AIX系统安全加固手册

1、 信息安全加固手册信息安全加固手册AIXAIX 系统系统 第 2 页 共 13 页 目目 录录1端口与服务端口与服务.31.1相关端口对应服务禁止.31.2系统相关服务默认BANNER消息禁止.41.3NFS服务关闭.41.4图形管理服务关闭.51.5FTP 服务登入权限.51.6禁止RLOGIN服务.61.7CRON服务内容以及服务日志审核批.61.8SYSLOG服务属性.72系统网络参数类系统网络参数类.82.1SUID/SGID文件 .82.2UMASK权限设置.82.3系统核心网络参数安全性增强.93用户管理、访问控制、审计功能类用户管理、访问控制、审计功能类.93.1防止ROOT从远

2、程登录.93.2减少登录会话时间.103.3系统口令强壮度与策略.103.4ROOT用户历史操作记录.113.5删除默认系统用户.124文件权限文件权限.124.1文件权限和文件类型设置.12 第 3 页 共 13 页 1 端口与服务端口与服务1.1相关端口对应服务禁止相关端口对应服务禁止风险描述风险描述21, 23 , 25, 111, 513 , 514 , 515, 540 , 80 ，6112， 161 , 7, 37 , 110 相关 rpc 等服务禁止风险等级风险等级风险高加固建议加固建议判断上述系统默认服务在本系统是否需要应用来决定关闭或者替换升级加固的风加固的风险险/影响影响

3、有些业务服务可能需要以上某些系统服务，关闭服务将造成某些系统维护方式或者业务服务不正常，相关系统默认服务（ftp, rsh, kshell, rlogin, krlogin, rexec, comsat, uucp, finger, tftp, talk,ntalk, echo, discard, chargen, daytime, time 及 rpc 小服务），具体说明如下：Rsh,rlogin,rexec - R 远程登录系列服务,容易被窃听Finger -允许远程查询登陆用户信息Time - 网络时间服务，允许远程察看系统时间Echo - 网络测试服务，回显字符串, 为“拒绝服务”攻击

4、提供机会, 除非正在测试网络，否则禁用Discard - 网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Daytime - 网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Chargen - 网络测试服务，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用comsat -通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 很少需要的,禁用klogin - Kerberos 登录，如果您的站点使用 Kerberos 认证则启用kshell - Kerberos shell，如果您的站点使用

5、 Kerberos 认证则启用ntalk - 允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用talk - 在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务ntalk - new talktftp - 以 root 用户身份运行并且可能危及安全uucp - 除非有使用 UUCP 的应用程序，否则禁用dtspc - CDE 子过程控制，不用图形管理的话禁用加固风险加固风险规避方法规避方法根据主机的业务需求，关闭对应服务端口，事先将原配置文件做备份加固成果加固成果关闭不用的端口可以避免非法用户利用这些端口入侵系统，通过升

6、级服务来减少可被利用的漏洞。加固具体加固具体方法方法编辑或注释 inetd.conf 中所对应服务的启动脚本和启动语句来禁止上述服务。 有些服务可能以 cron 定时启动 请检查 cron 定时脚本。 第 4 页 共 13 页 XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.2系统相关服务默认系统相关服务默认 banner 消息禁止消息禁止风险描述风险描述系统相关服务如 ftpd, telnetd, sendmail 等默认 banner 消息禁止， 风险等级风险等级风险中加固建议加固建议修改可判断系统

7、版本输出消息的服务 banner加固的风加固的风险险/影响影响 连接或使用上述服务将不会返回上述服务版本加固风险加固风险规避方法规避方法加固成果加固成果避免通过 banner 信息泄露系统敏感信息加固具体加固具体方法方法修改/etc/motd 文件修改/etc/ftpmotd 文件 检查/etc/security/login.cfg 文件中察看 herald 是否有设置XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.3nfs 服务关闭服务关闭风险描述风险描述查看 nfs 服务是否启用，避免利用 nfs

8、服务漏洞入侵系统风险等级风险等级风险中加固建议加固建议若使用 nfs share file 服务 ，则判断该服务目前输出的 export file list 列表中的 nfs 文件系统挂载权限和允许挂载该文件系统的地址是否是 erverone 等加固的风加固的风险险/影响影响 该服务加固后将造成某些无授权的 ip 地址挂载该系统 nfs 文件系统失败加固风险加固风险规避方法规避方法事先将原配置文件做备份 第 5 页 共 13 页 加固成果加固成果能避免非法用户挂载 nfs 文件系统，增强系统安全性加固具体加固具体方法方法若不使用 nfs 服务，则从系统当前启动等级中启动脚本移除，若使用该服务则

