AIX主机操作系统加固规范

AIX主机操作系统加固规范2011年10月目录账号管理、认证授权1账号1SHG-AIX-01-01-011SHG-AIX-0I-0!-022L3 SHG-AIX-0/-0 卜 033SHG-AIX-01-01-044SHG-AIX-01-01-055口 j6SHG-AIX-01-02-016SHG-AIX-01-02-027SHG-AIX-01-02-038SHG-AIX-01-02-049SHG-AIX-01-02-05 10授权11SHG-AIX-01-03-0111SHG-AIX-Ol-03-02 12SHG-AIX-01-03-03 13SHG-AIX-01-03-04 14SHG-AIX-01-03-0514日志配置15LI SHG-ADC-02-0 丨-0115SHG-AIX-02-01-02 16SHG-AIX-02-01-03 17SHG-AIX-02-01-0418通信协议19IP协议安全19SHG-AIX-03-0J-0119SHG-AIX-03-0I-0221路由协议安全22SHG-AIX-03-02-0122补丁管理24SHG-AIX-04-01-0124服务进程和启动25SHG-AIX-05-0J-0125SHG-AIX-05-01-02 27设备其他安全要求31登陆超时策略31SHG-AIX-06-01-0131系统Banner设置32SHG-AIX-06-02-0132内核调整32SHG-AIX-06-03-0J32附录：AIX可被利用的漏洞（截止2009-3-8) 33本文档是AIX操作系统的对于AIX系统设备账号认证、口志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。对系统的安全配置审计、加M操作 起到指导性作用。1账号管理、认证授权1-1账号1. 1. 1 SHG-AIX-01-01-01编号SHG-AIX-01-01-01名称为不同的管理员分配不同的账号实施冃的根据不同类型用途设置不同的帐户账号，提髙系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态查看/etc/passwd中记录的系统:M/|前用户列表实施步骤参考配置操作：为用户创建账号：#mkuser username #passwd username 列出用户属性：#lsuser username 更改用户属性：#chuser attribute=value username回退方案删除新增加的帐户：ttrmuser username判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级 备注1.1.2 SHG-AIX-01-01-02编号SHG-AIX-01-01-02名称配置帐户锁定策略实施冃的锁定不必要的帐户，提高系统安全。问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安 全风险，容易被攻击者利W。系统连前状态查看/etc/passwd中记录的系统:M/|前用户列表实施步骤参考配置操作：系统管理员出示业务所需帐户列表，根据列表只保留系统与 业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定userl用户，则釆用的命令如下：#chuser account_locked=true userl回退方案如对userl用户解除锁定，则釆用的命令如下：#chuser account一locked=false userl判断依据系统管理员出示业务所需帐户列表。查看/etc/passwd中所记录的系统:+|前用户列表是否业务 应用所需帐户相对应。除系统帐户和业务应用帐户外，其他备注的帐户建议根据实际情况锁定或删除。实施风险(RI重要等级 备注1.1.3 SHG-AIX-01-01-03编号SHG-AIX-01-01-03名称限制超级管理员远程登录实施冃的限制具备超级管理员权限的用户远程登录。远程执行管理员 权限操作，应先以普通权限用户远程登录后，再切换到超级 管理员权限账。问题影响如允许root远程直接登陆，则系统将面临潜在的安全风险系统当前状态执行Isuser -a rlogin root命令，查看root的rlogin属性并记录实施步骤参考配置操作：查看root的rlogin属性: #lsuser -a rlogin root 禁止root远程登陆： #chuser rlogin=false root回退方案还原root可以远程登陆，执行如下命令： #chuser rlogin=true root判断依据执行#lsuser 一 a rlogin root 命令，查看 root 的 rlogin 属性，root是否可以远程登陆，如显示可以，则禁止。