中国移动AIX操作系统安全配置规范V1.0

《中国移动AIX操作系统安全配置规范V1.0》由会员分享，可在线阅读，更多相关《中国移动AIX操作系统安全配置规范V1.0（33页珍藏版）》请在装配图网上搜索。

1、xxx实施xxx发布中国移动AIX操作系统安全配置规范安全配置规范Specification for AIX OS Configuration Used in China Mobile版本号：1.0.0中国移动通信有限公司网络部 中国移动AIX操作系统安全配置规范目录1范围12规范性引用文件13术语和定义和缩略语14AIX设备安全配置要求14.1账号管理、认证授权2账号2口令4授权74.2日志配置要求104.3IP协议安全配置要求14IP协议安全14路由协议安全174.4设备其他安全配置要求19屏幕保护19文件系统及访问权限20物理端口设置22补丁管理22服务23内核调整26启动项275编制历

2、史29前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司。本标准解释单位：同提出单位。本标准主要起草人： 张瑾、赵强、石磊、陈敏时、周智、曹一生。 中国移动通信和设备通用安全配置规范1 范围本规

3、范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。2 规范性引用文件本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的AIX操作系统安全配置要求。以本规范还针对直接引用通用规范的配置要求，给出了在AIX操作系统上的具体配置方法和检测方法。编号采纳意见补充说明安全要求-设备-通用-配置-1完全采纳安全要求-设备-通用-配置-2完全采纳安全要求-设备-通用-配置-3-可选完全采纳安全要求-设备-通用-配置-4完全采纳安全要求

4、-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-29-可选未采纳安全要求-设备-通用-配置-6-可选完全采纳安全要求-设备-通用-配置-7-可选完全采纳安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选未采纳安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-28未采纳安全要求-设备-通用-配置-16-可选未采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19完全采纳安全要求-设备-通用-配置-20-可选完全采纳安全要求-

5、设备-通用-配置-27未采纳本规范新增的安全配置要求，如下：安全要求-设备-AIX-配置-4-可选安全要求-设备-AIX-配置-5-可选安全要求-设备-AIX-配置-12-可选安全要求-设备-AIX-配置-13-可选安全要求-设备-AIX-配置-18-可选安全要求-设备-AIX-配置-19-可选安全要求-设备-AIX-配置-21-可选安全要求-设备-AIX-配置-22-可选安全要求-设备-AIX-配置-23-可选安全要求-设备-AIX-配置-24-可选安全要求-设备-AIX-配置-27-可选安全要求-设备-AIX-配置-28-可选安全要求-设备-AIX-配置-31-可选安全要求-设备-AIX-

6、配置-32-可选安全要求-设备-AIX-配置-33-可选安全要求-设备-AIX-配置-34-可选安全要求-设备-AIX-配置-35-可选安全要求-设备-AIX-配置-36-可选安全要求-设备-AIX-配置-37-可选3 术语和定义和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）语词英文描述中文描述4 AIX设备安全配置要求本规范所指的设备为采用AIX操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用AIX操作系统的设备。本规范从运行AIX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配置功能四个方面提出安全配置要求。4.1 账号管理

7、、认证授权4.1.1 账号编号： 安全要求-设备-通用-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同

8、的账号进行登录并进行一些常用操作；3、补充说明编号： 安全要求-设备-通用-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。操作指南1、参考配置操作删除用户：#rmuser p username; 锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效，登录需输入

9、新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd 编号： 安全要求-设备-通用-配置-3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级

10、管理员权限账号后执行相应操作。操作指南1、 参考配置操作编辑/etc/security/user，加上：在root项上输入false作为rlogin的值此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。检测方法1、判定条件root远程登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作ro

11、ot从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。编号： 安全要求-设备-AIX-配置-4-可选要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作创建帐户组：#groupadd g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组

12、分配一个GID号；#usermod g group username #将用户username分配到group组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户

13、以sys组身份运行；检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#id username 2、检测操作查看组文件：cat /etc/group 3、补充说明文件中的格式说明：group_name:GID:user_list 编号： 安全要求-设备-AIX-配置-5-可选要求内容对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。操作指南1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除账号：#rmuser -p

14、username;2、补充操作说明禁止交互登录的系统账号，比如uucp nuucp lpd guest printq等检测方法1、判定条件被禁止账号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出；3、补充说明4.1.2 口令编号： 安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作chsec -f /etc/security/use

