AIX主机操作系统加固规范2011年10月目录账号管理、认证授权1账号1SHG-AIX-01-01-011SHG-AIX-0I-0!-022L3SHG-AIX-0/-0卜033SHG-AIX-01-01-044SHG-AIX-01-01-055口j6SHG-AIX-01-02-016SHG-AIX-01-02-027SHG-AIX-01-02-038SHG-AIX-01-02-049SHG-AIX-01-02-0510授权11SHG-AIX-01-03-0111SHG-AIX-Ol-03-0212SHG-AIX-01-03-0313SHG-AIX-01-03-0414SHG-AIX-01-03-0514日志配置15LISHG-ADC-02-0丨-0115SHG-AIX-02-01-0216SHG-AIX-02-01-0317SHG-AIX-02-01-0418通信协议19IP协议安全19SHG-AIX-03-0J-0119SHG-AIX-03-0I-0221路由协议安全22SHG-AIX-03-02-0122补丁管理24SHG-AIX-04-01-0124服务进程和启动25SHG-AIX-05-0J-0125SHG-AIX-05-01-0227设备其他安全要求31登陆超时策略31SHG-AIX-06-01-0131系统Banner设置32SHG-AIX-06-02-0132内核调整32SHG-AIX-06-03-0J32附录:AIX可被利用的漏洞(截止2009-3-8)33本文档是AIX操作系统的对于AIX系统设备账号认证、口志、协议、补丁升级、文件系统管理等方面的安全配置要求,共27项。对系统的安全配置审计、加M操作起到指导性作用。1账号管理、认证授权1-1账号1.1.1SHG-AIX-01-01-01编号SHG-AIX-01-01-01名称为不同的管理员分配不同的账号实施冃的根据不同类型用途设置不同的帐户账号,提髙系统安全。问题影响账号混淆,权限不明确,存在用户越权使用的可能。系统当前状态查看/etc/passwd中记录的系统:M/|前用户列表实施步骤参考配置操作:为用户创建账号:#mkuserusername#passwdusername列出用户属性:#lsuserusername更改用户属性:#chuserattribute=valueusername回退方案删除新增加的帐户:ttrmuserusername判断依据标记用户用途,定期建立用户列表,比较是否有非法用户实施风险高重要等级★★★备注1.1.2SHG-AIX-01-01-02编号SHG-AIX-01-01-02名称配置帐户锁定策略实施冃的锁定不必要的帐户,提高系统安全。问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利W。系统连前状态查看/etc/passwd中记录的系统:M/|前用户列表实施步骤参考配置操作:系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定userl用户,则釆用的命令如下:#chuseraccount_locked=trueuserl回退方案如对userl用户解除锁定,则釆用的命令如下:#chuseraccount一locked=falseuserl判断依据系统管理员出示业务所需帐户列表。查看/etc/passwd中所记录的系统:+|前用户列表是否~•业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他备注的帐户建议根据实际情况锁定或删除。实施风险(RI重要等级★★★备注1.1.3SHG-AIX-01-01-03编号SHG-AIX-01-01-03名称限制超级管理员远程登录实施冃的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。问题影响如允许root远程直接登陆,则系统将面临潜在的安全风险系统当前状态执行Isuser-arloginroot命令,查看root的rlogin属性并记录实施步骤参考配置操作:查看root的rlogin属性:#lsuser-arloginroot禁止root远程登陆:#chuserrlogin=falseroot回退方案还原root可以远程登陆,执行如下命令:#chuserrlogin=trueroot判断依据执行#lsuser一arloginroot命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。实施风险高重要等级★★★1.1.4SHG-AIX-01-01-04编号SHG-AIX-01-01-04名称对系统账号进行登录限制备注实施冃的对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用问题影响可能利用系统进程默认账号登陆,账号越权使用系统.当前状态査看/etc/security/passwd中各账号状态并记录参考配置操作:系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统勹业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。禁止账号交互式登录:实施步骤#chuseraccount_locked=trueusername删除账号:#rmuserusername补充操作说明:建议禁止交互登录的系统账号有:daemon,bin,sys,adm,uucp,guest,nobody,lp,help等还原被禁止登陆的帐户:回退方案#chuseraccount_locked=falseusername注:对删除帐户的操作无法回退判断依据系统管理员出示业务所需登陆主机的帐户列表。查看/etc/security/passwd中所记录的可以登陆主机的帐户是否勹业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。实施风险高重要等级★备注1.1.5SHG-AIX-01-01-05编号SHG-AIX-01-01-05备注名称为空口令用户设置密码实施冃的禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。