实施风险高重要等级 1. 1.4 SHG-AIX-01-01-04编号SHG-AIX-01-01-04名称对系统账号进行登录限制实施冃的对系统账号进行登录限制，确保系统账号仅被守护进程和服 务使用问题影响可能利用系统进程默认账号登陆，账号越权使用系统.当前状态査看/etc/security/passwd中各账号状态并记录参考配置操作：系统管理员出示业务所需登陆主机的帐户列表，根据列表只 保留系统勹业务所需的登陆帐户。结合实际情况禁止或删除 其余帐户。禁止账号交互式登录：实施步骤#chuser account_locked=true username删除账号：#rmuser username补充操作说明：建议禁止交互登录的系统账号有：daemon, bin, sys, adm, uucp, guest, nobody, lp, help 等还原被禁止登陆的帐户：回退方案#chuser account_locked=false username注：对删除帐户的操作无法回退判断依据系统管理员出示业务所需登陆主机的帐户列表。查看/etc/security/passwd中所记录的可以登陆主机的帐 户是否勹业务应用所需登陆主机的帐户相对应。除业务应用 需登陆主机的帐户外，其他的帐户建议根据实际情况可以设 置成禁止登陆或直接将其帐户删除。实施风险高重要等级备注1.1.5 SHG-AIX-01-01-05编号SHG-AIX-01-01-05名称为空口令用户设置密码实施冃的禁止空口令用户，存在空口令是很危险的，用户不用口令认 证就能进入系统。问题影响系统中的帐户存在被非法利用的风险系统.当前状态查看/etc/passwd屮的内容并记录实施步骤参考配置操作：用root用户登陆AIX系统，执行passwd命令，给空口令的帐户增加密码。如釆用和执行如下命令：#passwd username password回退方案Root身份设置用户口令，取消口令 如做了门令策略则失败判断依据登陆系统判断，查看/etc/passwd中的内容，从而判断系统 中是否存在空口令的帐户。如发现存在，则建议为该帐户设 置密码。实施风险高重要等级备注1.2.5 SHG-AIX-01-02-21.2 口令1. 2.1 SHG-AIX-01-02-01编号SHG-AIX-01-02-01名称缺筲密码长度限制实施FI的防止系统弱口令的存在，减少安全隐患。对于釆用静态口令 认证技术的设备，口令长度至少6位。且密码规则至少应采 用字母（大小写穿插）加数字加标点符号（包括通配符）的 方式。问题影响增加系统的帐户密码被暴力破解的成功率和潸在的风险系统当前状态运行Isuser username命令，查看帐户属性和A前状态，并 记录。cat /etc/security/user | grep “minlen =，实施步骤参考配置操作：vi /etc/security/user minlen = 8回退方案根据在加同前所记录的帐户属性，修改设置到系统加同前状太心、o判断依据运行Isuser uasename命令，查看帐户属性中密码的最短长 度策略是否符合8位。如不符合，则进行设置。 cat /etc/security/user实施风险低重要等级 备注编号SHG-AIX-01-02-02名称缺畨密码复杂度限制实施目的防止系统弱口令的存在，减少安全隐患。对于釆用静态口令 认证技术的设备，包括数字、小写字母、大写字母和特殊符 号4类中至少2类问题影响增加系统中的帐户密码被暴力破解的成功率以及潜在的安 全风险系统浩前状态运行Isuser username命令，查看帐户属性和 1前状态，并 记录cat /etc/security/user | grep “minalpha =， cat /etc/security/user | grep “minother =，实施步骤参考配置操作：vi /etc/security/user minalpha = 4 minother 二 1回退方案根据在加同前所记录的帐户属性，修改设置到系统加同前状太心判断依据运行Isuser uasename命令，查看帐户属性屮口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合，则进行设置。