15、r -s default -a minlen=6chsec -f /etc/security/user -s default -a minalpha=1chsec -f /etc/security/user -s default -a mindiff=1chsec -f /etc/security/user -s default -a minother=1chsec f /etc/security/user s default -a pwdwarntime=5minlen=6 #密码长度最少6位minalpha=1 #包含的字母最少1个mindiff=1 #包含的唯一字符最少1个minothe

16、r=1#包含的非字母最少1个pwdwarntime=5 #系统在密码过期前5天发出修改密码的警告信息给用户2、补充操作说明 检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。编号： 安全要求-设备-通用-配置-5要求内容对于采用

17、静态口令认证技术的设备，帐户口令的生存期不长于90天。操作指南1、 参考配置操作方法一：chsec -f /etc/security/user -s default -a histexpire=13方法二：用vi或其他文本编辑工具修改chsec -f /etc/security/user文件如下值：histexpire=13histexpire=13 #密码可重复使用的星期为13周（91天）2、补充操作说明检测方法1、判定条件密码过期后登录不成功；2、检测操作使用超过90天的帐户口令登录会提示密码过期；编号： 安全要求-设备-通用-配置-6-可选要求内容对于采用静态口令认证技术的设备，应配置设

18、备，使用户不能重复使用最近5次（含5次）内已使用的口令。操作指南1、参考配置操作方法一：chsec -f /etc/security/user -s default -a histsize=5方法二：用vi或其他文本编辑工具修改chsec -f /etc/security/user文件如下值：histsize=5histexpire=5 #可允许的密码重复次数检测方法1、判定条件设置密码不成功2、检测操作cat /etc/security/user，设置如下histsize=53、补充说明默认没有histsize的标记，即不记录以前的密码。编号： 安全要求-设备-通用-配置-7-可选要求内容对

19、于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：chsec -f /etc/security/user -s default -a login retries=62、补充操作说明检测方法1、判定条件帐户被锁定，不再提示让再次登录；2、检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录6次以上（不含6次）；4.1.3 授权编号： 安全要求-设备-通用-配置-9要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需

20、的最小权限。操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、 补充操作说明chown -R root:security /etc/passwd /etc/group /etc/security chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod -R go-w,o-r /etc/security/etc/passwd /etc/group /etc/security的所有者必须是root和security组成员/etc

21、/security/audit的所有者必须是iroot和audit组成员/etc/passwd 所有用户都可读，root用户可写 rw-rr /etc/shadow 只有root可读 r- /etc/group 必须所有用户都可读，root用户可写 rw-rr使用如下命令设置：chmod 644 /etc/passwdchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w,o-r /etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记

22、录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。3、补充说明编号： 安全要求-设备-AIX-配置-12-可选要求内容控制用户缺省访问权限，当在

23、创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。操作指南1、 参考配置操作A.设置所有存在账户的权限：lsuser -a home ALL | awk print $1 | while read user; do chuser umask=077 $userdonevi /etc/default/login在末尾增加umask 027B.设置默认的profile，用编辑器打开文件/etc/security/user，找到umask这行，修改如下：Umask=0772、补充操作说明如果用户需要使用一个不同于默认全局系

24、统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/default/login 查看是否有umask 027内容3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777

25、减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。编号： 安全要求-设备-AIX-配置-13-可选要求内容控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。操作指南1、参考配置操作a. 限制某些系统帐户不准ftp登录:通过修改ftpusers文件，增加帐户#vi /etc/ftpusers b. 限制用户可使用FTP不能用Telnet，假如用户为ftpxll创建一个/etc/shells文件, 添加一行 /bin/true;修改/etc/passwd文件，ftpxll:

26、x:119:1:/home/ftpxll:/bin/true注：还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能够登录ftp以上两个步骤可参考如下shell自动执行：lsuser -c ALL | grep -v #name | cut -f1 -d: | while read NAME; do if lsuser -f $NAME | grep id | cut -f2 -d= -lt 200 ; then echo Adding $NAME to /etc/ftpusers echo $NAME /etc/ftpusers.new fi done sort -

27、u /etc/ftpusers.new /etc/ftpusers rm /etc/ftpusers.new chown root:system /etc/ftpusers chmod 600 /etc/ftpusersc. 限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess，加入如下一行restricted-uid *(限制所有)，restricted-uid username（特定用户） ftpaccess文件与ftpusers文件在同一目录 d. 设置ftp用户登录后对文件目录的存取权限，可编辑/etc/ftpaccess。chmod no guest,anonymous d

28、elete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous2、补充操作说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#more /etc/ftpusers #more /etc/p

