aix系统安全加固参考信息讲课讲稿

1、Good is good, but better carries it.精益求精，善益求善。aix系统安全加固参考信息Linux系统安全加固参考信息目录TOCo1-3hzuHYPERLINKl_Toc3346038741操作系统安全-身份鉴别PAGEREF_Toc334603874h4HYPERLINKl_Toc3346038751.1对登录操作系统的用户进行身份标识和鉴别PAGEREF_Toc334603875h4HYPERLINKl_Toc3346038761.2最小密码长度PAGEREF_Toc334603876h4HYPERLINKl_Toc3346038771.3密码复杂度PAGER

2、EF_Toc334603877h4HYPERLINKl_Toc3346038781.4密码字典PAGEREF_Toc334603878h5HYPERLINKl_Toc3346038791.5系统密码使用时间PAGEREF_Toc334603879h5HYPERLINKl_Toc3346038801.6对失败登录的次数进行限制PAGEREF_Toc334603880h5HYPERLINKl_Toc3346038811.7密码重复使用次数设置PAGEREF_Toc334603881h5HYPERLINKl_Toc3346038821.8SSH服务IP，端口，协议，允许密码错误的次数，网络中允许打开

3、的会话数PAGEREF_Toc334603882h6HYPERLINKl_Toc3346038831.9root账号远程登录设置PAGEREF_Toc334603883h6HYPERLINKl_Toc3346038841.10防止任何人使用su命令连接root用户PAGEREF_Toc334603884h7HYPERLINKl_Toc3346038851.11系统Banner设置PAGEREF_Toc334603885h7HYPERLINKl_Toc3346038862操作系统安全-访问控制PAGEREF_Toc334603886h7HYPERLINKl_Toc3346038872.1修改帐户

4、口令，更改默认帐户的访问权限PAGEREF_Toc334603887h7HYPERLINKl_Toc3346038882.2删除多余的、过期的帐户，避免共享帐户的存在PAGEREF_Toc334603888h8HYPERLINKl_Toc3346038892.3限制超级管理员远程登录PAGEREF_Toc334603889h8HYPERLINKl_Toc3346038903操作系统安全-入侵防范PAGEREF_Toc334603890h9HYPERLINKl_Toc3346038913.1仅安装需要的应用程序，关闭不需要的服务和端口PAGEREF_Toc334603891h9HYPERLINK

5、l_Toc3346038923.2关闭不必要的服务PAGEREF_Toc334603892h9HYPERLINKl_Toc3346038933.3网络访问控制策略PAGEREF_Toc334603893h9HYPERLINKl_Toc3346038944操作系统安全-资源控制PAGEREF_Toc334603894h10HYPERLINKl_Toc3346038954.1根据安全策略设置登录终端的空闲超时断开会话或锁定PAGEREF_Toc334603895h10HYPERLINKl_Toc3346038964.2文件创建初始权限PAGEREF_Toc334603896h10HYPERLINK

6、l_Toc3346038974.3设置合适的历史命令数量PAGEREF_Toc334603897h10HYPERLINKl_Toc3346038984.4系统磁盘剩余空间充分满足近期的业务需求PAGEREF_Toc334603898h10HYPERLINKl_Toc3346038994.5检查并记录操作系统的分区情况和文件系统利用率PAGEREF_Toc334603899h11HYPERLINKl_Toc3346039005操作系统安全日志PAGEREF_Toc334603900h11HYPERLINKl_Toc3346039015.1日志功能开启PAGEREF_Toc334603901h11

7、HYPERLINKl_Toc3346039025.2失败登录日志监控PAGEREF_Toc334603902h11HYPERLINKl_Toc3346039035.3syslog日志等级的安全配置PAGEREF_Toc334603903h12HYPERLINKl_Toc3346039045.4安全审计策略PAGEREF_Toc334603904h12HYPERLINKl_Toc3346039055.5系统日志记录PAGEREF_Toc334603905h12HYPERLINKl_Toc3346039065.6启用记录cron行为日志功能和cron/at的使用情况PAGEREF_Toc33460

8、3906h13HYPERLINKl_Toc3346039076操作系统安全-系统安全PAGEREF_Toc334603907h13HYPERLINKl_Toc3346039086.1补丁管理PAGEREF_Toc334603908h13HYPERLINKl_Toc3346039096.2检查并记录系统开启的网络端口PAGEREF_Toc334603909h14HYPERLINKl_Toc3346039106.3关闭无效服务和启动项PAGEREF_Toc334603910h14HYPERLINKl_Toc3346039116.4仅允许特定IP允许访问服务PAGEREF_Toc334603911h

