AIX操作系统安全配置规范

1AIX安全配置程序21账号认证编号：安全要求-设备-通用-配置-1要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。操作指南1、参考配置操作删除用户：#rmuser–pusername;锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#chuseraccount_locked=TRUEusername只有具备超级用户权限的使用者方可使用，#chuseraccount_locked=TRUEusername锁定用户,用#chuseraccount_locked=FALSEusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd编号：安全要求-设备-通用-配置-2要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/security/user，加上：如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将3PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。2、补充操作说明检测方法1、判定条件root远程登录不成功，提示“Notonsystemconsole”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。2密码策略编号：安全要求-设备-通用-配置-3要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsec–f/etc/security/user–sdefault-apwdwarntime=5minlen=8#密码长度最少8位minalpha=1#包含的字母最少1个mindiff=1#包含的唯一字符最少1个minother=1#包含的非字母最少1个pwdwarntime=5#系统在密码过期前5天发出修改密码的警告信息给用户2、补充操作说明4检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i.配置口令的最小长度；ii.将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。编号：安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于12周（84天）。操作指南1、参考配置操作方法一：chsec-f/etc/security/user-sdefault-ahistexpire=12方法二：用vi或其他文本编辑工具修改chsec-f/etc/security/user文件如下值：histexpire=13histexpire=13#密码可重复使用的星期为12周（84天）2、补充操作说明检测方法1、判定条件密码过期后登录不成功；2、检测操作使用超过84天的帐户口令登录会提示密码过期；编号：安全要求-设备-通用-配置-5要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近3次（含3次）内已使用的口令。5操作指南1、参考配置操作方法一：chsec-f/etc/security/user-sdefault-ahistsize=3方法二：用vi或其他文本编辑工具修改chsec-f/etc/security/user文件如下值：histsize=3histexpire=3#可允许的密码重复次数检测方法1、判定条件设置密码不成功2、检测操作cat/etc/security/user，设置如下histsize=33、补充说明默认没有histsize的标记，即不记录以前的密码。编号：安全要求-设备-通用-配置-6要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过5次（不含5次），锁定该用户使用的账号。操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：chsec-f/etc/security/user-sdefault-aloginretries=52、补充操作说明检测方法1、判定条件帐户被锁定，不再提示让再次登录；2、检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录5次以上（不含5次）；3审核授权策略编号：安全要求-设备-通用-配置-7(1)设置全局审核事件6配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。classes:custom=USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_JobAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER_Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime(2)审核系统安全文件修改配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。/etc/security/environ:w=S_ENVIRON_WRITE/etc/security/group:w=S_GROUP_WRITE/etc/security/limits:w=S_LIMITS_WRITE/etc/security/login.cfg:w=S_LOGIN_WRITE/etc/security/passwd:r=S_PASSWD_READw=S_PASSWD_WRITE/etc/security/user:w=S_USER_WRITE/etc/security/audit/config:w=AUD_CONFIG_WR编号：安全要求-设备-通用-配置-8要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明chmod644/etc/passwd/etc/groupchmod750/etc/securitychmod-Rgo-w,o-r/etc/security7/etc/passwd所有用户都可读，root用户可写–rw-r—r—/etc/shadow只有root可读–r--------/etc/group必须所有用户都可读，root用户可写–rw-r—r—使用如下命令设置：chmod644/etc/passwdchmod644/etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod-Rgo-w,o-r/etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。3、补充说明编号：安全要求-设备-AIX-配置-9要求内容控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。操作指南1、参考配置操作A.设置所有存在账户的权限：8lsuser-ahomeALL|awk'{print$1}'|whilereaduser;dochuserumask=027$userdonevi/etc/default/login在末尾增加umask027B.设置默认的profile，用编辑器打开文件/etc/security/user，找到umask这行，修改如下：Umask=0272、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls-ldir;#查看目录dir的权限#cat/etc/default/login查看是否有umask027内容3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。4日志配置策略本部分对AIX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计9分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。编号：安全要求-设备-通用-配置-10要求内容设备应配置日