aix主机操作系统加固规范.pdf

为“圈内人士”做点贡献！自己写了一个比较全的AIX系统安全加固手册本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。对系统的安全配置审计、加固操作起到指导性作用。1账号管理、认证授权1.1账号1.1.1AIX-01-01-01编号AIX-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作：为用户创建账号：#mkuserusername#passwdusername列出用户属性：#lsuserusername更改用户属性：#chuserattribute=valueusername回退方案删除新增加的帐户：#rmuserusername判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★★★备注1.1.2AIX-01-01-02编号AIX-01-01-02名称配置帐户锁定策略实施目的锁定不必要的帐户，提高系统安全。问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险，容易被攻击者利用。系统当前状态查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作：系统管理员出示业务所需帐户列表，根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定user1用户，则采用的命令如下：#chuseraccount_locked=trueuser1回退方案如对user1用户解除锁定，则采用的命令如下：#chuseraccount_locked=falseuser1判断依据系统管理员出示业务所需帐户列表。查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外，其他的帐户建议根据实际情况锁定或删除。实施风险高重要等级★★★备注1.1.3AIX-01-01-03编号AIX-01-01-03名称限制超级管理员远程登录实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。问题影响如允许root远程直接登陆，则系统将面临潜在的安全风险系统当前状态执行lsuser-arloginroot命令，查看root的rlogin属性并记录实施步骤参考配置操作：查看root的rlogin属性：#lsuser-arloginroot禁止root远程登陆：#chuserrlogin=falseroot回退方案还原root可以远程登陆，执行如下命令：#chuserrlogin=trueroot判断依据执行#lsuser–arloginroot命令，查看root的rlogin属性，root是否可以远程登陆，如显示可以，则禁止。实施风险高重要等级★★★备注1.1.4AIX-01-01-04编号AIX-01-01-04名称对系统账号进行登录限制实施目的对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用问题影响可能利用系统进程默认账号登陆，账号越权使用系统当前状态查看/etc/security/passwd中各账号状态并记录实施步骤参考配置操作：系统管理员出示业务所需登陆主机的帐户列表，根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。禁止账号交互式登录：#chuseraccount_locked=trueusername删除账号：#rmuserusername补充操作说明：建议禁止交互登录的系统账号有：daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案还原被禁止登陆的帐户：#chuseraccount_locked=falseusername注：对删除帐户的操作无法回退判断依据系统管理员出示业务所需登陆主机的帐户列表。查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外，其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。实施风险高重要等级★备注1.1.5AIX-01-01-05编号AIX-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响系统中的帐户存在被非法利用的风险系统当前状态查看/etc/passwd中的内容并记录实施步骤参考配置操作：用root用户登陆AIX系统，执行passwd命令，给空口令的帐户增加密码。如采用和执行如下命令：#passwdusernamepassword回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断，查看/etc/passwd中的内容，从而判断系统中是否存在空口令的帐户。如发现存在，则建议为该帐户设置密码。实施风险高重要等级★备注1.2口令1.2.1AIX-01-02-01编号AIX-01-02-01名称缺省密码长度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位。且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。问题影响增加系统的帐户密码被暴力破解的成功率和潜在的风险系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录。实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置密码最短长度为8位：#chuserminlen=8username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态。判断依据运行lsuseruasename命令，查看帐户属性中密码的最短长度策略是否符合8位。如不符合，则进行设置。实施风险低重要等级★★★备注1.2.2AIX-01-02-02编号AIX-01-02-02名称缺省密码复杂度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类问题影响增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置口令中最少包含4个字母字符的数量：#chuserminalpha=4username设置口令中最少包含1个非字母数字字符数量：#chuserminother=1username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据运行lsuseruasename命令，查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合，则进行设置。实施风险低重要等级★★★备注1.2.3AIX-01-02-03编号AIX-01-02-03名称缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患问题影响容易造成密码被非法利用，并且难以管理系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置口令最长有效期为12周（84天）：#chusermaxage=12username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据运行lsuseruasename命令，查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天，则进行设置。实施风险低重要等级★★★备注1.2.4AIX-01-02-04编号AIX-01-02-04名称密码重复使用限制实施目的对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令问题影响造成系统帐户密码破解的几率增加以及存在潜在的安全风险系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置同一口令与前面5个口令不能重复：#chuserhistsize=5username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态。判断依据运行lsuseruasename命令，查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个，则进行设置。实施风险低重要等级★备注1.2.5AIX-01-02-05编号AIX-01-02-05名称密码重试限制实施目的对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。问题影响增加系统帐户密码被暴力破解的风险系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuserusername设置6次登陆失败后帐户锁定阀值：#chuserloginretries=6username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据运行lsuseruasename命令，查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次，则进行设置。实施风险中重要等级★备注1.3授权1.3.1AIX-01-03-01编号AIX-01-03-01名称设置关键目录的权限实施目的在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响增加系统关键目录容易被攻击者非法访问的风险系统当前状态查看/usr/bin、/sbin、/etc目录，并记录关键目录的权限实施步骤1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明文件或目录属主属组权限/etc/passwdrootsecurity-rw-r--r--/etc/grouprootsecurity-rw-r--r--/etc/filesystemrootsystem-rw-rw-r--/etc/hostsrootsystem-rw-rw-r--/etc/inittabrootsystem-rw-------/etc/security/faildloginrootsystem-rw-r--r--回退方案通过chmod命令还原目录权限到加固前状态判断依据AIX系统，/usr/bin、/bin、/sbin目录为可执行文件目录，/etc目录为系统配置目录，包括帐户文件，系统配置，网络配置文件等，这些目录和文件相对重要。确认这些配置文件的权限设置是否安全。实施风险高重要等级★★★备注1.3.2AIX-01-03-02编号AIX-01-03-02名称修改umask值实施目的控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响增加攻击者非法访问目录的风险系统当前状态查看/etc/security/user文件的配置，并记录实施步骤1、参考配置操作设置umask为027：#vi/etc/security/user在default小节，设置umask为027回退方案修改/etc/security/user文件到加固前状态判断依据查看/etc/security/user文件中的default小节是否设置umask为027实施风险高重要等级★备注1.3.3AIX-01-03-03编号AIX-01-03-03名称FTP用户及服务安全实施目的设置系统中的帐户是否可以通过ftp登陆操作问题影响增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问目录的安全风险系统当前状态查看/etc/ftpusers文件，并记录实施步骤参考配置操作：根据系统管理员提供允许ftp登陆操作的系统帐户列表，并与系统中当前