AIX安全配置基线 .doc

AIX 安全配置基线 中国移动集团公司第 1 页 共 32 页 AIXAIX 系统安全配置基线系统安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 4 月 AIX 安全配置基线 中国移动集团公司第 2 页 共 32 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 V2 0更新2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 AIX 安全配置基线 中国移动集团公司第 3 页 共 32 页 目目 录录 第第 1 章章概述概述 5 1 1目的 5 1 2适用范围 5 1 3适用版本 5 1 4实施 5 1 5例外条款 5 第第 2 章章帐号管理认证授权帐号管理认证授权 6 2 1帐号 6 2 1 1用户帐号设置 6 2 1 2用户组设置 6 2 1 3 Root用户远程登录限制 7 2 1 4系统用户登录限制 7 2 1 5帐号用户共享限制 7 2 1 6删除系统无关帐号 8 2 1 7限制具备超级管理员权限的用户远程登录 9 2 1 8多帐户组管理 10 2 1 9系统帐号登陆限制 10 2 2口令 11 2 2 1口令生存期安全要求 11 2 2 2口令历史安全要求 12 2 2 3用户口令锁定策略 12 2 2 4用户访问权限安全要求 12 2 2 5用户FTP访问的安全要求 13 2 2 6用户口令强度要求 13 2 2 7用户缺省访问权限要求 14 第第 3 章章网络与服务网络与服务 16 3 1服务 16 3 1 1远程维护安全要求 16 3 2IP 协议安全要求 16 3 2 1 ICMP重定向安全要求 16 3 2 2 系统开放的端口及服务安全要求 17 3 2 3 远程管理地址安全要求 18 3 2 4 非路由设备转发限制 19 第第 4 章章日志审计日志审计 21 4 1日志 21 4 1 1添加认证日志 21 4 2审计 21 4 2 1安全事件审计 21 4 2 2系统信息日志要求 22 AIX 安全配置基线 中国移动集团公司第 4 页 共 32 页 4 2 3重点日志保存要求 23 第第 5 章章设备其他安全配置要求设备其他安全配置要求 24 5 1设备 24 5 1 1屏幕保护 24 5 1 2屏幕锁定 24 5 2缓冲区 25 5 2 1缓冲区溢出 25 5 3文件系统 26 5 3 1重要文件及目录安全 26 5 4服务 26 5 4 1系统服务列表控制 26 5 4 2系统时间同步 28 5 4 3NFS服务安全 29 5 5补丁管理 30 5 5 1补丁安装 30 第第 6 章章评审与修订评审与修订 32 AIX 安全配置基线 中国移动集团公司第 5 页 共 32 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 AIX 操作系统的 主机应当遵循的操作系统安全性设置标准 本文档旨在指导系统管理人员或安全检查人员 进行 AIX 操作系统的安全合规性检查和配置 1 2 适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 AIX 服 务器系统 1 3 适用版本适用版本 AIX 系列服务器 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 AIX 安全配置基线 中国移动集团公司第 6 页 共 32 页 第第 2 章章帐号管理认证授权帐号管理认证授权 2 1 帐号帐号 2 1 1 用户帐号设置用户帐号设置 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户帐户安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 01 安全基线项安全基线项 说明说明 设置需要锁定的用户帐号 检测操作步检测操作步 骤骤 1 执行 lsuser a home ALL 2 执行 ls l etc passwd 基线符合性基线符合性 判定依据判定依据 需要锁定的用户 如 deamon bin sys adm printq guest nobody lpd 备注备注手工判断 基于业务判断需要锁定的用户 2 1 2 用户组设置用户组设置 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户组安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 02 安全基线项安全基线项 说明说明 用户组设置 检测操作步检测操作步 骤骤 1 执行 more etc group 2 执行 ls l etc group 基线符合性基线符合性 判定依据判定依据 不要存在无用的用户组 如 printq 备注备注手工判断 基于业务判断无用的用户组 AIX 安全配置基线 中国移动集团公司第 7 页 共 32 页 2 1 3 Root 用户远程登录限制用户远程登录限制 安全基线项安全基线项 目名称目名称 操作系统 AIX 远程登录安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 03 安全基线项安全基线项 说明说明 Root 用户远程登录限制 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查在 