AIX系统安全加固手册

1、精选优质文档-倾情为你奉上 信息安全加固手册AIX系统目 录1 端口与服务1.1 相关端口对应服务禁止风险描述21, 23 , 25, 111, 513 , 514 , 515, 540 , 80 ，6112， 161 , 7, 37 , 110 相关rpc等服务禁止风险等级l 风险高加固建议判断上述系统默认服务在本系统是否需要应用来决定关闭或者替换升级加固的风险/影响 有些业务服务可能需要以上某些系统服务，关闭服务将造成某些系统维护方式或者业务服务不正常，相关系统默认服务（ftp, rsh, kshell, rlogin, krlogin, rexec, comsat, uucp, fing

2、er, tftp, talk,ntalk, echo, discard, chargen, daytime, time及rpc小服务），具体说明如下：Rsh,rlogin,rexec - R远程登录系列服务,容易被窃听Finger -允许远程查询登陆用户信息Time - 网络时间服务，允许远程察看系统时间Echo - 网络测试服务，回显字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Discard - 网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用Daytime - 网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，

3、否则禁用Chargen - 网络测试服务，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用comsat -通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 很少需要的,禁用klogin - Kerberos 登录，如果您的站点使用 Kerberos 认证则启用kshell - Kerberos shell，如果您的站点使用 Kerberos 认证则启用ntalk - 允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用talk - 在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务

4、ntalk - new talktftp - 以 root 用户身份运行并且可能危及安全uucp - 除非有使用 UUCP 的应用程序，否则禁用dtspc - CDE 子过程控制，不用图形管理的话禁用加固风险规避方法根据主机的业务需求，关闭对应服务端口，事先将原配置文件做备份加固成果关闭不用的端口可以避免非法用户利用这些端口入侵系统，通过升级服务来减少可被利用的漏洞。加固具体方法编辑或注释inetd.conf 中所对应服务的启动脚本和启动语句来禁止上述服务。 有些服务可能以cron定时启动 请检查cron定时脚本。XXX公司意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修

5、改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）1.2 系统相关服务默认banner消息禁止风险描述系统相关服务如ftpd, telnetd, sendmail 等默认banner消息禁止， 风险等级l 风险中加固建议修改可判断系统版本输出消息的服务banner加固的风险/影响 连接或使用上述服务将不会返回上述服务版本加固风险规避方法加固成果避免通过banner信息泄露系统敏感信息加固具体方法修改/etc/motd文件修改/etc/ftpmotd文件 检查/etc/security/login.cfg 文件中察看herald是否有设置XXX公司意见XXX公司管理员对本条风险加固的意

6、见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）1.3 nfs服务关闭风险描述查看nfs服务是否启用，避免利用nfs服务漏洞入侵系统风险等级l 风险中加固建议若使用nfs share file服务 ，则判断该服务目前输出的export file list列表中的nfs文件系统挂载权限和允许挂载该文件系统的地址是否是erverone 等加固的风险/影响 该服务加固后将造成某些无授权的ip地址挂载该系统nfs文件系统失败加固风险规避方法事先将原配置文件做备份加固成果能避免非法用户挂载nfs文件系统，增强系统安全性加固具体方法若不使用nfs服务，则从系统当

7、前启动等级中启动脚本移除，若使用该服务则应用share 命令对指定文件系统做限制ip挂载地址以及挂载权限参数限制。注释/etc/inittab文件中关于nfs的行XXX公司意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）1.4 图形管理服务关闭风险描述检查图形管理界面是否开启，避免利用该服务漏洞入侵系统风险等级l 风险中加固建议若不使用图形管理，将图形管理关闭加固的风险/影响 无法进行图形方式管理加固风险规避方法事先将原配置文件做备份加固成果能避免非法用户利用图形管理服务的漏洞加固具体方法修改/etc/initt

8、ab文件，将dt，dt_nogb注释XXX公司意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）1.5 FTP服务登入权限风险描述设定/etc/ftpusers文件以及权限风险等级风险中加固建议将不需要使用ftpd服务的用户加入ftpusers文件，来保证ftp服务安全性,确保该文件属性为644来保证文件层安全加固的风险/影响 可能影响某些使用该帐号ftp登陆的备份，操作，日志记录等脚本加固成果能防止非授权用户登入FTP加固具体方法编辑/etc/ftpd/ftpusers或/etc/ftpusers文件加入不允许f

9、tp登陆的用户XXX公司意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）厂商意见厂商维护人员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）1.6 禁止rlogin服务风险描述基于pam动态验证库验证机制的.rhosts文件和rlogin服务风险等级风险高加固建议.rhosts文件信任机制是一种极其不安全的用户登陆信任机制，建议若不使用rlogin服务则在/etc/inetd.conf禁止， 加固的风险/影响 造成某些使用.rhosts验证机制的的服务

10、 如cluster等服务无法正常使用加固风险规避方法事先将原配置文件（/etc/inetd.conf）做备份加固成果避免非法用户利用rlogin入侵系统加固具体方法若仍使用.rhosts文件的信任机制 则因该查找当前系统所用用户$HOME变量下是否存在.rhosts文件，确定其文件属性为600，文件内容为指定的信任主机若不使用.rhosts文件信任关系则编辑/etc/inetd.conf 将rlogin行注释并删除所有.rhosts文件XXX公司意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）1.7 Cron服务

