QAD For aix.doc

guideline for aix version 1.0 2009-12-05 guideline on minth for aix version 1.0 decorative coatingspage 2 of 7 document history versiondateauthordescription of modification 1.0dec 05, 2009 document status & approval statusapproval name: function: signature: final date: document distribution tocc: guideline on minth for aix version 1.0 decorative coatingspage 3 of 7 table of contents 1.概述概述.4 2.root 安全标准安全标准. 4 3.默认系统帐户安全标准默认系统帐户安全标准 4 4.密码强度要求密码强度要求. 5 4.1 密码强度要求密码强度要求 4.2 密码保护密码保护 5.tftp 设置设置. 6 6.nfs nis 设置设置 6 7.ftp 设置设置.6 8.默认权限控制默认权限控制. 6 9.备份及恢复策略备份及恢复策略. 7 guideline on minth for aix version 1.0 decorative coatingspage 4 of 7 1 概述概述 本配置标准提供本配置标准提供 aix-qad 操作系统应当遵循的设置的标准，本文档旨在帮助系统管理人员，利操作系统应当遵循的设置的标准，本文档旨在帮助系统管理人员，利 用用 axi 操作系统以建立一个更为安全的环境。操作系统以建立一个更为安全的环境。 1.1 适用范围适用范围 本规范的使用者包括：本规范的使用者包括： 主机系统管理员、应用管理员、网络安全管理员。主机系统管理员、应用管理员、网络安全管理员。 本规范适用的范围包括：本规范适用的范围包括： aix，主机系统。，主机系统。 1.2 实施实施 本规范的解释权和修改权属于信息技术总部，在本标准的执行过程中若有任何疑问或建议，应及本规范的解释权和修改权属于信息技术总部，在本标准的执行过程中若有任何疑问或建议，应及 时反馈。时反馈。 本标准一经颁布，即为生效。本标准一经颁布，即为生效。 1.3 检查和维护检查和维护 根据经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，根据经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中， 发现需对本标准进行变更，也需要进行本标准的维护。发现需对本标准进行变更，也需要进行本标准的维护。 任何变更草案将信息技术总部进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通任何变更草案将信息技术总部进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通 变更的内容。变更的内容。 1.4 适用版本适用版本 aix 版本版本 5.3； root 帐户安全标准帐户安全标准 对于系统对于系统 root 帐户必须满足以下要求：帐户必须满足以下要求： root 帐户的帐户的 uid 必须是唯一的必须是唯一的 0； root 帐户是帐户是 root 组的唯一用户；组的唯一用户； root的登录脚本中不能使用到非的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。帐户拥有的文件或拥有全局读写权限的文件。 root的的cron jobs中不能使用到非中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。帐户拥有的文件或拥有全局读写权限的文件。 root 帐号不允许进行远程登录操作，远程需要帐号不允许进行远程登录操作，远程需要root的访问需求，必须要求使用普通个人用户的访问需求，必须要求使用普通个人用户 帐号进行登录后通过帐号进行登录后通过su命令切换到命令切换到root帐号。帐号。 默认系统帐户安全标准默认系统帐户安全标准 3.1uid 适用于所有的适用于所有的 uid 每个每个 uid 必须只能用一次，并唯一对应一个必须只能用一次，并唯一对应一个 qad 系统用户帐号系统用户帐号. 且每个且每个 uid 中的中的.profile 最后必须加最后必须加 exit 关键字关键字. 3.2 aix: 对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁 定或删除（如没有相关的使用需求）定或删除（如没有相关的使用需求） guest uucp nuucp lpd nobody guideline on minth for aix version 1.0 decorative coatingspage 5 of 7 4 密码强度要求密码强度要求 4.1 密码强度要求密码强度要求 密码必须密码必须 8 位以上位以上,必须包括字母数字符号必须包括字母数字符号,每每 3 个月必须变更一次个月必须变更一次 aix 系统的具体如下：相关配置文件系统的具体如下：相关配置文件/etc/security/user。 maxage 密码有效期限的最大周数密码有效期限的最大周数 (maximum number of weeks that can pass before a password must be changed.) 12 maxrepeats 可重复的连续字符数可重复的连续字符数 (number of repeating consecutive characters) 2 minage 密码有效期限的最少周数密码有效期限的最少周数 (minimum number of weeks that must pass before a password can be changed) 0 minalpha 最少字母数最少字母数 (minimum number of alphabetic characters) 1 mindiff 与前一次密码的最少不同字符数与前一次密码的最少不同字符数 (number of characters not found in last password) 1 minother 最少的非字母数最少的非字母数 (number of non-alphabetic characters) 1 minlen 密码最小长度密码最小长度 (minimum password length) 8 histsize 禁止重复使用密码次数禁止重复使用密码次数 (number of previous password that can not be used) 2 4.2 密码保护密码保护 /etc/passwd 必须不能包含密码必须不能包含密码 /etc/security/passwd 包含有经过加密保护的密码信息包含有经过加密保护的密码信息 此文件和其相关的拷贝文件只能由所此文件和其相关的拷贝文件只能由所 有者有者 root 拥有读或写的权限。拥有读或写的权限。 guideline on minth for aix version 1.0 decorative coatingspage 6 of 7 5 tftp 设置设置 tftp 访问控制访问控制 通常情况下，如果应用没有要求，通常情况下，如果应用没有要求，tftp 应该禁止。应该禁止。 nfs,nis 设置设置 通常情况下通常情况下 nfs,nis应该禁止。应该禁止。 禁用禁用nfs,nis ftp 设置设置 通常情况下，如果应用没有要求，应不允许通常情况下，如果应用没有要求，应不允许anonymous ftp访问对于访问对于root和默认系统帐号不和默认系统帐号不 能使用能使用ftp服务。服务。 通过在通过在/etc/ftpusers或或/etc/vsftpd.ftpusers文件中列举相关的文件中列举相关的root和默认和默认 系统帐号名来实现。系统帐号名来实现。 1.1.创建创建 ftpftp 目录目录/ftp/ftp # # mkdirmkdir /ftp/ftp 2.2.建立建立 ftpftp 组组 ftpgrpftpgrp # # mkgroupmkgroup ftpgrpftpgrp 3.3.建立用户建立用户 ftpftp 专门用户专门用户 4.4.设定目录属性设定目录属性 # # chownchown -r-r icbc:ftpgrpicbc:ftpgrp /icbc/icbc # # chmodchmod 755755 /ftp/ftp 5.5.设置用户密码设置用户密码 # # passwdpasswd ftpuserftpuser 6.6.设置设置 ftpftp 目录权限目录权限 修改修改/etc/ftpaccess.ctl/etc/ftpaccess.ctl 对目录权限进行控制对目录权限进行控制 readonlyreadonly / / readwritereadwrite /ftp/ftp writeonlywriteonly /ftp/data/ftp/data 权限控制权限控制 系统默认用户文件创建时缺省值系统默认用户文件创建时缺省值 至少至少 x27x27 或或 027027； 建议使用下建议使用下 x77x77 或或 077077。 aixaix：添加：添加 umaskumask027027 到到/etc/security/user/etc/security/user 文件文件 rootroot 相关配置段。相关配置段。 $home$home 除除 rootroot 用户之外用户之外, , 用户缺省的用户缺省的 homehome 目录目录 x00x00 或或 700700 guideline on minth for aix version 1.0 decorative coatingspage 7 of 7 9 备份及恢复策略备份及恢复策略 在在/目录下建