AIX安全配置基线

1、AIX 系统安全配置基线第1章 帐号管理认证授权1.1 帐号2.1.1用户帐号设置*安全基线项目名称操作系统AIX用户帐户安全基线要求项安全基线编号SBL-AIX-02-01-01 安全基线项说明 设置需要锁定的用户帐号。检测操作步骤1、执行：lsuser a home ALL2、执行：ls l /etc/passwd基线符合性判定依据需要锁定的用户，如：deamon,bin,sys,adm ,printq,guest,nobody,lpd,备注手工判断，基于业务判断需要锁定的用户2.1.2用户组设置*安全基线项目名称操作系统AIX用户组安全基线要求项安全基线编号SBL-AIX-02-01-0

2、2 安全基线项说明 用户组设置。检测操作步骤1、执行：more /etc/group 2、执行：ls -l /etc/group基线符合性判定依据不要存在无用的用户组，如：printq备注手工判断，基于业务判断无用的用户组2.1.3 Root用户远程登录限制安全基线项目名称操作系统AIX远程登录安全基线要求项安全基线编号SBL-AIX-02-01-03 安全基线项说明 Root用户远程登录限制。检测操作步骤1、执行：more /etc/security/user ，检查在root项目中是否有下列行:rlogin=falselogin=true su=true sugroup=system基线符

3、合性判定依据禁止root用户直接登录系统备注2.1.4系统用户登录限制*安全基线项目名称操作系统AIX用户登录安全基线要求项安全基线编号SBL-AIX-02-01-04 安全基线项说明 系统用户登录限制。检测操作步骤1、执行：more /etc/security/user ，检查在daemon bin sys adm uucp nuucp printq guest nobody lpd sshd项目中是否有下列行:rlogin=falselogin=false基线符合性判定依据系统帐号仅被守护进程和服务使用，不应直接由用户登录系统。如果系统没有应用这些守护进程或服务，建议删除这些帐号。备注手工

4、判断，基于业务判断相关帐号2.1.5帐号用户共享限制*安全基线项目名称操作系统AIX帐号用户共享限制安全基线要求项安全基线编号SBL-AIX-02-01-05 安全基线项说明 应按照不同的用户分配不同的帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。检测操作步骤1、参考配置操作为用户创建帐号：#useradd username #创建帐号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的帐号，设置不同的

5、口令及权限信息等。2、补充操作说明基线符合性判定依据1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的帐号进行登录并进行一些常用操作；3、补充说明备注手工判断，基于业务判断2.1.6删除系统无关帐号*安全基线项目名称操作系统AIX系统无关帐号安全基线要求项安全基线编号SBL-AIX-02-01-06 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号。检测操作步骤1、参考配置操作删除用户：#rmuser p username; 锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3

6、)#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：deamon,bin,sys,adm ,printq,guest,nobody,lpd系统内存在不可删除的内置帐号，包括root,bin等。基线符合性判定依据1、判定条件被删除或锁定的帐号无法登录成功；2、检测操作使用删除或锁定的与工作无关的帐号登录系统；3、补充说明需要锁定的用户：deamon,bin,sys,adm,p

7、rintq,guest,nobody,lpd 备注手工判断，基于业务判断系统无关帐号2.1.7限制具备超级管理员权限的用户远程登录安全基线项目名称操作系统AIX用户远程管理安全基线要求项安全基线编号SBL-AIX-02-01-07 安全基线项说明 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限帐号后执行相应操作。检测操作步骤1、 参考配置操作编辑/etc/security/user，加上：在root项上输入false作为rlogin的值此项只能限制root用户远程用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制ro

8、ot从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。基线符合性判定依据1、判定条件root远程登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。备注2.

9、1.8多帐户组管理*安全基线项目名称操作系统AIX多帐户组安全基线要求项安全基线编号SBL-AIX-02-01-08 安全基线项说明 根据系统要求及用户的业务需求，建立多帐户组，将用户帐号分配到相应的帐户组。检测操作步骤1、参考配置操作创建帐户组：#groupadd g GID groupname #创建一个组，并为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod g group username #将用户username分配到group组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用 -g

10、选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统帐号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令进行更改，如#newgrp sys 即把当前用户以sys组身份运行；基线符合性判定依据1、判定条件可以查看到用户帐号分配到相应的帐户组中；或都通过命令检查帐号是否属于应有的组：#id username 2、检测操作查看组文件：cat /etc/group 3、补充说明文件中的格式说明