9、15HYPERLINKl_Toc3346039127操作系统安全其它服务安全PAGEREF_Toc334603912h15HYPERLINKl_Toc3346039137.1FTP配置文件PAGEREF_Toc334603913h15HYPERLINKl_Toc3346039147.2R族文件PAGEREF_Toc334603914h16HYPERLINKl_Toc3346039157.3NFS文件系统配置情况检查PAGEREF_Toc334603915h16HYPERLINKl_Toc3346039167.4FTP用户及服务安全PAGEREF_Toc334603916h16操作系统安全-身份

10、鉴别对登录操作系统的用户进行身份标识和鉴别要求需对所有的帐号设置密码，要求在登陆系统时必须输入口令进行身份验证。解决方法对于当前用户使用命令“passwd”进行密码设置；对于其他用户则使用root权限登录后，使用命令“passwd”进行密码设置。备注最小密码长度要求密码长度、使用密码字典解决方法vi/etc/security/userminlen=8/定义口令的最小长度，注意口令的最小长度由minlen和minalpha+minother中较大的一个值来决定。minalpha+minother不应该大于8，如果大于8则minother会变为8-minalpha。（minalpha=4/定义在口

11、令中最少的字母的数量，默认是0，范围是：0到8minother=0/定义在口令中最少的非字母的数量，默认是0，范围是：0到8）备注密码复杂度要求密码复杂度解决方法vi/etc/security/user密码复杂程度要求包含数字和字母/etc/security/userMinalpha4/定义在口令中最少的字母的数量，默认是0，范围是：0到8Minother4/定义在口令中最少的非字母的数量，默认是0，范围是：0到8备注密码字典要求使用密码字典检查新密码解决方法使用/etc/security/userDictionlist/usr/share/dict/words备注系统密码使用时间要求密码使用

12、时间解决方法密码定期更改间隔设置为12周或更短/etc/security/userMaxage=12备注对失败登录的次数进行限制要求对失败登录的次数进行限制解决方法允许的失败登陆次数设置为5次或5次以下/etc/security/userLoginretries=5备注密码重复使用次数设置要求密码重复使用次数设置为至少8次解决方法/etc/security/userhistsize=8备注SSH服务IP，端口，协议，允许密码错误的次数，网络中允许打开的会话数要求SSH服务IP，端口，协议，最大允许认证次数，网络中允许打开的会话数解决方法cat/etc/ssh/sshd_configPort22

13、/SSH服务端端口为22ListenAddress/SSH服务端监听地址为SyslogFacilityAUTHPRIV/系统登录功能有加密LoginGraceTime0/限制用户必须在指定的时间内认证成功，0表示不限制，2m为两个月内。MaxAuthTries6/指定每个连接最大允许的认证次数，默认值是6。如果失败认证的次数超过这个数值的一半，连接将被强制断开，且会生成额外的失败日志消息。MaxSessions10/指定每个网络连接允许打开会话的最大数目，默认10MaxStarups10/最大允许保持多少个未认证的连接，默认10。达到限制后，将不再接受新连接，除非先前的连接认证成功或超过Log

14、inGraceTime的限制。备注修改完成后，重启ssh服务servicesshdrestart备注root账号远程登录设置要求不允许root直接登录及相关配置解决方法使用命令“vi/etc/ssh/sshd_config”编辑配置文件#cat/etc/ssh/sshd_configPermitRootLoginyes/是否允许root登录。PasswordAuthenticationyes/密码是否有认证选yes有ChallengeResponseAuthenticationno/攻击响应认证否GSSAPIAuthenticationyes/通用安全服务应用程序接口认证是UsePAMno/如

15、果启用了PAM，那么必须使用root才能运行sshd。设置“PermitRootLogin”的值为no备注修改完成后，重启ssh服务servicesshdrestart防止任何人使用su命令连接root用户要求不想任何人都可以用“su”命令成为root或只让某些用户有权使用“su”命令解决方法备注系统Banner设置要求通过修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息解决方法设置系统Banner的操作如下：在/etc/security/login.cfg文件中，在default小节增加：herald=ATTENTION:Youhaveloggedonto

16、asecuredserver.Allaccesseslogged.nnlogin:备注操作系统安全-访问控制修改帐户口令，更改默认帐户的访问权限要求严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令解决方法使用命令cat/etc/password文件来查看默认账户，并使用命令“cat/etc/shadow”查看文件中的口令是否为默认口令。使用root账户进行登录，使用命令“passwdusernamepassword”来修改用户的口令。对于无法重命名的系统默认帐号，为增强主机系统的安全性，建议使用命令“smituser”，将与业务无关的系统默认用户进行锁定；备注此操作具有一

