AIX系统安全配置基线.doc

1 15 AIXAIX 系统安全配置基线系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 3 月 2 15 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 备备注 注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 3 15 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章账号管理认证授权账号管理认证授权 2 2 1账号 2 2 1 1用户帐号设置 2 2 1 2用户组设置 2 2 1 3用户口令设置 3 2 1 4Root用户远程登录限制 3 2 1 5系统用户登录限制 4 2 2口令 4 2 2 1口令生存期安全要求 4 2 2 2口令历史安全要求 4 2 2 3用户口令锁定策略 5 2 2 4用户访问权限安全要求 5 2 2 5用户FTP访问的安全要求 6 第第 3 章章网络与服务网络与服务 7 3 1服务 7 3 1 1远程维护安全要求 7 3 2网络 7 3 2 1 ICMP重定向安全要求 7 第第 4 章章日志审计日志审计 8 4 1日志 8 4 1 1添加认证日志 8 4 2审计 8 4 2 1安全事件审计 8 第第 5 章章设备其他安全配置要求设备其他安全配置要求 10 5 1设备 10 5 1 1屏幕保护 10 5 2缓冲区 10 5 2 1缓冲区溢出 10 第第 6 章章评审与修订评审与修订 12 1 15 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 AIX 操作系统的 主机应当遵循的操作系统安全性设置标准 本文档旨在指导系统管理人员或安全检查人员 进行 AIX 操作系统的安全合规性检查和配置 1 2 适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 AIX 服 务器系统 1 3 适用版本适用版本 AIX 系列服务器 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 2 15 第第 2 章章账号管理认证授权账号管理认证授权 2 1 账号账号 2 1 1 用户帐号设置用户帐号设置 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户账户安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 01 安全基线项安全基线项 说明说明 用户帐号设置 检测操作步检测操作步 骤骤 1 执行 lsuser a home ALL 2 执行 ls l etc passwd 基线符合性基线符合性 判定依据判定依据 需要锁定的用户 deamon bin sys adm uucp nuucp printq guest nobody lpd sshd 备注备注 2 1 2 用户组设置用户组设置 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户组安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 02 安全基线项安全基线项 说明说明 用户组设置 检测操作步检测操作步 骤骤 1 执行 more etc group 2 执行 ls l etc group 基线符合性基线符合性 判定依据判定依据 不要存在无用的用户组 uucp printq 备注备注 3 15 2 1 3 用户口令设置用户口令设置 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户口令安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 03 安全基线项安全基线项 说明说明 用户口令设置 对于采用静态口令认证技术的设备 口令长度至少 6 位 并 包括数字 小写字母 大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查 maxage minlen minage pwdwarntime 参数 2 执行 pwdck n ALL 检查是否存在空口令账号 基线符合性基线符合性 判定依据判定依据 不能存在简单密码 创建一个普通账号 为用户配置与用户名相同的口令 只包含字符或数字的 简单口令以及长度短于 6 位的口令 查看系统是否对口令强度要求进行提示 输入带有特殊符号的复杂口令 普通复杂口令 查看系统是否可以成功设置 备注备注 2 1 4Root 用户远程登录限制用户远程登录限制 安全基线项安全基线项 目名称目名称 操作系统 AIX 远程登录安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 04 安全基线项安全基线项 说明说明 Root 用户远程登录限制 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查在 root 项目中是否有下列行 rlogin false login true su true sugroup system 基线符合性基线符合性 判定依据判定依据 禁止 root 用户直接登录系统可以增加系统入侵的难度 备注备注 4 15 2 1 5 系统用户登录限制系统用户登录限制 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户登录安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 05 安全基线项安全基线项 说明说明 系统用户登录限制 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查在 daemon bin sys adm uucp nuucp printq guest nobody lpd sshd 项目中是否有下列行 rlogin false login false 基线符合性基线符合性 判定依据判定依据 系统账号仅被守护进程和服务使用 不应直接由用户登录系统 如果系统没 有应用这些守护进程或服务 建议删除这些账号 备注备注 2 2 口令口令 2 2 1 口令生存期安全要求口令生存期安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 口令生存期安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 