AIX操作系统安全配置准则

AIX操作系统安全配置规范

2023年3月

第1章概述

1.1合用范围

合用于中国电信使用AIX操作系统的设备。本规范明确了安全配置的基本

规定，可作为编制设备入网测试、安全验收、安全检查规范等文档的参照。

由于版本不一样，配置操作有所不一样，本规范以AIX5.X为例，给出参照

配置操作。

第2章安全配置规定

2.1账号

编号：1

规定内容应按照不一样的顾客分派不一样的账号。

操作指南1、参照配置操作

为顾客创立账号：

#useraddusername#创立账号

#passwdusername#设置密码

修改权限：

#chmod750directory#其中750为设置H勺权限，可根据实际状况

设置对应的权限，direciory是要更改权限H勺目录）

使用该命令为不一样的J顾客分派不一样的账号，设置不一样的口令

及权限信息等。

2、补充操作阐明

检测措施1、鉴定条件

可以登录成功并且可以进行常月操作；

2、检测操作

使用不一样的账号进行登录并进行某些常用操作；

3、补充阐明

编号：2

规定内容应删除或锁定与设备运行、维护等工作无关的账号。

操作指南1、参照配置操作

删除顾客：#userdelusername;

锁定顾客：

1）修改/ctc/shadow文献，顾客名后加*LK*

2）将/etc/passwd文献中欧Jshell域设置成/bin/false

3）#passwd-1username

只有具有超级顾客权限的使用者方可使用，#passwd-1username锁

定顾客，用#passwd-dusername解锁后原有密码失效，登录需输入

新密码，修改/etc/shadow能保留原有密码。

2、补充操作阐明

需要锁定的顾客：listen,gdm,webservd,nobody,nobody*noaccess<»

检测措施1、鉴定条件

被删除或锁定的1账号无法登录成功；

2、检测操作

使用删除或锁定的与工作无关的账号登录系统；

3、补充阐明

需要锁定的1顾客：listen,gdm,webservd,nobody,nobody4xnoaccesso

解锁时间：15分钟

编号：3

规定内容限制具有超级管理员权限的顾客远程登录。

需要远程执行管理员权限操作，应先以一般权限顾客远程登录后，

再切换到超级管理员权限账号后执行对应操作。

操作指南1、参照配置操作

编辑/etc/security/user,加上：

在root项上输入false作为rlogin［向值

此项只能限制root顾客远程使用telnet登录。用ssh登录，修改此

项不会看到效果H勺

2、补充操作阐明

假如限制root从远程ssh登录，修改/etc/ssh/sshd_config文献，将

PermitRootLoginyes改为PermitRootLoginno,重启sshd月艮务。

检测措施1、鉴定条件

iwt远程登录不成功，提醒“没有权限”；

一般顾客可以登录成功，并且可以切换到root顾客；

2、检测操作

root从远程使用telnet登录；

一般顾客从远程使用telnet登录；

root从远程使用ssh登录；

一般顾客从远程使用SSh登录；

3、补充阐明

限制root从远程ssh登录，修改/eic/ssh/sshd_config文献，将

PermitRootLoginyes改为PermitRootLoginno,重启sshd月艮务。

编号：4

规定内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加

密协议，并安全配置SSHD的设置。

操作指南1、参照配置操作

把如下shell保留后，运行，会修改ssh日勺安全设置项：

unaliascprmmv

case'find/usr/etc-typef|grep-cssh_config$'in

0)echo"Cannotfindssh_contlg"

，，

1)DIR='find/usr/etc-typef2>/dev/null|\

grepssh_config$|sed-e"s:/ssh_config二"'

cd$DIR

cpssh_configssh_config.tmp

awk7A#?*Protocol/{print"Protocol2";next};

{print}'ssh_conng.tmp>ssh_conHg

if["'grep-El^Protocolssh_config'"=then

echo'Protocol2'»ssh_config

fi

rmssh_config.tmp

chmod600ssh_conHg

*)echo"Youhavemultiplesshd_configfiles.