17、定的危险性，需要与管理员确认此项操作不会影响到业务系统的登录，以免影响正常业务应用。删除多余的、过期的帐户，避免共享帐户的存在要求删除多余的、过期的帐户，避免共享帐户的存在解决方法方法一：可使用命令“smituser”，将多余的、过期的帐户，共享帐户等系统默认用户进行锁定；使用命令“smituser”解锁不必要的账号使用命令“smituser”删除多余、过期的账号方法二：vi/etc/security/user相关用户account_locked=true备注此操作具有一定的危险性，需要与管理员确认此项操作不会影响到业务系统的登录，以免影响正常业务应用。限制超级管理员远程登录要求限制具备超级管

18、理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。解决方法系统当前状态：执行lsuser-arloginroot命令，查看root的rlogin属性并记录实施步骤：参考配置操作：（1）、查看root的rlogin属性：#lsuser-arloginroot（2）、禁止root远程登陆：#chuserrlogin=falseroot备注还原root可以远程登陆，执行如下命令：#chuserrlogin=trueroot操作系统安全-入侵防范仅安装需要的应用程序，关闭不需要的服务和端口要求1.询问相关维护人员，主机系统是除装有正常业务应用所需要

19、的程序外，是否还安装有与业务应用无关的其它程序；2.询问相关维护人员并获取授权安装软件清单文档，查看当前操作系统中是否安装有非清单内的应用软件。3.询问相关维护人员，是否关闭了除正常业务应用之外的所有服务与端口，具体检查方法：使用命令“netstatan”查看开放的端口；解决方法使用命令“netstatan”查看开放的端口；备注关闭不必要的服务要求关闭不必要的服务解决方法（9）要开启审计服务auditd备注网络访问控制策略要求1.访谈系统管理员，是否制定了严格的访问控制策略，包括是否限制登录用户，对远程登录的IP是否有限制，采用哪种远程登录方式等。解决方法查看hosts.allow、hosts

20、.deny是否对某些服务，某些IP进行了限制。#cathosts.allowSshd:210.13.218.*:allow/表示允许210ip段连接shhd服务#cathosts.denySshd:all:deny/表示拒绝所有sshd远程连接当hosts.allow与hosts.deny相冲突时以hosts.allow为准。备注操作系统安全-资源控制根据安全策略设置登录终端的空闲超时断开会话或锁定要求根据安全策略设置登录终端的空闲超时断开会话或锁定解决方法可使用命令“cat/etc/profile|grepTMOUT”查看超时的时间设置。使用命令“vi/etc/profile”修改配置文件，

21、添加行“TMOUT=180”，单位为秒，即超时时间为3分钟。备注超时时间的设置需要与应用管理员进行确认，以免影响正常业务应用。文件创建初始权限要求文件创建初始权限解决方法vi/etc/security/user设置umask值umask077#适用root用户，其它用户不可读umask022#适用非root用户，其它用户可读不可写备注设置合适的历史命令数量要求设置合适的历史命令数量解决方法编辑“/etc/profile”文件，确保HISTFILESIZE和HISTSIZE都设成了一个比较小的值。HISTSIZE=80HISTFILESIZE=80备注系统磁盘剩余空间充分满足近期的业务需求要求1

22、.检查用户是否建立有服务器备份存储及介质空间管理制度文档，检查其中是否对主机系统的磁盘空间的大小做出明确的要求；2.检查主机系统的磁盘空间，查看各个分区是否有充足的剩余磁盘空间来满足近期的业务需求。使用命令“dfhl”命令来查看当前磁盘占用空间情况解决方法建议如下：1.建立服务器备份存储及介质空间管理制度文档，并在其中对程序及重要数据的备份、对主机系统的磁盘空间的大小等项目做出明确的要求；2.管理员定期检查所有主机系统的磁盘占用空间及其它资源占用情况，如果发现磁盘空间不够，由相关技术人员提出申请，进行磁盘空间的扩充。备注检查并记录操作系统的分区情况和文件系统利用率要求检查并记录操作系统的分区情

23、况和文件系统利用率解决方法dfh可以查看相关信息：Filesystemsizeusedavailuse%mountedon文件系统大小已用可用使用率挂载点当使用率过高时要注意了！备注操作系统安全日志日志功能开启要求启用日志记录功能解决方法syslog的配置主要通过/etc/syslog.conf配置，日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(hostname)。startsrc-ssyslogd启动syslog服务stopsrc-ssyslogd停止syslog服务备注失败登录日志监控要求通过系统日志的方式记录失败的登录尝试解决方法系统记录失败的用

