IBM-AIX系统安全加固步骤.doc

ibm-aix系统安全加固步骤1. 安装、更新系统补丁ibm aix系统主要提供三类系统补丁，主要的升级包称作推荐维护包（recommended maintenance package, rmp），不同的rmp将系统升级到不同的维护级别（maintenance level, ml）；ibm同时发布两种类型补丁包：critical fix（cfix）和emergency fix（efix）。/servers/eserver/support/unixservers/aixfixes.html提供ibm aix补丁下载查询。1) 下载ibm-aix 5l系统补丁aix 5200(03)-07 maintenance package /server/mlfixes/52/07/03to07.html5200(03)-07包含520007_v1.tar.gz和520007_v2.tar.gz两个卷，存放在本地目录/usr/sys/inst.images2) 解压缩、安装卷1#gzip -d -c 520007_v1.tar.gz | tar -xvf - #inutoc /usr/sys/inst.images #installp -acgxd /usr/sys/inst.images bos.rte.install #smit update_all3) 判断是否需要安装卷2#oslevel r如果输出为5100-09，重启系统，补丁安装完成；如果输出小于5100-09，需要继续下面步骤。4) 解压缩、安装卷2#gzip -d -c 520007_v2.tar.gz | tar -xvf - #inutoc /usr/sys/inst.images #installp -acgxd /usr/sys/inst.images bos.rte.install #smit update_all5) 重启系统2. 帐户、口令安全设置1) 删除或注释掉无用帐号；2) 建议锁定除root外的其它不常用帐号#chuser account_locked=true user1*锁定user1用户3) 修改默认密码策略(示例)#vi /etc/security/user密码策略参数描述建议值maxage口令最长有效期为4周4minage口令最短有效期为00maxexpired口令过期后2周内用户可以更改2maxrepeats口令中某一字符最多只能重复3次3minlen口令最短为6个字符6minalpha口令中最少包含4个字母字符4minother口令中最少包含一个非字母数字字符1mindiff新口令中最少有4个字符和旧口令不同4loginretries连续5次登录失败后锁定用户5histexpire同一口令在26周内不能重复使用26histsize同一口令与前0个口令不能重复03. 登录策略更改：登录策略主要在/etc/security/login.cfg中定义，可以通过以下三种方式调整1) #vi /etc/security/login.cfglogindelay=2*失败登录后延迟2秒显示提示符logindisable=5 *5次失败登录后锁定端口logininterval=60 *在60秒内5次失败登录才锁定端口loginreenable15 *端口锁定15分钟后解锁2) #lssec -f /etc/security/login.cfg -s default *列出默认登录策略#chsec -f /etc/security/login.cfg -s /dev/lft0 -a logindisable=5 *五次连续失败登录后锁定端口lft03) 通过smit查看和更改登录策略（smit chsec）4. 禁止root帐户建立远程连接1) 对root用户远程登录(telnet或rlogin)的限制可以在文件/etc/security/user中指定#vi /etc/security/userrlogin=false或者使用lsuser和chuser命令#lsuser -a rlogin root *查看root的rlogin属性（默认为true）#chuser rlogin=false root *禁止root远程登录2) 禁止root帐户ftp到系统，编辑/etc/ftpusers，所有希望被禁止ftp登录的帐户都添加在该文件中。#vi /etc/ftpusersroot5. 禁用不必要的服务1) # chmod 600 /etc/inetd.conf*只允许root来读写该文件2) 确定“/etc/inetd.conf”文件所有者为root3) #vi /etc/inetd.conf*取消不需要的服务：smux、echo、discard、chargen、daytime、exec、finger、printer、pop3、imap、rshell、rlogin、smtp、x server等。4) # refresh -s inetd*更改/etc/inetd.conf文件后重启inetd5) # chattr +i /etc/inetd.conf*设置/etc/inetd.conf文件除root外其它用户不可修改6. rc.tcpip服务管理：aix系统中的服务主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中启动，使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件，关闭不必要的服务，如：snmp、dpid2、等。7. 关闭telnet服务：使用telnet时，帐号与密码明文传输，#lssrc -t telnet 查看telnet的状态，建议关闭telnet并使用ssh替代。8. snmp、senmail、bind服务管理：如果系统不需要使用以上服务，参照(rc?.d服务管理)关闭以上服务，如果必须启用以上服务，则升级sendmail和bind程序到最新版本，在/etc/snmpd.conf中指定不同的community name。lssrc、startsrc和stopsrc可以查看和管理以上服务。9. 隐藏系统信息：通过login登录系统时的banner信息可以在/etc/security/login.cfg中使用属性herald设置，通过直接修改文件或使用chsec命令都可以进行。#chsec -f /etc/security/login.cfg -s default -a herald=hellonnlogin: *设置默认的banner为hello10. 敏感文件安全性设置：#chmod 600 /etc/passwd#chmod 600 /etc/security/passwd#chmod 600 /etc/security/user#chmod 700 /etc/security/login.cfg11.断开系统空闲连接; #vi /etc/profile tmout=60 11. 完善审计策略：编辑/etc/syslog文件，配置syslog。(示例)#vi /etc/syslogauthpriv.* /var/log/secureauthpriv.* freebsdmail.* /var/log/maillog*.crit *注：可使用lssrc、startsrc和stopsrc检查和控制syslogd的状态。12. 系统内核参数调整：aix系统网络参数可以通过no命令进行配置，比较重要的网络参数有：u icmpaddressmask=0 *忽略icmp地址掩码请求u ipforwarding=0 *不进行ip包转发u ipignoreredirects=1 *忽略icmp重定向包