AIX安全加固配置基线

2 21.2规范依据 21.3实施策略 2 42.1身份鉴别 42.2访问控制 72.3安全审计 2.4入侵防范 2.5资源控制 3.评审与修订…………错误!未定义书签。本配置基线适用于AIX系列操作系统，主要涉及AIX操作系统安全配置方根据目前AIX操作系统的安全现状，综合参考运维专家的意见，制定适合GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》GB/T28453-2012《信息安全技术信息系统安全管理评估要求》GB/T25063-2010《信息安全技术服务器安全测评要求》GB/Z24364-2009《信息安全技术信息安全风险管理指南》GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》GB/T20270-2006《信息安全技术网络基础安全技术要求》GB/T20271-2006《信息安全技术信息系统通用安全技术要求》GB/T20269-2006《信息安全技术信息系统安全管理要求》YD/T2701-2014《电信网和互联网操作系统》建议项：实施基线能够提升一定安全水平，具有一定风险，可操作性较强。配置类别身份鉴别2身份鉴别设置口令认证失败锁定次数基础项3身份鉴别配置口令生存期基础项4身份鉴别关闭Telnet服务基础项5身份鉴别建议项6访问控制锁定无关账户基础项7访问控制基础项8访问控制设置umask值基础项9访问控制配置重要文件及目录权限建议项访问控制设置多账户组建议项访问控制建议项安全审计配置认证日志基础项安全审计基础项安全审计基础项安全审计建议项入侵防范禁用不需要的服务基础项入侵防范建议项入侵防范防止堆栈缓冲溢出建议项资源控制设置登录超时基础项资源控制基础项资源控制限制远程登录地址建议项资源控制限制root账户远程登录建议项资源控制建议项资源控制禁止ICMP重定向建议项资源控制限制非路由设备转发建议项2.1身份鉴别2.1.1配置口令复杂度配置口令复杂度(基础项)基线说明登录系统，使用root权限进行下列操作。#chsec-f/etc/security/user-sdefaul#chsec-f/etc/security/user-sdefault-aminalpha=1#chsec-f/etc/security/user-sdefault-a#chsec-f/etc/security/user-sdefault-a参数释义minalpha=1//包含的字母最minother=1//包含的非字母设置口令认证失败锁定次数(基础项)基线说明数超过10次后锁定该用户使用的帐号。登录系统，使用root权限进行下列操作。找到参数“loginretries”并设置它的值为“10”(没有引号)。参考配置方法，使用root权限执行“more/etc/security/user”,检查loginretries参数的值是否等于10,若是则满足配置要反之则不满足。配置口令生存期(基础项)基线说明采用静态口令认证技术的操作系统，帐户口令(13周)登录系统，使用root权限进行下列操作。“周”)。参考配置方法，使用root权限执行“more/etc/security/user”,则不满足。**过期口令登录不成功。参数maxage的取值空间为0-52/周(星期)。2.1.4关闭Telnet服务关闭Telnet服务(基础项)基线说明建议操作系统关闭Telnet服务，远程管理操作系统时不采用Telnet方式。登录系统，使用root权限进行下列操作。1.关闭telnet2.开机不自动加载telnet服务查看/etc/inetd.conf文件的“telnetstreamtcp6nowaitroot/usr/sbin/telnetdtelnetd-a”字段并注释掉(如果被注释掉，说明开机时不自动打开Telnet服务),配置方法如下所示：#telnetstreamtcp6no-a//该语句前面添加注释符“#”,并不是命令行下的“#”3.查看Telnet服务状态#1ssrc-ttelnet会显示：ServiceCommandDescriptionStatus使用telnet方式远程访问服务器，若无法访问则满足配置要反之则不满足。Telnet方式无法提供“保密性”。配置历史口令使用策略(建议项)基线说明采用静态口令认证技术的操作系统，应配置5次内已使用的口令。登录系统，使用root权限进行下列操作。找到参数“histsize”并设置它的值为“5”(没有引号)。足。2.2访问控制2.2.1锁定无关账户配置历史口令使用策略(建议项)基线说明采用静态口令认证技术的操作系统，应配置5次内已使用的口令。登录系统，使用root权限进行下列操作。找到参数“histsize”并设置它的值为“5”(没有引号)。参考配置方法，使用“more/etc/security/user”命令检查histsize参数的值是否等于5,若是则满足配置足。