cat /etc/security/user | grep “minalpha =，cat /etc/security/user grep “minother =，实施风险低重要等级备注1.2.3 SHG-AIX-01-02-03编号SHG-AIX-01-02-03名称缺省密码生存周期限制实施冃的对于釆用静态口令认证技术的设备，帐户口令的生存期不长 于90天，减少口令安全隐患问题影响容易造成密码被非法利用，并且难以管理系统当前状态运行Isuser username命令，查看帐户属性和当前状态，并 记录cat /etc/security/user | grep “maxage 二，实施步骤参考配置操作：vi /etc/security/user maxage =13回退方案根据在加阆前所记录的帐户属性，修改设置到系统加阆前状 态判断依据运行Isuser uasename命令，查看帐户属性中口令的最长有 效期是否小于90天。如未设置或大于90天，则进行设置。 cat /etc/security/user | grep “maxage =，实施风险低重要等级备注1.2.5 SHG-AIX-01-02-5编号SHG-AIX-01-02-04名称密码重复使用限制实施R的对于釆用静态口令认证技术的设备，应配置设备，使用户不 能重复使用最近5次（含5次）内已使用的口令问题影响造成系统帐户密码破解的几率增加以及存在潜在的安全风 险系统当前状态运行Isuser username命令，查看帐户属性和当前状态,并 记录cat /etc/security/user grep “histsize =，实施步骤参考配置操作：vi /etc/security/user histsize 二 5回退方案根据在加同前所记录的帐户属性，修改设置到系统加同前状 态。判断依据运行Isuser uasename命令，查看帐户属性中是否设置了同 一口令与前面5个口令不能重复的策略。如未设置或大于5 个，则进行设置。cat /etc/security/user grep “histsize =，实施风险低重要等级备注编号SHG-AIX-01-02-05名称密码重试限制实施R的对于釆用静态口令认证技术的设备，应配置A用户连续认证 失败次数超过6次（不含6次)，锁定该用户使用的账号。问题影响增加系统帐户密码被暴力破解的风险系统当前状态运行Isuser username命令，查看帐户属性和巧前状态，并 记录cat /etc/security/user | grep “loginretries =，实施步骤参考配置操作：vi /etc/security/user loginretries = 6回退方案根据在加同前所记录的帐户属性，修改设置到系统加同前状 态判断依据运行Isuser uasename命令，查看帐户属性中是否设置了 6 次登陆失败后帐户锁定阀值的策略。如未设置或大于6次， 则进行设置。cat /etc/security/user | grep “loginretries =，实施风险中重要等级备注1-3授权1.3.1 SHG-AIX-01-03-01编号SHG-AIX-01-03-01名称设置关键R录的权限实施目的在设备权限配置能力内，根据用户的业务需要，配置其所需 的最小权限。问题影响增加系统关键R录容易被攻击者非法访问的风险系统当前状态查看/usr/bin、/sbin、/etc冃录，并记录关键冃录的权限实施步骤1、参考配置操作通过chrnod命令对目录的权限进行实际设置。2、补充操作说明文件或冃录属主属组权限/etc/passwdrootsecurity-rw-rr/etc/grouprootsecurity-rw-rr/etc/filesystemrootsystem-rw-rw-r/etc/hostsrootsystem-rw-rw-r/etc/i nittabrootsystem-rw/etc/security/faildloginrootsystem-rw-rr回退方案通过chmod命令还原冃录权限到加同前状态判断依据AIX系统，/usr/bin、/bin、/sbin目录为可执行文件目录，/etc冃录为系统配置冃录，包括帐户文件，系统配置，网络配置 文件等，这些目录和文件相对重要。确认这些配置文件的权 限设置是否安全。实施风险iSi重要等级备注1.3.3 SHG-AIX-01-03-4编号SIIG-AIX-01-03-02名称修改umask值实施冃的控制用户缺省访问权限，约在创建新文件或目录时，屏蔽掉 新文件或n录不应有的访问允许权限。防止同属于该组的其 它用户及别的组的用户修改该用户的文件或更高限制。问题影响增加攻击者非法访问目录的风险系统?