AIX系统安全加固手册

信息安全加固手册信息安全加固手册 AIXAIX 系统系统 第 2 页 共 13 页 目目 录录 1端口与服务端口与服务.3 1.1相关端口对应服务禁止.3 1.2系统相关服务默认BANNER消息禁止.4 1.3NFS服务关闭.4 1.4图形管理服务关闭.5 1.5FTP 服务登入权限.5 1.6禁止RLOGIN服务.6 1.7CRON服务内容以及服务日志审核批.6 1.8SYSLOG服务属性.7 2系统网络参数类系统网络参数类.8 2.1SUID/SGID文件 .8 2.2UMASK权限设置.8 2.3系统核心网络参数安全性增强.9 3用户管理、访问控制、审计功能类用户管理、访问控制、审计功能类.9 3.1防止ROOT从远程登录.9 3.2减少登录会话时间.10 3.3系统口令强壮度与策略.10 3.4ROOT用户历史操作记录.11 3.5删除默认系统用户.12 4文件权限文件权限.12 4.1文件权限和文件类型设置.12 第 3 页 共 13 页 1 端口与服务端口与服务 1.1相关端口对应服务禁止相关端口对应服务禁止 风险描述风险描述 21, 23 , 25, 111, 513 , 514 , 515, 540 , 80 ，6112， 161 , 7, 37 , 110 相关 rpc 等服务禁止 风险等级风险等级 风险高 加固建议加固建议 判断上述系统默认服务在本系统是否需要应用来决定关闭或者替换升级 加固的风加固的风 险险/影响影响 有些业务服务可能需要以上某些系统服务，关闭服务将造成某些系统维护 方式或者业务服务不正常，相关系统默认服务（ftp, rsh, kshell, rlogin, krlogin, rexec, comsat, uucp, finger, tftp, talk,ntalk, echo, discard, chargen, daytime, time 及 rpc 小服务），具体说明如下： Rsh,rlogin,rexec - R 远程登录系列服务,容易被窃听 Finger -允许远程查询登陆用户信息 Time - 网络时间服务，允许远程察看系统时间 Echo - 网络测试服务，回显字符串, 为“拒绝服务”攻击提供机会, 除非正 在测试网络，否则禁用 Discard - 网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正 在测试网络，否则禁用 Daytime - 网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正 在测试网络，否则禁用 Chargen - 网络测试服务，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用 comsat -通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 很少需要的,禁用 klogin - Kerberos 登录，如果您的站点使用 Kerberos 认证则启用 kshell - Kerberos shell，如果您的站点使用 Kerberos 认证则启用 ntalk - 允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则 禁用 talk - 在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起 使用，在端口 517 提供 UDP 服务 ntalk - new talk tftp - 以 root 用户身份运行并且可能危及安全 uucp - 除非有使用 UUCP 的应用程序，否则禁用 dtspc - CDE 子过程控制，不用图形管理的话禁用 加固风险加固风险 规避方法规避方法 根据主机的业务需求，关闭对应服务端口，事先将原配置文件做备份 加固成果加固成果 关闭不用的端口可以避免非法用户利用这些端口入侵系统，通过升级服务 来减少可被利用的漏洞。 加固具体加固具体 方法方法 编辑或注释 inetd.conf 中所对应服务的启动脚本和启动语句来禁止上述服 务。 有些服务可能以 cron 定时启动 请检查 cron 定时脚本。 第 4 页 共 13 页 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 1.2系统相关服务默认系统相关服务默认 banner 消息禁止消息禁止 风险描述风险描述 系统相关服务如 ftpd, telnetd, sendmail 等默认 banner 消息禁止， 风险等级风险等级 风险中 加固建议加固建议 修改可判断系统版本输出消息的服务 banner 加固的风加固的风 险险/影响影响 连接或使用上述服务将不会返回上述服务版本 加固风险加固风险 规避方法规避方法 加固成果加固成果 避免通过 banner 信息泄露系统敏感信息 加固具体加固具体 方法方法 修改/etc/motd 文件 修改/etc/ftpmotd 文件 检查/etc/security/login.cfg 文件中察看 herald 是否有设置 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 1.3nfs 服务关闭服务关闭 风险描述风险描述 查看 nfs 服务是否启用，避免利用 nfs 服务漏洞入侵系统 风险等级风险等级 风险中 加固建议加固建议 若使用 nfs share file 服务 ，则判断该服务目前输出的 export file list 列表 中的 nfs 文件系统挂载权限和允许挂载该文件系统的地址是否是 erverone 等 加固的风加固的风 险险/影响影响 该服务加固后将造成某些无授权的 ip 地址挂载该系统 nfs 文件系统失败 加固风险加固风险 规避方法规避方法 事先将原配置文件做备份 第 5 页 共 13 页 加固成果加固成果 能避免非法用户挂载 nfs 文件系统，增强系统安全性 加固具体加固具体 方法方法 若不使用 nfs 服务，则从系统当前启动等级中启动脚本移除，若使用该服 务则应用 share 命令对指定文件系统做限制 ip 挂载地址以及挂载权限参数 限制。