root 项目中是否有下列行 rlogin false login true su true sugroup system 基线符合性基线符合性 判定依据判定依据 禁止 root 用户直接登录系统 备注备注 2 1 4 系统用户登录限制系统用户登录限制 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户登录安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 04 安全基线项安全基线项 说明说明 系统用户登录限制 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查在 daemon bin sys adm uucp nuucp printq guest nobody lpd sshd 项目中是否有下列行 rlogin false login false 基线符合性基线符合性 判定依据判定依据 系统帐号仅被守护进程和服务使用 不应直接由用户登录系统 如果系统没 有应用这些守护进程或服务 建议删除这些帐号 备注备注手工判断 基于业务判断相关帐号 2 1 5 帐号用户共享限制帐号用户共享限制 安全基线项安全基线项 目名称目名称 操作系统 AIX 帐号用户共享限制安全基线要求项 AIX 安全配置基线 中国移动集团公司第 8 页 共 32 页 安全基线编安全基线编 号号 SBL AIX 02 01 05 安全基线项安全基线项 说明说明 应按照不同的用户分配不同的帐号 避免不同用户间共享帐号 避免用户帐 号和设备间通信使用的帐号共享 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 为用户创建帐号 useradd username 创建帐号 passwd username 设置密码 修改权限 chmod 750 directory 其中 755 为设置的权限 可根据实际情况设置相应 的权限 directory 是要更改权限的目录 使用该命令为不同的用户分配不同的帐号 设置不同的口令及权限信息等 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 能够登录成功并且可以进行常用操作 2 检测操作 检测操作 使用不同的帐号进行登录并进行一些常用操作 3 补充说明 补充说明 备注备注手工判断 基于业务判断 2 1 6 删除系统无关帐号删除系统无关帐号 安全基线项安全基线项 目名称目名称 操作系统 AIX 系统无关帐号安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 06 安全基线项安全基线项 说明说明 应删除或锁定与设备运行 维护等工作无关的帐号 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 删除用户 rmuser p username 锁定用户 1 修改 etc shadow 文件 用户名后加 LK 2 将 etc passwd 文件中的 shell 域设置成 bin false 3 passwd l username 只有具备超级用户权限的使用者方可使用 passwd l username 锁定用户 用 passwd d username 解锁后原有密码失效 登录需输入新密码 修改 etc shadow 能保留原有密码 2 补充操作说明 补充操作说明 AIX 安全配置基线 中国移动集团公司第 9 页 共 32 页 需要锁定的用户 deamon bin sys adm printq guest nobody lpd 系统内存在不可删除的内置帐号 包括 root bin 等 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 被删除或锁定的帐号无法登录成功 2 检测操作 检测操作 使用删除或锁定的与工作无关的帐号登录系统 3 补充说明 补充说明 需要锁定的用户 deamon bin sys adm printq guest nobody lpd 备注备注手工判断 基于业务判断系统无关帐号 2 1 7 限制具备超级管理员权限的用户远程登录限制具备超级管理员权限的用户远程登录 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户远程管理安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 07 安全基线项安全基线项 说明说明 限制具备超级管理员权限的用户远程登录 远程执行管理员权限操作 应先 以普通权限用户远程登录后 再切换到超级管理员权限帐号后执行相应操作 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 编辑 etc security user 加上 在 root 项上输入 false 作为 rlogin 的值 此项只能限制 root 用户远程用 ssh 登录 修改此项不会看到效果的 2 补充操作说明 补充操作说明 如果限制 root 从远程 ssh 登录 修改 etc ssh sshd config 文件 将 PermitRootLogin yes 改为 PermitRootLogin no 重启 sshd 服务 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 