前状态查看/etc/security/user文件的配置，并记录实施步骤1、参考配置操作 设置umask为027：#vi /etc/security/user 在default小节，设置umask为027冋退方案修改/etc/security/user文件到加同前状态判断依据查看/etc/security/user文件中的default小节是否设置 umask 为 027实施风险高重要等级备注编号SHG-AIX-01-03-03名称FTP用户及服务安全实施目的设置系统中的帐户是否可以通过ftp登陆操作问题影响增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问 冃录的安全风险系统当 1前状态查看/etc/ftpusers文件，并记录实施步骤参考配置操作：根据系统管理员提供允许ftp登陆操作的系统帐户列表，并 与系统中当前的允许ftp登陆操作的用户相比对。设置是否允许系统帐户通过ftp方式登陆：#vi /etc/ftpusers 注：默认情况下，该文件不存在。将所有的系统用户和其他希望被禁止ftp登录的用户添加到 该文件中(每行一个用户名)。注：在无特殊需求的情况下，以下列表中的用户名是不允许 ftp登陆操作的：root, daemon, bin, sys, adm, uucp, guest, nobody, lp, help 等回退方案修改/etc/ftpusers文件设置到系统加同前状态判断依据根据系统管理员提供的允许ftp登陆操作的系统帐户，查看 /etc/ftpusers文件，与其相比对，是否与系统管理员所提 供的帐户列表相-致。如果发现与列表中不对应的帐户则建 议设置成禁止通过ftp登陆操作。实施风险高重要等级备注编号SHG-AIX-01-03-04名称设置目录权限实施目的设置目录权限，防止非法访问冃录。问题影响增加攻击者非法访问系统目录的安全风险系统当前状态查看重要文件和R录权限：Is -1并记录。实施步骤1、参考配置操作查看重要文件和R录权限：Is -1 更改权限：对于重要H录，建议执行如下类似操作：例如：#chmod -R 750 /etc/init. d/*这样只有root可以读、写和执行这个冃录下的脚本回退方案使用chmod命令还被修改权限的冃录判断依据查看重要文件和R录权限：Is -1查看重要文件和目录下的文件权限设置是否为750以下实施风险高重要等级备注1. 3.5 SHG-AIX-01-03-05编号SHG-AIX-01-03-05名称设置ftp R录权限实施冃的限制ftp用户登陆后在自己当前目录下活动，防止非法访问 目录。问题影响增加系统帐户被利用后越权使用的安全风险系统A前状态舍看/etc/vsftpd/vsftpd.conf文件并记录丨前的配置实施步骤参考配置操作：限制ftp用户登陆后在自己当前因录下活动： #vi /etc/vsftpd/vsftpd.conf local一root=锁定F1录路径 chroot_list 一 enable: YESchroot 一 list_file=/etc/vsftpd.chroot_list #vi vsftpd.chroot_list username (锁定用户名)回退方案还原/etc/vsftpd/vsftpd.conf文件配置到加丨叾1前的状态判断依据查看/etc/vsftpd/vsftpd.conf文件中的配置，查看是否已设置限制ftp用户登陆后在自己?3前冃录下活动。如未配置则应按 要求设置。实施风险中重要等级备注2日志配置SHG-AIX-02-01-01编号SHG-AIX-02-01-01名称启用日志记录功能实施R的设备应配置日志功能，对用户登录进行记录，记录内容包括 用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。问题影响无法对用户的登陆进行日志记录，增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件中的配置并记录实施步骤参考配置操作：syslog的配置主要通过/etc/syslog.conf配置，口志信总可以记 录在本地的文件广|中(如/var/ad m/messages)或远程的主机上 ( hostname)。startsrc -s syslogd 启动 syslog 服务 stopsrc-s syslogd 停止 syslog 服务回退方案修改/etc/syslog. conf文件设置到系统加间前状态判断依据查看系统进程中是否存在syslogd守护进程。舍看/etc/syslog.conf文件中的配置是否启动syslog服务。如系统中不存在syslogd守护进程或在配置文件中发现 syslog服务未启动，则应按要求进行配置。实施风险低重要等级备注2.1.2 SHG-AIX-02-01-02编号SHG-AIX-02-01-02名称syslog日志等级的安全配置实施目的syslog提供日常维护日志外，还提供系统登陆，攻击尝试等 安全性的日志信总，帮助管理员进行审计和追踪。