2.2.2删除无关用户组删除无关用户组(基础项)基线说明用户组一般都配置与之了对应的系统权限，无用的用户组会存在用户权限划分的混乱和安全隐患登录系统，使用root权限进行下列操作。#rmgrouptest//使用rmgroup命令为满足测试或维护需要，有时会给渗透测试工程师、运维工程师、2.2.3设置umask值删除无关用户组(基础项)基线说明用户组一般都配置与之了对应的系统权限，无用的用户组会存在用户权限划分的混乱和安全隐患登录系统，使用root权限进行下列操作。#rmgrouptest//使用rmgroup命令一般情况下，AIX系统需要删除的用户组：te为满足测试或维护需要，有时会给渗透测试工程师、运维工程师、配置重要文件及目录权限(建议项)2.要求/etc/shadow只有root可读-r-------3.要求/etc/group必须所有用户都可读，root用户可写-rw-r一r一4.要求/var/spool/cron/crontabs只root有读写权限#chmod600/var/spool/cron/5.要求/usr/bin/X11/xhost只有指定的用户能使用xhost命令#chmod744/usr/bin/X登录系统，使用root权限查看关键目录的用户对应权限#1s-1/etc/passwd(查看passwd文#1s-1/etc/shadow(查看shadow文件是否为#1s-1/etc/group(查看group文件#1s-1/var/spool/cron/crontabs600权限);#1s-1/usr/bin/X11/xhost权限);2.2.5设置多账户组设置多账户组(建议项)基线说明到相应的帐户组。登录系统，使用root权限进行下列操作。#groupadd-gGIDgroupname//创建一个号，若不设GID,系统会自动为该组分配一个GID号#usermod-ggroupusername//将用户userna组中。查询被分配到的组的GID:#idusername具体账户组的名称、数量可以根据实际需求使用上述命令进行设置。登录系统，使用root权限执行“cat/etc/group”命令查看用户组，和系统管理员沟通检查是否按需设置了账户组，若是则满足配多的应用和使用者账户，则建议根据不同权限、需求定义不同用户2.2.6控制FTP访问目录控制FTP访问目录(建议项)控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。登录系统，使用root权限进行下列操作。#vi/etc/vsftpd/vsftpd.conf在配置文件vsftpd.conf中：local_root=锁定目录路径chroot_list_file=/etc/vs名。配置认证日志(基础项)基线项说设备应配置日志功能，对用户登录进行记录。登录系统，使用root权限进行下列操作。将下面两行内容复制到配置文件内：/var/adm/authlog//中间不用空格，按一下Tab键*.info;auth.none/var/adm/syslog//中间不用空格，按一下Tab键使用如下命令建立日志文件：#touch/var/adm/authlog/var/adm/syslog#chownroot:system/var/a重新启动syslog服务：登录系统，使用root权限执行“more/var/adm/authlog”命令查看是否存在刚才登录的认证日志，若是则满足配置要求，反之则不满足。记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。2.3.2配置审计安全事件配置审计安全事件(基础项)基线说明设备应配置日志功能，记录对与设备相关的安全事件。登录系统，使用root权限进行下列操作。#touch/var/adm/messages//建立me在配置文件“syslog.conf”末尾加入下行内容：.err;kern.debug;daemon.notice/var/adm/messages//中间不用空格，按一下Tab键登录系统，使用root权限执行“more/var/adm/messages”命令查看是否存在系统日志记录，若是则满足配置要求，反之则不满足。手工检查。审计日志类型越多，对磁盘IO性能消耗可能越大，且日志量可能会很大。2.3.3配置使用NTP配置使用NTP(基础项)基线说明如果网络中存在信任的NTP服务器，应该配置系统使用NTP服务保持时间同步。登录系统，使用root权限进行下列操作。在打开的编辑器界面加入下行内容：服务器，请设置为NTP服务器IP#driftfile/var/ntp/ntp.drift//建drift文件及相关目录，这个文件是用于在ntp重起的时候快速的和服务器进行同步#smittyxntpd//通过调用smitty,使xntpd在以后重启服务器时能自动启动使用命令“cat/etc/inet/ntp.conf”查看是否配置NTP地址、使不满足。2.3.4配置远程日志服务器配置使用NTP(基础项)如果网络中存在信任的NTP服务器，应该配置系统使用NTP服务保持时间同步。登录系统，使用root权限进行下列操作。