AIX系統(tǒng)安全加固手冊(cè)

AIX系統(tǒng)安全加固手冊(cè)系統(tǒng)維護(hù)升級(jí)加固下載系統(tǒng)推薦維護(hù)包>在AIX操作系統(tǒng)中，補(bǔ)丁修正軟件包分為維護(hù)包和推薦維護(hù)包：維護(hù)包(MaintenanceLevels,簡(jiǎn)稱ML)由從AIX4.3的基準(zhǔn)文件集更新后的一系列文件集組成。每個(gè)文件集的更新都是累計(jì)的，即它包含了AIX4.3發(fā)布以來的所有那個(gè)文件集的補(bǔ)丁，并替換了所有以前的更新。維護(hù)包(ML)的命名規(guī)則是4位的VRMF：V-操作系統(tǒng)版本號(hào)versionR-發(fā)行版號(hào)releaseM-改進(jìn)版號(hào)modificationF-修正版號(hào)fix可以用oslevel來判定當(dāng)前系統(tǒng)中的維護(hù)包版本?？梢酝ㄟ^安裝ML來升級(jí)操作系統(tǒng)的改進(jìn)版號(hào)modification,例如，從升級(jí)到O>推薦維護(hù)包(RecommendedMaintenance，簡(jiǎn)稱RM)是由一系列適用于最新的ML的文件集組成的軟件包，它由一系列經(jīng)過較多實(shí)測(cè)過的更新的文件集組成。通過安裝RM，可以使你的系統(tǒng)擁有較新的文件集，但它不能升級(jí)系統(tǒng)版本。推薦維護(hù)包(RM)的命名規(guī)則是4位的VRMF，再加兩位數(shù)字后綴：V-操作系統(tǒng)版本號(hào)versionR-發(fā)行版號(hào)releaseM-改進(jìn)版號(hào)modificationF-修正版號(hào)fixRM-推薦維護(hù)包RecommendedMaintenance如4330-01是4330的第1個(gè)推薦維護(hù)包(RM)?？梢杂靡韵碌拿顏砼卸ㄊ欠?330-01已經(jīng)安裝在系統(tǒng)里，oslevel將仍然顯示,表示系統(tǒng)的ML仍是4330：instfix-ik4330-01_AIX_ML我們可以通過該網(wǎng)站()下載ML或RM,并通過gzip解壓縮，然后按照如下提示的詳細(xì)信息進(jìn)行安裝。解壓縮推薦維護(hù)包我們建議將推薦維護(hù)包解壓縮至/usr/sys/inst.imagescd/tmp/mlgzip-d*.tar.gzcd/usr/sys/inst.imagesfind/tmp/ml-name\*.tar-exectar-xvf{}\;rm-rf/tmp/ml用df檢查系統(tǒng)硬盤空間大小，確保/,/usr,/var,/tmp等目錄有足夠的空間。用下指令檢查當(dāng)前已安裝的程序和升級(jí)：lslpp-La如果有可能，重新建立新的啟動(dòng)引導(dǎo)鏡像，并重新啟動(dòng)系統(tǒng)bosboot-ad/dev/ipldeviceshutdown-r按照以下步驟確定安裝空間以root身份運(yùn)行smittyupdate_all在“INPUTdevice/directoryforsoftware”中輸入ML升級(jí)包的具體位置設(shè)定"Previewonly?”選項(xiàng)為"yes”設(shè)定“COMMITsoftwareupdates?”選項(xiàng)為"no”設(shè)定“SAVEreplacedfiles?”選項(xiàng)為"yes”預(yù)覽安裝結(jié)束后查閱smit的輸出紀(jì)錄安裝推薦補(bǔ)丁包以root身份運(yùn)行smittyupdate_all在“INPUTdevice/directoryforsoftware”中輸入ML升級(jí)包的具體位置設(shè)定“COMMITsoftwareupdates?”選項(xiàng)為“no”設(shè)定“SAVEreplacedfiles?”選項(xiàng)為“yes”安裝結(jié)束后查閱smit的輸出紀(jì)錄重新啟動(dòng)系統(tǒng)shutdown—r注：目前最新推薦維護(hù)包將把系統(tǒng)升級(jí)至.11版本補(bǔ)丁安裝：1,建立臨時(shí)efix目錄并轉(zhuǎn)移到此目錄：mkdir/tmp/efixcd/tmp/efix2，把efix移到/tmp/efix，解壓補(bǔ)?。簎ncompresssecldap_efix.tar.Ztarxvfsecldap_efix.tarcdsecldap_efix修改補(bǔ)丁文件以適應(yīng)用戶自身的系統(tǒng)，并設(shè)置屬主和權(quán)限：mvsecldapclntd.xxxsecldapclntd#wherexxxis433or510chownroot.securitysecldapclntdchmod500secldapclntd建立原始兩進(jìn)制程序的備份，并去掉相關(guān)權(quán)限：cd/usr/sbincpsecldapclntdsecldapclntd.origchmod0secldapclntd.orig5，停止secldapclntd守護(hù)進(jìn)程：kill'ps-elgrepsecldapclntdlawk'{print$1}'、6,使用補(bǔ)丁過的兩進(jìn)制程序代替當(dāng)前系統(tǒng)程序，使用-p選項(xiàng)維持文件權(quán)限:cp-p/tmp/efix/secldap_efix/secldapclntd/usr/sbin/secldapclntd

7,重新啟動(dòng)secldapclntd.#/usr/sbin/secldapclntd2安裝系統(tǒng)安全補(bǔ)丁加固查詢APARDatabase數(shù)據(jù)庫(kù)(/rs6000/aix.CAPARdb)來獲得必要的系統(tǒng)安全補(bǔ)丁信息。進(jìn)入該數(shù)據(jù)庫(kù)后選擇有關(guān)產(chǎn)品的數(shù)據(jù)庫(kù)： AIXVersion4/AIXVersion3/CATIAforAIX。選擇檢索選項(xiàng)，并在下面輸入相應(yīng)的字串：(APARNumber----如：IX85874，IY00411FilesetName---如：.tcp.serverPTFNumber----如：U464245APARAbstract--如：HACMP，maintenance)o按FindFix鈕。用鼠標(biāo)左鍵選中所需Fix.(如果需要多個(gè)Fix，重復(fù)以下的步驟)。選擇所用操作系統(tǒng)的版本(如:AIX4.3.3,用oslevel可以查出AIX版本)。選擇從哪個(gè)服務(wù)器下載(Fixserver)o選擇語(yǔ)言(Selectlanguages)是指如果需要，下載何種語(yǔ)言包。按GetFixPackage鈕，將得到符合以上選項(xiàng)的Fix列表。用鼠標(biāo)右鍵依次點(diǎn)擊所有的Fix，并選擇"SaveLinkAs..."到本地硬盤相應(yīng)目錄(可用支持?jǐn)帱c(diǎn)續(xù)傳的軟件，一起下載)。安裝Fix:可在Fix所在目錄，用smittyinstall_all來安裝。11.重新啟動(dòng)系統(tǒng)。3系統(tǒng)配置加固3系統(tǒng)配置加固1￥1.加固系統(tǒng)TCP/IP配置通過/usr/sbin/no-oclean_partial_conns=1防止SYN的攻擊；通過/usr/sbin/no-oarpt_killc=20設(shè)置arp表的清空時(shí)間；通過/usr/sbin/no-oicmpaddressmask=0防止網(wǎng)絡(luò)地址掩碼的泄漏；通過/usr/sbin/no-odirected_broadcast=0防止smurf攻擊；通過/usr/sbin/no-oipsrcroutesend=0；/usr/sbin/no-oipsrcrouteforward=0；/usr/sbin/no-oip6srcrouteforward=0防止源路由攻擊；通過/usr/sbin/no-oipignoreredirects=1和/usr/sbin/no-oipsendredirects=0防止IP重定向；通過tcbcka禁用非信任的rcp，rlogin，rlogind，rsh，rshd，tftp，tftpd等程序和守護(hù)進(jìn)程；禾^用smitlshostsequiv/smitmkhostsequiv/smitrmhostsquiv或者直接編輯/etc/hosts.equiv，檢查所有其中的內(nèi)容，去除信任主機(jī)和用戶；禾^用smitlsftpusers/smitmkftpusers/smitrmftpusers或者直接編輯/etc/ftpusers來設(shè)定不能通過ftp登錄系統(tǒng)的用戶。