AIX访问控制安全策略.docx

一、 AIX服务器1 1.1 配置密码策略参考配置操作：当前系统管理员密码为弱密码，建议其更换强密码，编辑/etc/security/user设置以下参考数值设定：#vi /etc/security/userminalpha = 1 口令必须包含1个字母minother = 2 口令必须包含2个非字母字符minlen = 8 口令不得少于8个字符maxage = 4 口令可使用周期（4周）maxexpired = 1 达到使用周期后1周内必须更改口令pwdwarntime = 7 在达到使用周期前7天提示修改口令histsize = 5 不能使用上5次用过的口令1.2 启用登录失败处理功能参考配置操作：编辑 /etc/security/user文件，并修改以下内容：loginretries = 3 口令重试3次后锁定解锁方法：以user用户为例，执行命令：#lsuser user 检查unsuccessful_login_count参数（登录失败次数）#chuser unsuccessful_login_count=0 user 重置user用户登录失败次数1.3 远程访问加密措施参考配置操作：1）在官网下载Openssl和OPenSSH软件。2）上传文件将openssh_5.2p1_aix61.tar.Z用ftp传到/tmp/openssh目录下将openssl.103.tar.Z用ftp传到/tmp/openssl目录下3）解压文件# cd /tmp/openssh/# uncompress openssh_5.2p1_aix61.tar.Z# tar -xvf openssh_5.2p1_aix61.tar# cd /tmp/openssl/# uncompress openssl.103.tar.Z# tar -xvf openssl.103.tar4）安装openssl进入openssl目录# cd /tmp/openssl开始安装# smitty install顺序选择Install and Update Software-Install SoftwareINPUT device / directory for software /tmp/openssl 输入openssl目录.选中SOFTWARE to install _all_latest行，按F4，选择openssl.license，回车选中ACCEPT new license agreements? 行，按Teb键，选择yes回车，执行安装Command:OK 表示安装完成。5）安装openssh进入openssh目录# cd /tmp/openssh删除目录下openssh_5.2p1_aix61.tar包#rm -rf openssh_5.2p1_aix61.tar开始安装# smitty install顺序选择Install and Update Software-Install SoftwareINPUT device / directory for software /tmp/openssh 输入openssl目录.选中SOFTWARE to install _all_latest行，按F4，选择查看可安装的选项，F3返回选中ACCEPT new license agreements? 行，按Teb键，选择yes回车，执行安装Command:OK 表示安装完成。6)安装完成后SSH服务会自动启动，确认：# lssrc -s sshd7）禁用telnet服务#stopsrc -t telnet8）查看telnet服务状态#lssrc -t telnet9）禁止telnet开机启动#vi /etc/inetd.conf在telnet stream tcp6 nowait root /usr/sbin/telnetd telnetd -a前加“#”注：开启telnet服务命令为startsrc -t telnetopenssh官方网站：/openssl官方网站：/2 2.1 修改UMASK值参考配置操作：1）编辑/etc/security/user文件，设置umask值：#vi /etc/security/userumask = 027 #缺省文件权限为7503 3.1 设定管理登陆地址参考配置操作：1）检查系统中是否安装了 IPSec 的软件包# lslpp -l | grep .ipsec.rte .ipsec.websm2）检查Ipsec策略#lsfilt -s -v4 -O检查ipsec策略有三条默认策略，若无多余策略可进行下一步。若存在多余策略，按以下方式删除多余策略。#smitty tcpipConfigure IP Security (IPv4)- Advanced IP Security Configuration-Configure IP Security Filter Rules-Delete IP Security Filter Rules选中某一策略，回车策略将被删除。3）启动IPsec#smitty tcpipConfigure IP Security (IPv4)-Start/Stop IP Security-Start IP Security- Start IP Securit Now and After Reboot 4）配置策略对于 IP 地址是52的 AIX 服务器，我们希望只有来自于 12的终端才可以通过 SSH访问它， 拒绝来自其他网段的SSH请求。在aix操作系统中SSH缺省使用的端口号是 22，所以在 12服务器上需要设置以下 2 条过滤规则，一条是 permit 规则，一条是 deny 规则。注意 :permit 规则要在 deny 规则之前。genfilt -v 4 -a P -s 12 -m 55 -d 52 -M -g y -c all -o any -p 0 -O eq -P 22 -r B -w B -l N -t 0 -i allgenfilt -v 4 -a D -s -m -d 52 -M 55 -g y -c all -o any -p 0 -O eq -P 22 -r B -w B -l N -t 0 -i all执行命令#lsfilt -s -v4 -O验证ipsec策略，若无冲突，则进行下一步骤。5）使 IP 过滤规则生效#mkfilt -v4 -u3.2 设置登录超时策略参考配置操作：1）检查/etc/profile读写权限ls -l /etc/profile #检查是否有修改权限2）修改/etc/pro