AIX 5 操作系统安全基线(试用版).doc

AIX 5操作系统安全基线（试用版）版本版本控制信息更新日期更新人审批人V1.0创建2013年3月备注：若此文档需要日后更新，需填写版本控制表格，否则删除版本控制表格。目 录1.概况11.1.目的11.2.适用范围11.3.适用版本11.4.使用方法11.5.编号规则31.6.参考标准32.安全配置要求42.1.帐户口令安全42.1.1.帐户共用42.1.2.帐户锁定42.1.3.超级管理员远程登录限制52.1.4.帐户权限最小化62.1.5.口令长度及复杂度72.1.6.口令最长使用期限72.1.7.口令重新使用限制82.1.8.口令锁定策略92.2.服务及授权安全92.2.1.重要文件目录权限92.2.2.用户缺省访问权限102.2.3.服务开启最小化112.2.4.系统时间同步122.2.5.DNS服务指向132.3.补丁安全132.4.日志审计142.4.1.日志审计功能设置142.4.2.日志权限设置152.4.3.日志定期备份162.4.4.网络日志服务器设置（可选）172.5.防堆栈溢出设置172.6.登录通信安全182.6.1.远程管理加密182.6.2.登录超时时间设置203.评审与修订21（本页空白）1. 概况1.1. 目的本基线制定了中国石化总部及下属各企业的AIX操作系统应遵循的基本安全配置原则，旨在为企业的系统建设、运维或安全检查工作提供规范性指导。1.2. 适用范围适用于中国石化总部及下属各企业使用的AIX操作系统。信息化管理部对各企业执行本基线的情况进行指导和督促，各企业的系统建设人员、系统运维人员、安全管理人员应根据实际情况严格参照执行。本基线所列各项基本安全配置要求，仅可作为企业编制主机入网测试、安全验收、安全检查规范等文档的参考，如需进行实际配置修改操作，还应在本基线的基础上制定合理的操作方案，并在实际环境中测试通过后方可操作。1.3. 适用版本适用于AIX 5.x操作系统。1.4. 使用方法1）系统建设阶段的使用方法信息系统在建设初期应根据各安全基线要求内容进行系统整体安全架构设计，基线使用人员包括但不限于各企业的系统建设人员及安全管理人员。在系统建设阶段，系统建设人员应在安全管理人员的协助下，严格参照各基线中“安全配置要求：安全基线要求内容”和“安全配置要求：操作指南”的内容，对所涉及的网络、应用、主机、数据库、中间件等进行概要设计和详细设计，明确其安全配置要求，并在系统上线前进行安全基线实施情况检查，检查通过后方可上线。相关流程如下图所示：图1 安全配置基线在系统建设中的应用2）系统运维阶段的使用方法信息系统在系统运维阶段应依照安全基线要求定期进行安全合规性检查，基线使用人员包括但不限于各企业的系统运维人员和安全管理人员。在系统运维阶段，安全管理人员应在系统运维人员的协助下，严格参照各基线中“安全配置要求：符合性判定方法”的内容，结合“安全配置要求：操作指南”的相关操作步骤，对系统所涉及的网络、应用、主机、数据库、中间件等进行合规性检查，并记录相关检查结果。安全合规性检查完成后，系统运维人员应在安全管理人员协助下，依照检查结果和各基线中“安全配置要求：操作指南”和“安全配置要求：符合性判定方法”的内容进行系统整改，整改完成后应由安全管理人员进行复查。相关流程如下图所示：图2 安全配置基线在安全检查中的应用1.5. 编号规则安全基线采用SBL-设备系统名称-数字-数字-数字的方式命名，设备系统名称是指此基线适用的设备或系统，例如Windows、Oracle等，后续的数字编号指基线要求的具体项目编号，例如SBL- AIX 5.x-02-02-01是指AIX 5.0操作系统的安全基线，属于此基线第二章中第二小节的第一项要求，因此数字部分为02-02-01。1.6. 参考标准 中国石化内部控制手册； 信息系统安全保障评估框架（GB/T 20274-2008）； 信息系统安全等级保护基本要求（GB/T 22239-2008）； 联邦信息和信息系统安全分类标准（FIPS199）； 联邦信息系统最小安全控制标准（FIPS200）。2. 安全配置要求2.1. 帐户口令安全2.1.1. 帐户共用安全基线要求内容应为不同用户分配不同帐户，不允许不同用户间共享同一系统帐户。安全基线编号SBL-AIX 5-02-01-01操作指南1、参考配置操作1）为用户创建帐户：#useradd username /创建帐户#passwd username /设置密码2、补充操作说明无。符合性检测判定方法1、判定条件不存在不同用户间共享同一帐户的情况。