設(shè)定所有關(guān)于網(wǎng)絡(luò)配置文件的正確的安全屬性，見下表：/etcDirectoryNameOwnerGroupModePermissionsgated.confRootsystem0664rw-rw-r--gatewaysRootsystem0664rw-rw-r--hostsRootsystem0664rw-rw-r--hosts.equivRootsystem0664rw-rw-r--inetd.confRootsystem0644rw-r--r--named.confRootsystem0644rw-r--r--named.dataRootsystem0664rw-rw-r--networksRootsystem0664rw-rw-r--protocolsRootsystem0644rw-r--r--rc.tcpipRootsystem0774rwxrwxr--resolv.confRootsystem0644rw-rw-r--servicesRootsystem0644rw-r--r--3270.keysRootsystem0664rw-rw-r--

3270keys.rtRootsystem0664rw-rw-r--/usr/binDirectoryNameOwnerGroupModePermissionsHostRootSystem4555r-sr-xr-xhostidBinBin0555r-xr-xr-xhostnameBinBin0555r-xr-xr-xfingerrootSystem0755rwxr-xr-xftprootSystem4555r-sr-xr-xnetstatrootBin4555r-sr-xr-xrexecrootBin4555r-sr-xr-xruptimerootSystem4555r-sr-xr-xrwhorootSystem4555r-sr-xr-xTalkBinBin0555r-xr-xr-xtelnetrootSystem4555r-sr-xr-x/usr/sbinDirectoryNameOwnerGroupModePermissionsArprootsystem4555r-sr-xr-xfingerdrootsystem0554r-xr-xr--Ftpdrootsystem4554r-sr-xr--gatedrootsystem4554r-sr-xr--ifconfigbinBin0555r-xr-xr-xinetdrootsystem4554r-sr-xr--namedrootsystem4554r-sr-x--Pingrootsystem4555r-sr-xr-xrexecdrootsystem4554r-sr-xr--routerootsystem4554r-sr-xr--routedrootsystem0554r-xr-x---rwhodrootsystem4554r-sr-xr--securetcpiprootsystem0554r-xr-xr--setclockrootsystem4555r-sr-xr-xsyslogdrootsystem0554r-xr-xr--talkdrootsystem4554r-sr-xr--

/usr/ucbDirectoryNameOwnerGroupModePermissionstnRootsystem4555r-sr-xr-xrootsystem4554/var/spool/rwhoDirectoryNameOwnerGroupModePermissionsrwho(directory)rootsystem0755drwxr-xr-xr-sr-xr--telnetd2.根據(jù)系統(tǒng)應(yīng)用要求關(guān)閉不必要的服務(wù)：可以通過編輯/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab等文件來實(shí)現(xiàn)。r-sr-xr--telnetd從系統(tǒng)管理的角度而言，一般只需要開放如下的服務(wù)：telnetftp＞可從/etc/inittab中刪除的服務(wù)：piobe PrinterIOBackEndqdaemonPrinterQueueingDaemonwritesrvwriteserveruprintfd Constructsandwriteskernelmessageshttpdlite docsearchWebServerdt (通用桌面環(huán)境，要用CDE的話不能刪除)imnssdocsearchimnssDaemonimqssdocsearchimqssdaemonrcnfsNFSDaemons通過編輯文件/etc/inittab或rmitab命令完成。＞可從/etc/rc.tcpip中刪除的服務(wù)：routedgateddhcpcddhcpsddhcprdautoconf6ndpd-hostndpd-routerIpdnamedtimedxntpdrwhodsnmp系統(tǒng)網(wǎng)管軟件監(jiān)控dpid2mroutedsendmailnfsdportmap可從/etc/inetd.conf中刪除的服務(wù):shellkshellloginkloginexeccomsatuucpbootpsfingersystatnetstattftptalkntalkrpc.rquotadrpc.rexdrpc.rusersdrpc.ttdbserverrpc.spraydrpc.cmsdrpc.rwalldrpc.pcnfsdrpc.rstatdrpc.ssalldechodiscardchargendaytimetimecomsatwebsminstsrvimap2pop3kfclixmquery檢查系統(tǒng)中所有的.rhosts,.netrc,hosts.equiv等文件，確保沒有存在潛在的信任主機(jī)和用戶關(guān)系，使這些文件內(nèi)容為空。為root設(shè)定復(fù)雜的口令，刪除臨時(shí)用戶和已經(jīng)不用的用戶，檢查現(xiàn)有系統(tǒng)上的用戶口令強(qiáng)度，修改弱口令或空口令。設(shè)定系統(tǒng)日志和審計(jì)行為1）增加日志緩沖和日志文件的大小：/usr/lib/errdemon-S4194304B32768monitorsucommand：more/var/adm/suloguselastcommandmonitorcurrentandprevioussystemloginsandlogoutsfile:/var/adm/wtmpusewhocommandmonitorallfailedloginattempts:who/etc/security/failedlogintheuserswhoarecurrentlylogged:usewhocommand./etc/syslogd.conf設(shè)定系統(tǒng)審計(jì)和日志的主要文件在/etc/profile中設(shè)定用戶自動(dòng)logoff的值——TMOUT和TIMEOUT值，如：TMOUT=3600 #forKornShellTIMEOUT=3600 #forBourneShellexportTMOUTTIMEOUT審查root的PATH環(huán)境變量，確保沒有本地目錄出現(xiàn)。修改系統(tǒng)登錄前的提示信息(banner),啟用SAK,編輯/etc/security/login.cfg文件：sak_enabled=trueherald="\r\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\NOTICETOUSERS\r\n\r\nUseofthismachinewaivesallrightstoyourprivacy,\r\n\r\nandisconsenttobemonitored.\r\n\r\nUnauthorizeduseprohibited.\r\n\r\n\r\nlogin:"用管理工具smitchuser來禁止root遠(yuǎn)程登錄且只能在console登錄，并限定登錄嘗試次數(shù)：設(shè)置/etc/security/user文件中的login與rlogin值為false,ttys值為tty0,loginretries值為3。