问题影响无法对用户的操作进行日志记录，增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件配置并记录实施步骤参考配置操作： syslog配置文件要求：修改文件安全设置/etc/syslog.conf配置文件中包含一下日志记录：*.err /var/adm/errorlog *.alert /var/adm/alertlog *.cri /var/adm/cri t log auth, /var/adni/authlog回退方案修改/etc/syslog. conf文件配置到系统加同前的状态判断依据查看/etc/syslog. conf文件中的配置是否符合以上安全设 置。如不合符则建议应按要求进行设置。实施风险高重要等级备注2.1.3 SHG-AIX-02-01-03编号SHG-AIX-02-01-03名称启用记录su日志功能实施目的记录系统中SU操作的日志问题影响无法记录SII指令的用户切换操作，增加潜在的安全风险系统当 1前状态查看/etc/syslog. conf文件配置，并记录实施步骤参考配置操作：设置/etc/syslog. conf文件，并启动su日志记录。注：在AIX系统中，su日志记录默认是开启的。舍看/var/adm/sulog，用户使用su命令的日志。可根据需要保 留60天中有用的内容，其余删除。文件记录以下信息：日期、时间、系统名称以及登录名。 /var/adm/sulog文件也记录登录尝试是否成功：+ (加号）表 示登录成功，-(减号）表示登录失败。回退方案修改/etc/syslog. conf文件设置到系统加同前状态判断依据查看/etc/syslog. conf文件中是否配置了 su日志记录 查看/var/adm/sulog文件，是否存在su命令使用记录实施风险低重要等级备注2. 1. 4 SHG-AIX-02-01-04编号SHG-AIX-02-01-04名称启用记录cron行为日志功能和cron/at的使用情况实施目的对所有的cron行为以及使用情况进行审计和查看问题影响无法记录和查看cron服务（计划任务），存在潜在安全风险系统当前状态查看/var/spool/cron/冃录下的文件配置，并记录实施步骤参考配置操作：cron/At的相关文件主要有以下几个： /var/spool/cron/crontabs 存放 cron 任务的冃录 /var/spool/cron/cron.allow 允许使用 crontab 命令的用户 /var/spool/cron/cron.deny 3、允许使用 crontab 命令的用户 /var/spool/cron/atjobs 存放 at 任务的 H 录 /var/spool/cron/at.allow 允许使用 at 的用户 /var/spool/cron/at.deny 不允许使用 at 的用户使用crontab和at命令可以分别对cron和at任务进行控制。#crontab -1查看丨前的cron任务#at -1查看当|前的at任务回退方案修改/var/spool/cron/ H录下的文件设置到系统加同前状 态判断依据查看/var/spoo 1 /cron/目录下的文件配置是否按照以上要 求进行了安全配置。如未配置则建议按照要求进行配置。实施风险低重要等级备注3通信协议3.1 IP协议安全3.1.1 SHG-AIX-03-01-01编号SHG-AIX-03-01-01名称使用ssh加密传输实施F1的提高远程管理安全性问题影响使用非加密通信，内容易被非法监听，存在潜在安全风险系统当前状态运行ps -ef | grep ssh,查看状态，并记录。参考配置操作：如果系统中没有安装SSH，则竹先需要正确安装openssh后才能够应用SS11。安装步骤举例说明：在将OpenSSL下载到AIX Version 5.3计算机的本地冃录 (本示例中为/tmp)之后，可以通过运行下而的命令来安装 它：#geninstall -d/tmp R:openssl-0. 9. 6m实施步骤可以使用下面两种方法中的任何一种来安装Open SSH： sraitty-Software Installation andMaintenance-Install andUpdate Software-Install Software或者#geninstall -1丫 -d/dev/cdO Iropenssh. base使用下面的命令启动SSH服务器：#startsrc -g ssh使用下面的命令来确认已正确地启动了 SSH服务器： #ps -ef|grep ssh冋退方案卸载SSH、或者停止SSH服务判断依据运行ps-ef grep ssh,查看系统进程中是否存在SSH进程， 如不存在，则建议应按照要求安装和配置好SSH服务。