Resolve"

echo"beforecontinuing.,

，，

csac

#也可以手动编辑ssh.config,在"Hos可"后输入"Protocol2',

cd$DIR

cpsshd_configsshd_config.tmp

awkVA#?*Protocol/{print"Protocol2";next};

/A#?*XI1Forwarding/\

{print"X11Forwardingyes";next};

/A#?*IgnoreRhosts/\

{print"IgnoreRhostsyes";next);

/A#?*RhostsAuthentication/\

{print"RhostsAuthenticationno";next};

ZA#?*RhostsRSAAuthentication/\

{print"RhostsRSAAuthcnticationno";next};

/A#?*HostbasedAuthentication/\

{print"HostbascdAuthcnticationno":next};

/A#?*PermitRoolLogin/\

{print"PermitRootLoginno";next};

/A#?*PermitEmptyPasswords/\

{print"PermitEmptyPasswordsno";next};

/A#?*Banner/\

{print"Banner/etc/motd";next};

{print}'sshd_config.tmp>sshd_config

rmsshd_config.tmp

chinod600sshd_config

Protocol2#使用ssh2版本

XI1Forwardingyes#容许窗口图形传播使用ssh加密

IgnoreRhostsyes#完全严禁SSHD使用.rhosts文献

RhostsAuthenticationno#不设置使用基于rhosts的J安全验证

RhostsRSAAuthenticationno#不设置使用RSA算法口勺基丁ThostsIfj

安全验证

HostbascdAuthcnticationno#不容许基于主机白名单方式认证

PermitRootLoginno#不容许rod登录

PcrmitEniptyPasswordsno#不容许空密码

Banner/etc/motd#设置ssh登录时显示欧Jbanner

2、补充操作阐明

查看SSH服务状态:

#pselfjgrepssh

检测措施1、鉴定条件

#ps-elf|grepssh

与否有ssh进程存在

2、检测操作

查看SSH服务状态:

#ps-elflgrepssh

查看telnet服务状态：

#ps-elfjgreptelnet

2.2口令

编号：i

规定内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数

字、小写字母、大写字母和特殊符号4类中至少3类。

操作指南1、参照配置操作

chsec-f/etc/security/user-sdefault-aminlen=8

chsec-f/ctc/sccurity/uscr-sdefault-aminalpha=l

chsec-f/e(c/security/user-sdefault-amindiff=l

chsec-f/etc/security/user-sdefault-aminother=l

chsec-f/etc/security/user-sdefault-apwdwamtime=5

rninlcn=8#密码长度至少8位

minalpha=l#包括口勺字母至少1个

mindiff=l#包括的唯一字符至少1个

minother=l#包括H勺非字母至少1个

pwdwarntime=5#系统在密码过期前5天发出修改密码的警告信息

给顾客

2、补充操作阐明

检测措施1、鉴定条件

不符合密码强度的时候，系统对口令强度规定进行提醒；

符合密码强度的时候，可以成功设置.；

2、检测操作

1、检查口令强度配置选项与否可以进行如下配置：

i.配置口令H勺最小长度；

ii.将口令配置为强口令。

2、创立一种一般账号，为顾客配置与顾客名相似的口令、只包括

字符或数字的简朴口令以及长度短于8位的口令，查看系统与否对

口令强度规定进行提醒；输入带有特殊符号欧J复杂口令、•般复杂

口令，查看系统与否可以成功设置。

编号：2

规定内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90

天。

操作指南1、参照配置操作

措施一：

chsec-f/etc/security/user-sdefault-ahistexpire=13

措施二：

用vi或其他文本编辑工具修改chsec-f/etc/security/user文献如下

值：

histexpire=13

histexpire=13#密码可反复使用口勺星期为13周（91天）

2、补充操作阐明

检测措施1、鉴定条件

密码过期后登录不成功；

2、检测操作

使用超过90天的帐户口令登录会提醒密码过期；

编号：3

规定内容对于采用静态口令认证技术的设备，应配置设备，使顾客不能反复

使用近来5次（含5次）内已使用的J口令。

操作指南1、参照配置操作

措施一：

chsec-f/etc/security/user-sdefault-ahistsize=5

措施二：

用vi或其他文本编辑工具修改chsec-f/etc/security/user文献如下

值：

histsize=5

histexpire=5#可容许的密码反复次数

检测措施1、鉴定条件

设置密码不成功

2、检测操作

cat/etc/security/user,设置如下

histsize=5

3、补充阐明

默认没有histsize的标识，即不记录此前B勺密码。

编号：4

规定内容对于采用静态口令认证技术的设备，应配置当顾客持续认证失败次

数超过6次（不含6次），锁定该顾客使用日勺账号。

操作指南1、参照配置操作

查看帐户帐户属性：

#lsuserusername

设置6次登陆失败后帐户锁定阀值：

#chuserloginretries=6username

检测措施1、鉴定条件

运行Isuseruasename命令，查看帐户属性中与否设置了6

次登陆失败后帐户锁定阀值的方略。如未设置或不小于6次，

则进行设置

2.3授权

编号：1

规定内容在设备权限配置能力内，根据顾客的业务需要，配置其所需的最小

权限。

操作指南1、参照配置操作

通过chmod命令对目录的权限进行实际设置。

2、补充操作阐明

chown-Rroot:security/etc/passwd/etc/group/etc/security

chown-Rroot:audit/etc/sccurity/audit

chmod644/etc/passwd/etc/group

chmod750/ctc/sccurity

chmod-Rgo-\v,o-r/etc/security

/etc/passwd/etc/group/etc/security日勺所有者必须是root和security

组组员

/etc/security/audit日勺所有者必须是iroot和audit组组员

/etc/passwd所有顾客都可读，root顾客可写-rw-r—r—

/etc/shadow只有root可读-r..........

/etc/group必须所有顾客都可读，root顾客可写-rw-r—r—

使用如下命令设置：

chmod644/etc/passwd

climud644/clc/gruup

假如是有写权限，就需移去组及其他顾客对7etc的J写权限（特殊状

况除外）

执行命々#chmod-Rgo-w,o-r/etc

检测措施1、鉴定条件

1、设备系统可以提供顾客权限口勺配置选项，并记录对顾客进行权

限配置与否必须在顾客创立时进行；

2、记录可以配置的权限选项内容；

3、所配置日勺权限规则应可以对口勺应用，即顾客无法访问授权范围

之外的系统资源，而可以访问授权范围之内的系统资源。

2、检测操作

1、运用管理员账号登录系统，并创立2个不一样H勺顾客；

2、创立顾客时查看系统与否提供了顾客权限级别以及可访问系统

资源和命令的选项；

3、为两个顾客分别配置不一样口勺权限，2个顾客的权限差异应可以

分别在顾客权限级别、可访问系统资源以及可用命令等方面予以体

现；

4、分别运用2个新建H勺账号访问设备系统，并分别尝试访问容许

访问的内容和不容许访问的内容，查看权限配置方略与否生效。

3、补充阐明

编号：2

规定内容控制FTP进程缺省访问权限，当通过FTP服务创立新文献或目录

对应屏蔽掉新文献或目录不应有的访问容许权限。

操作指南1、参照配置操作

a.限制某些系统帐户不准ftp登录：

通过修改ftpusers文献，增长帐户

#viZetc/ftpusers

b.限制顾客可使用FTP不能用Telnet,假如顾客为ftpxll

创立一种/etc/shells文献，添加一行/bin/true;

修改/etc/passwd文献,ftpxll:x:119:1::/home/ftpxll:/bin/true

注：还需要把真实存在的shell目录加入/etc/shells文献,否则没有

顾客可以登录ftp

以上两个环节可参照如下shell自动执行：

Isuser-cALL|grep-vA#name|cut-fl-d:|whilereadNAME:do

if['lsuser-f$NAME|grepid|cut-f2-d='-It200];then

echo"Adding$NAMEto/etc/ftpusers"

echo$NAME»/etc/ftpusers.new

fi

done

sort-u/etc/ftpusers.new>/etc/ftpusers

nn/etc/ftpusers.new

chownroot:system/etc/ftpusers

chmod600/etc/ftpusers

c.限制fip顾客登陆后在自己目前目录下活动

编辑ftpaccess,加入如下一行restricted-uid*（限制所有），

restrictcd-uidusername（特定顾客）

ftpaccess文献与ftpusers文献在同一目录

d.设置ftp顾客登录后对文献目录的存取权限，可编辑

/stc/ftpaccesso

chmodnoguest,anonymous

deletenoguest,anonymous

overwritenoguest,anonymous

renamenoguest,anonymous

umasknoanonymous

2、补充操作阐明

查看#catftpusers

阐明：在这个列表里边口勺顾客名是不容许ftp登陆的J。

root

daemon

bin

sys

adm

1P

uucp

nuucp

listen

nobody

noaccess

nobody4

检测措施1、鉴定条件

权限设置符合实际需要；不应有的访问容许权限被屏蔽掉；

2、检测操作

查看新建的文献或目录的权限，操作举例如下：

#more/etc/ftpusers

会more/eic/passwd

#more/etc/ftpaccess

3、补充阐明

查看#catftpusers

阐明：在这个列表里边日勺顾客名是不容许ftp登陆的J。

root

daemon

bin

sys

adm

1P

uucp

nuucp

listen

nobody

noaccess

nobody4

2.4补丁安全

编号：1

规定内容应根据需要及时进行补丁装载，对服务器系统应先进行兼容性测

试。

操作指南1、参照配置操作

先把补丁集拷贝到一种目录，如/08update,然后执行

#smitupdate_all

选择安装目录/O8update

默认

SOFTWAREtoupdate[_update_all]