11、：group_name:GID:user_list 备注手工判断，基于业务判断2.1.9系统帐号登陆限制*安全基线项目名称操作系统AIX系统帐号登陆安全基线要求项安全基线编号SBL-AIX-02-01-09 安全基线项说明 对系统帐号进行登录限制，确保系统帐号仅被守护进程和服务使用，不应直接由该帐号登录系统。如果系统没有应用这些守护进程或服务，应删除这些帐号。检测操作步骤1、参考配置操作禁止帐号交互式登录：修改/etc/shadow文件，用户名后密码列为NP；删除帐号：#rmuser -p username;2、补充操作说明禁止交互登录的系统帐号，比如uucp nuucp lpd guest

12、printq等基线符合性判定依据1、判定条件被禁止帐号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一帐号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出；3、补充说明备注手工判断，基于业务判断1.2 口令2.2.1口令生存期安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天（13周）。检测操作步骤1、执行：more /etc/security/user ，检查hist

13、expire基线符合性判定依据Histexpire小于等于13备注2.2.2口令历史安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次内已使用的口令。检测操作步骤1、执行：more /etc/security/user ，检查histsize基线符合性判定依据Histsize大于等于5备注2.2.3用户口令锁定策略*安全基线项目名称操作系统AIX口令锁定安全基线要求项安全基线编号SBL-AIX-02-02-03 安全基线项说明 对于采用静态口令认证技术

14、的设备，应配置当用户连续认证失败次数超过10次，锁定该用户使用的帐号。检测操作步骤1、执行：more /etc/security/user ，检查loginretries基线符合性判定依据loginretries=10备注注意！此项设置会影响性能，建议设置后对访问此服务器源地址做限制。2.2.4用户访问权限安全要求安全基线项目名称操作系统AIX用户访问权限安全基线要求项安全基线编号SBL-AIX-02-02-04 安全基线项说明 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤

15、1、执行：more /etc/default/login ，检查umask基线符合性判定依据umask 027备注2.2.5用户FTP访问的安全要求*安全基线项目名称操作系统AIX用户FTP访问安全基线要求项安全基线编号SBL-AIX-02-02-05 安全基线项说明 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。检测操作步骤1、 执行：more /etc/ftpaccess ，检查restricted-uid2、 执行：more /etc/ftpusers基线符合性判定依据ftpaccess中应有类似一行restricted-uid

16、*(限制所有)；ftpusers列表里边的用户名应包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4备注手工判断2.2.6用户口令强度要求安全基线项目名称操作系统AIX用户口令安全基线要求项安全基线编号SBL-AIX-02-02-06 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤1、参考配置操作chsec -f /etc/security/user -s default -a minlen=8chsec -f /etc/security

17、/user -s default -a minalpha=1chsec -f /etc/security/user -s default -a mindiff=1chsec -f /etc/security/user -s default -a minother=1chsec f /etc/security/user s default -a pwdwarntime=5minlen=8 #密码长度最少8位minalpha=1 #包含的字母最少1个mindiff=1 #包含的唯一字符最少1个minother=1#包含的非字母最少1个pwdwarntime=5 #系统在密码过期前5天发出修改密码的

18、警告信息给用户2、补充操作说明基线符合性判定依据1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。2、创建一个普通帐号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。备注2.2.7用户缺省访问权限要求*安全基线项目名称操作系统AIX用户缺省权限安全基线要求项安全基线编号SBL-AIX-02-02-07

19、安全基线项说明 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤1、 参考配置操作A.设置所有存在帐户的权限：lsuser -a home ALL | awk 'print $1' | while read user; do chuser umask=077 $userdonevi /etc/default/login在末尾增加umask 027B.设置默认的profile，用编辑器打开文件/etc/security/user，找到umask这行，修改如下：Um

20、ask=0772、补充操作说明1、 如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。基线符合性判定依据1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/default/login 查看是否有umask 027内容3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。umask的

21、计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。备注手工判断第2章 网络与服务2.1 服务3.1.1远程维护安全要求安全基线项目名称操作系统AIX远程维护安全基线要求项安全基线编号SBL-AIX-03-01-01 安全基线项说明 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。检测操作步骤1、 判定条件# ps elf|grep ssh是否有ssh进程存在2、检测操作查看SSH服务状态：# ps

