odirected_broadcast=02、補(bǔ)充操作說(shuō)明注意：?jiǎn)?dòng)過(guò)程中IP轉(zhuǎn)發(fā)功能關(guān)閉前AIX主機(jī)依舊可以在多塊網(wǎng)卡之間進(jìn)行IP轉(zhuǎn)發(fā),存在小小的潛在安全隱患。對(duì)于AIX(或者更低版本)，在/etc/inetinit文件的最后增加一行

ndd-set/dev/ipip_forwarding0對(duì)于AIX(或者更高版本),在/etc目錄下創(chuàng)建一個(gè)叫notrouter的空文件，touch/etc/notrouter檢測(cè)方法1、判定條件2、檢測(cè)操作查看/etc/inetinit文件cat/etc/inetinit3、補(bǔ)充說(shuō)明注意：?jiǎn)?dòng)過(guò)程中IP轉(zhuǎn)發(fā)功能關(guān)閉前AIX主機(jī)依舊可以在多塊網(wǎng)卡之間進(jìn)行IP轉(zhuǎn)發(fā),存在小小的潛在安全隱患。7服務(wù)與啟動(dòng)項(xiàng)策略編號(hào)：安全要求-設(shè)備-AIX-配置-16要求內(nèi)容列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。操作指南參考配置操作查看所有開(kāi)啟的服務(wù)：#ps–e-f方法一：手動(dòng)方式操作在中關(guān)閉不用的服務(wù)首先復(fù)制/etc/inet/。#cp/etc/inet//etc/inet/然后用vi編輯器編輯文件，對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開(kāi)頭標(biāo)記"#"字符，重啟inetd服務(wù),即可。重新啟用該服務(wù)，使用命令：refresh–sinetd方法二：自動(dòng)方式操作forSVCinftptelnetshellkshellloginkloginexec\

echodiscardchargendaytimetimettdbserverdtspc;do

echo"Disabling$SVCTCP"

chsubserver-d-v$SVC-ptcp

done

forSVCinntalkrstatdrusersdrwalldspraydpcnfsd\

echodiscardchargendaytimetimecmsd;do

echo"Disabling$SVCUDP"

chsubserver-d-v$SVC-pudp

done

2、補(bǔ)充操作說(shuō)明

在/etc/文件中禁止下列不必要的基本網(wǎng)絡(luò)服務(wù)。Tcp服務(wù)如下：ftptelnetshellkshellloginkloginexecUDP服務(wù)如下：ntalkrstatdrusersdrwalldspraydpcnfsd注意：改變了“”文件之后，需要重新啟動(dòng)inetd。對(duì)必須提供的服務(wù)采用tcpwapper來(lái)保護(hù)并且為了防止服務(wù)取消后斷線，一定要啟用SSHD服務(wù)，用以登錄操作和文件傳輸。檢測(cè)方法1、判定條件所需的服務(wù)都列出來(lái)；沒(méi)有不必要的服務(wù)；2、檢測(cè)操作查看所有開(kāi)啟的服務(wù):cat/etc/inet/,cat/etc/inet/services3、補(bǔ)充說(shuō)明在/etc/文件中禁止下列不必要的基本網(wǎng)絡(luò)服務(wù)。Tcp服務(wù)如下：ftptelnetshellkshellloginkloginexecUDP服務(wù)如下：ntalkrstatdrusersdrwalldspraydpcnfsd注意：改變了“”文件之后，需要重新啟動(dòng)inetd。對(duì)必須提供的服務(wù)采用tcpwapper來(lái)保護(hù)編號(hào)：安全要求-設(shè)備-AIX-配置-17要求內(nèi)容NFS服務(wù)：如果沒(méi)有必要，需要停止NFS服務(wù)；如果需要NFS服務(wù)，需要限制能夠訪問(wèn)NFS服務(wù)的IP范圍。操作指南參考配置操作根據(jù)本機(jī)角色挑選下面的之一執(zhí)行：A.禁止NFS服務(wù)端命令[`lslpp-L2>&1|\

grep-c"notinstalled"`-eq0]&&\

/usr/lib/instl/sm_instinstallp_cmd-u\

-f''B.禁止nfs客戶(hù)端命令：[`lslpp-L2>&1|\

grep-c"notinstalled"`-eq0]&&\

/usr/lib/instl/sm_instinstallp_cmd-u\

-f''限制能夠訪問(wèn)NFS服務(wù)的IP范圍：編輯文件：vi/etc/增加一行:nfs:允許訪問(wèn)的IP2、補(bǔ)充操作說(shuō)明

需要判斷本機(jī)的NFS角色是否服務(wù)端或客戶(hù)端檢測(cè)方法1、判定條件NFS狀態(tài)顯示為：disabled；或者只有規(guī)定的IP范圍可以訪問(wèn)NFS服務(wù)；2、檢測(cè)操作查看nfs進(jìn)程：#ps–elf|grepnfs查看NFS服務(wù)端是否安裝，如沒(méi)安裝返回notinstalled#lslpp-L查看NFS客戶(hù)端是否安裝，如沒(méi)安裝返回notinstalled#lslpp-L若需要NFS服務(wù)，查看能夠訪問(wèn)NFS服務(wù)的IP范圍：查看文件：cat/etc/3、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-AIX