在打开的编辑器界面加入下行内容：服务器，请设置为NTP服务器IP#driftfile/var/ntp/ntp.drift//建drift文件及相关目录，这个文件是用于在ntp重起的时候快速的和服务器进行同步#startsrc-sxntpd#smittyxntpd//通过调用smitty,使xntpd在以后重启服务器时能自动启动不满足。2.4.1禁用不需要的服务禁用不需要的服务(基础项)基线说明基于最小安装原则，关闭不必要的服务(端口关闭不需要的本地服务或网络服务登录系统，使用root权限进行下列操作。#more/etc/inetd.conf//检查开机时启动的服务，注释掉不需要的服务这些不需要的服务为：smtp、pop3、imap2、talk、ntalk、rpc.sprayd、rpc.cmsd、rpc使用如下命令停止服务(如果不方便重启系统)#stopsrc-t服务名(服务名为上述提到的：smtp、p需要人工判断开放的端口和服务，可能影响业务。2.4.2配置补丁管理配置补丁管理(建议项)基线说明应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。登录系统，使用root权限进行下列操作。先把补丁集拷贝到一个目录，如/08update,然后执行选择安装目录/08update默认然后回车执行安装。执行命令“instfix-i|grepML”查看当前系统补丁版本，通过与AIX官网补丁信息的对比，检查是否打入对应补丁，若是则检查某一个补丁，比如LY59082是否安装检查文件集(filesets)是否安装2.4.3防止堆栈缓冲溢出防止堆栈缓冲溢出(建议项)防止堆栈缓冲溢出。登录系统，使用root权限进行下列操作。在打开的编辑页面中，修改参数“core”的值为0,并在该项的下面添加内容“core_hard=0”(没有引号),如下所示：登录系统，以root权限执行“cat/etc/security/limits”命令检2.5资源控制2.5.1设置登陆超时设置登录超时(基础项)登录系统，使用root权限进行下列操作。增加如下一行：TMOUT=300;TIMEOUT=300;exportreadonlyTMOUT参照配置方法，使用命令“more/etc/security/.profile”检查是否存在“TMOUT=300;TIMEOUT=300;exportreadonlyTMOUTTIMEOUT”行，同时已登录账户不进行任何操作302.5.2锁定屏幕锁定屏幕(基础项)对于具备图形界面(含WEB界面)的设备，应配置超时自动屏幕锁定。登录系统，使用root权限进行下列操作。#vi/etc/dt/config/C/sys把下面两行内容添加到配置文件“sys.re//在配置文件yss.resources增加的了两行盘动作后自动锁屏。登录后，在10分钟内不进行任何操作，检查屏幕是否被锁定，若是则满足配置要求，反之则不满足。手工检查。2.5.3限制远程登陆地址限制远程登录地址(建议项)基线说明对于通过IP协议进行远程维护的设备，设备应支持对允许登录到登录系统，使用root权限进行下列操作。编辑/etc/hosts.allow和/etc/hosts.deny两个文件增加一行<service>:允许访问的IP;举例如下：all:4:allssh:192.168.1.:allow//允许192.168.1的整个网段增加一行all:all补充操作说明更改/etc/inetd.conf文件后，刷新inetd的命令如1.使用允许的IP地址登录系统可以登录成功，其它的都被拒若是则满足配置要求，反之则不满足。2.使用“cat/etc/hosts.allow”和“cat/etc/hosts.deny”命令查看两个文件内是否已按配置方法进行了设置，若是则满足配置要求，反之则不满足。2.5.4限制root账户远程登陆限制root账户远程登录(建议项)基线说明登录系统，使用root权限进行下列操作：在telnet环境中修改rlogin=false在ssh环境中修改PermitRootLoginno重启sshd服务使用SMIT配置：在telnet环境中进入【Security&Users】-【Users】ShowCharacteristicsofaUser】界面，进入root用户配置窗口，修改如下配置：UsercanLOGINREMOTELY(rsh,tn,rlogin)?在ssh环境中无法通过SMIT修改root远程登录限制，必须通过vi参考配置方法，若使用root账户无法远程登录，使用其它权限、合法的账户可以远程登录系统，则满足配置要求，反之则不满足。备注远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限帐号后执行相应操作。根据实际需求配置，实际环境中是否存在需要root账户直接登录的应用控制NFS服务(建议项)如果没有必要，需要停止NFS服务；如果需要NFS服务，需要限制能够访问NFS服务的IP范围。登录系统，使用root权限进行