22、 elf|grep ssh查看telnet服务状态：# ps elf|grep telnet基线符合性判定依据建议启用ssh，禁用telnet备注2.2 IP协议安全要求3.2.1 ICMP重定向安全要求安全基线项目名称操作系统AIX ICMP重定向安全基线要求项安全基线编号SBL-AIX-03-02-01 安全基线项说明 主机系统应该禁止ICMP重定向，采用静态路由。检测操作步骤使用命令“vi /etc/”修改配置文件，添加以下内容：ipignoreredirects=1 忽略ICMP重定向包ipsendredirects=0 不发送ICMP重定向包基线符合性判定依据使用命令“no a”查看

23、当前网络参数ipignoreredirects=1 忽略ICMP重定向包ipsendredirects=0 不发送ICMP重定向包备注3.2.2 系统开放的端口及服务安全要求*安全基线项目名称操作系统AIX 系统开放端口及服务安全基线要求项安全基线编号SBL-AIX-03-02-02 安全基线项说明 设备应支持列出对外开放的IP服务端口和设备内部进程的对应表。检测操作步骤1、参考配置操作开放的服务列表命令: # cat /etc/inetd.conf开放的端口列表命令: # netstat -an 服务端口和进程对应表：命令：cat /etc/services2、补充操作说明ftp-data

24、20/tcpftp 21/tcpssh 22/tcptelnet 23/tcpsmtp 25/tcppop2 109/tcppop3 110/tcpimap 143/tcpldap 389/udptftp 69/udprje 77/tcpfinger 79/tcplink 87/tcp supdup 95/tcpiso-tsap 102/tcpx400 103/tcp x400-snd 104/tcpntp 123/tcplogin 513/tcpshell 514/tcpsyslog 514/udp基线符合性判定依据1、判定条件能够列出端口和服务对应表。2、检测操作开放的服务列表命令: #

25、cat /etc/inetd.conf开放的端口列表命令: # netstat -an 服务端口和进程对应表：命令：cat /etc/services3、补充说明备注需要人工判断开放的端口和服务，可能影响业务3.2. 3 远程管理地址安全要求*安全基线项目名称操作系统AIX远程管理地址安全基线要求项安全基线编号SBL-AIX-03-02-03 安全基线项说明 对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到该设备的IP地址范围进行设定。检测操作步骤1、 参考配置操作编辑/etc/hosts.allow和/etc/hosts.deny两个文件vi /etc/hosts.allow增加一

26、行 <service>: 允许访问的IP；举例如下：all:4:allow #允许单个IP；ssh:192.168.1.:allow #允许192.168.1的整个网段vi /etc/hosts.deny增加一行 all:all重启进程：# refresh -s inetd 2、补充操作说明更改/etc/inetd.conf文件后，刷新inetd的命令是：# refresh -s inetd基线符合性判定依据1、判定条件被允许的服务和IP范围可以登录到该设备，其它的都被拒绝。2、检测操作查看/etc/hosts.allow和/etc/hosts.deny两个文

27、件cat /etc/hosts.allowcat /etc/hosts.deny3、补充说明备注手工判断3.2.4 非路由设备转发限制*安全基线项目名称操作系统AIX非路由设备转发限制安全基线要求项安全基线编号SBL-AIX-03-02-04 安全基线项说明 对于不做路由功能的系统，应该关闭数据包转发功能。检测操作步骤1、 参考配置操作vi /etc/init.d/inetinitIP Forwarding (IP转发)       a. 关闭IP转发          /usr/sbin/no -o ipsrcr

28、outeforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o nonlocsrcroute=0      b. 严格限定多主宿主机,如果是多宿主机，还可以加上更严格的限定防止ip spoof的攻击          ndd -set /dev/ip ip_strict_dst_multihoming 1       c. 转发包广播由于在转发状态下默认是允许

29、的，为了防止被用来实施smurf攻击，关闭这一特性          ndd -set /dev/ip ip_forward_directed_broadcasts 0  路由：      a. 关闭转发源路由包          ndd -set /dev/ip ip_forward_src_routed 02、补充操作说明注意：启动过程中IP转发功能关闭前AIX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。对于AIX 2.4(或者更低

30、版本)，在/etc/init.d/inetinit文件的最后增加一行 ndd -set /dev/ip ip_forwarding 0 对于AIX 2.5(或者更高版本),在/etc目录下创建一个叫notrouter的空文件，touch /etc/notrouter基线符合性判定依据1、判定条件2、检测操作查看/etc/init.d/inetinit文件cat /etc/init.d/inetinit3、补充说明注意：启动过程中IP转发功能关闭前AIX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。备注需要人工判断是否为非路由设备第3章 日志审计3.1 日志4.1.1添加认证日