实施风险高重要等级备注3.1.2 SHG-AIX-3-01-02编号SHG-AIX-03-01-02名称限制管理员登陆IP实施R的对于通过IP协议进行远程维护的设备，设备应对允许登陆 到该设备的IP地址范围进行设定。提高远程维护安全性。问题影响没有访问控制，系统可能被非法登陆或使用，从而存在潜在 的安全风险。系统当前状态查看/etc/hosts.equiv文件配置并记录实施步骤参考配置操作：建议釆用如下安全配置操作：修改文件安全设置操作说明/etc/hosts.equiv(全局配置文 件）/.rhosts(单独用户的 配置文件）限定信任的 主机、账号 不能有单行 的或+ +”的配置信 息编辑/etc/host.equiv文件或 ?/.rhosts文件，只增加必 须的帐户和主机，删除不必 要的信任主机设置。更改/etc/hosts.equiv 文件的 属性，只允许mot可读写。回退方案修改/etc/hosts.equiv文件的配置到加同之前的状态判断依据查看/etc/hosts.equiv文件的配置是否按照以上要求进行了 设置，如未设置则建议应按照要求进行设置。实施风险高重要等级备注3.2路由协议安全3.2.1 SHG-AIX-03-02-01编号SHG-AIX-03-02-01名称禁止ICMP重定向和关闭数据包转发实施目的禁止系统发送ICMP重定问包，关闭数据包转发，提髙系统、 网络的安全性问题影响主机可能存在会被非法改变路由的安全风险系统当前状态AIX系统网络参数可以通过no命令进行配置，执行no-a， 显示所有网络参数并记录实施步骤参考配置操作：建议釆用如下设置进行安全配置：AIX系统网络参数可以通过no命令进行配置，比较重要的 网络参数有：icmpaddressmask=0忽略ICMP地址掩码请求 ipforwarding=0不进行IP也转发 ipignoreredirects=l 忽略 ICMP 重定 H包 ipsendredirects=0不发送ICMP重定句也 ipsrcrouteforward=0不转发源路由包 ipsrcrouterecv=0不接收源路由扭 ipsrcroutesend=0不发送源路由包 no -a显示当前配置的网络参数 no -o icmpaddressmask=0 忽略 ICMP 地址掩码请求 配置方式：no -o ipignoreredirects= 1 no -o ipsendredirects=0 no -o ipsrcrouteforward=0 no -o ipsrcroutesend=0 no -o clean_parlial_conns= 1 no -o directed一broadcast=0以及:策略默认设置安全设置忽略ICMP重定向包ipignoreredirects=0ipignoreredirects= 1不发送ICMP重定向包ipsendredirects=lipsendredirects=0不转发源路 由包ipsrcrouteforward= 1ipsrcrouteforward=0不发送源路 由包ipsrcroutesend=Iipsrcroutesend=0防 御 SYN-FLOODclean 一 partial一conns=0clean 一 partial一conns= 1防御SMURF攻击directed_broadcast= 1directed_broadcast=0在/etc/文件重添加以下命令：/usr/sbin/no -o icmpaddressmask=0 /usr/sbin/no -o ipforwarding=0 /usr/sbin/no -o ipignoreredirects= 1 /usr/sbin/no -o ipsendredirects=0 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0删除在/etc/文件中添加的命令，并使用命令恢复到加同回退方案之前的状态执行no - a命令或查看/etc/文件中是否按照以上命令判断依据进行了安全配置，如未设置，则建议应按照要求进行安全配置。实施风险高重要等级备注4补丁管理SHG-AIX-04-01-01编号SHG-AIX-04-01-01名称系统补丁安装实施F1的应根据需要及时进行补丁装载。注意：补丁更新要慎重，可 能出现硬件不兼容，或者影响当前的应用系统，安装补丁之 前要经过测试和验证。