29、asswd#more /etc/ftpaccess 3、补充说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许ftp登陆的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody44.2 日志配置要求本部分对AIX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事

30、件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。编号： 安全要求-设备-通用-配置-12要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，加上这几行：auth.infott/var/adm/authlog*.info;auth.nonett/var/adm/syslogn 建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog chown root:sys

31、tem /var/adm/authlog 配置日志文件权限，如下命令：chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 重新启动syslog服务，依次执行下列命令：stopsrc -s syslogd startsrc -s syslogdAIX系统默认不捕获登录信息到syslogd，以上配置增加了验证信息发送到/var/adm/authlog和/var/adm/syslog，并设置了权限为其他用户和组禁止读写日志文件。2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。2、检测操作cat /v

32、ar/adm/authlogcat /var/adm/syslog3、补充说明编号： 安全要求-设备-通用-配置-24-可选要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。2、补充操作说明检测方法1、判定条件查看/var/adm/messages，记录有需要的设备相关的安全事件。2、检测操作修改配置文件vi /etc/syslog.conf，配置如下类似语句：*.

33、err;kern.debug;daemon.notice; /var/adm/messages定义为需要保存的设备相关安全事件。3、补充说明编号： 安全要求-设备-通用-配置-14-可选要求内容设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，加上这几行：auth.infottloghost *.info;auth.nonettloghost *.emergttloghost local7.*ttloghost可以将此处loghost替换为实际的IP或域名。重新启动syslog服务，依次执行下列命令：st

34、opsrc -s syslogd startsrc -s syslogd 2、补充操作说明注意：*.*和之间为一个Tab检测方法1、判定条件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。3、补充说明编号： 安全要求-设备-AIX-配置-18-可选要求内容启用系统记账（System accounting），记录系统数据，比如CPU利用率，磁盘的I/O信息等操作指南1、 参考配置操作把以下保存为一个文本文件，并执行lslpp -i bos.acct /dev/null 2&1 #检查文件集是否存在 if $? != 0 ; then

35、 echo bos.acct not installed, cannot proceed else su - adm -c crontab -l /tmp/crontab.adm cat /tmp/crontab.adm #增加到crontab执行 0 8-17 * * 1-5 /usr/lib/sa/sa1 1200 3 & 0 * * * 0,6 /usr/lib/sa/sa1 & 0 18-7 * * 1-5 /usr/lib/sa/sa1 & 5 18 * * 1-5 /usr/lib/sa/sa2 -s 8:00 -e 18:01 -i 3600 -A & EOF mkdir -p

36、/var/adm/sa #建立sa目录 chown adm:adm /var/adm/sa #改变属主为adm chmod 755 /var/adm/sa #赋予权限值 su - adm -c crontab /tmp/crontab.adm 2、 补充操作说明使用sar命令必须要安装bos.acct文件集。/var/adm/sa/sar*自动保存报告数据，可查看检测方法1、判定条件运行sar 能查看系统部件活动2、检测操作检查生成的报告信息，命令报告系统部件活动，命令#sar在随后的 20 秒内每隔 2 秒报告当前的 tty 活动，命令#sar -y -r 2 20观察系统部件 10 分钟，

37、并对数据进行排序，命令#sar -o temp 60 10 报告最前面的两个处理器的 cpu 活动，命令#sar -u -P 0,1 查看是否存在文件 /var/adm/sa/sadd 其中dd表示该月的第几日的数字编号： 安全要求-设备-AIX-配置-19-可选要求内容启用内核级审核操作指南1、参考配置操作开始审计用如下命令：#audit on 下一次系统启动自动执行审计用如下命令：mkitab -i cron audit:2:once:/usr/sbin/audit start 2&1 /dev/console telinit q echo audit shutdown /usr/sbin

38、/shutdown 2、补充操作说明审计能跟踪和记录系统发生的活动，一个组或一个用户的行为。详细请参考如下文件的第二个章节 检测方法1、 判定条件能设定审核的内容并分析查看2、 检测操作设定审核条件后用命令可查看：audit start3、补充说明4.3 IP协议安全配置要求4.3.1 IP协议安全编号： 安全要求-设备-通用-配置-17-可选要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。操作指南1、参考配置操作把如下shell保存后，运行，会修改ssh的安全设置项：unalias cp rm mv case find /usr /etc