注释/etc/inittab 文件中关于 nfs 的行 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 1.4图形管理服务关闭图形管理服务关闭 风险描述风险描述 检查图形管理界面是否开启，避免利用该服务漏洞入侵系统 风险等级风险等级 风险中 加固建议加固建议 若不使用图形管理，将图形管理关闭 加固的风加固的风 险险/影响影响 无法进行图形方式管理 加固风险加固风险 规避方法规避方法 事先将原配置文件做备份 加固成果加固成果 能避免非法用户利用图形管理服务的漏洞 加固具体加固具体 方法方法 修改/etc/inittab 文件，将 dt，dt_nogb 注释 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 1.5FTP 服务登入权限服务登入权限 风险描述风险描述 设定/etc/ftpusers 文件以及权限 风险等级风险等级 风险中 加固建议加固建议 将不需要使用 ftpd 服务的用户加入 ftpusers 文件，来保证 ftp 服务安全性, 确保该文件属性为 644 来保证文件层安全 加固的风加固的风 险险/影响影响 可能影响某些使用该帐号 ftp 登陆的备份，操作，日志记录等脚本 第 6 页 共 13 页 加固成果加固成果 能防止非授权用户登入 FTP 加固具体加固具体 方法方法 编辑/etc/ftpd/ftpusers 或/etc/ftpusers 文件加入不允许 ftp 登陆的用户 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 厂商意见厂商意见 厂商维护人员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 1.6禁止禁止 rlogin 服务服务 风险描述风险描述 基于 pam 动态验证库验证机制的.rhosts 文件和 rlogin 服务 风险等级风险等级 风险高 加固建议加固建议 .rhosts 文件信任机制是一种极其不安全的用户登陆信任机制，建议若不使 用 rlogin 服务则在/etc/inetd.conf 禁止， 加固的风加固的风 险险/影响影响 造成某些使用.rhosts 验证机制的的服务 如 cluster 等服务无法正常使用 加固风险加固风险 规避方法规避方法 事先将原配置文件（/etc/inetd.conf）做备份 加固成果加固成果 避免非法用户利用 rlogin 入侵系统 加固具体加固具体 方法方法 若仍使用.rhosts 文件的信任机制 则因该查找当前系统所用用户$HOME 变 量下是否存在.rhosts 文件，确定其文件属性为 600，文件内容为指定的信 任主机 若不使用.rhosts 文件信任关系 则编辑/etc/inetd.conf 将 rlogin 行注释并删除所有.rhosts 文件 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 1.7Cron 服务内容以及服务日志审核批服务内容以及服务日志审核批 风险描述风险描述 Cron 服务内容以及服务日志审核批 第 7 页 共 13 页 风险等级风险等级 风险中 加固建议加固建议 若不使用 cron 服务，则关闭该服务，若使用该服务则因该保证 /var/spool/cron/crontab 下的各个用户文件权限为 600,并检查各个用户服务 内容中是否有包括用户和密码明文使用的备份，传输，任务脚本。 加固的风加固的风 险险/影响影响 可能造成管理上的一些不便 加固风险加固风险 规避方法规避方法 事先将原配置文件（/var/spool/cron/crontabs/下文件）做备份 加固成果加固成果 消除 cron 服务脚本中使用用户名和密码明文带来的隐患 加固具体加固具体 方法方法 Chmod 600 /var/spool/cron/crontabs/* XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 1.8Syslog 服务属性服务属性 风险描述风险描述 修改系统 Syslog 文件记录及其属性 风险等级风险等级 风险低 加固建议加固建议 改变/etc/syslog.conf 中默认的/var/adm 日志路径将能更好的保护系统日志 不受破坏，确定文件属性为 400 来保证其安全性 加固的风加固的风 险险/影响影响 日志的存放路径变更 加固风险加固风险 规避方法规避方法 加固成果加固成果 阻止普通用户获取系统日志信息，增强系统安全性 加固具体加固具体 方法方法 修改/etc/syslog.conf 文件，将日志记录路径修改为其他路径或其他主机地 址,chmod 400 修改该文件属性 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 第 8 页 共 13 页 2 系统网络参数类系统网络参数类 2.1Suid/sgid 文件文件 风险描述风险描述 去掉文件不必要的 Suid/sgid 属性 风险等级风险等级 风险高 加固建议加固建议 对系统不必要的 suid 为 root 文件，去掉其 suid 属性来防止文件层，如 heap,stack,formatstring 等一类的提升权限攻击 加固的风加固的风 险险/影响影响 可能造成某些使用该 suid 