帐户口令的生存期不长于 90 天 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查 histexpire 基线符合性基线符合性 判定依据判定依据 Histexpire 小于等于 13 备注备注 2 2 2 口令历史安全要求口令历史安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 口令生存期安全基线要求项 5 15 安全基线编安全基线编 号号 SBL AIX 02 02 02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 应配置设备 使用户不能重复使用最近 5 次 含 5 次 内已使用的口令 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查 histsize 基线符合性基线符合性 判定依据判定依据 Histsize 大于等于 5 备注备注 2 2 3 用户口令锁定策略用户口令锁定策略 安全基线项安全基线项 目名称目名称 操作系统 AIX 口令锁定安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 03 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 应配置当用户连续认证失败次数超过 6 次 不含 6 次 锁定该用户使用的账号 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查 retries 基线符合性基线符合性 判定依据判定依据 retries 6 备注备注 2 2 4 用户访问权限安全要求用户访问权限安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户访问权限安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 04 安全基线项安全基线项 说明说明 控制用户缺省访问权限 当在创建新文件或目录时 应屏蔽掉新文件或目录 不应有的访问允许权限 防止同属于该组的其它用户及别的组的用户修改该 用户的文件或更高限制 检测操作步检测操作步 骤骤 1 执行 more etc default login 检查 umask 基线符合性基线符合性 判定依据判定依据 umask 027 6 15 备注备注 2 2 5 用户用户 FTP 访问的安全要求访问的安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户 FTP 访问安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 05 安全基线项安全基线项 说明说明 控制 FTP 进程缺省访问权限 当通过 FTP 服务创建新文件或目录时应屏蔽 掉新文件或目录不应有的访问允许权限 检测操作步检测操作步 骤骤 1 执行 more etc ftpaccess 检查 restricted uid 2 执行 more etc ftpusers 基线符合性基线符合性 判定依据判定依据 ftpaccess 中应有类似一行 restricted uid 限制所有 ftpusers 列表里边的用户名应包括 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 备注备注 7 15 第第 3 章章网络与服务网络与服务 3 1 服务服务 3 1 1 远程维护安全要求远程维护安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 远程维护安全基线要求项 安全基线编安全基线编 号号 SBL AIX 03 01 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 并安全配置 SSHD 的设置 检测操作步检测操作步 骤骤 1 执行 ps elf grep ssh 2 执行 ps elf grep telnet 基线符合性基线符合性 判定依据判定依据 ssh 启用 telnet 禁用 备注备注 3 2 网络网络 3 2 1 ICMP 重定向安全要求重定向安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX ICMP 重定向安全基线要求项 安全基线编安全基线编 号号 SBL AIX 03 02 01 安全基线项安全基线项 说明说明 主机系统应该禁止 ICMP 重定向 采用静态路由 检测操作步检测操作步 骤骤 在 etc rc2 d S inet 搜索 在 etc rc2 d S69inet 中搜索 基线符合性基线符合性 判定依据判定依据 要求 ip send redirects 0 要求 ip6 send redirects 0 备注备注 8 15 第第 4 章章日志审计日志审计 4 1 日志日志 4 1 1 添加认证日志添加认证日志 安全基线项安全基线项 目名称目名称 操作系统 AIX 认证日志安全基线要求项 安全基线编安全基线编 号号 SBL AIX 04 01 01 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 执行 cat etc syslog conf 检查类似配置 auth info var adm authlog info auth none var adm syslog n 2 检测操作 cat var adm authlog cat var adm syslog 基线符合性基线符合性 判定依据判定依据 列出用户账号 登录是否成功 登录时间 远程登录时的 IP 地址 备注备注 4 2 审计审计 4 2 1 安全事件审计安全事件审计 安全基线项安全基线项 目名称目名称 操作系统 AIX 安全事件审计安全基线要求项 安全基线编安全基线编 号号 SBL AIX 04 02 01 安全基线项安全基线项 说明说明 设备应配置日志功能 记录对与设备相关的安全事件 检测操作步检测操作步 1 执行 cat etc syslog conf 检查类似配置 9 15 骤骤 err kern debug daemon notice var adm messages 基线符合性基线符合性 判定依据判定依据 要求有上述类似配置 备注备注 10 15 第第 5 章章设备其他安全配置要求设备其他安全配置要求 5 1 设备设备 5 1 1 屏幕保护屏幕保护 安全基线项安全基线项 目名称目名称 操作系统