root 远程登录不成功 提示 Not on system console 普通用户可以登录成功 而且可以切换到 root 用户 2 检测操作 检测操作 root 从远程使用 ssh 登录 普通用户从远程使用 ssh 登录 3 补充说明 补充说明 限制 root 从远程 ssh 登录 修改 etc ssh sshd config 文件 将 PermitRootLogin yes 改为 PermitRootLogin no 重启 sshd 服务 备注备注 AIX 安全配置基线 中国移动集团公司第 10 页 共 32 页 2 1 8 多帐户组管理多帐户组管理 安全基线项安全基线项 目名称目名称 操作系统 AIX 多帐户组安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 08 安全基线项安全基线项 说明说明 根据系统要求及用户的业务需求 建立多帐户组 将用户帐号分配到相应的 帐户组 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 创建帐户组 groupadd g GID groupname 创建一个组 并为其设置 GID 号 若不设 GID 系统会自动为该组分配一个 GID 号 usermod g group username 将用户 username 分配到 group 组中 查询被分配到的组的 GID id username 可以根据实际需求使用如上命令进行设置 2 补充操作说明 补充操作说明 可以使用 g 选项设定新组的 GID 0 到 499 之间的值留给 root bin mail 这样的系统帐号 因此最好指定该值大于 499 如果新组 名或者 GID 已经存在 则返回错误信息 当 group name 字段长度大于八个字符 groupadd 命令会执行失败 当用户希望以其他用户组成员身份出现时 需要使用 newgrp 命令进行更改 如 newgrp sys 即把当前用户以 sys 组身份运行 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 可以查看到用户帐号分配到相应的帐户组中 或都通过命令检查帐号是否属于应有的组 id username 2 检测操作 检测操作 查看组文件 cat etc group 3 补充说明 补充说明 文件中的格式说明 group name GID user list 备注备注手工判断 基于业务判断 2 1 9 系统帐号登陆限制系统帐号登陆限制 安全基线项安全基线项 目名称目名称 操作系统 AIX 系统帐号登陆安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 01 09 AIX 安全配置基线 中国移动集团公司第 11 页 共 32 页 安全基线项安全基线项 说明说明 对系统帐号进行登录限制 确保系统帐号仅被守护进程和服务使用 不应直 接由该帐号登录系统 如果系统没有应用这些守护进程或服务 应删除这些 帐号 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 禁止帐号交互式登录 修改 etc shadow 文件 用户名后密码列为 NP 删除帐号 rmuser p username 2 补充操作说明 补充操作说明 禁止交互登录的系统帐号 比如 uucp nuucp lpd guest printq 等 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 被禁止帐号交互式登录的帐户远程登录不成功 2 检测操作 检测操作 用 root 登录后 新建一帐号 密码不设 从远程用此帐户登录 登录会显 示 login incorrect 如果 root 用户没设密码没有任何提示信息直接退出 3 补充说明 补充说明 备注备注手工判断 基于业务判断 2 2 口令口令 2 2 1 口令生存期安全要求口令生存期安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 口令生存期安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 帐户口令的生存期不长于 90 天 13 周 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查 histexpire 基线符合性基线符合性 判定依据判定依据 Histexpire 小于等于 13 备注备注 AIX 安全配置基线 中国移动集团公司第 12 页 共 32 页 2 2 2 口令历史安全要求口令历史安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 口令生存期安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 02 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 应配置设备 使用户不能重复使用最近 5 次内已使用的口令 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查 histsize 基线符合性基线符合性 判定依据判定依据 Histsize 大于等于 5 备注备注 2 2 3 用户口令锁定策略用户口令锁定策略 