问题影响系统存在严重的安全漏洞，存在被攻击各利用的安全风险系统当前状态执行oslevel -r命令或instfix -ilgrep ML命令，查看补丁广l前安装的状况和版本参考配置操作：使用instfix -aik命令来完成补丁的安装操作。实施步骤注意：1、在AIX系统中涉及安全的补丁包有以下几种：推荐维护包（Recommended Maintenance Packages):由 一系列S新的文件集组成的软件包，包含了特定的操作 系统（如AIX5.2)发布以来的所有文件集的补丁。关键补丁 Critical fixes(cfix)：自推荐维护包之后，修补 关键性漏洞的补丁。紧急补丁 Emergency fixes(efix):自推荐维护包之后，修 补紧急安全漏洞的补丁。2、补丁安装原则：在新装和重新安装系统后，必须安装最新的推荐维护包， 以及该最新推荐维护包以来的所有单独的cfix和efix。參日常维护屮如果厂家推出新的RM、cfix, efix则按照原 补丁维护管理规定进行补丁安装。冋退方案根据在加同前执行的oslevel -r命令或instfix -ilgrep ML命令，查看补丁前安装的状况和版本的记录，删除或卸载相 应的补丁恢复成加同前的状态。判断依据执行oslevel -r命令或instfix -ilgrep ML命令，查看补丁当前安装的状况和版本是否与IBM敁新发布的官方补丁相一致。 如不一致，则应根据实际情况和业务需要进行补丁的安装操 作。实施风险尚重要等级 备注5服务进程和启动5.1.1 SHG-AIX-05-01-01编号SHG-AIX-05-01-01名称关闭无效服务和启动项实施冃的关闭无效的服务和启动项，提高系统性能，增加系统安全性问题影响不用的服务和启动项可能会带来很多安全隐患，容易被攻击 者利用，从而存在潜在的安全风险系统3前状态查看/etc/inittab、/etc/rc.tcpip 和/etc/rc.nfs 等文件并记录丨前配置；查看/etc/inetd.conf文件并记录.当前的配置参考配置操作：系统管理员提供与业务和应用系统相关的服务和启动项列 表。一、rc.dAIX系统中的服务主要在/etc/inittab文件和/etc/rc.* (包括 rc.tcpip，rc.nfs)等文件中启动，事实上，/etc/rc.*系列文件 主要也是由/etc/inittab启动。同时,AIX中所有启动的服务 (至少与业务相关的）都可以同过SRC (System Resource Manager)进行管理。可以有三种方式查看系统服务的启动 情况：1、使用 vi 查看/etc/inittab、/etc/rc.tcpip 和/etc/rc.nfs 等文件;2、使用lssrc和lsitab命令；3、通过smit食看和更改。注：SRC本身通过/etc/inittab文件启动。实施步骤lssrc -a列出所有SRC管理的服务的状态lsitab -a 列出所有由/etc/inittab 启动的信息，和 cat/etc/inittab基本相同，除了没有注释。根据管理员所提供的服务列表与A前系统中所启动的服务 列表相对比，如果发现与业务应用无关的服务，或不必要的 服务和启动项，则关闭掉或禁用；也可以对服务做适:配置。 二、inetd.conf由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身 在/etc/rc.tcpip屮由SRC启动），W此查看INETD启动的服务的情况有两种方法：1、使用vi舍看/etc/inetd.conf中没有注释的行；2、使用lssrc命令。lssrc -1 -s inetd查看inetd的状态以及由INETD启动的服务的状态；refresh -s inetd 更改/etc/inetd.conf 文件后重jS inetd。建议关闭由inetd启动的所有服务；如果有管理上的需要，可以打开 telnetd、ftpd、rlogind、rshd 等服务。 启动或停止inetd启动的服务（例如ftpd):1、使用vi编辑/etc/inetd.conf，去掉注释(启动)或注释掉(停止）ftpd所在的行；2、重启 inetd: refresh-s inetd。根据管理员所提供的服务列表与A前系统中所启动的服务 列表相对比，如果发现与业务应用无关的服务，或不必要的 服务和启动项，则关闭掉或禁爪；也可以对服务做适M1配置。冋退方案还原/etc/inittab、/etc/rc.tcpip 和/etc/rc.nfs 等文件的配置到加固前的状态还原/etc/inetd.conf文件的配置到加旳前的状态判断依据根据系统管理员提供的业务应用相关的服务与启动项列表， 舍看/etc/inittab、/etc/rc.tcpip 和/etc/rc.nfs 等文件的配置是否按照要求进行了安全配置。