39、 -type f | grep -c ssh_config$ in 0) echo Cannot find ssh_config ; 1) DIR=find /usr /etc -type f 2/dev/null | grep ssh_config$ | sed -e s:/ssh_config: cd $DIR cp ssh_config ssh_config.tmp awk /#? *Protocol/ print Protocol 2; next ; print ssh_config.tmp ssh_config if grep -El Protocol ssh_config = ;

40、then echo Protocol 2 ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ; *) echo You have multiple sshd_config files. Resolve echo before continuing. ; esac #也可以手动编辑 ssh_config，在 Host *后输入 Protocol 2，cd $DIR cp sshd_config sshd_config.tmp awk /#? *Protocol/ print Protocol 2; next ; /#? *X11Forwar

41、ding/ print X11Forwarding yes; next ; /#? *IgnoreRhosts/ print IgnoreRhosts yes; next ; /#? *RhostsAuthentication/ print RhostsAuthentication no; next ; /#? *RhostsRSAAuthentication/ print RhostsRSAAuthentication no; next ; /#? *HostbasedAuthentication/ print HostbasedAuthentication no; next ; /#? *

42、PermitRootLogin/ print PermitRootLogin no; next ; /#? *PermitEmptyPasswords/ print PermitEmptyPasswords no; next ; /#? *Banner/ print Banner /etc/motd; next ; print sshd_config.tmp sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用ssh2版本X11Forwarding yes #允许窗口图形传输使用ssh加密IgnoreRhosts

43、 yes#完全禁止SSHD使用.rhosts文件RhostsAuthentication no #不设置使用基于rhosts的安全验证RhostsRSAAuthentication no #不设置使用RSA算法的基于rhosts的安全验证HostbasedAuthentication no #不允许基于主机白名单方式认证PermitRootLogin no #不允许root登录PermitEmptyPasswords no #不允许空密码Banner /etc/motd #设置ssh登录时显示的banner2、补充操作说明查看SSH服务状态：# ps elf|grep ssh检测方法1、 判定

44、条件# ps elf|grep ssh是否有ssh进程存在2、检测操作查看SSH服务状态：# ps elf|grep ssh查看telnet服务状态：# ps elf|grep telnet编号： 安全要求-设备-AIX-配置-21-可选要求内容设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。操作指南1、参考配置操作开放的服务列表命令: # cat /etc/inetd.conf开放的端口列表命令: # netstat -an 服务端口和进程对应表：命令：cat /etc/services2、补充操作说明ftp-data 20/tcpftp 21/tcpssh 22/tcpteln

45、et 23/tcpsmtp 25/tcppop2 109/tcppop3 110/tcpimap 143/tcpldap 389/udptftp 69/udprje 77/tcpfinger 79/tcplink 87/tcp supdup 95/tcpiso-tsap 102/tcpx400 103/tcp x400-snd 104/tcpntp 123/tcplogin 513/tcpshell 514/tcpsyslog 514/udp检测方法1、判定条件能够列出端口和服务对应表。2、检测操作开放的服务列表命令: # cat /etc/inetd.conf开放的端口列表命令: # net

46、stat -an 服务端口和进程对应表：命令：cat /etc/services3、补充说明编号： 安全要求-设备-AIX-配置-22-可选要求内容对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定。操作指南1、 参考配置操作编辑/etc/hosts.allow和/etc/hosts.deny两个文件vi /etc/hosts.allow增加一行 : 允许访问的IP；举例如下：all:192.168.4.44:allow #允许单个IP；ssh:192.168.1.:allow #允许192.168.1的整个网段vi /etc/hosts.deny增加一行

47、all:all重启进程：# refresh -s inetd 2、补充操作说明更改/etc/inetd.conf文件后，刷新inetd的命令是：# refresh -s inetd检测方法1、判定条件被允许的服务和IP范围可以登录到该设备，其它的都被拒绝。2、检测操作查看/etc/hosts.allow和/etc/hosts.deny两个文件cat /etc/hosts.allowcat /etc/hosts.deny3、补充说明4.3.2 路由协议安全编号： 安全要求-设备-AIX-配置-23-可选要求内容主机系统应该禁止ICMP重定向，采用静态路由。操作指南1、 参考配置操作A.把以下网络

48、参数保持到一个文本里：cat /etc/-tune #!/bin/ksh # 优化参数，抵制 SYN-flood 攻击/usr/sbin/no -o clean_partial_conns=1 # 不允许被SMURF广播攻击 /usr/sbin/no -o directed_broadcast=0 # 不允许其他机器重新设置此机网络掩码 /usr/sbin/no -o icmpaddressmask=0 # 忽略ICMP重定向报文并不发送它们. /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendredirects=0 # 拒绝任