2、检测操作1）#cat /etc/passwd /查看系统帐户列表；2）访谈系统管理员，询问各帐户的使用人情况；3）判定是否存在不同用户共享帐户的情况。 3、补充说明无。检测结果记录整改情况记录备注2.1.2. 帐户锁定安全基线要求内容应删除或锁定过期帐户和无用帐户。安全基线编号SBL-AIX 5-02-01-02操作指南1、参考配置操作#userdel username /删除用户锁定用户：1)修改/etc/shadow 文件，在用户名后加*LK*；2)将/etc/passwd文件中的shell 域设置成/bin/false；3)#passwd -l username。2、补充操作说明 1）只有具备超级用户权限的使用者方可使用，#passwd -l username 锁定用户，用#passwd -d username 解锁后原有密码失效，登录需输入新密码，修改/etc/shadow 能保留原有密码。2）需要锁定的帐户：listen,gdm,webservd,nobody, nobody4和 noaccess。符合性检测判定方法1、判定条件不存在过期帐户和无用帐户。2、检测操作1）cat /etc/passwd 查看系统帐户列表；2）访谈系统管理员，询问各帐户的使用情况；3）判定是否存在过期或无用帐户仍在使用的情况。3、补充说明无。检测结果记录整改情况记录备注2.1.3. 超级管理员远程登录限制安全基线要求内容应限制root帐户远程登录。安全基线编号SBL-AIX 5-02-01-03操作指南1、 参考配置操作1）禁止root账户直接通过 ssh 远程登录；2）编辑/etc/ssh/sshd_config文件，将PermitRootLogin yes 改为PermitRootLogin no，同时去掉#号，然后重启sshd服务。3)重启sshd服务依次使用以下命令： startsrc -s sshdstopsrc -s sshd2、补充操作说明无。符合性检测判定方法1、判定条件1）root帐户无法远程登录；2）普通用户可以登录成功，而且可以切换到root用户。2、检测操作1）使用root进行远程登录，查看是否能够登录成功；2）使用普通用户进行远程登录，查看是否能够登录成功，登录成功后使用“su root”命令查看是否能够切换至root账户。3、补充说明无。检测结果记录整改情况记录备注2.1.4. 帐户权限最小化安全基线要求内容应根据实际需要为各个帐户设置最小权限。安全基线编号SBL-AIX 5-02-01-04操作指南1、参考配置操作创建帐户组： 1）#groupadd g GID groupname /创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号； 2）#usermod g group username /将用户username 分配到group 组中；3）#id username /查询被分配到的组的GID，可以根据实际需求使用如上命令进行设置。2、补充操作说明1）可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统帐户，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息；2）当group_name字段长度大于八个字符，groupadd命令会执行失败；3）当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys 组身份运行。符合性检测判定方法1、判定条件 应用帐户及数据库帐户不拥有管理员权限。2、检测操作1） 使用命令#cat /etc/group /查看帐户分组情况；2） 使用命令#id username 检测帐号是属于应有的组；3） 访谈系统管理员，询问各组及各帐户权限分配情况；4） 判断是否存在帐户权限分配不当的情况。3、补充说明无。检测结果记录整改情况记录备注2.1.5. 口令长度及复杂度安全基线要求内容应要求操作系统口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合, 数字、字母和特殊符号如下所示：l 英语字母： a ，b，c ， z，A，B，CZ；l 阿拉伯数字 ：0，1 ，2 ， 9；l 特殊符号：，# ， $,，%,，&， * 。