安全基线项安全基线项 目名称目名称 操作系统 AIX 口令锁定安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 03 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 应配置当用户连续认证失败次数超过 10 次 锁定该用户使用的帐号 检测操作步检测操作步 骤骤 1 执行 more etc security user 检查 loginretries 基线符合性基线符合性 判定依据判定依据 loginretries 10 备注备注注意 此项设置会影响性能 建议设置后对访问此服务器源地址做限制 2 2 4 用户访问权限安全要求用户访问权限安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户访问权限安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 04 安全基线项安全基线项 说明说明 控制用户缺省访问权限 当在创建新文件或目录时 应屏蔽掉新文件或目录 不应有的访问允许权限 防止同属于该组的其它用户及别的组的用户修改该 AIX 安全配置基线 中国移动集团公司第 13 页 共 32 页 用户的文件或更高限制 检测操作步检测操作步 骤骤 1 执行 more etc default login 检查 umask 基线符合性基线符合性 判定依据判定依据 umask 027 备注备注 2 2 5 用户用户 FTP 访问的安全要求访问的安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户 FTP 访问安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 05 安全基线项安全基线项 说明说明 控制 FTP 进程缺省访问权限 当通过 FTP 服务创建新文件或目录时应屏蔽 掉新文件或目录不应有的访问允许权限 检测操作步检测操作步 骤骤 1 执行 more etc ftpaccess 检查 restricted uid 2 执行 more etc ftpusers 基线符合性基线符合性 判定依据判定依据 ftpaccess 中应有类似一行 restricted uid 限制所有 ftpusers 列表里边的用户名应包括 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 备注备注手工判断 2 2 6 用户口令强度要求用户口令强度要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户口令安全基线要求项 AIX 安全配置基线 中国移动集团公司第 14 页 共 32 页 安全基线编安全基线编 号号 SBL AIX 02 02 06 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 8 位 并包括数字 小写 字母 大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 chsec f etc security user s default a minlen 8 chsec f etc security user s default a minalpha 1 chsec f etc security user s default a mindiff 1 chsec f etc security user s default a minother 1 chsec f etc security user s default a pwdwarntime 5 minlen 8 密码长度最少 8 位 minalpha 1 包含的字母最少 1 个 mindiff 1 包含的唯一字符最少 1 个 minother 1 包含的非字母最少 1 个 pwdwarntime 5 系统在密码过期前 5 天发出修改密码的警告信息给用户 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 不符合密码强度的时候 系统对口令强度要求进行提示 符合密码强度的时候 可以成功设置 2 检测操作 检测操作 1 检查口令强度配置选项是否可以进行如下配置 i 配置口令的最小长度 ii 将口令配置为强口令 2 创建一个普通帐号 为用户配置与用户名相同的口令 只包含字符或数 字的简单口令以及长度短于 8 位的口令 查看系统是否对口令强度要求进行 提示 输入带有特殊符号的复杂口令 普通复杂口令 查看系统是否可以成 功设置 备注备注 2 2 7 用户缺省访问权限用户缺省访问权限要求要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 用户缺省权限安全基线要求项 安全基线编安全基线编 号号 SBL AIX 02 02 07 安全基线项安全基线项 说明说明 控制用户缺省访问权限 当在创建新文件或目录时 应屏蔽掉新文件或目录 AIX 安全配置基线 中国移动集团公司第 15 页 共 32 页 不应有的访问允许权限 防止同属于该组的其它用户及别的组的用户修改该 用户的文件或更高限制 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 A 设置所有存在帐户的权限 lsuser a home ALL awk