AIX安全加固操作手册

AIX安全加固操作手册作为宽带智能网中的Appserver，在完成AIX操作系统上智能网系统的安装和配置以后（除系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵，系统加固的具体步骤如下：一、 系统推荐补丁升级加固1・检查是否打上了AIX操作系统要求补丁（433要求10以上；5.1要求5以上；5.2要求使用IBM最新发布的补丁）检查补丁版本命令：oslevel-r或instfix-iIgrepML（看返回结果中OS版本后带的小版本号）2.如果未安装补丁，使用如下方式安装补丁1） 将补丁盘放入光驱、以root执行：mount/cdrom2） 执行：smittyupdate_all（选择/dev/cd0为安装介质）注意选择安装选项中：COMMITsoftwareupdates?noSAVEreplacedfiles?yes安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown-Fr重起系统二、 AIX系统配置安全加固编辑/etc/inetd.conf文件，关闭所有服务。将inetd.conf文件中的内容清空>/etc/inetd.confrefresh-sinetd编辑/etc/rc.tcpip文件，关闭除以下服务外的所有服务：portmapsysloginetdsendmailsnmpd如关闭dpid2，则只要注销以下行：（前面加#号即可）#start/usr/sbin/dpid2"$src_running"再使用：stopsrc-sXXX来停止这些已经启动的服务/etc/inittab中关闭用:注释服务，不是'#'piobePrinterIOBackEndqdaemonPrinterQueueingDaemonwritesrvwriteserverhttpdlitedocsearchWebServerimnssdocsearchimnssDaemonimqssdocsearchimqssdaemon删除一些无用的用户rmuser-puucp;rmuser-pnuucp手工编辑/etc/security/user控制用户登录限制、缺省文件创建权限限制default默认设置不允许su\login\rlogin，将三项设置依次设置为false即可，其余缺省；缺省umask设置为027；设置各用户设置密码的最小长度为8；放开root、（sybase或oracle）、zxin10用户的su权限；放开（sybase或oracle）、zxin10用户的rlogin权限；设置root的umask为077default:login=falsesu=falserlogin=falseumask=027minlen=8•••root:su=trueumask=077•••zxin10:su=truerlogin=true•••oracle:su=truerlogin=true#pwdck-yALL修复同步口令文件更改login默认策略（/etc/security/login.cfg）default:logindelay=2logindisable=3logininterval=60（logininterval秒内产生logindisable次无效登录，即锁定port）loginreenable=5（loginreenable分钟后解除锁定）编辑/etc/profile,添加下列行：TMOUT=3600TIMEOUT=3600exportTMOUTTIMEOUT

加固系统TCP/IP配置编辑文件，添加：/usr/sbin/no-oclean_partial_conns=1/usr/sbin/no-oarpt_killc=20/usr/sbin/no-oicmpaddressmask=0/usr/sbin/no-odirected_broadcast=0/usr/sbin/no-oipsrcroutesend=0/usr/sbin/no-oipsrcrouteforward=0/usr/sbin/no-oip6srcrouteforward=0/usr/sbin/no-oipignoreredirects=1/usr/sbin/no-oipsendredirects=0使用以下方法使尝试登录失败记录有效修改/etc/syslog.conf文件增加日志审计内容：*.crit /var/log/loginlog创建loginlog，记录失败登陆touch/var/log/loginlogchmod600/var/log/loginlogchgrpsys/var/log/loginlogrefresh-syslogd删除不需要的cronscd/var/spool/cron/crontabsrm-rsysrm-radmrm-ruucp三、安装ssh服务端和客户端a）安装ssh服务端（AIX上）内容提要正文在AIX4.3.3和5.1内容提要正文这篇文档介绍了在AIX4.3.3和5.1系统上安装openSSH的步骤（一）在AIX4.3.3系统上安装OpenSSH在AIX4.3.3系统里，openSSH是用RPM格式的安装包来安装的，而在5.1和5.2的系统里是用installp格式的安装包来安装的。在4.3.3系统上安装有如下三个步骤：安装首要必备的文件集；下载rpm格式的安装包；安装openSSH必需的rpm安装包。

在安装rpm格式的安装包之前需要安装文件集rpm.rte和perl.rte,rpm.rte文件集能够通过以下途径获得：LinuxToolboxCD光盘或者LinuxToolbox站点：/servers/aix/products/aixos/linux/download.html这些文件集可以通过smittyinstallp命令来安装下载rpm格式的安装包rpm格式的安装包能够从以下网址下载：/servers/aix/products/aixos/linux/download.html在这个网页上，prngd程序(PsuedoRandomNumberGeneratorDaemon)和zlib压缩和解压缩库能被下载，它们是安装opensslrpm安装包所首要必需的，他们各自对应的文件集为：prngd-0.9.23-2.aix4.3.ppc.rpm和zlib-1.aix4.3..ppc.rpm。在分类内容下载区域的右上方点击AIXTOOLboxCryptographicContent,如果你不是一个已注册的用户，你应该先注册你自己。然后点击在面板底部出现的AcceptLicense按钮并开始下载openssl和opensshrpm安装包：openssl-0.9e-2.aix4.3.ppc.rpmopenssl-devel-0.9.6e-2.aix4.3.ppc.rpmopenssl-doc-0.9.6e-2.aix4.3.ppc.rpmopenssh-3.4p1-4.aix4.3.ppc.rpmopenssh-server-3.4p1-4.aix4.3.ppc.rpmopenssh-clients-3.4p1-4.aix4.3.ppc.rpm安装openSSH必需的rpm安装包把上一步下载的rpm文件包放到一个目录下面，并在此当前目录下运行如下命令进行安装：rpm-izlib-1.1.4-1.aix4.3.ppc.rpmrpm-iprngd-0.9.23-2.aix4.3.ppc.rpmrpm-iopenssl-0.9e-2.aix4.3.ppc.rpmrpm-iopenssl-devel-0.9.6e-2.aix4.3.ppc.rpmrpm-iopenssl-doc-0.9.6e-2.aix4.3.ppc.rpmrpm-iopenssh-3.4p1-4.aix4.3.ppc.rpmrpm-iopenssh-server-3.4p1-4.aix4.3.ppc.rpmrpm-iopenssh-clients-3.4p1-4.aix4.3.ppc.rpm有时在安装openssl文件包时会得到error:faileddependencies错误，如果出现这种错误请运行如下命令：

