AIX安全配置基线要点

AIX系统安全配置基线第1章帐号管理认证授权1.1帐号2.1.1用户帐号设置*安全基线项目名称操作系统AIX用户帐户安全基线要求项安全基线编号SBL-AIX-02-01-01安全基线项说明设置需要锁定的用户帐号。检测操作步骤1、执行：lsuser–ahomeALL2、执行：ls–l/etc/passwd基线符合性判定依据需要锁定的用户，如：deamon,bin,sys,adm,printq,guest,nobody,lpd,备注手工判断，基于业务判断需要锁定的用户2.1.2用户组设置*安全基线项目名称操作系统AIX用户组安全基线要求项安全基线编号SBL-AIX-02-01-02安全基线项说明用户组设置。检测操作步骤1、执行：more/etc/group2、执行：ls-l/etc/group基线符合性判定依据不要存在无用的用户组，如：printq备注手工判断，基于业务判断无用的用户组2.1.3Root用户远程登录限制安全基线项目名称操作系统AIX远程登录安全基线要求项安全基线编号SBL-AIX-02-01-03安全基线项说明Root用户远程登录限制。检测操作步骤1、执行：more/etc/security/user，检查在root项目中是否有下列行:rlogin=falselogin=truesu=truesugroup=system基线符合性判定依据禁止root用户直接登录系统备注2.1.4系统用户登录限制*安全基线项目名称操作系统AIX用户登录安全基线要求项安全基线编号SBL-AIX-02-01-04安全基线项说明系统用户登录限制。检测操作步骤1、执行：more/etc/security/user，检查在daemonbinsysadmuucpnuucpprintqguestnobodylpdsshd项目中是否有下列行:rlogin=falselogin=false基线符合性判定依据系统帐号仅被守护进程和服务使用，不应直接由用户登录系统。如果系统没有应用这些守护进程或服务，建议删除这些帐号。备注手工判断，基于业务判断相关帐号2.1.5帐号用户共享限制*安全基线项目名称操作系统AIX帐号用户共享限制安全基线要求项安全基线编号SBL-AIX-02-01-05安全基线项说明应按照不同的用户分配不同的帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。检测操作步骤1、参考配置操作为用户创建帐号：#useraddusername#创建帐号#passwdusername#设置密码修改权限：#chmod750directory#其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的帐号，设置不同的口令及权限信息等。2、补充操作说明基线符合性判定依据1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的帐号进行登录并进行一些常用操作；3、补充说明备注手工判断，基于业务判断2.1.6删除系统无关帐号*安全基线项目名称操作系统AIX系统无关帐号安全基线要求项安全基线编号SBL-AIX-02-01-06安全基线项说明应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1、参考配置操作删除用户：#rmuser–pusername;锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwd-lusername锁定用户,用#passwd–dusername解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：deamon,bin,sys,adm,printq,guest,nobody,lpd系统内存在不可删除的内置帐号，包括root,bin等。基线符合性判定依据1、判定条件被删除或锁定的帐号无法登录成功；2、检测操作使用删除或锁定的与工作无关的帐号登录系统；3、补充说明需要锁定的用户：deamon,bin,sys,adm,printq,guest,nobody,lpd备注手工判断，基于业务判断系统无关帐号2.1.7限制具备超级管理员权限的用户远程登录安全基线项目名称操作系统AIX用户远程管理安全基线要求项安全基线编号SBL-AIX-02-01-07安全基线项说明限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限帐号后执行相应操作。检测操作步骤1、参考配置操作编辑/etc/security/user，加上：在root项上输入false作为rlogin的值此项只能限制root用户远程用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。基线符合性判定依据1、判定条件root远程登录不成功，提示“Notonsystemconsole”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLoginyes改为PermitRootLoginno，重启sshd服务。备注2.1.8多帐户组管理*安全基线项目名称操作系统AIX多帐户组安全基线要求项安全基线编号SBL-AIX-02-01-08安全基线项说明根据系统要求及用户的业务需求，建立多帐户组，将用户帐号分配到相应的帐户组。检测操作步骤1、参考配置操作创建帐户组：#groupadd–gGIDgroupname#创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod–ggroupusername#将用户username分配到group组中。查询被分配到的组的GID：#idusername可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用-g选项设定新组的GID。0到499之间的值留给root、bin、mail这样的系统帐号，因此最好指定该值大于499。如果新组名或者GID已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrpsys即把当前用户以sys组身份运行；基线符合性判定依据1、判定条件可以查看到用户帐号分配到相应的帐户组中；或都通过命令检查帐号是否属于应有的组：#idusername2、检测操作查看组文件：cat/etc/group3、补充说明文件中的格式说明：group_name::GID:user_list备注手工判断，基于业务判断2.1.9系统帐号登陆限制*安全基线项目名称操作系统AIX系统帐号登陆安全基线要求项安全基线编号SBL-AIX-02-01-09安全基线项说明对系统帐号进行登录限制，确保系统帐号仅被守护进程和服务使用，不应直接由该帐号登录系统。如果系统没有应用这些守护进程或服务，应删除这些帐号。检测操作步骤1、参考配置操作禁止帐号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除帐号：#rmuser-pusername;2、补充操作说明禁止交互登录的系统帐号，比如uucpnuucplpdguestprintq等基线符合性判定依据1、判定条件被禁止帐号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一帐号，密码不设，从远程用此帐户登录，登录会显示loginincorrect，如果root用户没设密码没有任何提示信息直接退出；3、补充说明备注手工判断，基于业务判断1.2口令2.2.1口令生存期安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02-01安全基线项说明对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天（13周）。检测操作步骤1、执行：more/etc/security/user，检查histexpire基线符合性判定依据Histexpire小于等于13备注2.2.2口令历史安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02-02安全基线项对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近说明5次内已使用的口令。检测操作步骤1、执行：more/etc/security/user，检查histsize基线符合性判定依据Histsize大于等于5备注2.2.3用户口令锁定策略*安全基线项目名称操作系统AIX口令锁定安全基线要求项安全基线编号SBL-AIX-02-02-03安全基线项说明对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的帐号。检测操作步骤1、执行：more/etc/security/user，检查loginretries基线符合性判定依据loginretries=10备注注意！此项设置会影响性能，建议设置后对访问此服务器源地址做限制。2.2.4用户访问权限安全要求安全基线项目名称操作系统AIX用户访问权限安全基线要求项安全基线编号SBL-AIX-02-02-04安全基线项说明控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤1、执行：more/etc/default/login，检查umask基线符合性判定依据umask027备注2.2.5用户FTP访问的安全要求*安全基线项目名称操作系统AIX用户FTP访问安全基线要求项安全基线编号SBL-AIX-02-02-05安全基线项说明控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。检测操作步骤1、执行：more/etc/ftpaccess，检查restricted-uid2、执行：more/etc/ftpusers基线符合性判定依据ftpaccess中应有类似一行restricted-uid*(限制所有)；ftpusers列表里边的用户名应包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4备注手工判断2.2.6用户口令强度要求安全基线项目名称操作系统AIX用户口令安全基线要求项安全基线编号SBL-AIX-02-02-06安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤1、参考配置操作chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsec–f/etc/security/user–sdefault-apwdwarntime=5minlen=8#密码长度最少8位minalpha=1#包含的字母最少1个mindiff=1#包含的唯一字符最少1个minother=1#包含的非字母最少1个pwdwarntime=5#系统在密码过期前5天发出修改密码的警告信息给用户2、补充操作说明基线符合性判定依据1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的