AIX 操作系统安全配置要求及操作指南

项目编号要求内容1应按照不同的用户分配不同的账号。2应删除或锁定与设备运行、维护等工作无关的账号。3限制具备超级管理员权限的用户远程登录。需要远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。账号4对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。1对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。账号口令2对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。3对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。4对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。口令1在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。授权2控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。补丁1应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。授权1设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。2（可选）启用记录cron行为日志功能和cron/at的使用情况3设备应配置权限，控制对日志文件读取、修改和删除等操作。日志不必要的服务、端口1列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。1控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。2对文件和目录进行权限设置，合理设置重要目录和文件的权限系统Banner设置1修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息登陆超时时间设置1对于具备字符交互界面的设备，配置定时帐户自动登出文件与目录权限内核调整设置1防止堆栈缓冲溢出SSH加密协议1对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。1禁止root登陆FTPFTP设置2禁止匿名ftp3修改FTPbanner信息附录A：端口及服务FTP设置操作指南1、参考配置操作为用户创建账号：#useraddusername#创建账号#passwdusername#设置密码修改权限：#chmod750directory#其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明1、参考配置操作删除用户：#userdelusername;锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。1、参考配置操作编辑/etc/security/user，加上：在root项上输入false作为rlogin的值此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。1、参考配置操作把如下shell保存后，运行，会修改ssh的安全设置项：unaliascprmmvcase`find/usr/etc-typef|grep-cssh_config$`in0)echoCannotfindssh_config;;1)DIR=`find/usr/etc-typef2/dev/null|\grepssh_config$|sed-es:/ssh_config::`cd$DIRcpssh_configssh_config.tmpawk'/^#?*Protocol/{printProtocol2;next};{print}'ssh_config.tmpssh_configif[`grep-El^Protocolssh_config`=];thenecho'Protocol2'ssh_configfi4rmssh_config.tmpchmod600ssh_config;;*)echoYouhavemultiplesshd_configfiles.Resolveechobeforecontinuing.;;esac#也可以手动编辑ssh_config，在Host*后输入Protocol2，cd$DIRcpsshd_configsshd_config.tmpawk'/^#?*Protocol/{printProtocol2;next};1、参考配置操作chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsec–f/etc/security/user–sdefault-apwdwarntime=5minlen=8#密码长度最少8位minalpha=1#包含的字母最少1个mindiff=1#包含的唯一字符最少1个minother=1#包含的非字母最少1个pwdwarntime=5#系统在密码过期前5天发出修改密码的警告信息给用户2、补充操作说明1、参考配置操作方法一：chsec-f/etc/security/user-sdefault-ahistexpire=13方法二：用vi或其他文本编辑工具修改chsec-f/etc/security/user文件如下值：histexpire=13histexpire=13#密码可重复使用的星期为13周（91天）2、补充操作说明1、参考配置操作方法一：chsec-f/etc/security/user-sdefault-ahistsize=5方法二：用vi或其他文本编辑工具修改chsec-f/etc/security/user文件如下值：histsize=5histexpire=5#可允许的密码重复次数1、参考配置操作查看帐户帐户属性：#lsuserusername设置6次登陆失败后帐户锁定阀值：#chuserloginretries=6username备注：root账户不在锁定范围内1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明chown-Rroot:security/etc/passwd/etc/group/etc/securitychown-Rroot:audit/etc/security/auditchmod644/etc/passwd/etc/groupchmod750/etc/securitychmod-Rgo-w,o-r/etc/security/etc/passwd/etc/group/etc/security的所有者必须是root和security组成员/etc/security/audit的所有者必须是iroot和audit组成员/etc/passwd所有用户都可读，root用户可写–rw-r—r—/etc/shadow只有root可读–r--------/etc/group必须所有用户都可读，root用户可写–rw-r—r—使用如下命令设置：chmod644/etc/passwdchmod644/etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod-Rgo-w,o-r/etc1、参考配置操作a.限制某些系统帐户不准ftp登录:通过修改ftpusers文件，增加帐户#vi/etc/ftpusersb.限制用户可使用FTP不能用Telnet，假如用户为ftpxll创建一个/etc/shells文件,添加一行/bin/true;修改/etc/passwd文件，ftpxll:x:119:1::/home/ftpxll:/bin/true注：还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能够登录ftp以上两个步骤可参考如下shell自动执行：lsuser-cALL|grep-v^#name|cut-f1-d:|whilereadNAME;doif[`lsuser-f$NAME|grepid|cut-f2-d=`-lt200];thenechoAdding$NAMEto/etc/ftpusersecho$NAME/etc/ftpusers.newfidonesort-u/etc/ftpusers.new/etc/ftpusersrm/etc/ftpusers.newchownroot:system/etc/ftpuserschmod600/etc/ftpusersc.限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess，加入如下一行restricted-uid*(限制所有)，restricted-uidusername（特定用户）ftpaccess文件与ftpusers文件在同一目录d.设置ftp用户登录后对文件目录的存取权限，可编辑/etc/ftpaccess。1、参考配置操作先把补丁集拷贝到一个目录，如/08update，然后执行#smitupdate_all选择安装目录/08update默认SOFTWAREtoupdate[_update_all]选择不提交，保存被覆盖的文件，可以回滚操作，接受许可协议COMMITsoftwareupdates?noSAVEreplacedfiles?yesACCEPTnewlicenseagreements?yes然后回车执行安装。2、补充操作说明1、参考配置操作修改配置文件vi/etc/syslog.conf，加上这几行：auth.info\t\t/var/adm/authlog*.info;auth.none\t\t/var/adm/syslog\n建立日志文件，如下命令：touch/var/adm/authlog/var/adm/syslogchownroot:system/var/adm/authlog重新启动syslog服务，依次执行下列命令：stopsrc-ssyslogdstartsrc-ssyslogdAIX系统默认不捕获登录信息到syslogd，以上配置增加了验证信息发送到/var/adm/authlog和/var/adm/syslog2、补充操作说明1、参考配置操作cron/At的相关文件主要有以下几个：/var/spool/cron/crontabs存放cron任务的目录/var/spool/cron/cron.allow允许使用crontab命令的用户/var/spool/cron/cron.deny不允许使用crontab命令的用户/var/spool/cron/atjobs存放at任务的目录/var/spool/cron/at.allow允许使用at的用户/var/spool/cron/at.deny不允许使用at的用户使用crontab和at命令可以分别对cron和at任务进行控制。#crontab-l查看当前的cron任务#at-l查看当前的a