print 1 while read user do chuser umask 077 user done vi etc default login 在末尾增加 umask 027 B 设置默认的 profile 用编辑器打开文件 etc security user 找到 umask 这行 修改如下 Umask 077 2 补充操作说明 补充操作说明 1 如果用户需要使用一个不同于默认全局系统设置的 umask 可以在需要 的时候通过命令行设置 或者在用户的 shell 启动文件中配置 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 权限设置符合实际需要 不应有的访问允许权限被屏蔽掉 2 检测操作 检测操作 查看新建的文件或目录的权限 操作举例如下 ls l dir 查看目录 dir 的权限 cat etc default login 查看是否有 umask 027 内容 3 补充说明 补充说明 umask 的默认设置一般为 022 这给新创建的文件默认权限 755 777 022 755 这会给文件所有者读 写权限 但只给组成员和其他用户读权 限 umask 的计算 umask 是使用八进制数据代码设置的 对于目录 该值等于八进制数据代码 777 减去需要的默认权限对应的八进制数据代码值 对于文件 该值等于八 进制数据代码 666 减去需要的默认权限对应的八进制数据代码值 备注备注手工判断 AIX 安全配置基线 中国移动集团公司第 16 页 共 32 页 第第 3 章章网络与服务网络与服务 3 1 服务服务 3 1 1 远程维护安全要求远程维护安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 远程维护安全基线要求项 安全基线编安全基线编 号号 SBL AIX 03 01 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 并安全配置 SSHD 的设置 检测操作步检测操作步 骤骤 1 判定条件判定条件 ps elf grep ssh 是否有 ssh 进程存在 2 检测操作 检测操作 查看 SSH 服务状态 ps elf grep ssh 查看 telnet 服务状态 ps elf grep telnet 基线符合性基线符合性 判定依据判定依据 建议启用 ssh 禁用 telnet 备注备注 3 2 IP 协议安全要求协议安全要求 3 2 1 ICMP 重定向安全要求重定向安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX ICMP 重定向安全基线要求项 安全基线编安全基线编 号号 SBL AIX 03 02 01 安全基线项安全基线项 说明说明 主机系统应该禁止 ICMP 重定向 采用静态路由 AIX 安全配置基线 中国移动集团公司第 17 页 共 32 页 检测操作步检测操作步 骤骤 使用命令 vi etc 修改配置文件 添加以下内容 ipignoreredirects 1 忽略 ICMP 重定向包 ipsendredirects 0 不发送 ICMP 重定向包 基线符合性基线符合性 判定依据判定依据 使用命令 no a 查看当前网络参数 ipignoreredirects 1 忽略 ICMP 重定向包 ipsendredirects 0 不发送 ICMP 重定向包 备注备注 3 2 2 系统开放的端口及服务安全要求系统开放的端口及服务安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 系统开放端口及服务安全基线要求项 安全基线编安全基线编 号号 SBL AIX 03 02 02 安全基线项安全基线项 说明说明 设备应支持列出对外开放的 IP 服务端口和设备内部进程的对应表 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 开放的服务列表 命令 cat etc inetd conf 开放的端口列表 命令 netstat an 服务端口和进程对应表 命令 cat etc services 2 补充操作说明 补充操作说明 ftp data 20 tcp ftp 21 tcp ssh 22 tcp telnet 23 tcp smtp 25 tcp pop2 109 tcp pop3 110 tcp imap 143 tcp ldap 389 udp tftp 69 udp rje 77 tcp finger 79 tcp link 87 tcp supdup 95 tcp iso tsap 102 tcp AIX 安全配置基线 中国移动集团公司第 18 页 共 32 页 x400 103 tcp x400 snd 104 tcp ntp 123 tcp login 513 tcp shell 514 tcp syslog 514 udp 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 能够列出端口和服务对应表 2 检测操作 检测操作 开放的服务列表 命令 cat etc inetd conf 开放的端口列表 命令 netstat an 服务端口和进程对应表 命令 cat etc services 3 补充说明 补充说明 备注备注需要人工判断开放的端口和服务 可能影响业务 3 2 3 