査看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。如发现以上两个文件中的配置不符合要求，则建议应按照以 上要求的操作对系统进行加同，关闭无效服务和启动项。实施风险高重要等级备注5.1.2 SHG-AIX-05-01-02编号SHG-AIX-05-01-02名称系统网络勹服务安全配置标准实施目的关闭无效的服务和启动项，提高系统性能，增加系统安全性问题影响不用的服务和启动项可能会带来很多安全隐患，容易被攻m者利用，从而存在潜在的安全风险查看/etc/inittab文件并记录当前配置;系统M/l前状态查看/etc/rc.* (包括rc.tcpip，rc.nfs等文件）文件并记录丨前配置；查看/etc/inetd.conf文件并记录当前的配置。参考配置操作：系统管理员提供、业务和应用系统相关的服务和启动项列 表。AIX系统中涉及服务的配置和启动信息的，主要在以下几个 文件：/etc/inittab 文件/etc/rc.* (包括 rc.tcpip，rc.nfs 等文件）。由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身 在/etc/rc.tcpip 屮由 SRC jtl动）。木部分的安全基线主要通过修改这些文件中的内容进行配 置。实施步骤根据管理员所提供的服务列表与A前系统中所启动的服务 列表相对比，如果发现勹业务应用无关的服务，或不必要的 服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。 建议按照下表进行安全配S:操作的文件设置力式操作说明要求禁用的服务丧看由 /etc/inittab 文件启动的表项： lsitab -a对/etc/inittab 进行编辑，注释掉启动 项更改完配罝后停 止该服务。（参考ninhpwrifpcrv注释掉该行(在 该服务所在行 加上冒号/etc/inittabdtmntpH/ptr/rr trnin该服务所在行 加上冒号”#”）F)hrnrHnhrnHF)hrnrHantnrnnfnHnH-hnctnHnH-nHTimpH/etc/rc.tcpip 文件 启动的表项： lssrc -g tcpip 对/etc/irc.tcpip 进行编辑，注释掉启 动项更改完配置后停 止该服务。（参考 stopsrc 命令）VntnHR whrHHniH?A ivmihHHnQfmihHK/TrmifpHPnrtmn执行以下命令: lssrc -s 名称 startsrc -s 名称 stopsrc -s 名称对于 nfs、snmp、 dns、sendmail 月艮务，应该先关闭； 需要的时候，再原则上关闭由 inetd启动的所 所有服务全部 注释掉lssrc -1 -s inetd 杳看inetd的至少禁用以下服 务：Shell、kshell、 login、klogin、 exec、comsat、 uucp、bootps、 finger、systat、 netstat、tftp、talk、 ntalk、/etc/inetd.conf注释掉该行状态以及由 INETD启动的服 务的状态；编辑/etc/inetd.conf 文 件，注释不耑要的 服务，更改完配置后耑 要重启inetd进ftpd、rlogind、 rshd等服务，应根据日常管理需 J.-V/ 口 M73 士士禁用的方法.注 释掉该行同上回退方案还原/etc/inittab文件配置到加同以前的状态；还原/etc/rc.* (包括rc.tcpip，rc.nfs等文件）文件配置到加同以前的状态；还原/etc/inetd.conf文件配置到加同以前的状态。判断依据根据系统管理员提供的业务应用相关的服务与启动项列表， 查看/etc/inittab文件的配置是否按照要求进行了安全配置。 杳看/etc/rc.* (包括rc.tcpip，rc.nfs等文件）文件的配置是否按照要求进行了安全配置。查看/etc/inetd.conf文件的配置是否按照要求进行了安全配 置。如发现以上三个文件中的配置不符合要求，则建议应按照以 上要求的操作对系统进行加同，配置系统网络勾服务安全标 准。实施风险尚重要等级备注6设备其他安全要求6.1登陆超时策略6.1.1 SHG-AIX-06-01-01编号SHG-AIX-06-01-01名称设置登录超时策略实施冃的对于具备字符交互界面的设备，应配置定时帐户自动登出。问题影响管理员忘记退出被非法利用，增加潜在风险系统当前状态查看/etc/security/.profile文件的配置状态，并记录。实施步骤参