选择不提交，保留被覆盖的文献，可以回滚操作，接受许可协议

COMMITsoftwareupdates?no

SAVEreplacedfiles?yes

ACCEPTnewlicenseagreements?yes

然后回车执行安装。

2、补充操作阐明

检测措施1、鉴定条件

查看最新的补丁号，确认已打上了最新补丁；

2、检测操作

检查某一种补丁，例如LY59082与否安装

#instfix-a-ivkLY59082

检查文献集（fileseis）与否安装

#lslpp-

3、补充阐明

补丁下载

2.5日志安全规定

编号：1

规定内容设备应配置日志功能，对顾客登录进行记录，记录内容包括顾客登

录使用的账号，登录与否成功，登录时间，以及远程登录时，顾客

使用的IP地址。

操作指南1、参照配置操作

修改配置文献vi/etc/syslog.conf,加上这几行：

\t\t/var/adm/authlog

*.info;auth.none\t\t/var/adm/syslcg\n"

建立口志文献，如下命令：

touch/var/adm/authlog/var/adm/syslog

chownroot:system/var/adm/authlog

重新启动syslog服务，依次执行下列命令：

stopsrc-ssyslogd

startsrc-ssyslogd

AIX系统默认不捕捉登录信息到syslogd,以上配置增长了验证信

息发送到/var/adm/authlog和/var/adm/syslog

2、补充操作阐明

检测措施1、鉴定条件

列出顾客账号、登录与否成功、登录时间、远程登录时的IP地址。

2、检测操作

cat/var/adm/authlog

cat/var/adm/syslog

3、补充阐明

编号：2（可选）

规定内容启用记录cron行为日志功能和cron/al的使用状况

操作指南1、参照配置操作

cron/At口勺有关文献重要有如下几种：

/var/spool/cron/crontabs寄存务的目录

/var/spool/cron/cron.allow容许使用crontab命令W、J顾客

/var/spool/cron/cron.deny大容许使用cronlab命令1向顾客

/var/spool/cron/atjobs寄存at任务的|目录

/var/spoo1/cron/at.allow容许使用at的顾客

/var/spool/cron/at.deny不容许使用at的J顾客

使用crontab和at命令可以分别对cron和at任务进行控制。

二crontab-1查看目前的cron任务

#at-1查看目前日勺at任务

检测措施1、鉴定条件

2、检测操作

S看/var/spoo1/cron/目录下的文献配置与否按照以上规定进行

了安全配置。如未配置则提议按照规定进行配置。

编号：3

规定内容设备应配置权限，控制对口志叉献读取、修改和删除等操作。

操作指南1、参照配置操作

配置日志文献权限，如下命令：

chinod600/var/adm/authlog

chmod640/var/adm/syslog

并设置了权限为其他顾客和组严禁读写日志文献。

检测措施1、鉴定条件

没有对应权限的顾客不能查看或删除日志文献

2、检测操作

查看syslog.conf文献中配置H勺日志寄存文献：

more/etc/syslog.conf

使用Is-1/var/adm查看R勺目录下日志文献H勺权限，如：authlog>

syslog的权限应分别为600、644。

3、补充阐明

对于其他日志文献，也应当设置合适的权限，如登录失败事件"勺日

志、操作日志，详细文献查看syslog.conf中日勺配置。

2.6不必要的服务、端口

编号：1

规定内容列出所需要服务时列表（包括所需的系统服务），不在此列表的服务

需关闭。

操作指南1、参照配置操作

查看所有启动的服务：

#ps-c-f

措施一：手动方式操作

在inetd.conf中关闭不用的服务首先复制/etc/inet/inetd.conf。#cp

/etc/inet/inetd.conf/etc/inet/inetd.conf.backup然后用vi编辑器编辑

inetd.conf文献，对于需要注释掉的服务在对应行开头标识"苗‘字符，

重启inetd服务,即可。

重新启用该服务，使用命令：

refresh-sinctd

措施二：自动方式操作

A.把如下复制到文本里：

forSVCinftptelnetshellkshellloginkloginexec\

echodiscardchargendaytimetimettdbserverdtspc;do

echo"Disabling$SVCTCP"