通過編輯/etc/security/user文件或使用chsec命令設(shè)置默認(rèn)的口令策略，并啟用SAK：minage=0maxage=12maxexpired=4minalpha=4minother=1minlen=8mindiff=3maxrepeats=3histexpire=26histsize=8pwdwarntime=14tpath=onCrontabChmod600/var/spool/cron/crontabs/<ID>eg.Lpsysadm除了root其他用戶不能擁有cron訪問執(zhí)行l(wèi)i-Ra-1-a>listofallfiles，保存listofallfiles文件，以備日后核對(duì)。實(shí)現(xiàn)文件系統(tǒng)的ACL控制，實(shí)現(xiàn)針對(duì)用戶的文件訪問控制。（可選）審查NFS策略，如果沒有必要，則關(guān)閉該服務(wù)。審查SNMP策略，如果需要該服務(wù)，應(yīng)當(dāng)將community的名稱設(shè)定為較復(fù)雜的字符串，并限定訪問范圍，如果不需要，則關(guān)閉該服務(wù)。審查sendmail服務(wù)策略，如果需要提供該服務(wù)，應(yīng)當(dāng)修改sendmail.cf文件，使之符合必要的安全要求（不轉(zhuǎn)發(fā)，不能vrfy和expn），如果不需要該服務(wù)，則關(guān)閉該服務(wù)。4Setuidandsetgid（可選）?需要setuid:/usr/bin/passwd/usr/bin/ps/usr/bin/su/usr/sbin/tsm/usr/bin/w?只需要setgid的是：/usr/bin/mailx/usr/bin/mail其他的可以去除，但需要注意與數(shù)據(jù)庫(kù)相關(guān)的setUid和setgid（附：所有對(duì)配置文件進(jìn)行修改的操作，做好的備份和權(quán)限管理工作。如cp/etc/inetd.conf/etc/inetd.conf.oldchmod000inetd.conf.old）5AIX5LUserManagement用戶/用戶組創(chuàng)建用戶的具體命令#smittymkgourpOr#smitsecurity創(chuàng)建用戶的具體命令：#smittymkuserOr#smitsecurity對(duì)于用戶組，使用smitgroup對(duì)于少量用戶的管理，使用smituser對(duì)于大量的用戶，使用mkuser更改用戶屬性：smittychuser更改用戶組屬性：smittychgroup刪除用戶：smittyrmuser刪除用戶組：smittyrmgroup口令策略的設(shè)置：1.檢查AIX系統(tǒng)的用戶，口令設(shè)置的相關(guān)文件有：/etc/passwd用戶文件（不含加密的口令）/etc/security/passwd用戶的口令文件（類似于/etc/shadow文件,但格式不同）/etc/security/user用戶的擴(kuò)展屬性配置文件（鎖定，登錄，口令策略等）/etc/security/login.cfg登錄的配置文件（登錄策略等）因此,對(duì)口令策略的修改主要是在/etc/security/user文件中進(jìn)行，有以下三種方式：1） .使用vi直接查看和修改/etc/security/user文件；2） .使用Isuser/chuser命令；3） .通過smit查看和修改口令策略（smitchuser）.Isuseruserl列出用戶userl的屬性chusermaxage=26userl設(shè)置用戶userl密碼的最長(zhǎng)有效期為26周2.加固對(duì)用戶的以下屬性進(jìn)行配置：maxage=8口令最長(zhǎng)有效期為8周minage=0口令最短有效期為0maxexpired=4口令過期后4周內(nèi)用戶可以更改maxrepeats=3口令中某一字符最多只能重復(fù)3次minlen=8口令最短為8個(gè)字符minalpha=4口令中最少包含4個(gè)字母字符minother=1口令中最少包含一個(gè)非字母數(shù)字字符mindiff=4新口令中最少有4個(gè)字符和舊口令不同loginretries=5連續(xù)5次登錄失敗后鎖定用戶histexpire=26同一口令在26周內(nèi)不能重復(fù)使用histsize=0同一口令與前0個(gè)口令不能重復(fù)AIX用戶配置文件：/etc/passwd用戶文件（不含加密的口令）/etc/security/passwd用戶的口令文件（類似于/etc/shadow文件,但格式不同）/etc/security/user用戶的擴(kuò)展屬性配置文件（鎖定，登錄，口令策略等）/etc/security/login.cfg登錄的配置文件（登錄策略等）root的環(huán)境變量設(shè)置/etc/profile全局的用戶登錄配置文件，其中可以設(shè)置環(huán)境變量-/.profile單獨(dú)用戶的登錄配置文件，其中可以設(shè)置環(huán)境變量/etc/environment全局的環(huán)境變量設(shè)置文件/etc/security/environ可以在其中對(duì)單獨(dú)用戶設(shè)置環(huán)境變量printenv查看當(dāng)前的環(huán)境變量設(shè)置chsec-f/etc/security/environ-sroot-aTERM=vt100設(shè)置root的TERM環(huán)境變量為vt100無用的用戶是否刪除或禁用檢查詢問系統(tǒng)管理員.passwd-luserl鎖定userl用戶#find/-nouser-ls加固建議鎖定除了root以外所有的系統(tǒng)用戶（默認(rèn)是無法登錄的）.是否允許root遠(yuǎn)程登錄檢查AIX系統(tǒng)中沒有對(duì)root遠(yuǎn)程登錄進(jìn)行單獨(dú)的限制，和其他用戶一樣，對(duì)root用戶遠(yuǎn)程登錄的限制可以在文件/etc/security/user中指定.該操作可以通過以下三種方式進(jìn)行：1） .使用vi直接查看及更改/etc/security/user文件；2） .使用lsuser和chuser命令；3） .通過smit查看及更改（smitlsuser,smitchuser）.lsuser-arloginroot查看root的rlogin屬性（默認(rèn)為true,允許遠(yuǎn)程登錄,telnet或rlogin）chuserrlogin=falseroot禁止root遠(yuǎn)程登錄lsuser-attysroot查看root的ttys屬性（root用戶允許登錄的端口）chuserttys=lft0root只允許root從lft0端口登錄（本機(jī)）加固設(shè)置root的用戶屬性rlogin=false，ttys=lft06系統(tǒng)加固本文檔是AIX操作系統(tǒng)的對(duì)于AIX系統(tǒng)設(shè)備賬號(hào)認(rèn)證、日志、協(xié)議、補(bǔ)丁升級(jí)、文件系統(tǒng)管理等方面的安全配置要求，共27項(xiàng)。對(duì)系統(tǒng)的安全配置審計(jì)、加固操作起到指導(dǎo)性作用。1賬號(hào)管理、認(rèn)證授權(quán)賬號(hào)AIX-01-01-01編號(hào)AIX-01-01-01名稱 為不同的管理員分配不同的賬號(hào)實(shí)施目的 根據(jù)不同類型用途設(shè)置不同的帳戶賬號(hào)，提高系統(tǒng)安全。問題影響 賬號(hào)混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。系統(tǒng)當(dāng)前狀態(tài) 查看/etc/passwd中記錄的系統(tǒng)當(dāng)前用戶列表實(shí)施步驟參考配置操作：為用戶創(chuàng)建賬號(hào)：#mkuserusername#passwdusername列出用戶屬性：#lsuserusername更改用戶屬性：#chuserattribute=valueusername回退方案 刪除新增加的帳戶：#rmuserusername判斷依據(jù) 標(biāo)記用戶用途，定期建立用戶列表，比較是否有非法用戶實(shí)施風(fēng)險(xiǎn) 高重要等級(jí) ★★★備注AIX-01-01-02編號(hào)AIX-01-01-02名稱配置帳戶鎖定策略實(shí)施目的 鎖定不必要的帳戶，提高系統(tǒng)安全。