rpm-i--nodepsopenssl-0.9.6e-2.aix4.3.ppc.rpm下面的命令能用来更新AIX-rpm:/usr/sbin/updtvpkgprngd必须在openssl和openssh安装之前安装，并且openssl又是安装opensshrpm文件包所首要必需的。文件集openssl-devel-0.9.6e-2.aix4.3.ppc.rpm和openssl-doc-0.9.6e-2.aix4.3.ppc.rpm不是安装openSSH所必需的。想验证一下这些文件包是否被安装，请运行如下命令：rpm-qa|egrep'（openssl|openssh|prng）'-->zlib-1.1.4-1prngd-0.9.23-2openssl-0.9.6e-2openssl-devel-0.9.6e-2openssl-doc-0.9.6e-2openssh-3.4p1-4openssh-server-3.4p1-4openssh-clients-3.4p1-4这些文件包被装在/opt/freeware目录下，并且建立了一些连接在/usr/bin或者/usr/sbin目录里，如下所示：ls-l/usr/bin/sshlrwxrwxrwx--1root--system——26Oct1708:07/usr/bin/ssh->../../opt/freeware/bin/sshls-l/usr/sbin/sshdlrwxrwxrwx----1root----system----28Oct1708:06/usr/sbin/sshd->../../opt/freeware/sbin/sshd（二）在AIX5.1系统上安装OpenSSH在5.1系统里，openssh本身的安装包是installp格式，但是所有的首要必备文件包（包括openssl）只能用rpm-i命令来安装（用与4.3.3一样的rpm文件包）。installp格式的安装包能够从以下网址下载：/develoerworks/projects/opensshi

rpm-izlib-1.1.4-1.aix4.3.ppc.rpmrpm-iprngd-0.9.23-2.aix4.3.ppc.rpmrpm-iopenssl-0.9e-2.aix4.3.ppc.rpmrpm-iopenssl-devel-0.9.6e-2.aix4.3.ppc.rpmrpm-iopenssl-doc-0.9.6e-2.aix4.3.ppc.rpm用smittyinstallp命令来安装从openssh34p1_51.tar文件中解压缩出来的openssh文件集，下面这些是安装openssh所需要的从tar文件里解压缩的文件集：openssh.base.clientopenssh.base.serveropenssh.licenseopenssh.man.en_USopenssh.msg.en_US在用smit菜单安装时必须更改AcceptnewLicenseagreement栏的值为yes，否则安装将会失败。用下面的命令来验证你安装了的文件集：lslpp-l|grepsshopenssh.base.client--COMMITTEDOpenSecureShellCommandsopenssh.base.server--COMMITTEDOpenSecureShellServeropenssh.license——COMMITTEDOpenSecureShellLicenseopenssh.man.en_USCOMMITTEDOpenSecureShellopenssh.msg.en_USCOMMITTEDOpenSecureShellMessages-openssh.base.client--COMMITTEDOpenSecureShellCommandsopenssh.base.server--COMMITTEDOpenSecureShellServer你也将发现ssh命令位于/usr/bin目录下：ls-al/usr/bin/ssh-r-xr-xr-x--1root--system——503240Sep0613:11/usr/bin/sshls-al/usr/bin/scp-r-xr-xr-x--1root--system——64654Sep0613:11/usr/bin/scp（三）在4.3和5.1系统上的初始化配置在/etc/inittab文件里有如下条目将在系统启动时调用在/etc/rc.d/rc2.d目录下所有以S开始的脚本:l2:2:wait:/etc/rc.d/rc2在/etc/rc.d/rc2.d目录下，下面的例子显示出启动sshd所必需的符号连接：在4.3.3:#ls-l/etc/rc.d/rc2.d|grepsshIrwxrwxrwx--1root--system--14Oct1708:06K55sshd->../init.d/sshdIrwxrwxrwx--1root--system--14Oct1708:06S55sshd->../init.d/sshd在5.1:ls-l/etc/rc.d/rc2.d|grepssh-r-xr-xr-x--1root--system——307Oct2116:11Ksshd-r-xr-xr-x--1root--system——308Oct2116:11Ssshdprngd程序被/etc/inittab文件里的如下条目启动：prng:2:wait:/usr/bin/startsrc-sprngd如果想要指定SSH2协议在OPenSSH被用，