远程管理地址安全要求远程管理地址安全要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 远程管理地址安全基线要求项 安全基线编安全基线编 号号 SBL AIX 03 02 03 安全基线项安全基线项 说明说明 对于通过 IP 协议进行远程维护的设备 设备应支持对允许登陆到该设备的 IP 地址范围进行设定 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 编辑 etc hosts allow 和 etc hosts deny 两个文件 vi etc hosts allow 增加一行 允许访问的 IP 举例如下 all 192 168 4 44 allow 允许单个 IP ssh 192 168 1 allow 允许 192 168 1 的整个网段 vi etc hosts deny 增加一行 all all 重启进程 refresh s inetd 2 补充操作说明 补充操作说明 更改 etc inetd conf 文件后 刷新 inetd 的命令是 AIX 安全配置基线 中国移动集团公司第 19 页 共 32 页 refresh s inetd 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 被允许的服务和 IP 范围可以登录到该设备 其它的都被拒绝 2 检测操作 检测操作 查看 etc hosts allow 和 etc hosts deny 两个文件 cat etc hosts allow cat etc hosts deny 3 补充说明 补充说明 备注备注手工判断 3 2 4 非路由设备转发限制非路由设备转发限制 安全基线项安全基线项 目名称目名称 操作系统 AIX 非路由设备转发限制安全基线要求项 安全基线编安全基线编 号号 SBL AIX 03 02 04 安全基线项安全基线项 说明说明 对于不做路由功能的系统 应该关闭数据包转发功能 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 vi etc init d inetinit IP Forwarding IP 转发 a 关闭 IP 转发 usr sbin no o ipsrcrouteforward 0 usr sbin no o ipsrcrouterecv 0 usr sbin no o ipsrcroutesend 0 usr sbin no o nonlocsrcroute 0 b 严格限定多主宿主机 如果是多宿主机 还可以加上更严格的限定防止 ip spoof 的攻击 ndd set dev ip ip strict dst multihoming 1 c 转发包广播由于在转发状态下默认是允许的 为了防止被用来实施 smurf 攻击 关闭这一特性 ndd set dev ip ip forward directed broadcasts 0 路由 a 关闭转发源路由包 ndd set dev ip ip forward src routed 0 2 补充操作说明 补充操作说明 注意 启动过程中 IP 转发功能关闭前 AIX 主机依旧可以在多块网卡之间进 行 IP 转发 存在小小的潜在安全隐患 对于 AIX 2 4 或者更低版本 在 etc init d inetinit 文件的最后增加一行 ndd set dev ip ip forwarding 0 AIX 安全配置基线 中国移动集团公司第 20 页 共 32 页 对于 AIX 2 5 或者更高版本 在 etc 目录下创建一个叫 notrouter 的空文件 touch etc notrouter 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 2 检测操作 检测操作 查看 etc init d inetinit 文件 cat etc init d inetinit 3 补充说明 补充说明 注意 启动过程中 IP 转发功能关闭前 AIX 主机依旧可以在多块网卡之间进 行 IP 转发 存在小小的潜在安全隐患 备注备注需要人工判断是否为非路由设备 AIX 安全配置基线 中国移动集团公司第 21 页 共 32 页 第第 4 章章日志审计日志审计 4 1 日志日志 4 1 1 添加认证日志添加认证日志 安全基线项安全基线项 目名称目名称 操作系统 AIX 认证日志安全基线要求项 安全基线编安全基线编 号号 SBL AIX 04 01 01 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 帐号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 执行 cat etc syslog conf 检查类似配置 auth info var adm authlog info auth none var adm syslog n 2 检测操作 cat var adm authlog cat var adm syslog 基线符合性基线符合性 判定依据判定依据 列出用户帐号 登录是否成功 登录时间 远程登录时的 IP 地址 备注备注手工检查 4 2 审计审计 4 2 1 安全事件审计安全事件审计 安全基线项安全基线项 目名称目名称 操作系统 AIX 安全事件审计安全基线要求项 安全基线编安全基线编 号号 SBL AIX 04 02 01 安全基线项安全基线项 说明说明 