安全基线编号SBL-AIX 5-02-01-05操作指南1、 参考配置操作执行以下命令：#chsec -f /etc/security/user -s default -a minlen=8 #chsec -f /etc/security/user -s default -a minalpha=1 #chsec -f /etc/security/user -s default -a mindiff=1 #chsec -f /etc/security/user -s default -a minother=1#chsec f /etc/security/user s default -a pwdwarntime=52、补充操作说明minlen=8 #口令长度最少 8 位 ；minalpha=1 #包含的字母最少 1 个 ；mindiff=1 #包含的唯一字符最少 1 个 ；minother=1#包含的非字母最少 1 个；pwdwarntime=5 #系统在口令过期前 5 天发出修改口令的警告信息。符合性检测判定方法1、判定条件1）/etc/security/user中已经配置口令策略；2）口令未达长度及复杂度要求，无法成功创建帐户。2、检测操作1）查看文件/etc/security/user中是否已经配置口令策略；2）创建测试帐户，配置口令长度短于8位，或口令只包含数字、字母、符号中的一类，查看帐户是否能够创建成功。3、补充说明无。检测结果记录整改情况记录备注2.1.6. 口令最长使用期限安全基线要求内容应设置口令的最长生存周期小于等于90天。安全基线编号SBL-AIX 5-02-01-06操作指南1、 参考配置操作方法一：#chsec -f /etc/security/user -s default -a histexpire=12方法二：用 vi 或其他文本编辑工具修改/etc/security/user文件中：histexpire=12 #口令可重复使用的星期为 12周（84 天）。2、 补充操作说明无。符合性检测判定方法1、判定条件/etc/security/user配置文件histexpire值小于或等于12。2、检测操作查看/etc/security/user 文件histexpire值是否小于或等于12。3、补充说明无。检测结果记录整改情况记录备注2.1.7. 口令重新使用限制安全基线要求内容应配置操作系统用户不能重复使用最近 5 次（含 5 次）内已使用的口令。安全基线编号SBL-AIX 5-02-01-07操作指南1、参考配置操作方法一：#chsec -f /etc/security/user -s default -a histsize=5方法二：用 vi 或其他文本编辑工具修改/etc/security/user 文件中：histsize=5 #可允许口令重复使用5次。2、补充操作说明无。符合性检测判定方法1、判定条件已设置/etc/security/user文件中histsize值小于或等于5。2、检测操作查看/etc/security/user文件中histsize值是否小于或等于5。3、补充说明默认没有 histsize 的标记，即不记录以前的口令。检测结果记录整改情况记录备注2.1.8. 口令锁定策略安全基线要求内容应配置当用户连续认证失败次数超过 5次（不含 5 次），锁定该用户使用的帐户30分钟。安全基线编号SBL-AIX 5-02-01-08操作指南1、参考配置操作1）查看帐户帐户属性：#lsuser username2)设置 5 次登录失败后帐户锁定的值：#chuser loginretries=5 username2、补充操作说明：root 帐户不在锁定范围内。符合性检测判定方法1、判定条件帐户属性中loginretries值为小于或等于5。2、检测操作运行 lsuser uasename 命令，查看帐户属性中loginretries值是否小于或等于5。3、补充说明无。检测结果记录整改情况记录备注2.2. 服务及授权安全2.2.1. 重要文件目录权限安全基线要求内容应对文件和目录进行权限设置，合理设置重要目录和文件的权限安全基线编号SBL-AIX 5-02-02-01操作指南1、参考配置操作通过chmod命令对目录的权限进行配置。/etc/passwd须所有用户都可读，root 用户可写 -rw-rr/etc/shadow 只有root 可读 -r-/etc/group 须所有用户都可读，root 用户可写 -rw-rr/etc/init.d/ 须只有root可读、写、执行这个目录下的脚本-rwxr-x-使用如下命令设置：#chmod 644 /etc/passwd#chmod 600 /etc/shadow#chmod 644 /etc/group#chmod R 750 /etc/init.d/2、补充操作说明如果/etc/目录存在写权限，应移去非root用户对/etc目录的写权限。