31、志*安全基线项目名称操作系统AIX认证日志安全基线要求项安全基线编号SBL-AIX-04-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址检测操作步骤1、 执行：cat /etc/syslog.conf ，检查类似配置： /var/adm/authlog*.info;auth.none /var/adm/syslogn"2、检测操作cat /var/adm/authlogcat /var/adm/syslog基线符合性判定依据列出用户帐号、登录是否成功、登录

32、时间、远程登录时的IP地址。备注手工检查3.2 审计4.2.1安全事件审计安全基线项目名称操作系统AIX安全事件审计安全基线要求项安全基线编号SBL-AIX-04-02-01 安全基线项说明 设备应配置日志功能，记录对与设备相关的安全事件。检测操作步骤1、执行：cat /etc/syslog.conf ，检查类似配置：*.err;kern.debug;daemon.notice; /var/adm/messages基线符合性判定依据要求有上述类似配置。备注4.2.2系统信息日志要求*安全基线项目名称操作系统AIX系统日志信息安全基线要求项安全基线编号SBL-AIX-04-02-02 安全基线项

33、说明 启用系统记帐（System accounting），记录系统数据，比如CPU利用率，磁盘的I/O信息等检测操作步骤1、 参考配置操作把以下保存为一个文本文件，并执行lslpp -i bos.acct >/dev/null 2>&1 #检查文件集是否存在 if "$?" != 0 ; then echo "bos.acct not installed, cannot proceed" else su - adm -c "crontab -l > /tmp/crontab.adm" cat <<

34、 EOF >> /tmp/crontab.adm #增加到crontab执行 0 8-17 * * 1-5 /usr/lib/sa/sa1 1200 3 & 0 * * * 0,6 /usr/lib/sa/sa1 & 0 18-7 * * 1-5 /usr/lib/sa/sa1 & 5 18 * * 1-5 /usr/lib/sa/sa2 -s 8:00 -e 18:01 -i 3600 -A & EOF mkdir -p /var/adm/sa #建立sa目录 chown adm:adm /var/adm/sa #改变属主为adm chmod 75

35、5 /var/adm/sa #赋予权限值 su - adm -c "crontab /tmp/crontab.adm" 2、 补充操作说明使用sar命令必须要安装bos.acct文件集。/var/adm/sa/sar*自动保存报告数据，可查看基线符合性判定依据1、判定条件运行sar 能查看系统部件活动2、检测操作检查生成的报告信息，命令报告系统部件活动，命令#sar在随后的 20 秒内每隔 2 秒报告当前的 tty 活动，命令#sar -y -r 2 20观察系统部件 10 分钟，并对数据进行排序，命令#sar -o temp 60 10 报告最前面的两个处理器的 cpu

36、活动，命令#sar -u -P 0,1 查看是否存在文件 /var/adm/sa/sadd 其中dd表示该月的第几日的数字备注手工判断4.2.3重点日志保存要求*安全基线项目名称操作系统AIX日志服务器安全基线要求项安全基线编号SBL-AIX-04-02-02安全基线项说明 设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检测操作步骤1、参考配置操作修改配置文件vi /etc/syslog.conf，加上这几行： ttloghost *.info;auth.nonettloghost *.emergttloghost local7.*ttloghos

37、t可以将此处loghost替换为实际的IP或域名。重新启动syslog服务，依次执行下列命令：stopsrc -s syslogd startsrc -s syslogd 2、补充操作说明注意： *.*和之间为一个Tab基线符合性判定依据1、判定条件设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。2、检测操作查看日志服务器上的所收到的日志文件。3、补充说明备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。第4章 设备其他安全配置要求4.1 设备5.1.1屏幕保护安全基线项目名称操作系统AIX屏幕保护安全基线要求项安全基线编号SBL-AIX-05-01-0

38、1 安全基线项说明 对于具备字符交互界面的设备，应配置定时帐户300秒自动登出。检测操作步骤1、 查看：cat /etc/profile|grep TMOUTcat /etc/environment|grep TMOUTcat /etc/security/.profile|grep TMOUT基线符合性判定依据如果没显示则不符合配置要求。备注5.1.2屏幕锁定*安全基线项目名称操作系统AIX屏幕锁定安全基线要求项安全基线编号SBL-AIX-05-01-02 安全基线项说明 对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。检测操作步骤1、参考配置操作for file in /us

