AI系統(tǒng)安全配置基線

18/24AIX系統(tǒng)安全配置基線中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部2009年3月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月備注：若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實(shí)施 11.5 例外條款 1第2章 賬號(hào)管理認(rèn)證授權(quán) 22.1 賬號(hào) 22.1.1用戶帳號(hào)設(shè)置 22.1.2用戶組設(shè)置 22.1.3用戶口令設(shè)置 32.1.4Root用戶遠(yuǎn)程登錄限制 32.1.5系統(tǒng)用戶登錄限制 42.2 口令 42.2.1口令生存期安全要求 42.2.2口令歷史安全要求 42.2.3用戶口令鎖定策略 52.2.4用戶訪問(wèn)權(quán)限安全要求 52.2.5用戶FTP訪問(wèn)的安全要求 6第3章 網(wǎng)絡(luò)與服務(wù) 73.1 服務(wù) 73.1.1遠(yuǎn)程維護(hù)安全要求 73.2 網(wǎng)絡(luò) 73.2.1ICMP重定向安全要求 7第4章 日志審計(jì) 84.1 日志 84.1.1添加認(rèn)證日志 84.2 審計(jì) 84.2.1安全事件審計(jì) 8第5章 設(shè)備其他安全配置要求 105.1 設(shè)備 105.1.1屏幕保護(hù) 105.2 緩沖區(qū) 105.2.1緩沖區(qū)溢出 10第6章 評(píng)審與修訂 12概述目的本文檔規(guī)定了中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部門(mén)所維護(hù)管理的AIX操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行AIX操作系統(tǒng)的安全合規(guī)性檢查和配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國(guó)移動(dòng)總部和各省公司信息化部門(mén)維護(hù)管理的AIX服務(wù)器系統(tǒng)。適用版本AIX系列服務(wù)器；實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中若有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書(shū)面申請(qǐng)文件，說(shuō)明業(yè)務(wù)需求和原因，送交中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。