問題影響系統(tǒng)中存在與業(yè)務(wù)應(yīng)用無關(guān)的帳戶會(huì)給系統(tǒng)帶來潛在的安全風(fēng)險(xiǎn)，容易被攻擊者利用。系統(tǒng)當(dāng)前狀態(tài) 查看/etc/passwd中記錄的系統(tǒng)當(dāng)前用戶列表實(shí)施步驟參考配置操作：系統(tǒng)管理員出示業(yè)務(wù)所需帳戶列表，根據(jù)列表只保留系統(tǒng)與業(yè)務(wù)所需帳戶。結(jié)合實(shí)際情況鎖定或刪除其余帳戶。如要鎖定user1用戶，則采用的命令如下：#chuseraccount_locked=trueuser1回退方案 如對(duì)user1用戶解除鎖定，則采用的命令如下：#chuseraccount_locked=falseuser1判斷依據(jù) 系統(tǒng)管理員出示業(yè)務(wù)所需帳戶列表。查看/etc/passwd中所記錄的系統(tǒng)當(dāng)前用戶列表是否與業(yè)務(wù)應(yīng)用所需帳戶相對(duì)應(yīng)。除系統(tǒng)帳戶和業(yè)務(wù)應(yīng)用帳戶外，其他的帳戶建議根據(jù)實(shí)際情況鎖定或刪除。實(shí)施風(fēng)險(xiǎn) 高重要等級(jí) ★★★備注AIX-01-01-03編號(hào)AIX-01-01-03名稱限制超級(jí)管理員遠(yuǎn)程登錄實(shí)施目的 限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬。問題影響如允許root遠(yuǎn)程直接登陸，則系統(tǒng)將面臨潛在的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 執(zhí)行Isuser-arloginroot命令，查看root的rlogin屬性并記錄實(shí)施步驟參考配置操作：查看root的rlogin屬性：#lsuser-arloginroot禁止root遠(yuǎn)程登陸：#chuserrlogin=falseroot回退方案 還原root可以遠(yuǎn)程登陸，執(zhí)行如下命令：#chuserrlogin=trueroot判斷依據(jù) 執(zhí)行#lsuser-arloginroot命令，查看root的rlogin屬性，root是否可以遠(yuǎn)程登陸，如顯示可以，則禁止。實(shí)施風(fēng)險(xiǎn) 高重要等級(jí) ★★★備注AIX-01-01-04編號(hào)AIX-01-01-04名稱對(duì)系統(tǒng)賬號(hào)進(jìn)行登錄限制實(shí)施目的 對(duì)系統(tǒng)賬號(hào)進(jìn)行登錄限制，確保系統(tǒng)賬號(hào)僅被守護(hù)進(jìn)程和服務(wù)使用問題影響可能利用系統(tǒng)進(jìn)程默認(rèn)賬號(hào)登陸，賬號(hào)越權(quán)使用系統(tǒng)當(dāng)前狀態(tài) 查看/etc/security/passwd中各賬號(hào)狀態(tài)并記錄實(shí)施步驟參考配置操作：系統(tǒng)管理員出示業(yè)務(wù)所需登陸主機(jī)的帳戶列表，根據(jù)列表只保留系統(tǒng)與業(yè)務(wù)所需的登陸帳戶。結(jié)合實(shí)際情況禁止或刪除其余帳戶。禁止賬號(hào)交互式登錄：#chuseraccount_locked=trueusername刪除賬號(hào)：#rmuserusername補(bǔ)充操作說明：建議禁止交互登錄的系統(tǒng)賬號(hào)有：daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案還原被禁止登陸的帳戶：#chuseraccount_locked=falseusername注：對(duì)刪除帳戶的操作無法回退判斷依據(jù)系統(tǒng)管理員出示業(yè)務(wù)所需登陸主機(jī)的帳戶列表。查看/etc/security/passwd中所記錄的可以登陸主機(jī)的帳戶是否與業(yè)務(wù)應(yīng)用所需登陸主機(jī)的帳戶相對(duì)應(yīng)。除業(yè)務(wù)應(yīng)用需登陸主機(jī)的帳戶外，其他的帳戶建議根據(jù)實(shí)際情況可以設(shè)置成禁止登陸或直接將其帳戶刪除。實(shí)施風(fēng)險(xiǎn) 高重要等級(jí) ★備注AIX-01-01-05編號(hào)AIX-01-01-05名稱為空口令用戶設(shè)置密碼實(shí)施目的禁止空口令用戶，存在空口令是很危險(xiǎn)的，用戶不用口令認(rèn)證就能進(jìn)入系統(tǒng)。問題影響 系統(tǒng)中的帳戶存在被非法利用的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 查看/etc/passwd中的內(nèi)容并記錄實(shí)施步驟參考配置操作：用root用戶登陸AIX系統(tǒng)，執(zhí)行passwd命令，給空口令的帳戶增加密碼。如采用和執(zhí)行如下命令：#passwdusernamepassword回退方案 Root身份設(shè)置用戶口令，取消口令如做了口令策略則失敗判斷依據(jù) 登陸系統(tǒng)判斷，查看/etc/passwd中的內(nèi)容，從而判斷系統(tǒng)中是否存在空口令的帳戶。如發(fā)現(xiàn)存在，則建議為該帳戶設(shè)置密碼。實(shí)施風(fēng)險(xiǎn) 高重要等級(jí) ★備注1.2口令A(yù)IX-01-02-01編號(hào)AIX-01-02-01名稱缺省密碼長(zhǎng)度限制實(shí)施目的 防止系統(tǒng)弱口令的存在，減少安全隱患。對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少6位。且密碼規(guī)則至少應(yīng)采用字母（大小寫穿插）加數(shù)字加標(biāo)點(diǎn)符號(hào)（包括通配符）的方式。問題影響增加系統(tǒng)的帳戶密碼被暴力破解的成功率和潛在的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)運(yùn)行l(wèi)suserusername命令，查看帳戶屬性和當(dāng)前狀態(tài)，并記錄。實(shí)施步驟參考配置操作：查看帳戶帳戶屬性：#lsuserusername設(shè)置密碼最短長(zhǎng)度為8位：#chuserminlen=8username回退方案根據(jù)在加固前所記錄的帳戶屬性，修改設(shè)置到系統(tǒng)加固前狀態(tài)。判斷依據(jù) 運(yùn)行l(wèi)suseruasename命令，查看帳戶屬性中密碼的最短長(zhǎng)度策略是否符合8位。如不符合，則進(jìn)行設(shè)置。實(shí)施風(fēng)險(xiǎn)低重要等級(jí) ★★★備注AIX-01-02-02編號(hào)AIX-01-02-02名稱缺省密碼復(fù)雜度限制實(shí)施目的 防止系統(tǒng)弱口令的存在，減少安全隱患。對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類問題影響增加系統(tǒng)中的帳戶密碼被暴力破解的成功率以及潛在的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 運(yùn)行Isuserusername命令，查看帳戶屬性和當(dāng)前狀態(tài)，并記錄實(shí)施步驟參考配置操作：查看帳戶帳戶屬性：#lsuserusername設(shè)置口令中最少包含4個(gè)字母字符的數(shù)量：#chuserminalpha=4username設(shè)置口令中最少包含1個(gè)非字母數(shù)字字符數(shù)量：#chuserminother=1username回退方案根據(jù)在加固前所記錄的帳戶屬性，修改設(shè)置到系統(tǒng)加固前狀態(tài)判斷依據(jù) 運(yùn)行l(wèi)suseruasename命令，查看帳戶屬性中口令是否符合包含最少4個(gè)字母字符以及是否包含最少1個(gè)非字母數(shù)字字符。