命令如下：#chmod -R go-w /etc符合性检测判定方法1、 判定条件已对重要文件目录的权限进行合理配置。2、检测操作1）利用root用户登录系统，查看重要文件目录权限分配情况；2）访谈系统管理员，询问各帐户权限分配情况；3）判定是否存在帐户权限分配不当的情况。3、补充说明无。检测结果记录整改情况记录备注2.2.2. 用户缺省访问权限安全基线要求内容应配置用户缺省访问权限。安全基线编号SBL-AIX 5-02-02-02操作指南1、 参考配置操作1）修改/etc/default/login配置文件在/etc/default/login文件末尾增加参数umask 0272）修改/etc/security/user配置文件在/etc/security/user，找到umask 这行，修改如下：umask=0272、补充操作说明 如果用户需要使用一个不同于默认全局系统设置的 umask，可以在需要的时候通过命令行设置，或者在用户的 shell 启动文件中配置。符合性检测判定方法1、判定条件配置文件/etc/default/login中umask值为027。2、检测操作 查看新建的文件或目录的权限，操作举例如下：1）使用命令“#ls -l dir ）查看目录 dir 的权限2）使用命令“#cat /etc/default/login” 查看是否有 umask 027 参数。3、补充说明umask 的默认设置一般为 022，这给新创建的文件默认权限 755（777-022=755），这会给文件所有者读、写权限，但只给组成员和 其他用户读权限。umask 的计算：umask 是使用八进制数据代码设置的，对于目录，该值等于八进制 数据代码 777 减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码 666 减去需要的默认权限对应的八进制数据代码值。检测结果记录整改情况记录备注2.2.3. 服务开启最小化安全基线要求内容应关闭不必要的服务。安全基线编号SBL-AIX 5-02-02-03操作指南1、参考配置操作查看所有开启的服务：#ps -e -f在inetd.conf中关闭不用的服务 1）使用命令“#cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup”复制inetd.conf文件2）使用命令“#vi inetd.conf”编辑文件，对于需要注释掉的服务在相应行开头标记#字符， 重启inetd服务；3）重新启用该服务，使用命令：#refresh -s inetd#sh dis_server.sh2、补充操作说明 参考常见_AIX_系统服务摘要，根据具体情况禁止不必要的服务。 注意：改变了“inetd.conf”文件之后，需要重新启动inetd。 符合性检测判定方法1、判定条件不存在不必要的服务；2、检测操作1）使用命令ps -e -f查看当前运行服务；2）访谈系统管理员，参照服务摘要文档，询问当前开启的是否都是必要的服务。3、补充说明 在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。 Tcp服务，例如：ftp telnet shell kshell login klogin execUDP服务，例如：ntalk rstatd rusersd rwalld sprayd pcnfsd 注意：改变了“inetd.conf”文件之后，需要重新启动inetd。 检测结果记录整改情况记录备注2.2.4. 系统时间同步安全基线要求内容应确保系统时间与NTP服务器同步。安全基线编号SBL-AIX 5-02-02-04操作指南1、参考配置操作ntp 的配置文件： /etc/inet/ntp.conf1）修改配置文件/etc/inet/ntp.conf中server IP地址（NTP服务器地址）；2）#driftfile /var/ntp/ntp.drift （建drift文件及相关目录，这个文件是用于在ntp重起的时候快速的和服务器进行同步）；3）#startsrc s xntpd 启动NTP客户端守护进程；4）#smitty xntpd 通过调用smitty，使 xntpd 在以后重启服务器时能自动启动。