AIX操作系统安全配置手册

AIXOS安全配置文档许新墟新信 cn.IBM.com2011-6-8版本号： V1.0目录1 .引言22 .用户管理22.1用户帐户的安全设置22.2删除用户帐户32.3禁止超级用户直接登录42.4用户登录审计42.5密码规则设定62.6对文件和目录的默认访问权限62.7如果用户错误登录的次数太多，帐户将被锁定72.8显示上次更改密码的时间7使用2.9 chpasswd和pwdadmin命令83 .网络安全93.1安装和配置ssh文件集93.2 TELNET与SSH的安全性比较103.3禁止telnet、FTP、RLOGIN等网络服务113.4限制某些用户的FTP登录123.5设置目录的FTP权限123.6将用户的FTP访问限制为其$HOME目录153.7实现基于IP地址的访问控制153.8显示当前TCPIP网络连接184 .系统安全管理194.1设定用户终端长时间不操作时自动结束194.2NTP网络时钟协议20的设置4.3停止NFS服务224.4设置用户limits参数234.5使用wtmp文件241 .引言AIX是IBM Power系列开放平台服务器的专用操作系统，是UNIX操作系统的商业版本。 作为企业服务器的运营平台，安全性是AIX的重要功能之一。我们的小型机正在执行客户的核心生产业务，因此对系统的安全设定常常有严格的要求。2 .用户管理AIX是多用户操作系统，多个用户在同一系统环境中协作，设置用户访问权限、相互隔离用户作业和限制用户系统资源是AIX操作系统不可或缺的功能。2.1用户帐户的安全设置为了确保整个操作系统的安全性，每个用户帐户必须满足以下安全性设置要求(1)为每个系统管理员设定个别帐户，不允许多个管理员共享一个帐户(2)root用户不允许直接登录，从其他用户登录后，必须通过su命令获得root用户权限(3)无效或删除不使用的系统帐户(4)设定必要的密码规则。成功安装AIX操作系统后，默认情况下会创建一些用户，并将用户配置文件保存在/etc/passwd文件中。 其中，root和bin用户无法删除。 安全地删除或阻止其他用户，以防止这些系统的默认用户帐户因密码较弱等问题而遭到黑客攻击。其中的第2列是“！表示用户设置了密码，*，表示用户没有设置密码。# cat /etc/passwdroot:0:0:6030/:/usr/bin/ksh守护进程：60605360/etc:bin:2:2605360/bin:sys:33606053605360/usr/sys :adm:33606053605360/var/ADM :uucp:536053605360/usr/lib/uucp :guest:600333336366030 /家庭/客户：nobody: 33602949672943360294967294336030/:lpd:99愚人节6353949653535353535353535353535353535353535353535353535353535353535353535353535253535353535353535353535353535353535353535353LP : * :1331336360/var/spool/LP :/bin/falseinv scout : * :602:3360/var/ADM/inv scout :/usr/bin/kshsnapp : * 3360200336353535352535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353IPSec : * :20133336360/etc/IPSec :/usr/bin/kshnuucp : * 3360733605353525353535353535353535353535353535353535353535353535353535353535353535353p控制台： * :83360033605360/var/ADM/p控制台：/usr/bin/kshesa admin : * :5333635360/var/esa :/usr/bin/ksh#安装AIX操作系统时，默认情况下会创建一些用户组，并将用户组的基本信息存储在/etc/group文件中。 无法删除system组和bin组。# cat /etc/groupsystem:0:根，p控制台，esa管理staff:1:ipsec，esa管理，固态硬盘，用户1，oraclebin:2:根，binsys:根，bin，sysadm:4:bin，admuucp:5:uucp，nuucpmail:6:security:73360根cron:83360根printq:99:lpaudit:103360根ecs:28:nobody:4294967294:nobody，lpdusr:6000:guestperf:20:shutdown:21:lp:113360根，lpinvscout:12:invscoutsnapp:13:snappipsec:200:p控制台：143360 p控制台#2.2删除用户帐户有三种方法可以删除或禁用用户帐户(使用rmuser命令以rmuserp user _ name 格式删除用户。这将删除/etc/passwd和/etc/group文件中的用户内容，并同时将其删除/etc/security/passwd文件中的用户内容。但是，不会删除用户的主目录，您必须使用rmdir命令删除用户的主目录。(2)编辑文件/etc/passwd，在要删除的用户名前面加上“#”的注释。第二种方法是注释要删除的用户，该用户将无法登录到系统，但不会删除有关该用户的信息，并且需要恢复用户的登录功能时，可以删除/etc/passwd文件中用户名前面的“#”注释(编辑/etc/passwd文件并将要删除的用户的缺省shell设置为/bin/false。