39、r/dt/config/*/sys.resources; do dir=dirname $file | sed -e s/usr/etc/ mkdir -p $dir echo 'dtsession*saverTimeout: 10' >> $dir/sys.resources echo 'dtsession*lockTimeout: 10' >> $dir/sys.resources done在配置文件yss.resources增加了两行，为10分钟无鼠标和键盘动作后自动锁屏。2、补充操作说明操作系统默认是30分钟 无键盘和鼠标动作锁屏

40、，现在更改为10分钟基线符合性判定依据1、判定条件登录后，在设定时间内不进行任何操作，检查屏幕被锁定即为符合。2、检测操作查看/usr/dt/config/*/sys.resources文件是否有相应选项，命令#cat /usr/dt/config/*/sys.resources|grep Timeout3、补充说明注：其中的*表示所有目录备注手工检查4.2 缓冲区5.2.1缓冲区溢出安全基线项目名称操作系统AIX缓冲区溢出安全基线要求项安全基线编号SBL-AIX-05-02-01 安全基线项说明 防止堆栈缓冲溢出。检测操作步骤1、查看：cat /etc/security/limits 2、查

41、看/etc/ profile 文件：基线符合性判定依据cat /etc/security/limits有如下两行：core 0core_hard = 0/etc/ profile 文件有：ulimit c 0备注4.3 文件系统5.3.1重要文件及目录安全安全基线项目名称操作系统AIX重要文件及目录安全基线要求项安全基线编号SBL-AIX-05-03-01 安全基线项说明 涉及帐号、帐号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除，修改。检测操作步骤1、参考配置操作查看重要文件和目录权限：ls l更改权限：对于重要目录，建议执行如下类似操作：# chmod -R 750 /et

42、c/init.d/*这样只有root可以读、写和执行这个目录下的脚本。2、补充操作说明基线符合性判定依据1、判定条件用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作不能够成功即为符合。2、检测操作查看重要文件和目录权限：ls l用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作3、补充说明备注重要目录默认为etc/init.d/4.4 服务5.4.1系统服务列表控制*安全基线项目名称操作系统AIX系统服务列表安全基线要求项安全基线编号SBL-AIX-05-04-01 安全基线项说明 列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。检测操作步骤1

43、、 参考配置操作查看所有开启的服务：#ps e -f 方法一：手动方式操作在inetd.conf中关闭不用的服务 首先复制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务,即可。重新启用该服务，使用命令：refresh s inetd方法二：自动方式操作A.把以下复制到文本里：for SVC in ftp telnet shell kshell login klo

44、gin exec echo discard chargen daytime time ttdbserver dtspc; do echo "Disabling $SVC TCP" chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime time cmsd; do echo "Disabling $SVC UDP" chsubserver -d -v $SVC -p udp don

45、e refresh -s inetdB.执行命令：#sh dis_server.sh2、补充操作说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。Tcp服务如下：ftp telnet shell kshell login klogin execUDP服务如下：ntalk rstatd rusersd rwalld sprayd pcnfsd注意：改变了“inetd.conf”文件之后，需要重新启动inetd。对必须提供的服务采用tcpwapper来保护并且为了防止服务取消后断线，一定要启用SSHD服务，用以登录操作和文件传输。基线符合性判定依据1、判定条件所需的服务都列出

46、来；没有不必要的服务；2、检测操作查看所有开启的服务:cat /etc/inet/inetd.conf,cat /etc/inet/services3、补充说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。Tcp服务如下：ftp telnet shell kshell login klogin execUDP服务如下：ntalk rstatd rusersd rwalld sprayd pcnfsd注意：改变了“inetd.conf”文件之后，需要重新启动inetd。对必须提供的服务采用tcpwapper来保护备注需要手工判断5.4.2系统时间同步安全基线项目名称操作系统

47、AIX NTP服务安全基线要求项安全基线编号SBL-AIX-05-04-02 安全基线项说明 如果网络中存在信任的NTP服务器，应该配置系统使用NTP服务保持时间同步。检测操作步骤1、 参考配置操作ntp 的配置文件： /etc/inet/ntp.conf#vi /etc/inet/ntp.conf server IP地址（提供ntp服务的机器）#driftfile /var/ntp/ntp.drift （建drift文件及相关目录，这个文件是用于在ntp重起的时候快速的和服务器进行同步）#startsrc s xntpd 启动NTP客户端守护进程#smitty xntpd 通过调用smitty , 使 xntpd 在以后重启服务器时能自动启动2、补充操作说明/etc/inet/ntp.conf默认是没有