2、补充操作说明/etc/inet/ntp.conf默认是没有的，需要做server的话，就把ntp.server拷贝更名为/etc/inet/ntp.conf，如果做client的话，就把ntp.client拷贝更名为/etc/inet/ntp.conf。符合性检测判定方法1、判定条件系统时间已与NTP服务器同步。2、检测操作使用命令“#cat /etc/inet/ntp.conf”查看ntp 的配置文件是否添加NTP服务器IP地址。3、补充说明无。检测结果记录整改情况记录备注2.2.5. DNS服务指向安全基线要求内容应配置系统DNS指向企业内部DNS服务器。安全基线编号SBL-AIX 5-02-02-05操作指南1、参考配置操作1）编辑resolv.conf文件#vi /etc/resolv.conf 添加如下配置：searchdomain XX.XX.domain （域名）nameserver XX.XX.XX.XX nameserver XX.XX.XX.XX 注：XX.XX.XX.XX为DNS服务器的 ip地址。2、补充操作说明无。符合性检测判定方法1、判定条件DNS地址已配置为企业内部DNS服务器ip地址。2、检测操作1）通过nslookup解析DNS服务器ip地址；2）使用命令“cat /etc/resolv.conf”来查看DNS服务器ip地址是否为企业内部DNS服务器ip地址3、补充说明：无。检测结果记录整改情况记录备注2.3. 补丁安全安全基线要求内容应在确保业务不受影响的情况下及时更新操作系统补丁。安全基线编号SBL-AIX 5-02-03-01操作指南1、参考配置操作1）把补丁集拷贝到一个目录，如/08update；2）执行#smit update_all 选择安装目录/08update /默认 SOFTWARE to update _update_all COMMIT software updates? no /选择不提交SAVE replaced files? yes /保存被覆盖的文件ACCEPT new license agreements? yes /接受许可协议然后回车执行安装。2、补充操作说明无。符合性检测判定方法1、判定条件已安全了最新补丁。2、检测操作查看最新的补丁号，通过命令instfix a ivk LYxxxx检查某一个补丁是否安装，例如 LY59082 是否安装：#instfix a ivk LY59082检查文件集（filesets）是否安装：#lslpp l bos.adt.libm3、补充说明补丁下载 /eserver/support/fixes/检测结果记录整改情况记录备注2.4. 日志审计2.4.1. 日志审计功能设置安全基线要求内容应配置日志审计功能。安全基线编号SBL-AIX 5-02-04-01操作指南1、参考配置操作1）修改配置文件 vi /etc/syslog.conf，添加：*.info;auth.none /var/adm/syslog /记录几乎系统所有的错误日志；*.err /var/adm/errorlog /记录系统故障日志；*.alert /var/adm/alertlog /记录系统报警日志；*.cri /var/adm/critlog /记录系统严重错误日志；auth, /var/adm/authlog /记录登录方面的信息（包括login程序，ssh、telnet、su、sudo）。2）建立日志文件，如下命令：#touch /var/adm/authlog /var/adm/syslog #chown root:system /var/adm/authlog3）重新启动 syslog 服务，依次执行下列命令：#stopsrc -s syslogd #startsrc -s syslogd2、补充操作说明/var/adm/wtmp /记录正确登录系统帐户与错误登录,对追踪一般帐号使用行为很有帮助；/var/adm/cron/log /例行性工作调度方面的信息；/var/adm/sulog /记录使用su命令切换帐号日志。AIX 系统默认不捕获登录信息到 syslogd，以上配置增加了验证信息发送到/var/adm/authlog 和/var/adm/syslog。