主机加固操作手册(AIX)

第1页共7页AIX加固操作手册编号加固项备注1.1禁用以下服务：kshell(kerbores协议的shell服务)klogin(kerbores协议的login服务)exec(提供rexec远程执行命令服务)echo(字符回显测试服务)discard（丢弃字符测试服务）chargen(发送字符测试服务)daytime(时间同步服务)time(时间同步服务)ntalk(基于字符的聊天服务服务)rstatd(服务器内核信息查询)rusersd(用户信息查询服务)rwalld(用户信息通告服务)sprayd(系统性能信息查询服务)pcnfsd(非UNIX客户机打印缓冲服务)加固步骤:1.编辑/etc/inetd.conf文件2.注释以下单词开头的行：kshellkloginexecechodiscardchargendaytimetimentalkrstatdrusersdrwalldspraydpcnfsd服务3.重启服务refresh-sinetd回退步骤:1.编辑/etc/inetd.conf文件2.取消注释以下单词开头的行：kshell第2页共7页kloginexecechodiscardchargendaytimetimentalkrstatdruserdrwalldspraydpcnfsd3.重启服务refresh-sinetd1.2禁用以下服务：sendmail(邮件服务)routed(基于rip的路由服务)gated(多种路由协议的路由服务)named(DNS服务)timed(时间同步服务)rwhod(用户信息服务)lpd(打印服务)ndpd-router(路由服务)ndpd-host(路由服务)piobe(打印服务)httpdlite(man文档查询)writesrv(用户聊天服务)服务加固步骤:禁用以下服务，以sendmail服务为例：sendmailroutedgatednamedtimedrwhodlpd,ndpd-routerndpd-host1．检查服务开启情况lssrc-a2.停止sendmail服务第3页共7页stopsrc-ssendmail3.禁止sendmail自启动chrctcp-dsendmail禁用以下服务，以piobe为例piobehttplitewritesrv服务1.停止piobe服务stopsrc-spiobe2.禁止piobe服务自启动编辑/etc/inittab,在piobe开头的行前增加分号回退步骤:启用以下服务，以sendmail服务为例：sendmailroutedgatednamedtimedrwhodlpd,ndpd-routerndpd-host1.启动sendmail服务startsrc-ssendmail2.设置sendmail服务自启动chrctcp-asendmail第4页共7页启用以下服务，以piobe为例piobehttplitewritesrv1.启动piobe服务startsrc-spiobe2.允许piobe服务自启动编辑/etc/inittab,取消piobe行的注释（分号）1.3加强snmpcommunity复杂度加固步骤：1.编辑/etc/snmpd.conf2.如果communitystring为public,则修改public为cpic3.重启snmpd服务refresh-ssnmpd回退步骤:1.编辑/etc/snmpd.conf2.修改cpic为public3.重启snmpd服务refresh-ssnmpd1.4禁止syslog接收网络日志加固步骤：1．设置syslogd参数chssys-ssyslogd–a“-r”2.重启syslogd服务stopsrc-ssyslogdstartsrc-ssyslogd回退步骤:第5页共7页操作如下:1．设置syslogd参数chssys-ssyslogd–a“”2.重启syslogd服务stopsrc–ssyslogdstartsrc-ssyslogd1.5设置所有人可写目录的sticky位加固步骤：find/-typed\(-perm-0002-a!-perm-1000\)-print-execchmod+t{}\;回退步骤：如果某个用户test需要写test1拥有的文件file1,file1所在目录为dir1,修改如下:chmod-tdir11.6规范基于rhosts认证的信任关系1．查找/etc/hosts.equiv与~/.rhosts文件，~/.rhosts查找方法如下:find/-name‘.rhosts’-print2．如果/etc/hosts.equiv或~/.rhosts文件中存在+号，与系统管理员确认信任关系后删除”+”号，重新设置详细的信任关系1.7禁止系统用户使用ftp服务1．编辑或创建/etc/ftpusers2.每个系统帐号一行,系统帐号如下:daemonbinsysadmuucpguestnobodylpdlpinvscoutinvscoutipsecnuucp1.8限制cron的使用编辑或创建/var/adm/cron/cron.allow文件,增加如下行：每行都为/var/spool/cron/crontabs目第6页共7页录中一个文件名1.9禁止系统帐号登陆1．编辑/etc/passwd2.设置系统帐号的登录shell为空,系统帐号如下:daemonbinsysadmuucpguestnobodylpdlpinvscoutinvscoutipsecnuucp1.10设置密码策略注意：设置密码最小长度会影响以前密码不符合长度的用户，这步应由系统管理员导出系统帐号，跟应用相关人员确认，如果不符合需先修改密码后再做这一步加固步骤：1.设置密码最小长度8chsec-f/etc/security/user-sdefault-aminlen=8回退步骤：如果需要设置密码最小长度为6，如下chsec-f/etc/security/user-sdefault-aminlen=61.11确保系统的超级用户都是合法的1.编辑/etc/passwd2.如果存在其他uid为0的非root用户，确保其是合法的1.12限制root用户远程登录加固步骤：chuserrlogin=falseroot第7页共7页回退步骤：chuserrlogin=trueroot