如不符合，則進(jìn)行設(shè)置。實(shí)施風(fēng)險(xiǎn)低重要等級(jí) ★★★備注AIX-01-02-03編號(hào)AIX-01-02-03名稱缺省密碼生存周期限制實(shí)施目的 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長(zhǎng)于90天，減少口令安全隱患問題影響容易造成密碼被非法利用，并且難以管理系統(tǒng)當(dāng)前狀態(tài) 運(yùn)行l(wèi)suserusername命令，查看帳戶屬性和當(dāng)前狀態(tài)，并記錄實(shí)施步驟參考配置操作：查看帳戶帳戶屬性：#lsuserusername設(shè)置口令最長(zhǎng)有效期為12周（84天）：#chusermaxage=12username回退方案根據(jù)在加固前所記錄的帳戶屬性，修改設(shè)置到系統(tǒng)加固前狀態(tài)判斷依據(jù) 運(yùn)行l(wèi)suseruasename命令，查看帳戶屬性中口令的最長(zhǎng)有效期是否小于90天。如未設(shè)置或大于90天，則進(jìn)行設(shè)置。實(shí)施風(fēng)險(xiǎn)低重要等級(jí) ★★★備注AIX-01-02-04編號(hào)AIX-01-02-04名稱密碼重復(fù)使用限制實(shí)施目的 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令問題影響造成系統(tǒng)帳戶密碼破解的幾率增加以及存在潛在的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 運(yùn)行Isuserusername命令，查看帳戶屬性和當(dāng)前狀態(tài)，并記錄實(shí)施步驟參考配置操作：查看帳戶帳戶屬性：#lsuserusername設(shè)置同一口令與前面5個(gè)口令不能重復(fù)：#chuserhistsize=5username回退方案根據(jù)在加固前所記錄的帳戶屬性，修改設(shè)置到系統(tǒng)加固前狀態(tài)。判斷依據(jù) 運(yùn)行Isuseruasename命令，查看帳戶屬性中是否設(shè)置了同一口令與前面5個(gè)口令不能重復(fù)的策略。如未設(shè)置或大于5個(gè)，則進(jìn)行設(shè)置。實(shí)施風(fēng)險(xiǎn)低重要等級(jí) ★備注AIX-01-02-05編號(hào)AIX-01-02-05名稱密碼重試限制實(shí)施目的 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號(hào)。問題影響增加系統(tǒng)帳戶密碼被暴力破解的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 運(yùn)行l(wèi)suserusername命令，查看帳戶屬性和當(dāng)前狀態(tài)，并記錄實(shí)施步驟參考配置操作：查看帳戶帳戶屬性：#lsuserusername設(shè)置6次登陸失敗后帳戶鎖定閥值：#chuserloginretries=6username回退方案根據(jù)在加固前所記錄的帳戶屬性，修改設(shè)置到系統(tǒng)加固前狀態(tài)判斷依據(jù) 運(yùn)行l(wèi)suseruasename命令，查看帳戶屬性中是否設(shè)置了6次登陸失敗后帳戶鎖定閥值的策略。如未設(shè)置或大于6次，則進(jìn)行設(shè)置。實(shí)施風(fēng)險(xiǎn)中重要等級(jí) ★備注1.3授權(quán)AIX-01-03-01編號(hào)AIX-01-03-01名稱設(shè)置關(guān)鍵目錄的權(quán)限實(shí)施目的 在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。問題影響 增加系統(tǒng)關(guān)鍵目錄容易被攻擊者非法訪問的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 查看/usr/bin、/sbin、/etc目錄，并記錄關(guān)鍵目錄的權(quán)限實(shí)施步驟 1、參考配置操作通過chmod命令對(duì)目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。2、補(bǔ)充操作說明文件或目錄屬主屬組權(quán)限/etc/passwdrootsecurity-rw-r--r--/etc/grouprootsecurity-rw-r--r--/etc/filesystemrootsystem-rw-rw-r--/etc/hostsrootsystem -rw-rw-r--/etc/inittabrootsystem-rw /etc/security/faildloginrootsystem-rw-r--r--回退方案通過chmod命令還原目錄權(quán)限到加固前狀態(tài)判斷依據(jù)AIX系統(tǒng)，/usr/bin、/bin、/sbin目錄為可執(zhí)行文件目錄，/etc目錄為系統(tǒng)配置目錄，包括帳戶文件，系統(tǒng)配置，網(wǎng)絡(luò)配置文件等，這些目錄和文件相對(duì)重要。確認(rèn)這些配置文件的權(quán)限設(shè)置是否安全。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)★★★備注AIX-01-03-02編號(hào)AIX-01-03-02名稱修改umask值實(shí)施目的控制用戶缺省訪問權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí)，屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。問題影響增加攻擊者非法訪問目錄的風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 查看/etc/security/user文件的配置，并記錄實(shí)施步驟1、參考配置操作設(shè)置umask為027:#vi/etc/security/user在default小節(jié)，設(shè)置umask為027回退方案修改/etc/security/user文件到加固前狀態(tài)判斷依據(jù) 查看/etc/security/user文件中的default小節(jié)是否設(shè)置umask為027實(shí)施風(fēng)險(xiǎn)高重要等級(jí)★備注AIX-01-03-03編號(hào)AIX-01-03-03名稱FTP用戶及服務(wù)安全實(shí)施目的 設(shè)置系統(tǒng)中的帳戶是否可以通過ftp登陸操作問題影響 增加攻擊者利用系統(tǒng)帳戶非法通過FTP登陸操作和非法訪問目錄的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)查看/etc/ftpusers文件，并記錄實(shí)施步驟參考配置操作：根據(jù)系統(tǒng)管理員提供允許ftp登陸操作的系統(tǒng)帳戶列表，并與系統(tǒng)中當(dāng)前的允許ftp登陸操作的用戶相比對(duì)。設(shè)置是否允許系統(tǒng)帳戶通過ftp方式登陸：#vi/etc/ftpusers注：默認(rèn)情況下，該文件不存在。將所有的系統(tǒng)用戶和其他希望被禁止ftp登錄的用戶添加到該文件中（每行一個(gè)用戶名）。注：在無特殊需求的情況下，以下列表中的用戶名是不允許ftp登陸操作的：root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案修改/etc/ftpusers文件設(shè)置到系統(tǒng)加固前狀態(tài)判斷依據(jù)根據(jù)系統(tǒng)管理員提供的允許ftp登陸操作的系統(tǒng)帳戶，查看/etc/ftpusers文件，與其相比對(duì)，是否與系統(tǒng)管理員所提供的帳戶列表相一致。如果發(fā)現(xiàn)與列表中不對(duì)應(yīng)的帳戶則建議設(shè)置成禁止通過ftp登陸操作。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)★備注AIX-01-03-04編號(hào)AIX-01-03-04名稱設(shè)置目錄權(quán)限實(shí)施目的設(shè)置目錄權(quán)限，防止非法訪問目錄。