9、应用 share 命令对指定文件系统做限制 ip 挂载地址以及挂载权限参数限制。注释/etc/inittab 文件中关于 nfs 的行XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.4图形管理服务关闭图形管理服务关闭风险描述风险描述检查图形管理界面是否开启，避免利用该服务漏洞入侵系统风险等级风险等级风险中加固建议加固建议若不使用图形管理，将图形管理关闭加固的风加固的风险险/影响影响 无法进行图形方式管理加固风险加固风险规避方法规避方法事先将原配置文件做备份加固成果加固成果能避免非法用户利用图形管理服务的

10、漏洞加固具体加固具体方法方法修改/etc/inittab 文件，将 dt，dt_nogb 注释XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.5FTP 服务登入权限服务登入权限风险描述风险描述设定/etc/ftpusers 文件以及权限风险等级风险等级风险中加固建议加固建议将不需要使用 ftpd 服务的用户加入 ftpusers 文件，来保证 ftp 服务安全性,确保该文件属性为 644 来保证文件层安全加固的风加固的风险险/影响影响 可能影响某些使用该帐号 ftp 登陆的备份，操作，日志记录等脚本 第

11、 6 页 共 13 页 加固成果加固成果能防止非授权用户登入 FTP加固具体加固具体方法方法编辑/etc/ftpd/ftpusers 或/etc/ftpusers 文件加入不允许 ftp 登陆的用户XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）厂商意见厂商意见厂商维护人员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.6禁止禁止 rlogin 服务服务风险描述风险描述基于 pam 动态验证库验证机制的.rhosts 文件和 rlogin 服务风险等级风险等

12、级风险高加固建议加固建议.rhosts 文件信任机制是一种极其不安全的用户登陆信任机制，建议若不使用 rlogin 服务则在/etc/inetd.conf 禁止， 加固的风加固的风险险/影响影响 造成某些使用.rhosts 验证机制的的服务 如 cluster 等服务无法正常使用加固风险加固风险规避方法规避方法事先将原配置文件（/etc/inetd.conf）做备份加固成果加固成果避免非法用户利用 rlogin 入侵系统加固具体加固具体方法方法若仍使用.rhosts 文件的信任机制 则因该查找当前系统所用用户$HOME 变量下是否存在.rhosts 文件，确定其文件属性为 600，文件内容为指

13、定的信任主机若不使用.rhosts 文件信任关系则编辑/etc/inetd.conf 将 rlogin 行注释并删除所有.rhosts 文件XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.7Cron 服务内容以及服务日志审核批服务内容以及服务日志审核批风险描述风险描述Cron 服务内容以及服务日志审核批 第 7 页 共 13 页 风险等级风险等级风险中加固建议加固建议若不使用 cron 服务，则关闭该服务，若使用该服务则因该保证/var/spool/cron/crontab 下的各个用户文件权限为 60

14、0,并检查各个用户服务内容中是否有包括用户和密码明文使用的备份，传输，任务脚本。加固的风加固的风险险/影响影响 可能造成管理上的一些不便加固风险加固风险规避方法规避方法事先将原配置文件（/var/spool/cron/crontabs/下文件）做备份加固成果加固成果消除 cron 服务脚本中使用用户名和密码明文带来的隐患加固具体加固具体方法方法Chmod 600 /var/spool/cron/crontabs/*XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）1.8Syslog 服务属性服务属性风险描述风

15、险描述修改系统 Syslog 文件记录及其属性 风险等级风险等级风险低加固建议加固建议改变/etc/syslog.conf 中默认的/var/adm 日志路径将能更好的保护系统日志不受破坏，确定文件属性为 400 来保证其安全性加固的风加固的风险险/影响影响 日志的存放路径变更加固风险加固风险规避方法规避方法加固成果加固成果阻止普通用户获取系统日志信息，增强系统安全性加固具体加固具体方法方法修改/etc/syslog.conf 文件，将日志记录路径修改为其他路径或其他主机地址,chmod 400 修改该文件属性XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修

16、改的意见）不同意（描述不同意的原因）签名（签字确认） 第 8 页 共 13 页 2 系统网络参数类系统网络参数类2.1Suid/sgid 文件文件风险描述风险描述去掉文件不必要的 Suid/sgid 属性风险等级风险等级风险高加固建议加固建议对系统不必要的 suid 为 root 文件，去掉其 suid 属性来防止文件层，如heap,stack,formatstring 等一类的提升权限攻击加固的风加固的风险险/影响影响 可能造成某些使用该 suid 文件来运行的服务或进程无法以 root 权限进程来执行加固风险加固风险规避方法规避方法事先将原文件权限记录加固成果加固成果避免通过不必要的 su

