AIX操作系統(tǒng)安全系統(tǒng)配置要求規(guī)范

1/26 AIX安全配置程序2/26 1賬號認證要求容操作指南檢測方法應(yīng)刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬號。系統(tǒng)存在不刪除或鎖定的賬號無法登錄成功；使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)；3/26 要求容操作指南檢測方法root遠程登錄不成功，提示“Notonsystemconsole〞；4/26 檢測方法 檢測方法2密碼策略要求容操作指南字、小寫字母、大寫字母和特殊符號4類中至少2類。給用戶不符合密碼強度的時候，系統(tǒng)對口令強度要求進展提示；符合密碼強度的時候，可以成功設(shè)置； 5/26ii.配置口令的最小長度；ii.將口令配置為強口令。2、創(chuàng)建一個普通賬號，為用戶配置與用戶名一樣的口令、只包含口令，查看系統(tǒng)是否可以成功設(shè)置。要求容操作指南檢測方法6/26 設(shè)置密碼不成功要求容操作指南檢測方法要求容操作指南7/26 指定當本地指定當本地用戶登陸失敗次數(shù)等于或者大于允許的重試次數(shù)如此登錄；檢測方法3審核授權(quán)策略(1)設(shè)置全局審核事件etcsecurityauditconfig用戶增刪，密碼修改，執(zhí)(2)審核系統(tǒng)安全文件修改8/26 w="S_LIMITS_WRITE"要求容操作指南9/26 檢測方法 檢測方法r如果是有寫權(quán)限，就需移去組與其它用戶對/etc的寫權(quán)限〔特殊情1、設(shè)備系統(tǒng)能夠提供用戶權(quán)限的配置選項，并記錄對用戶進展權(quán)3、所配置的權(quán)限規(guī)如此應(yīng)能夠正確應(yīng)用，即用戶無法訪問授權(quán)圍之外的系統(tǒng)資源，而可以訪問授權(quán)圍之的系統(tǒng)資源。2、創(chuàng)建用戶時查看系統(tǒng)是否提供了用戶權(quán)限級別以與可訪問系統(tǒng)別在用戶權(quán)限級別、可訪問系統(tǒng)資源以與可用命令等方面予以表10/26 44、分別利用2個新建的賬號訪問設(shè)備系統(tǒng)，并分別嘗試訪問允許訪問的容和不允許訪問的容，查看權(quán)限配置策略是否生效。-設(shè)備-AIX-配置-9要求容操作指南組的用戶修改該用戶的文件或更高限制。A設(shè)置所有存在賬戶的權(quán)限：r檢測方法檢測方法權(quán)限設(shè)置符合實際需要；不應(yīng)有的訪問允許權(quán)限被屏蔽掉； 檢測操作查看新建的文件或目錄的權(quán)限，操作舉例如下：umask是使用八進制數(shù)據(jù)代碼設(shè)置的，對于目錄，該值等于八進制4日志配置策略本局部對AIX操作系統(tǒng)設(shè)備的日志功能提出要求，主要考察設(shè)備所具備的日志功能，確保發(fā)生安分析工具，發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反ACL規(guī)如此的事件時，通過對日志的審計分析，能發(fā)現(xiàn)隱患，提高設(shè)備維護人員的警惕性，防止惡化。要求容操作指南11/2612/26 命令：AIXsyslogd加了驗證信g用戶和組禁止讀寫日志文件。檢測方法檢測方法 設(shè)備應(yīng)配置日志設(shè)備應(yīng)配置日志功能，記錄對與設(shè)備相關(guān)的安全事件。定義為需要保存的設(shè)備相關(guān)安全事件。要求容操作指南AIX置-12啟啟用核級審核下一次系統(tǒng)啟動自動執(zhí)行審計用如下命令：ttelinitq要求容操作指南13/2614/26審計能跟蹤和記錄系統(tǒng)發(fā)生的活動，一個組或一個用戶的行審計能跟蹤和記錄系統(tǒng)發(fā)生的活動，一個組或一個用戶的行為。詳細請參考如下文件的第二個章節(jié)能設(shè)定審核的容并分析查看檢測方法5.5IP協(xié)議安全策略操作指南要求容 fi15/2616/26 t安全驗證 17/26檢測方法6路由協(xié)議安全策略AIX配置-14A.把以下網(wǎng)絡(luò)參數(shù)保持到一個文本里：#優(yōu)化參數(shù)，抵制SYN-flood攻擊要求容操作指南18/26 #不允許其他機器重新設(shè)置此機網(wǎng)絡(luò)掩碼#拒絕任何源路由報文檢測方法檢測方法 19/26AIX置-15要求容要求容操作指南對于不做路由功能的系統(tǒng)，應(yīng)該關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)功能。惡意用戶可以使用IP重定向來修改遠程主機中的路由表，因此發(fā)定向信息報都要關(guān)閉：通過源路由，攻擊者可以嘗試到達部IP地址，因此不承受源路由探測：20/26 意：啟動過程中IP轉(zhuǎn)發(fā)功能關(guān)閉前AIX主機依舊可以在多塊網(wǎng)tcinitdinetinit檢測方法意：啟動過程中IP轉(zhuǎn)發(fā)功能關(guān)閉前AIX主機依舊可以在多塊網(wǎng)7服務(wù)與啟動項策略編號：安全要求-設(shè)備-AIX-配置-16要求容列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù) 操作指南方法一：手動方式操作掉的服務(wù)在相應(yīng)行開頭標記"#"字符，重啟inetd服務(wù),即可。方法二：自動方式操作21/26 22/262、補充操作說明在文件中禁止如下不必要的根本網(wǎng)絡(luò)服務(wù)。注意：改變了“inetd.conf〞文件之后，需要重新啟動inetd。并且為了防止服務(wù)取消后斷線，一定要啟用SSHD服務(wù)，用以登錄檢測方法檢測方法在文件中禁止如下不必要的根本網(wǎng)絡(luò)服務(wù)。注意：改變了“inetd.conf〞文件之后，需要重新啟動inetd。23/26 要求容操作指南據(jù)本機角色挑選下面的之一執(zhí)行：[`2>&1|\grep-c"notinstalled"`-eq0]&&\/usr/lib/instl/sm_instinstallp_cmd-u\-f'.nis.server'[`2>&1|\grep-c"notinstalled"`-eq0]&&\/usr/lib/instl/sm_instinstallp_cmd-u\-f'.nis.client'增加一行:nfs:允許訪問的IP的NFS角色是否服務(wù)端或客戶端檢測方法 #ps–elf|grepnfs查看NFS服務(wù)端是否安裝，如沒安裝返回notinstalled#查看NFS客戶端是否安裝，如沒安裝返回notinstalled#列出系統(tǒng)列出系統(tǒng)啟動時自動加載的進程和服務(wù)列表，不在此列表的需關(guān)配置操作[-f/etc/exports]&&rm-f/etc/exports操作指南要求容24/26 chmodug-s/usr/dt/bin/dtaction\/usr/dt/bin/dtappgather/usr/dt/bin/dtprintinfo/usr/dt/bin/dtsession/usr/dt/bin/dtconfig-dforSVCinroutedgatednamedtimedrwhodmrouted\snmpdhostmibddpid2lpdportmapautoconf6\ndpd-routerndpd-host;doecho"Turningoff$SVC"stopsrc-s$SVCchrctcp-d$SVCdoneforSVCinpiobei4lsdlitepmdwritesrv;doecho"Turningoff$SVC"stopsrc-s$SVCrmitab$SVCdone說明需根據(jù)每臺機器的角色，選取必須的服務(wù)，其余的可關(guān)閉，以