符合性检测判定方法1、判定条件/etc/syslog.conf 存在如下参数：*.info;auth.none /var/adm/syslog*.err /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth, /var/adm/authlog2、检测操作使用命令#cat /etc/syslog.conf是否配置一下参数：*.info;auth.none /var/adm/syslog*.err /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth, /var/adm/authlog3、补充说明无。检测结果记录整改情况记录备注2.4.2. 日志权限设置安全基线要求内容应配置帐户对日志文件读取、修改和删除等操作权限进行限制。安全基线编号SBL-AIX 5-02-04-02操作指南1、参考配置操作配置日志文件权限，使用如下命令：#chmod 600 /var/adm/authlog #chmod 640 /var/adm/syslog 2、补充操作说明无。符合性检测判定方法1、判定条件没有相应权限的用户不能查看或删除日志文件2、检测操作1）查看 syslog.conf 文件中配置的日志存放路径：#more /etc/syslog.conf2）使用 ls -l /var/adm 查看的目录下日志文件的权限，如：authlog权限是否为600、syslog 的权限是否为 600、644。3）使用低权限帐户登录系统，是否能够进行日志查看及删除操作。3、补充说明：对于其他日志文件，也应该设置适当的权限，如登录失败事件的日志、操作日志，具体文件查看 syslog.conf 中的配置。检测结果记录整改情况记录备注2.4.3. 日志定期备份 安全基线要求内容应定期对系统日志进行备份安全基线编号SBL-AIX 5-02-04-03操作指南1、参考配置操作 1）建立日志备份管理机制，搭建日志备份存储服务器； 2）依据日志备份管理机制，定期对系统日志进行备份。2、补充操作说明系统日志至少每3个月进行一次转储，并至少保存6个月。符合性检测判定方法1、判定条件 存在备份管理机制，并存在备份系统日志。2、检测操作1）询问管理员是否已建立日志备份管理机制，是否已搭建日志备份存储服务器；2）查看日志备份管理机制，确认是否存在备份日志；3）判定是否已按照日志备份机制对系统日志进行备份。3、补充说明无。检测结果记录整改情况记录备注2.4.4. 网络日志服务器设置（可选）安全基线要求内容应配置统一的网络日志服务器。安全基线编号SBL-AIX 5-02-04-04操作指南1、参考配置操作在配置文件/etc/syslog.conf中添加配置如下：printf # Following lines added by CISecurity AIX syslog.confn* info;mail.none xx.xx.xx.xx*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug;mail.none xx.xx.xx.xxn /etc/syslog.conf stopsrc -s syslogd startsrc -s syslogd2、补充操作说明（xx.xx.xx.xx为统一的网络服务器ip地址）符合性检测判定方法1、判定条件/etc/syslog.conf已配置统一的网络日志服务器IP地址。2、检测操作查看配置文件/etc/syslog.conf中是否存在相关指向日志服务器地址内容，地址指向是否正确。3、补充说明无。检测结果记录整改情况记录备注2.5. 防堆栈溢出设置安全基线要求内容防止堆栈缓冲溢出。安全基线编号SBL-AIX 5-02-05-01操作指南1、参考配置操作编辑/etc/security/limits 并且改变 core 值为 0，并增加一行在后面， 如下：core 0 core_hard = 0 保存文件后退出，执行命令：#echo # Added by Nsfocus Security Benchmark /etc/profile #echo ulimit -c 0 /etc/profile#chdev -l sys0 -a fullcore=false2、 补充操作说明应用程序在发生错误的时候会把自身的敏感信息从内存里 DUMP到文件，易被攻击者利用。注：内核参数改动后需要重启服务器才生效。符合性检测判定方法1、判定条件配置文件/etc/security/limits中已添加：core 0 、core_hard=0，在配置文件/etc/profile中已添加ulimit c 02、检测操作查看/etc/security/limits 文件是否有如下两行参数：core