17、id 文件获得 root 权限，增强系统安全性加固具体加固具体方法方法Chmod s filename 去掉不需要 suid 属性文件的 suid 属性先运行以下命令查找find / -type f -perm -4001 -user 0 （先运行此两个命令来查找 filename）find / -type f perm -2001 group 0 login passwd mount (不能更改)XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）2.2Umask 权限设置权限设置风险描述风险描述Umask

18、权限设置风险等级风险等级风险中加固建议加固建议修改 umask 文件权限为 027 来修改文件默认建立的属性来增强系统安全性加固的风加固的风险险/影响影响 用户建立文件的默认属性为 640加固风险加固风险规避方法规避方法加固成果加固成果加固后，用户建立文件的默认属性都 640，增强文件的安全性 第 9 页 共 13 页 加固具体加固具体方法方法修改或加入/etc/profile 中的 umask 值为 022 或 027XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）2.3系统核心网络参数安全性增强系统核心

19、网络参数安全性增强风险描述风险描述系统核心网络参数安全性增强风险等级风险等级风险高加固建议加固建议设置系统核心网络参数将造成某些特殊的网络攻击比较难以实现加固的风加固的风险险/影响影响 可能造成网络 ip socket 部分功能无法正常使用，网络负荷可能提高%2-%8之间加固风险加固风险规避方法规避方法加固成果加固成果增加某些网络攻击的难度，增强系统安全性加固具体加固具体方法方法修改以下参数no o ipforwarding=0 #禁止 ip 源路由包转发 no o ipsrcrouteforward=0 #禁止转发原路由包 XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意

20、需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3 用户管理、访问控制、审计功能类用户管理、访问控制、审计功能类3.1防止防止 root 从远程登录从远程登录风险描述风险描述阻止 root 从远程登录风险等级风险等级风险高加固建议加固建议防止 root 直接从 remote 设备来登陆系统，来增强系统安全性。 第 10 页 共 13 页 加固的风加固的风险险/影响影响 Root 将不能远程直接登陆系统，但可以以普通用户登陆系统来 su 到 root加固风险加固风险规避方法规避方法事先将原配置文件做备份加固成果加固成果远程只能采取以普通用户登陆系统来 su 到 root，能增

21、强系统安全性，减少被入侵的可能加固具体加固具体方法方法修改/etc/security/user 文件 ，将 root 段的 rlogin 修改为 flaseXXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.2减少登录会话时间减少登录会话时间风险描述风险描述减少用户登录会话时间风险等级风险等级风险中加固建议加固建议减少用户登录会话超时时间来保证用户登陆进程长期在系统有效存在加固的风加固的风险险/影响影响 将缩小系统用户登陆超时时间加固风险加固风险规避方法规避方法事先将原配置文件做备份加固成果加固成果通过减少

22、用户登录超时判定时间来增强系统安全性，减少忘记登出用户被非法利用的可能性加固具体加固具体方法方法增加或修改( /etc/profile, /etc/environment, /etc/security/.profile )文件中如下行TMOUT=600 ; TIMEOUT=600 ; export TMOUT TIMEOUTXXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.3系统口令强壮度与策略系统口令强壮度与策略风险描述风险描述增强其口令策略，默认长度值，复杂程度，口令使用周期来增强系统安全 第 11

23、页 共 13 页 风险等级风险等级风险中加固建议加固建议修改系统用户 passwd 强度来增强系统安全性加固的风加固的风险险/影响影响 可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效加固风险加固风险规避方法规避方法事先将原配置文件做备份加固成果加固成果增强用户密码的强度，大大降低用户密码被猜解的可能性加固具体加固具体方法方法加固具体方法:修改/etc/security/user 文件，按需要的口令策略设置或加入如下参数minlen =8XXX 公公司意见司意见XXX 公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.4Root 用户历史操作记录用户历史操作记录风险描述风险描述记录 root 用户的 shell 键值 可能造成安全隐患，泄漏敏感信息风险等级风险等级风险低加固建议加固建议不记录 root 的操作记录或记录很少条记录加固的风加固的风险险/影响影响 Root 用户的操作记录减少加固风险加固风险规避方法规避方法事先将原配置文件做备份加固成果加固成果避免通过历史记录获得一些敏感信息，增强系统安全性加固具体加固具体方法方法对于 root 可设置其$H