24、户登录/etc/security/failedloginWho/etc/security/failedlogin查看备注syslog日志等级的安全配置要求syslog日志等级的安全配置解决方法syslog配置文件要求：修改文件安全设置/etc/syslog.conf配置文件中包含一下日志记录：*.err/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/critlogauth,/var/adm/authlog备注安全审计策略要求安全审计策略解决方法方法：查看系统日志配置，执行：#cat/etc/syslog.conf查看syslogd的

25、配置，并确认日志文件是否存在*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages/系统日志默认存放在/var/log/messagescron.*/var/log/cron/cron日志默认存放在/var/log/cronauthpriv.*/var/log/secure/安全日志默认存放在/var/log/secure备注系统日志记录要求查年系统日志记录解决方法执行：cat/etc/log/secure/记录pop3,telnet,ssh,ftp登陆信息的文件lastR/查看前50次登陆系统用户的信息cat/e

26、tc/log/messages/查看系统发生的错误信息（包括登陆信息）备注启用记录cron行为日志功能和cron/at的使用情况要求启用记录cron行为日志功能和cron/at的使用情况解决方法cron/At的相关文件主要有以下几个：/var/spool/cron/crontabs存放cron任务的目录/var/spool/cron/cron.allow允许使用crontab命令的用户/var/spool/cron/cron.deny不允许使用crontab命令的用户/var/spool/cron/atjobs存放at任务的目录/var/spool/cron/at.allow允许使用at的用户

27、/var/spool/cron/at.deny不允许使用at的用户使用crontab和at命令可以分别对cron和at任务进行控制。#crontab-l查看当前的cron任务#at-l查看当前的at任务备注操作系统安全-系统安全补丁管理要求系统补丁安装标准解决方法执行oslevelr命令或instfix-i|grepML命令，查看补丁当前安装的状况和版本。使用instfixaik命令来完成补丁的安装操作。注意：（1）、在AIX系统中涉及安全的补丁包有以下几种：推荐维护包（RecommendedMaintenancePackages）:由一系列最新的文件集组成的软件包，包含了特定的操作系统（如A

28、IX5.2）发布以来的所有文件集的补丁。关键补丁Criticalfixes(cfix)：自推荐维护包之后，修补关键性漏洞的补丁。紧急补丁Emergencyfixes(efix):自推荐维护包之后，修补紧急安全漏洞的补丁。（2）、补丁安装原则：在新装和重新安装系统后，必须安装最新的推荐维护包，以及该最新推荐维护包以来的所有单独的cfix和efix。日常维护中如果厂家推出新的RM、cfix、efix则按照原补丁维护管理规定进行补丁安装。备注应根据需要及时进行补丁装载。注意：补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。检查并记录系统开启的网络端口要求检查

29、并记录系统开启的网络端口解决方法netstatantp(查看开启的tcp端口)netstatanup（查看开启的udp端口）其中：Proto显示连接使用的协议LocalAddress查看本地地址及端口备注关闭无效服务和启动项要求关闭无效服务和启动项解决方法查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置；查看/etc/inetd.conf文件并记录当前的配置（一）、rc.dAIX系统中的服务主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中启动，事实上，/etc/rc.*系列文件主要也是由/e

30、tc/inittab启动。同时，AIX中所有启动的服务（至少与业务相关的）都可以同过SRC（SystemResourceManager）进行管理。可以有三种方式查看系统服务的启动情况：（1）、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件；（2）、使用lssrc和lsitab命令；（3）、通过smit查看和更改。注：SRC本身通过/etc/inittab文件启动。lssrc-a列出所有SRC管理的服务的状态lsitab-a列出所有由/etc/inittab启动的信息，和cat/etc/inittab基本相同，除了没有注释。根据管理员所提供的服务列

31、表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。（二）、inetd.conf由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC启动），因此查看INETD启动的服务的情况有两种方法：（1）、使用vi查看/etc/inetd.conf中没有注释的行；（2）、使用lssrc命令。lssrc-l-sinetd查看inetd的状态以及由INETD启动的服务的状态；refresh-sinetd更改/etc/inetd.conf文件后重启inetd。建议关闭由inetd启动的所有服务；如果有管理上的需要，可以打开telnetd、ftpd、rlogind、rshd等服务。启动或停止inetd启动的服务（例如ftpd）：（1）、使用vi编辑/etc/inetd.conf，去掉注释（启动）或注释掉（停止）ftpd所在的行；（2）、重启inetd：refresh-sinetd。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。备注仅允许特定IP允许访问服务要求仅允许特定IP允许访问服务解决方法查看hosts.allow