问题影响系统中的帐户存在被非法利用的风险系统.当前状态查看/etc/passwd屮的内容并记录实施步骤参考配置操作:用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。如釆用和执行如下命令:#passwdusernamepassword回退方案Root身份设置用户口令,取消口令如做了门令策略则失败判断依据登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。如发现存在,则建议为该帐户设置密码。实施风险高重要等级★备注1.2口令1.2.1SHG-AIX-01-02-01编号SHG-AIX-01-02-01名称缺筲密码长度限制实施FI的防止系统弱口令的存在,减少安全隐患。对于釆用静态口令认证技术的设备,口令长度至少6位。且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。问题影响增加系统的帐户密码被暴力破解的成功率和潸在的风险系统当前状态运行Isuserusername命令,查看帐户属性和A前状态,并记录。cat/etc/security/user|grep“minlen=,,实施步骤参考配置操作:vi/etc/security/userminlen=8回退方案根据在加同前所记录的帐户属性,修改设置到系统加同前状太心、o判断依据运行Isuseruasename命令,查看帐户属性中密码的最短长度策略是否符合8位。如不符合,则进行设置。cat/etc/security/user实施风险低重要等级★★★备注编号SHG-AIX-01-02-02名称缺畨密码复杂度限制实施目的防止系统弱口令的存在,减少安全隐患。对于釆用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类1.2.5SHG-AIX-01-02-2问题影响增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险系统浩前状态运行Isuserusername命令,查看帐户属性和〃1前状态,并记录cat/etc/security/user|grep“minalpha=,,cat/etc/security/user|grep“minother=,,实施步骤参考配置操作:vi/etc/security/userminalpha=4minother二1回退方案根据在加同前所记录的帐户属性,修改设置到系统加同前状太心判断依据运行Isuseruasename命令,查看帐户属性屮口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合,则进行设置。cat/etc/security/user|grep“minalpha=,,cat/etc/security/usergrep“minother=,,实施风险低重要等级★★★备注1.2.3SHG-AIX-01-02-03编号SHG-AIX-01-02-03名称缺省密码生存周期限制实施冃的对于釆用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患问题影响容易造成密码被非法利用,并且难以管理系统当前状态运行Isuserusername命令,查看帐户属性和当前状态,并记录cat/etc/security/user|grep“maxage二,,实施步骤参考配置操作:vi/etc/security/usermaxage=13回退方案根据在加阆前所记录的帐户属性,修改设置到系统加阆前状态判断依据运行Isuseruasename命令,查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天,则进行设置。cat/etc/security/user|grep“maxage=,,实施风险低重要等级★★★备注1.2.5SHG-AIX-01-02-4编号SHG-AIX-01-02-04名称密码重复使用限制实施R的对于釆用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令问题影响造成系统帐户密码破解的几率增加以及存在潜在的安全风险系统当前状态运行Isuserusername命令,查看帐户属性和当前状态,并记录cat/etc/security/usergrep“histsize=,,实施步骤参考配置操作:vi/etc/security/userhistsize二5回退方案根据在加同前所记录的帐户属性,修改设置到系统加同前状态。判断依据运行Isuseruasename命令,查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个,则进行设置。cat/etc/security/usergrep“histsize=,,实施风险低重要等级★备注编号SHG-AIX-01-02-05名称密码重试限制实施R的对于釆用静态口令认证技术的设备,应配置A用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。问题影响增加系统帐户密码被暴力破解的风险1.2.5SHG-AIX-01-02-5系统当前状态运行Isuserusername命令,查看帐户属性和巧前状态,并记录cat/etc/security/user|grep“loginretries=,,实施步骤参考配置操作:vi/etc/security/userloginretries=6回退方案根据在加同前所记录的帐户属性,修改设置到系统加同前状态判断依据运行Isuseruasename命令,查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次,则进行设置。cat/etc/security/user|grep“loginretries=,,实施风险中重要等级★备注1-3授权1.3.1SHG-AIX-01-03-01编号SHG-AIX-01-03-01名称设置关键R录的权限实施目的在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。问题影响增加系统关键R录容易被攻击者非法访问的风险系统当前状态查看/