問題影響 增加攻擊者非法訪問系統(tǒng)目錄的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 查看重要文件和目錄權(quán)限：ls-l并記錄。實(shí)施步驟1、參考配置操作查看重要文件和目錄權(quán)限：ls-l更改權(quán)限：對(duì)于重要目錄，建議執(zhí)行如下類似操作：例如：#chmod-R750/etc/init.d/*這樣只有root可以讀、寫和執(zhí)行這個(gè)目錄下的腳本回退方案使用chmod命令還原被修改權(quán)限的目錄判斷依據(jù) 查看重要文件和目錄權(quán)限：ls-l查看重要文件和目錄下的文件權(quán)限設(shè)置是否為750以下實(shí)施風(fēng)險(xiǎn)高重要等級(jí)★備注AIX-01-03-05編號(hào)AIX-01-03-05名稱設(shè)置ftp目錄權(quán)限實(shí)施目的限制ftp用戶登陸后在自己當(dāng)前目錄下活動(dòng)，防止非法訪問目錄。問題影響增加系統(tǒng)帳戶被利用后越權(quán)使用的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)查看/etc/vsftpd/vsftpd.conf文件并記錄當(dāng)前的配置實(shí)施步驟參考配置操作：限制ftp用戶登陸后在自己當(dāng)前目錄下活動(dòng)：#vi/etc/vsftpd/vsftpd.conflocal_root=鎖定目錄路徑chroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_list#vivsftpd.chroot_listusername(鎖定用戶名)回退方案 還原/etc/vsftpd/vsftpd.conf文件配置到加固前的狀態(tài)判斷依據(jù) 查看/etc/vsftpd/vsftpd.conf文件中的配置，查看是否已設(shè)置限制ftp用戶登陸后在自己當(dāng)前目錄下活動(dòng)。如未配置則應(yīng)按要求設(shè)置。實(shí)施風(fēng)險(xiǎn)中重要等級(jí)★備注日志配置要求AIX-02-01-01編號(hào)AIX-02-01-01名稱啟用日志記錄功能實(shí)施目的 設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。問題影響 無法對(duì)用戶的登陸進(jìn)行日志記錄，增加潛在的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)查看/etc/syslog.conf文件中的配置并記錄實(shí)施步驟參考配置操作：syslog的配置主要通過/etc/syslog.conf配置，日志信息可以記錄在本地的文件當(dāng)中(如/var/adm/messages)或遠(yuǎn)程的主機(jī)上(@hostname)。startsrc-ssyslogd啟動(dòng)syslog月艮務(wù)stopsrc-ssyslogd停止syslog月艮務(wù)回退方案 修改/etc/syslog.conf文件設(shè)置到系統(tǒng)加固前狀態(tài)判斷依據(jù)查看系統(tǒng)進(jìn)程中是否存在syslogd守護(hù)進(jìn)程。查看/etc/syslog.conf文件中的配置是否啟動(dòng)syslog服務(wù)。如系統(tǒng)中不存在syslogd守護(hù)進(jìn)程或在配置文件中發(fā)現(xiàn)syslog服務(wù)未啟動(dòng)，則應(yīng)按要求進(jìn)行配置。實(shí)施風(fēng)險(xiǎn)低重要等級(jí)★★★備注AIX-02-01-02編號(hào)AIX-02-01-02名稱syslog日志等級(jí)的安全配置實(shí)施目的 syslog提供日常維護(hù)日志外，還提供系統(tǒng)登陸，攻擊嘗試等安全性的日志信息，幫助管理員進(jìn)行審計(jì)和追蹤。問題影響 無法對(duì)用戶的操作進(jìn)行日志記錄，增加潛在的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 查看/etc/syslog.conf文件配置并記錄實(shí)施步驟參考配置操作：syslog配置文件要求：修改文件安全設(shè)置

/etc/syslog.conf.err*.alert*.criauth,/etc/syslog.conf.err*.alert*.criauth,配置文件中包含一下日志記錄:/var/adm/errorlog/var/adm/alertlog/var/adm/critlog/var/adm/authlog回退方案 修改/etc/syslog.conf文件配置到系統(tǒng)加固前的狀態(tài)判斷依據(jù) 查看/etc/syslog.conf文件中的配置是否符合以上安全設(shè)置。如不合符則建議應(yīng)按要求進(jìn)行設(shè)置。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)★備注AIX-02-01-05編號(hào)AIX-02-01-05名稱啟用記錄su日志功能實(shí)施目的記錄系統(tǒng)中su操作的日志問題影響無法記錄su指令的用戶切換操作，增加潛在的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)查看/etc/syslog.conf文件配置，并記錄實(shí)施步驟參考配置操作：設(shè)置/etc/syslog.conf文件，并啟動(dòng)su日志記錄。注：在AIX系統(tǒng)中，su日志記錄默認(rèn)是開啟的。查看/var/adm/sulog，用戶使用su命令的日志?？筛鶕?jù)需要保留60天中有用的內(nèi)容，其余刪除。文件記錄以下信息：日期、時(shí)間、系統(tǒng)名稱以及登錄名。/var/adm/sulog文件也記錄登錄嘗試是否成功：+（加號(hào)）表示登錄成功，-（減號(hào)）表示登錄失敗。回退方案 修改/etc/syslog.conf文件設(shè)置到系統(tǒng)加固前狀態(tài)判斷依據(jù) 查看/etc/syslog.conf文件中是否配置了su日志記錄查看/var/adm/sulog文件，是否存在su命令使用記錄實(shí)施風(fēng)險(xiǎn)低重要等級(jí)★備注AIX-02-01-06編號(hào)AIX-02-01-06名稱啟用記錄cron行為日志功能和cron/at的使用情況實(shí)施目的對(duì)所有的cron行為以及使用情況進(jìn)行審計(jì)和查看問題影響無法記錄和查看cron服務(wù)（計(jì)劃任務(wù)），存在潛在安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 查看/var/spool/cron/目錄下的文件配置，并記錄實(shí)施步驟參考配置操作：cron/At的相關(guān)文件主要有以下幾個(gè)：/var/spool/cron/crontabs存放cron任務(wù)的目錄/var/spool/cron/cron.allow允許使用crontab命令的用戶/var/spool/cron/cron.deny不允許使用crontab命令的用戶/var/spool/cron/atjobs存放at任務(wù)的目錄/var/spool/cron/at.allow允許使用at的用戶/var/spool/cron/at.deny不允許使用at的用戶使用crontab和at命令可以分別對(duì)cron和at任務(wù)進(jìn)行控制。#crontab-l查看當(dāng)前的cron任務(wù)#at-l查看當(dāng)前的at任務(wù)回退方案 修改/var/spool/cron/目錄下的文件設(shè)置到系統(tǒng)加固前狀態(tài)判斷依據(jù) 查看/var/spool/cron/目錄下的文件配置是否按照以上要求進(jìn)行了安全配置。如未配置則建議按照要求進(jìn)行配置。