设备应配置日志功能 记录对与设备相关的安全事件 AIX 安全配置基线 中国移动集团公司第 22 页 共 32 页 检测操作步检测操作步 骤骤 1 执行 cat etc syslog conf 检查类似配置 err kern debug daemon notice var adm messages 基线符合性基线符合性 判定依据判定依据 要求有上述类似配置 备注备注 4 2 2 系统信息日志要求系统信息日志要求 安全基线项安全基线项 目名称目名称 操作系统 AIX 系统日志信息安全基线要求项 安全基线编安全基线编 号号 SBL AIX 04 02 02 安全基线项安全基线项 说明说明 启用系统记帐 System accounting 记录系统数据 比如 CPU 利用率 磁 盘的 I O 信息等 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 把以下保存为一个文本文件 并执行 lslpp i bos acct dev null 2 then echo bos acct not installed cannot proceed else su adm c crontab l tmp crontab adm cat tmp crontab adm 增加到 crontab 执行 0 8 17 1 5 usr lib sa sa1 1200 3 auth none t t loghost emerg t t loghost local7 t t loghost 可以将此处 loghost 替换为实际的 IP 或域名 重新启动 syslog 服务 依次执行下列命令 stopsrc s syslogd startsrc s syslogd 2 补充操作说明 补充操作说明 注意 和 之间为一个 Tab 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 设备配置远程日志功能 将需要重点关注的日志内容传输到日志服务器 2 检测操作 检测操作 查看日志服务器上的所收到的日志文件 3 补充说明 补充说明 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 AIX 安全配置基线 中国移动集团公司第 24 页 共 32 页 第第 5 章章设备其他安全配置要求设备其他安全配置要求 5 1 设备设备 5 1 1 屏幕保护屏幕保护 安全基线项安全基线项 目名称目名称 操作系统 AIX 屏幕保护安全基线要求项 安全基线编安全基线编 号号 SBL AIX 05 01 01 安全基线项安全基线项 说明说明 对于具备字符交互界面的设备 应配置定时帐户 300 秒自动登出 检测操作步检测操作步 骤骤 1 查看 cat etc profile grep TMOUT cat etc environment grep TMOUT cat etc security profile grep TMOUT 基线符合性基线符合性 判定依据判定依据 如果没显示则不符合配置要求 备注备注 5 1 2 屏幕锁定屏幕锁定 安全基线项安全基线项 目名称目名称 操作系统 AIX 屏幕锁定安全基线要求项 安全基线编安全基线编 号号 SBL AIX 05 01 02 安全基线项安全基线项 说明说明 对于具备图形界面 含 WEB 界面 的设备 应配置定时自动屏幕锁定 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 for file in usr dt config sys resources do dir dirname file sed e s usr etc mkdir p dir echo dtsession saverTimeout 10 dir sys resources echo dtsession lockTimeout 10 dir sys resources done AIX 安全配置基线 中国移动集团公司第 25 页 共 32 页 在配置文件 yss resources 增加了两行 为 10 分钟无鼠标和键盘动作后自动 锁屏 2 补充操作说明 补充操作说明 操作系统默认是 30 分钟 无键盘和鼠标动作锁屏 现在更改为 10 分钟 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 登录后 在设定时间内不进行任何操作 检查屏幕被锁定即为符合 2 检测操作 检测操作 查看 usr dt config sys resources 文件是否有相应选项 命令 cat usr dt config sys resources grep Timeout 3 补充说明 补充说明 注 其中的 表示所有目录 备注备注手工检查 5 2 缓冲区缓冲区 5 2 1 缓冲区溢出缓冲区溢出 安全基线项安全基线项 目名称目名称 操作系统 AIX 缓冲区溢出安全基线要求项 安全基线编安全基线编 号号 SBL AIX 05 02 01 安全基线项安全基线项 说明说明 防止堆栈缓冲溢出 检测操作步检测操作步 骤骤 1 查看 cat etc security limits 2 查看 etc profile 文件 基线符合性基线符合性 判定依据判定依据 cat etc security limits 有如下两行 core 0 core hard 0 etc profile 文件有 ulimit c 0 备注备注 AIX 安全配置基线 中国移动集团公司第 