11、内容以及服务日志审核批风险描述Cron服务内容以及服务日志审核批风险等级l 风险中加固建议若不使用cron服务，则关闭该服务，若使用该服务则因该保证/var/spool/cron/crontab下的各个用户文件权限为600,并检查各个用户服务内容中是否有包括用户和密码明文使用的备份，传输，任务脚本。加固的风险/影响 可能造成管理上的一些不便加固风险规避方法事先将原配置文件（/var/spool/cron/crontabs/下文件）做备份加固成果消除cron服务脚本中使用用户名和密码明文带来的隐患加固具体方法Chmod 600 /var/spool/cron/crontabs/*XXX公司意见X

12、XX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）1.8 Syslog服务属性风险描述修改系统Syslog文件记录及其属性 风险等级风险低加固建议改变/etc/syslog.conf中默认的/var/adm日志路径将能更好的保护系统日志不受破坏，确定文件属性为 400来保证其安全性加固的风险/影响 日志的存放路径变更加固风险规避方法加固成果阻止普通用户获取系统日志信息，增强系统安全性加固具体方法修改/etc/syslog.conf文件，将日志记录路径修改为其他路径或其他主机地址,chmod 400修改该文件属性XXX公司

13、意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）2 系统网络参数类2.1 Suid/sgid文件风险描述去掉文件不必要的Suid/sgid属性风险等级风险高加固建议对系统不必要的suid为root文件，去掉其suid属性来防止文件层，如heap,stack,formatstring等一类的提升权限攻击加固的风险/影响 可能造成某些使用该suid文件来运行的服务或进程无法以root权限进程来执行加固风险规避方法事先将原文件权限记录加固成果避免通过不必要的suid文件获得root权限，增强系统安全性加固具体方法Chm

14、od s filename去掉不需要suid属性文件的suid属性先运行以下命令查找find / -type f -perm -4001 -user 0 （先运行此两个命令来查找filename）find / -type f perm -2001 group 0 login passwd mount (不能更改)XXX公司意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）2.2 Umask权限设置风险描述Umask权限设置风险等级l 风险中加固建议修改umask文件权限为027来修改文件默认建立的属性来增强系统安全

15、性加固的风险/影响 用户建立文件的默认属性为640加固风险规避方法加固成果加固后，用户建立文件的默认属性都640，增强文件的安全性加固具体方法修改或加入/etc/profile中的umask值为022或027XXX公司意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）2.3 系统核心网络参数安全性增强风险描述系统核心网络参数安全性增强风险等级l 风险高加固建议设置系统核心网络参数将造成某些特殊的网络攻击比较难以实现加固的风险/影响 可能造成网络ip socket部分功能无法正常使用，网络负荷可能提高%2-%8之间加

16、固风险规避方法加固成果增加某些网络攻击的难度，增强系统安全性加固具体方法修改以下参数no o ipforwarding=0 #禁止ip源路由包转发 no o ipsrcrouteforward=0 #禁止转发原路由包 XXX公司意见XXX公司管理员对本条风险加固的意见：l 同意l 需要修改（描述修改的意见）l 不同意（描述不同意的原因）l 签名（签字确认）3 用户管理、访问控制、审计功能类3.1 防止root从远程登录风险描述阻止root从远程登录风险等级l 风险高加固建议防止root直接从remote设备来登陆系统，来增强系统安全性。加固的风险/影响 Root将不能远程直接登陆系统，但可以以

17、普通用户登陆系统来su到root加固风险规避方法事先将原配置文件做备份加固成果远程只能采取以普通用户登陆系统来su到root，能增强系统安全性，减少被入侵的可能加固具体方法修改/etc/security/user文件 ，将root段的rlogin修改为flaseXXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.2 减少登录会话时间风险描述减少用户登录会话时间风险等级风险中加固建议减少用户登录会话超时时间来保证用户登陆进程长期在系统有效存在加固的风险/影响 将缩小系统用户登陆超时时间加固风险规避方法事先将原配置文件做备

18、份加固成果通过减少用户登录超时判定时间来增强系统安全性，减少忘记登出用户被非法利用的可能性加固具体方法增加或修改( /etc/profile, /etc/environment, /etc/security/.profile )文件中如下行TMOUT=600 ; TIMEOUT=600 ; export TMOUT TIMEOUTXXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.3 系统口令强壮度与策略风险描述增强其口令策略，默认长度值，复杂程度，口令使用周期来增强系统安全风险等级风险中加固建议修改系统用户passw

19、d强度来增强系统安全性加固的风险/影响 可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效加固风险规避方法事先将原配置文件做备份加固成果增强用户密码的强度，大大降低用户密码被猜解的可能性加固具体方法加固具体方法:修改/etc/security/user文件，按需要的口令策略设置或加入如下参数minlen =8XXX公司意见XXX公司管理员对本条风险加固的意见：同意需要修改（描述修改的意见）不同意（描述不同意的原因）签名（签字确认）3.4 Root用户历史操作记录风险描述记录root用户的shell键值 可能造成安全隐患，泄漏敏感信息风险等级风险低加固建议不记录root的操作记录或记录很少条记录加固的风险/影响 Root用户的操作记录减少加固风险规避方法事先将原配置文件做备份加固成果避免通过历史记录获得一些敏感信息，增强系统安全性加固具体方法对于root可设置其$HOME目录变量下.profile文件属性，确认hi