實(shí)施風(fēng)險(xiǎn)低重要等級(jí)★備注通信協(xié)議安全配置要求IP協(xié)議安全AIX-03-01-01編號(hào)AIX-03-01-01名稱使用ssh加密傳輸實(shí)施目的 提高遠(yuǎn)程管理安全性問題影響使用非加密通信，內(nèi)容易被非法監(jiān)聽，存在潛在安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 運(yùn)行ps-ef|grepssh，查看狀態(tài)，并記錄。實(shí)施步驟參考配置操作：如果系統(tǒng)中沒有安裝SSH，則首先需要正確安裝openssh后才能夠應(yīng)用SSH。安裝步驟舉例說明：在將OpenSSL下載到AIXVersion5.3計(jì)算機(jī)的本地目錄（本示例中為/tmp）之后，可以通過運(yùn)行下面的命令來安裝它：#geninstall-d/tmpR:openssl-0.9.6m可以使用下面兩種方法中的任何一種來安裝OpenSSH：smitty->SoftwareInstallationandMaintenance->InstallandUpdateSoftware->InstallSoftware或者#geninstall-I"Y"-d/dev/cd0I:openssh.base使用下面的命令啟動(dòng)SSH服務(wù)器：#startsrc-gssh使用下面的命令來確認(rèn)已正確地啟動(dòng)了SSH服務(wù)器：#ps-ef|grepssh回退方案卸載SSH、或者停止SSH服務(wù)判斷依據(jù)運(yùn)行ps-ef|grepssh，查看系統(tǒng)進(jìn)程中是否存在SSH進(jìn)程，如不存在，則建議應(yīng)按照要求安裝和配置好SSH服務(wù)。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)★備注AIX-03-01-02編號(hào)AIX-03-01-02名稱限制管理員登陸IP實(shí)施目的 對(duì)于通過IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)對(duì)允許登陸到該設(shè)備的IP地址范圍進(jìn)行設(shè)定。提高遠(yuǎn)程維護(hù)安全性。問題影響 沒有訪問控制，系統(tǒng)可能被非法登陸或使用，從而存在潛在的安全風(fēng)險(xiǎn)。系統(tǒng)當(dāng)前狀態(tài) 查看/etc/hosts.equiv文件配置并記錄實(shí)施步驟參考配置操作：建議采用如下安全配置操作：修改文件安全設(shè)置操作說明/etc/hosts.equiv（全局配置文件）~/.rhosts（單獨(dú)用戶的配置文件） 限定信任的主機(jī)、賬號(hào)不能有單行的"+'或”++”的配置信息 編輯/etc/host.equiv文件或者?/.rhosts文件，只增加必須的帳戶和主機(jī)，刪除不必要的信任主機(jī)設(shè)置。更改/etc/hosts.equiv文件的屬性，只允許root可讀寫?；赝朔桨感薷?etc/hosts.equiv文件的配置到加固之前的狀態(tài)判斷依據(jù) 查看/etc/hosts.equiv文件的配置是否按照以上要求進(jìn)行了設(shè)置，如未設(shè)置則建議應(yīng)按照要求進(jìn)行設(shè)置。實(shí)施風(fēng)險(xiǎn)高重要等級(jí) ★備注路由協(xié)議安全AIX-03-02-01編號(hào)AIX-03-02-01名稱禁止ICMP重定向和關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)實(shí)施目的 禁止系統(tǒng)發(fā)送ICMP重定向包，關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)，提高系統(tǒng)、網(wǎng)絡(luò)的安全性問題影響主機(jī)可能存在會(huì)被非法改變路由的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) AIX系統(tǒng)網(wǎng)絡(luò)參數(shù)可以通過no命令進(jìn)行配置，執(zhí)行no-a，顯示所有網(wǎng)絡(luò)參數(shù)并記錄實(shí)施步驟參考配置操作：建議采用如下設(shè)置進(jìn)行安全配置：AIX系統(tǒng)網(wǎng)絡(luò)參數(shù)可以通過no命令進(jìn)行配置，比較重要的網(wǎng)絡(luò)參數(shù)有：icmpaddressmask=0忽略ICMP地址掩碼請(qǐng)求ipforwarding=0不進(jìn)行IP包轉(zhuǎn)發(fā)ipignoreredirects=1忽略ICMP重定向包ipsendredirects=0不發(fā)送ICMP重定向包ipsrcrouteforward=0不轉(zhuǎn)發(fā)源路由包ipsrcrouterecv=0不接收源路由包ipsrcroutesend=0不發(fā)送源路由包no-a顯示當(dāng)前配置的網(wǎng)絡(luò)參數(shù)

no-oicmpaddressmask=0忽略ICMP地址掩碼請(qǐng)求配置方式：no-oipignoreredirects=1no-oipsendredirects=0no-oipsrcrouteforward=0no-oipsrcroutesend=0no-oclean_partial_conns=1no-odirected_broadcast=0以及：策略默認(rèn)設(shè)置安全設(shè)置忽略ICMP重定向包ipignoreredirects=0 ipignoreredirects=1不轉(zhuǎn)發(fā)源路由包不發(fā)送源路由包防御SYN-FLOOD防御不轉(zhuǎn)發(fā)源路由包不發(fā)送源路由包防御SYN-FLOOD防御SMURF攻擊ipsrcrouteforward=1ipsrcrouteforward=0ipsrcroutesend=1ipsrcroutesend=0clean_partial_conns=0clean_partial_conns=1directedbroadcast=1directedbroadcast=0在/etc/文件重添加以下命令：/usr/sbin/no-oicmpaddressmask=0/usr/sbin/no-oipforwarding=0/usr/sbin/no-oipignoreredirects=1/usr/sbin/no-oipsendredirects=0/usr/sbin/no-oipsrcrouteforward=0/usr/sbin/no-oipsrcrouterecv=0/usr/sbin/no-oipsrcroutesend=0回退方案刪除在/etc/文件中添加的命令，并使用命令恢復(fù)到加固之前的狀態(tài)判斷依據(jù)執(zhí)行no-a命令或查看/etc/文件中是否按照以上命令進(jìn)行了安全配置，如未設(shè)置，則建議應(yīng)按照要求進(jìn)行安全配置。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)★備注補(bǔ)丁管理AIX-04-01-01AIX-04-01-014.1.1AIX-04-01-01AIX-04-01-01編號(hào)名稱系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)實(shí)施目的 應(yīng)根據(jù)需要及時(shí)進(jìn)行補(bǔ)丁裝載。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過測(cè)試和驗(yàn)證。問題影響系統(tǒng)存在嚴(yán)重的安全漏洞，存在被攻擊者利用的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 執(zhí)行oslevel-r命令或instfix-i|grepML命令，查看補(bǔ)丁當(dāng)前安裝的狀況和版本實(shí)施步驟參考配置操作：使用instfix-aik命令來完成補(bǔ)丁的安裝操作。注意：1、 在AIX系統(tǒng)中涉及安全的補(bǔ)丁包有以下幾種：推薦維護(hù)包(RecommendedMaintenancePackages):由一系列最新的文件集組成的軟件包，包含了特定的操作系統(tǒng)(如AIX5.2)發(fā)布以來的所有文件集的補(bǔ)丁。關(guān)鍵補(bǔ)丁Criticalfixes(cfix)：自推薦維護(hù)包之后，修補(bǔ)關(guān)鍵性漏洞的補(bǔ)丁。