26 页 共 32 页 5 3 文件系统文件系统 5 3 1 重要文件及目录安全重要文件及目录安全 安全基线项安全基线项 目名称目名称 操作系统 AIX 重要文件及目录安全基线要求项 安全基线编安全基线编 号号 SBL AIX 05 03 01 安全基线项安全基线项 说明说明 涉及帐号 帐号组 口令 服务等的重要文件和目录的权限设置不能被任意 人员删除 修改 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看重要文件和目录权限 ls l 更改权限 对于重要目录 建议执行如下类似操作 chmod R 750 etc init d 这样只有 root 可以读 写和执行这个目录下的脚本 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 用 root 外的其它帐户登录 对重要文件和目录进行删除 修改等操作不能 够成功即为符合 2 检测操作 检测操作 查看重要文件和目录权限 ls l 用 root 外的其它帐户登录 对重要文件和目录进行删除 修改等操作 3 补充说明 补充说明 备注备注重要目录默认为 etc init d 5 4 服务服务 5 4 1 系统服务列表控制系统服务列表控制 安全基线项安全基线项 目名称目名称 操作系统 AIX 系统服务列表安全基线要求项 安全基线编安全基线编 SBL AIX 05 04 01 AIX 安全配置基线 中国移动集团公司第 27 页 共 32 页 号号 安全基线项安全基线项 说明说明 列出所需要服务的列表 包括所需的系统服务 不在此列表的服务需关闭 检测操作步检测操作步 骤骤 1 1 参考配置操作参考配置操作 查看所有开启的服务 ps e f 方法一 手动方式操作 在inetd conf中关闭不用的服务 首先复制 etc inet inetd conf cp etc inet inetd conf etc inet inetd conf backup 然后用vi编辑器编辑inetd conf文 件 对于需要注释掉的服务在相应行开头标记 字符 重启inetd服务 即可 重新启用该服务 使用命令 refresh s inetd 方法二 自动方式操作 A 把以下复制到文本里 for SVC in ftp telnet shell kshell login klogin exec echo discard chargen daytime time ttdbserver dtspc do echo Disabling SVC TCP chsubserver d v SVC p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime time cmsd do echo Disabling SVC UDP chsubserver d v SVC p udp done refresh s inetd B 执行命令 sh dis server sh 2 补充操作说明 补充操作说明 在 etc inetd conf文件中禁止下列不必要的基本网络服务 Tcp服务如下 ftp telnet shell kshell login klogin exec UDP服务如下 ntalk rstatd rusersd rwalld sprayd pcnfsd 注意 改变了 inetd conf 文件之后 需要重新启动inetd 对必须提供的服务采用tcpwapper来保护 并且为了防止服务取消后断线 一定要启用 SSHD 服务 用以登录操作和文 件传输 AIX 安全配置基线 中国移动集团公司第 28 页 共 32 页 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 所需的服务都列出来 没有不必要的服务 2 检测操作 检测操作 查看所有开启的服务 cat etc inet inetd conf cat etc inet services 3 补充说明 补充说明 在 etc inetd conf文件中禁止下列不必要的基本网络服务 Tcp服务如下 ftp telnet shell kshell login klogin exec UDP服务如下 ntalk rstatd rusersd rwalld sprayd pcnfsd 注意 改变了 inetd conf 文件之后 需要重新启动inetd 对必须提供的服务采用 tcpwapper 来保护 备注备注需要手工判断 5 4 2 系统时间同步系统时间同步 安全基线项安全基线项 目名称目名称 操作系统 AIX NTP 服务安全基线要求项 安全基线编安全基线编 号号 SBL AIX 05 04 02 安全基线项安全基线项 说明说明 如果网络中存在信任的 NTP 服务器 应该配置系统使用 NTP 服务保持时间 同步 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ntp 的配置文件 etc inet ntp conf vi etc inet ntp conf server IP 地址 提供 ntp 服务的机器 driftfile var ntp ntp drift 建 drift 文件及相关目录 这个文件是用于在 ntp 重起的时候快速的和服务器进行同步 startsrc s xntpd 启动 NTP 客户端守护进程 smitty xntpd 通过调用 smitty 使 xntpd 在以后重启服务器时能自