/bin/false是系统空文件，不是有效的shell程序，因此用户登录系统后无法打开shell，因此登录失败。2.3禁止超级用户直接登录禁止超级用户直接登录系统，并且在以正常用户身份登录后，必须使用su命令切换到超级用户权限设置方法是编辑/etc/security/user配置文件的login、rlogin和su属性。 该文件的开头详细描述了每个参数的含义。其中，login属性设置用户是否允许从包含监视器或串行端口的本地控制台登录。rlogin属性设置用户是否允许远程登录，如rlogin或telnet。 不允许其他远程登录，如SSH。su属性设置用户是否可以使用su命令获得其他用户的权限。*登录定义* possible values : trueorfalse。* rlogindefiniteswhetheuseraccountcanbeaccessedbyremote*mandrlogin和telnet支持thisattribute。* possible values : trueorfalse。*切换到此用户帐户* command su supports this attribute。* possible values : trueorfalse。2.4用户登录审计/var/adm/wtmp文件包含所有用户的登录时间、登录方法和源IP地址信息。 /var/adm/sulog文件记录了使用su命令切换用户权限的时间点。 必须使用who命令而不是纯文本文件来显示wtmp文件。 sulog文件是纯文本文件，可以使用cat命令直接查看它。/var/adm/wtmp文件和/var/adm/sulog文件的输出相结合，可以精确确定授予root操作权限的时间段。EXTENDED_HISTORY=ON启用环境变量以记录用户的命令行操作。每个用户的$HOME目录都有一个名为. sh_history的文本文件，用于记录该用户的所有命令行操作。 缺省情况下，EXTENDED_HISTORY环境变量处于关闭状态。 因此， sh_history文件只包含执行的命令，而不包含时间点。#cat .sh_historywhoamiexitexitpasswd公司errptioscan苏-whoamisarsar 3战斗机苏-whoamiwhereis sarsar 3战斗机如果将EXTENDED_HISTORY环境变量设置为ON，则. sh_history文件包含用户执行命令的经过时间。使用指令fc -t -1000，可以显示该用户最近执行1000件的指令。#fc -t -1000212011/04/09143353535353535353535353653605360 vintp.conf222011/04/09143363363021336030 cat NTP.conf232011/04/09143336353363536360 startsrc-sntpd242011/04/091433636336353536360 lssrc-a|grep NTP252011/04/09143363533535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353262011/04/091433605353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353272011/04/091433605353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353282011/04/091433605353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353292011/04/091433605353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353302011/04/091433605353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353312011/04/09143363536030 lssrc-ls xntpd322011/04/091433605353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353332011/04/0914336353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353342011/04/091433605353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353352011/04/0914333635363536036 lssrc-ls xntpd362011/04/09153602833535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353535353372011/04/091533602936353635360 lssrc-ls xntpd382011/04/0915336031336353635360 vintp.conf是每个用户的$HOME目录下都有一个smit.log文件，其中包含用户使用smit菜单所做的所有操作。 这是您可以在VI文本编辑器中直接查看和修改的文本文件。2.5密码规则的设定AIX支持限制密码的复杂性、重复次数、寿命等，提高密码被破坏或被盗的难度。 AIX最多支持8位密码，超过8位时自动忽略。在/etc/security/user文件中存在设置密码规则的参数。logintimes :定义用户允许登录一段时间pwdwarningtime :定义密码过期时间，用于