緊急補(bǔ)丁Emergencyfixes(efix):自推薦維護(hù)包之后，修補(bǔ)緊急安全漏洞的補(bǔ)丁。2、 補(bǔ)丁安裝原則：在新裝和重新安裝系統(tǒng)后，必須安裝最新的推薦維護(hù)包，以及該最新推薦維護(hù)包以來的所有單獨(dú)的cfix和efix。日常維護(hù)中如果廠家推出新的RM、cfix、efix則按照原補(bǔ)丁維護(hù)管理規(guī)定進(jìn)行補(bǔ)丁安裝。回退方案 根據(jù)在加固前執(zhí)行的oslevel-r命令或instfix-i|grepML命令，查看補(bǔ)丁當(dāng)前安裝的狀況和版本的記錄，刪除或卸載相應(yīng)的補(bǔ)丁恢復(fù)成加固前的狀態(tài)。判斷依據(jù)執(zhí)行oslevel-r命令或instfix-i|grepML命令，查看補(bǔ)丁當(dāng)前安裝的狀況和版本是否與IBM最新發(fā)布的官方補(bǔ)丁相一致。如不一致，則應(yīng)根據(jù)實(shí)際情況和業(yè)務(wù)需要進(jìn)行補(bǔ)丁的安裝操作。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)★★備注服務(wù)進(jìn)程和啟動(dòng)AIX-05-01-01編號(hào)AIX-05-01-01名稱 關(guān)閉無效服務(wù)和啟動(dòng)項(xiàng)實(shí)施目的 關(guān)閉無效的服務(wù)和啟動(dòng)項(xiàng)，提高系統(tǒng)性能，增加系統(tǒng)安全性問題影響 不用的服務(wù)和啟動(dòng)項(xiàng)可能會(huì)帶來很多安全隱患，容易被攻擊者利用，從而存在潛在的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài) 查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并記錄當(dāng)前配置；查看/etc/inetd.conf文件并記錄當(dāng)前的配置實(shí)施步驟參考配置操作：系統(tǒng)管理員提供與業(yè)務(wù)和應(yīng)用系統(tǒng)相關(guān)的服務(wù)和啟動(dòng)項(xiàng)列表。一、rc.dAIX系統(tǒng)中的服務(wù)主要在/etc/inittab文件和/etc/rc.*(包括rc.tcpip，rc.nfs)等文件中啟動(dòng)，事實(shí)上，/etc/rc.*系列文件主要也是由/etc/inittab啟動(dòng)。同時(shí)，AIX中所有啟動(dòng)的服務(wù)(至少與業(yè)務(wù)相關(guān)的)都可以同過SRC(SystemResourceManager)進(jìn)行管理?？梢杂腥N方式查看系統(tǒng)服務(wù)的啟動(dòng)情況：1、 使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件；2、 使用lssrc和lsitab命令；3、 通過smit查看和更改。注：SRC本身通過/etc/inittab文件啟動(dòng)。lssrc-a列出所有SRC管理的服務(wù)的狀態(tài)lsitab-a列出所有由/etc/inittab啟動(dòng)的信息，和cat/etc/inittab基本相同，除了沒有注釋。根據(jù)管理員所提供的服務(wù)列表與當(dāng)前系統(tǒng)中所啟動(dòng)的服務(wù)列表相對(duì)比，如果發(fā)現(xiàn)與業(yè)務(wù)應(yīng)用無關(guān)的服務(wù)，或不必要的服務(wù)和啟動(dòng)項(xiàng)，則關(guān)閉掉或禁用；也可以對(duì)服務(wù)做適當(dāng)配置。二、inetd.conf由INETD啟動(dòng)的服務(wù)在文件/etc/inetd.conf定義（inetd本身在/etc/rc.tcpip中由SRC啟動(dòng)），因此查看INETD啟動(dòng)的服務(wù)的情況有兩種方法：1、 使用vi查看/etc/inetd.conf中沒有注釋的行；2、 使用lssrc命令。lssrc-l-sinetd查看inetd的狀態(tài)以及由INETD啟動(dòng)的服務(wù)的狀態(tài)；refresh-sinetd更改/etc/inetd.conf文件后重啟inetd。建議關(guān)閉由inetd啟動(dòng)的所有服務(wù)；如果有管理上的需要，可以打開telnetd、ftpd、rlogind、rshd等服務(wù)。啟動(dòng)或停止inetd啟動(dòng)的服務(wù)（例如ftpd）:1、 使用vi編輯/etc/inetd.conf，去掉注釋（啟動(dòng)）或注釋掉（停止）ftpd所在的行；2、 重啟inetd：refresh-sinetd。根據(jù)管理員所提供的服務(wù)列表與當(dāng)前系統(tǒng)中所啟動(dòng)的服務(wù)列表相對(duì)比，如果發(fā)現(xiàn)與業(yè)務(wù)應(yīng)用無關(guān)的服務(wù)，或不必要的服務(wù)和啟動(dòng)項(xiàng)，則關(guān)閉掉或禁用；也可以對(duì)服務(wù)做適當(dāng)配置?；赝朔桨?還原/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置到加固前的狀態(tài)還原/etc/inetd.conf文件的配置到加固前的狀態(tài)判斷依據(jù)根據(jù)系統(tǒng)管理員提供的業(yè)務(wù)應(yīng)用相關(guān)的服務(wù)與啟動(dòng)項(xiàng)列表，查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置是否按照要求進(jìn)行了安全配置。查看/etc/inetd.conf文件的配置是否按照要求進(jìn)行了安全配置。如發(fā)現(xiàn)以上兩個(gè)文件中的配置不符合要求，則建議應(yīng)按照以上要求的操作對(duì)系統(tǒng)進(jìn)行加固，關(guān)閉無效服務(wù)和啟動(dòng)項(xiàng)。實(shí)施風(fēng)險(xiǎn)高重要等級(jí)★備注AIX-05-01-02編號(hào)AIX-05-01-02名稱系統(tǒng)網(wǎng)絡(luò)與服務(wù)安全配置標(biāo)準(zhǔn)實(shí)施目的 關(guān)閉無效的服務(wù)和啟動(dòng)項(xiàng)，提高系統(tǒng)性能，增加系統(tǒng)安全性問題影響 不用的服務(wù)和啟動(dòng)項(xiàng)可能會(huì)帶來很多安全隱患，容易被攻擊者利用，從而存在潛在的安全風(fēng)險(xiǎn)系統(tǒng)當(dāng)前狀態(tài)查看/etc/inittab文件并記錄當(dāng)前配置；查看/etc/rc.*（包括rc.tcpip，rc.nfs等文件）文件并記錄當(dāng)前配置；查看/etc/inetd.conf文件并記錄當(dāng)前的配置。實(shí)施步驟參考配置操作：系統(tǒng)管理員提供與業(yè)務(wù)和應(yīng)用系統(tǒng)相關(guān)的服務(wù)和啟動(dòng)項(xiàng)列表。AIX系統(tǒng)中涉及服務(wù)的配置和啟動(dòng)信息的，主要在以下幾個(gè)文件：/etc/inittab文件/etc/rc.*（包括rc.tcpip，rc.nfs等文件）。由INETD啟動(dòng)的服務(wù)在文件/etc/inetd.conf定義（inetd本身在/etc/rc.tcpip中由SRC啟動(dòng)）。本部分的安全基線主要通過修改這些文件中的內(nèi)容進(jìn)行配置。根據(jù)管理員所提供的服務(wù)列表與當(dāng)前系統(tǒng)中所啟動(dòng)的服務(wù)列表相對(duì)比，如果發(fā)現(xiàn)與業(yè)務(wù)應(yīng)用無關(guān)的服務(wù)，或不必要的服務(wù)和啟動(dòng)項(xiàng)，則關(guān)閉掉或禁用；也可以對(duì)服務(wù)做適當(dāng)配置。建議按照下表進(jìn)行安全配置：操作的文件 要求禁用的服務(wù) 設(shè)置方式 操作說明/etc/inittabpiobe 注釋掉該行（在該服務(wù)所在行加上冒