賬號(hào)管理認(rèn)證授權(quán)賬號(hào)2.1.1用戶帳號(hào)設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶賬戶安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-01安全基線項(xiàng)說(shuō)明用戶帳號(hào)設(shè)置。檢測(cè)操作步驟1、執(zhí)行：lsuser–ahomeALL2、執(zhí)行：ls–l/etc/passwd基線符合性判定依據(jù)需要鎖定的用戶：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd備注2.1.2用戶組設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶組安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-02安全基線項(xiàng)說(shuō)明用戶組設(shè)置。檢測(cè)操作步驟1、執(zhí)行：more/etc/group2、執(zhí)行：ls-l/etc/group基線符合性判定依據(jù)不要存在無(wú)用的用戶組：uucpprintq備注2.1.3用戶口令設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶口令安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-03安全基線項(xiàng)說(shuō)明用戶口令設(shè)置。對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少6位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類中至少2類檢測(cè)操作步驟1、執(zhí)行：more/etc/security/user，檢查maxage/minlen/minage/pwdwarntime參數(shù)2、執(zhí)行：pwdck–nALL,檢查是否存在空口令賬號(hào)基線符合性判定依據(jù)不能存在簡(jiǎn)單密碼；創(chuàng)建一個(gè)普通賬號(hào)，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡(jiǎn)單口令以及長(zhǎng)度短于6位的口令，查看系統(tǒng)是否對(duì)口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號(hào)的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。備注2.1.4Root用戶遠(yuǎn)程登錄限制安全基線項(xiàng)目名稱操作系統(tǒng)AIX遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-04安全基線項(xiàng)說(shuō)明Root用戶遠(yuǎn)程登錄限制。檢測(cè)操作步驟1、執(zhí)行：more/etc/security/user，檢查在root項(xiàng)目中是否有下列行:rlogin=falselogin=truesu=truesugroup=system基線符合性判定依據(jù)禁止root用戶直接登錄系統(tǒng)可以增加系統(tǒng)入侵的難度備注2.1.5系統(tǒng)用戶登錄限制安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-05安全基線項(xiàng)說(shuō)明系統(tǒng)用戶登錄限制。檢測(cè)操作步驟1、執(zhí)行：more/etc/security/user，檢查在daemonbinsysadmuucpnuucpprintqguestnobodylpdsshd項(xiàng)目中是否有下列行:rlogin=falselogin=false基線符合性判定依據(jù)系統(tǒng)賬號(hào)僅被守護(hù)進(jìn)程和服務(wù)使用，不應(yīng)直接由用戶登錄系統(tǒng)。如果系統(tǒng)沒(méi)有應(yīng)用這些守護(hù)進(jìn)程或服務(wù)，建議刪除這些賬號(hào)。備注口令2.2.1口令生存期安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIX口令生存期安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-02安全基線項(xiàng)說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長(zhǎng)于90天。檢測(cè)操作步驟1、執(zhí)行：more/etc/security/user，檢查histexpire基線符合性判定依據(jù)Histexpire小于等于13備注2.2.2口令歷史安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIX口令生存期安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-02安全基線項(xiàng)說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。檢測(cè)操作步驟1、執(zhí)行：more/etc/security/user，檢查histsize基線符合性判定依據(jù)Histsize大于等于5備注2.2.3用戶口令鎖定策略安全基線項(xiàng)目名稱操作系統(tǒng)AIX口令鎖定安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-02安全基線項(xiàng)說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次（不含6次），鎖定該用戶使用的賬號(hào)。檢測(cè)操作步驟1、執(zhí)行：more/etc/security/user，檢查retries基線符合性判定依據(jù)retries=6備注2.2.4用戶訪問(wèn)權(quán)限安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶訪問(wèn)權(quán)限安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-02安全基線項(xiàng)說(shuō)明控制用戶缺省訪問(wèn)權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問(wèn)允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。檢測(cè)操作步驟1、執(zhí)行：more/etc/default/login，檢查umask基線符合性判定依據(jù)umask027備注2.2.5用戶FTP訪問(wèn)的安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶FTP訪問(wèn)安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-02安全基線項(xiàng)說(shuō)明控制FTP進(jìn)程缺省訪問(wèn)權(quán)限，當(dāng)通過(guò)FTP服務(wù)創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問(wèn)允許權(quán)限。檢測(cè)操作步驟執(zhí)行：more/etc/ftpaccess，檢查restricted-uid執(zhí)行：more/etc/ftpusers基線符合性判定依據(jù)ftpaccess中應(yīng)有類似一行restricted-uid*(限制所有)；ftpusers列表里邊的用戶名應(yīng)包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4備注

網(wǎng)絡(luò)與服務(wù)服務(wù)3.1.1遠(yuǎn)程維護(hù)安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIX遠(yuǎn)程維護(hù)安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-03安全基線項(xiàng)說(shuō)明對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。檢測(cè)操作步驟1、執(zhí)行：ps–elf|grepssh2、執(zhí)行：ps–elf|greptelnet基線符合性判定依據(jù)ssh啟用，telnet禁用備注網(wǎng)絡(luò)3.2.1ICMP重定向安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIXICMP重定向安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-03安全基線項(xiàng)說(shuō)明主機(jī)系統(tǒng)應(yīng)該禁止ICMP重定向，采用靜態(tài)路由。檢測(cè)操作步驟在/etc/rc2.d/S??inet搜索在/etc/rc2.d/S69inet中搜索基線符合性判定依據(jù)要求ip_send_redirects=0要求ip6_send_redirects=0備注

日志審計(jì)日志4.1.1添加認(rèn)證日志安全基線項(xiàng)目名稱操作系統(tǒng)AIX認(rèn)證日志安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-04安全基線項(xiàng)說(shuō)明設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址檢測(cè)操作步驟執(zhí)行：cat/etc/syslog.conf，檢查類似配置：/var/adm/authlog*.info;auth.none/var/adm/syslog\n"2、檢測(cè)操作cat/var/adm/authlogcat/var/adm/syslog基線符合性判定依據(jù)列出用戶賬號(hào)、登錄是否成功、登錄時(shí)間、遠(yuǎn)程登錄時(shí)的IP地址。備注審計(jì)4.2.1安全事件審計(jì)安全基線項(xiàng)目名稱操作系統(tǒng)AIX安全事件審計(jì)安全基線要求項(xiàng)安全基線編號(hào)SBL