49、何源路由报文 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o nonlocsrcroute=0 EOF B.赋予执行权限chmod +x /etc/-tune C.将新的记录添加到/etc/inittab中，并告知init命令在启动rctcpip之后执行/etc/-tunemkitab -i rctcpip rcnettune:2:wait:/etc/-tune /dev/console 2&12、补充操作说

50、明/usr/sbin/no命令是管理网络调整参数的mkitab命令是在/etc/inittab添加启动记录的检测方法1、判定条件在/etc/rc2.d/S?inet搜索看是否有ndd -set /dev/ip ip_send_redirects=0内容/etc/rc2.d/S69inet中包含的是ndd -set /dev/ip ip6_send_redirects=02、检测操作查看当前的路由信息：#netstat -rn3、补充说明编号： 安全要求-设备-AIX-配置-24-可选要求内容对于不做路由功能的系统，应该关闭数据包转发功能。操作指南1、 参考配置操作vi /etc/init.d/

51、inetinitIP Forwarding (IP转发) a. 关闭IP转发 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o nonlocsrcroute=0 b. 严格限定多主宿主机,如果是多宿主机，还可以加上更严格的限定防止ip spoof的攻击 ndd -set /dev/ip ip_strict_dst_multihoming 1 c. 转发包广播由于在转发状态下默认是允许的，为了防止被用来实施smu

52、rf攻击，关闭这一特性 ndd -set /dev/ip ip_forward_directed_broadcasts 0 路由： a. 关闭转发源路由包 ndd -set /dev/ip ip_forward_src_routed 02、补充操作说明注意：启动过程中IP转发功能关闭前AIX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。对于AIX 2.4(或者更低版本)，在/etc/init.d/inetinit文件的最后增加一行 ndd -set /dev/ip ip_forwarding 0 对于AIX 2.5(或者更高版本),在/etc目录下创建一个叫notrouter

53、的空文件，touch /etc/notrouter检测方法1、判定条件2、检测操作查看/etc/init.d/inetinit文件cat /etc/init.d/inetinit3、补充说明注意：启动过程中IP转发功能关闭前AIX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。4.4 设备其他安全配置要求本部分作为对于AIX操作系统设备除账号认证、日志、协议等方面外的安全配置要求的补充，对AIX操作系统设备提出上述安全功能需求。包括补丁升级、文件系统管理等其他方面的安全能力，该部分作为前几部分安全配置要求的补充。4.4.1 屏幕保护编号： 安全要求-设备-通用-配置-19-可选

54、要求内容对于具备字符交互界面的设备，应配置定时帐户自动登出。操作指南1、参考配置操作可以在下列文件中用文本编辑工具增加一行配置：/etc/profile,/etc/environment/etc/security/.profile增加如下行：TMOUT=120 ; TIMEOUT=120 ; export readonly TMOUT TIMEOUT改变这项设置后，重新登录才能有效。检测方法1、判定条件若在设定时间内没有操作动作，能够自动退出，即为符合；2、检测操作命令：cat /etc/profile|grep TMOUTcat /etc/environment|grep TMOUTcat

55、/etc/security/.profile|grep TMOUT如果没显示则不符合配置要求3、补充说明编号： 安全要求-设备-通用-配置-20-可选要求内容对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。操作指南1、参考配置操作for file in /usr/dt/config/*/sys.resources; do dir=dirname $file | sed -e s/usr/etc/ mkdir -p $dir echo dtsession*saverTimeout: 10 $dir/sys.resources echo dtsession*lockTimeout:

56、 10 $dir/sys.resources done在配置文件yss.resources增加了两行，为10分钟无鼠标和键盘动作后自动锁屏。2、补充操作说明操作系统默认是30分钟 无键盘和鼠标动作锁屏，现在更改为10分钟检测方法1、判定条件登录后，在设定时间内不进行任何操作，检查屏幕被锁定即为符合。2、检测操作查看/usr/dt/config/*/sys.resources文件是否有相应选项，命令#cat /usr/dt/config/*/sys.resources|grep Timeout3、补充说明注：其中的*表示所有目录4.4.2 文件系统及访问权限编号： 安全要求-设备-AIX-配置-27-可选要求内容涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改。操作指南1、参考配置操作查看重要文件和目录权限：ls l更改权限：对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本。2、补充操作说明检测方法1、判定条件用root外的其它帐户登录，对重要文件和目录进行删除、修改等