文件来运行的服务或进程无法以 root 权限进程 来执行 加固风险加固风险 规避方法规避方法 事先将原文件权限记录 加固成果加固成果 避免通过不必要的 suid 文件获得 root 权限，增强系统安全性 加固具体加固具体 方法方法 Chmod s filename 去掉不需要 suid 属性文件的 suid 属性 先运行以下命令查找 find / -type f -perm -4001 -user 0 （先运行此两个命令来查找 filename） find / -type f perm -2001 group 0 login passwd mount (不能更改) XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 2.2Umask 权限设置权限设置 风险描述风险描述 Umask 权限设置 风险等级风险等级 风险中 加固建议加固建议 修改 umask 文件权限为 027 来修改文件默认建立的属性来增强系统安全性 加固的风加固的风 险险/影响影响 用户建立文件的默认属性为 640 加固风险加固风险 规避方法规避方法 加固成果加固成果 加固后，用户建立文件的默认属性都 640，增强文件的安全性 第 9 页 共 13 页 加固具体加固具体 方法方法 修改或加入/etc/profile 中的 umask 值为 022 或 027 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 2.3系统核心网络参数安全性增强系统核心网络参数安全性增强 风险描述风险描述 系统核心网络参数安全性增强 风险等级风险等级 风险高 加固建议加固建议 设置系统核心网络参数将造成某些特殊的网络攻击比较难以实现 加固的风加固的风 险险/影响影响 可能造成网络 ip socket 部分功能无法正常使用，网络负荷可能提高%2-%8 之间 加固风险加固风险 规避方法规避方法 加固成果加固成果 增加某些网络攻击的难度，增强系统安全性 加固具体加固具体 方法方法 修改以下参数 no o ipforwarding=0 #禁止 ip 源路由包转发 no o ipsrcrouteforward=0 #禁止转发原路由包 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 3 用户管理、访问控制、审计功能类用户管理、访问控制、审计功能类 3.1防止防止 root 从远程登录从远程登录 风险描述风险描述 阻止 root 从远程登录 风险等级风险等级 风险高 加固建议加固建议 防止 root 直接从 remote 设备来登陆系统，来增强系统安全性。 第 10 页 共 13 页 加固的风加固的风 险险/影响影响 Root 将不能远程直接登陆系统，但可以以普通用户登陆系统来 su 到 root 加固风险加固风险 规避方法规避方法 事先将原配置文件做备份 加固成果加固成果 远程只能采取以普通用户登陆系统来 su 到 root，能增强系统安全性，减 少被入侵的可能 加固具体加固具体 方法方法 修改/etc/security/user 文件 ，将 root 段的 rlogin 修改为 flase XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 3.2减少登录会话时间减少登录会话时间 风险描述风险描述 减少用户登录会话时间 风险等级风险等级 风险中 加固建议加固建议 减少用户登录会话超时时间来保证用户登陆进程长期在系统有效存在 加固的风加固的风 险险/影响影响 将缩小系统用户登陆超时时间 加固风险加固风险 规避方法规避方法 事先将原配置文件做备份 加固成果加固成果 通过减少用户登录超时判定时间来增强系统安全性，减少忘记登出用户被 非法利用的可能性 加固具体加固具体 方法方法 增加或修改( /etc/profile, /etc/environment, /etc/security/.profile )文件中如 下行 TMOUT=600 ; TIMEOUT=600 ; export TMOUT TIMEOUT XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 3.3系统口令强壮度与策略系统口令强壮度与策略 风险描述风险描述 增强其口令策略，默认长度值，复杂程度，口令使用周期来增强系统安全 第 11 页 共 13 页 风险等级风险等级 风险中 加固建议加固建议 修改系统用户 passwd 强度来增强系统安全性 加固的风加固的风 险险/影响影响 可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作 的脚本失效 加固风险加固风险 规避方法规避方法 事先将原配置文件做备份 加固成果加固成果 增强用户密码的强度，大大降低用户密码被猜解的可能性 加固具体加固具体 方法方法 加固具体方法: 修改/etc/security/user 文件，按需要的口令策略设置或加入如下参数 minlen =8 XXX 公公 司意见司意见 XXX 公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 3.4Root 用户历史操作记录用户历史操作记录 风险描述风险描述 记录 root 用户的 shell 键值 可能造成安全隐患，泄漏敏感信息 风险等级风险等级 风险低 加固建议加固建议 不记录 root 的操作记录或记录很少条记录 加固的风加固的风 险险/影响影响 Root 用户的操作记录减少 加固风险加固风险 规避方法规避方法 事先将原配置文件做备份 加固成果加固成果 避免通过历史记录获得一些敏感信息，增强系统安全性 加固具体加固具体 方法方法 对于 root 可设置其$HOME 目录变量下