chsubservcr-d-v$SVC-ptcp

done

forSVCinntalkrstatdrusersdrwalldspraydpcnfsd\

echodiscardchargendaytimetimecmsd;do

echo"Disabling$SVCUDP"

chsubservcr-d-v$SVC-pudp

done

refresh-sinetd

B.执行命令：

#shdis_scrvcr.sh

2、补充操作阐明

参照附表，根据详细状况严禁不必要的J基本网络服务。

注意：变化了“inedconr5文献之后，需要重新启动ineid。

对必须提供的服务采用tcpwapper来保护

并且为了防止服务取消后断线，一定要启用SSHD服务，用以登录操

作和文献传播。

检测措施1、鉴定条件

所需的服务都列出来；

没有不必要的服务：

2、检测操作

查看所有启动的服务:cat/etc/inet/inetd.conf,cat/etc/inet/services

3、补充阐明

在/elc/inedconf文献中严禁下列不必要的基本网络服务。

Tcp服务如下：

ftptelnetshellkshellloginkloginexec

UDP服务如下：

iitalkrsialdruscrsdrwalldspraydpunfsd

注意:变化了“inetd.con「文献之后，需要重新启动inetd。

对必须提供R勺服务采用tcpwappcr来保护

2.7文献与目录权限

编号：1

规定内容控制顾客缺省访问权限，当在创立新文献或目录时应屏蔽掉新文

献或目录不应有口勺访问容许权限。防止同属于该组的其他顾客及别

内组的顾客修改该顾客的文献或更高限制。

操作指南1、参照配置操作

A.设置所有存在账户的权限：

Isuser-ahomeALL|awk'{print$1},|whilereaduser;do

chuserumask=077$uscr

done

vi/etc/default/login在末尾增长umask027

B.设置默认“勺profile,用编辑器打开文献/etc/security/user,找到

umask这行，修改如下：

Umask=077

2、补充操作阐明

假如顾客需要使用一种不一样7默认全局系统设置的umask,可以

在需要的时候通过命令行设置.，或者在顾客Fjshell启动文献中配

置。

检测措施1、鉴定条件

权限设置符合实际需要；不应有的访问容许权限被屏蔽掉；

2、检测操作

查看新建的文献或目录的权限，操作举例如下：

#ls-1dir;#查看目录dir的权限

#cal/etc/default/login查看与否有umask027内容

3、补充阐明

umask的默认设置一般为022,这给新创立的文献默认权限755

(777-022=755),这会给文献所有者读、写权限，但只给组组员和

其他顾客读权限。

umaskU勺计算：

umask是使用八进制数据代码设置附，对于目录，该值等于八进制

数据代码777减去需要的默认权限对应H勺八进制数据代码值：对于

文献，该值等于八进制数据代码666减去需要的默认权限对应日勺八

进制数据代码值。

编号：2

规定内容对文献和H录进行权限设置，合理设置重要H录和文献11勺权限

操作指南1、参照配置操作

查看重要文献和目录权限：1s-1

更改权限：

对于重要目录，提议执行如下类似操作：

#chmod-R750/etc/init.d/*

这样只有root可以读、写和执行这个目录下的脚本。

2、补充操作阐明

检测措施1、鉴定条件

用root外的其他帐户登录，对重要文献和目录进行删除、修改等操

作不可以成功即为符合。

2、检测操作

查看重要文献和目录权限：ls-1

用root外的其他帐户登录，时重要文献和目录进行删除、修改等操

作

3、补充阐明

2.8系统Banner设置

规定内容修改系统banner,防止泄漏操作系统名称，版本号，主机名称等，

并且给出登陆告警信息

操作指南1、参照配置操作

设置系统Banner股）操作如下：

fE/etc/securily/login.cfg文献中，在default小节增长:

herald="ATTENTION:Youhaveloggedontoasecured

server..Allaccesseslogged.\n\nlogin:"

检测措施查看/etc/security/login.cfg文献口的配置与否按照以上规定

进行了配置

2.9登录超时时间设置

规定内容对于具有字符交互界面的设备，配置定期帐户自动登出

操作指南1、参照配置操作

设置登陆超时时间为3（X）秒，修改/etc/securily/.profile文献，

增长一行：

TMOUT=300；TIMEOUT=30d；exportreadonlyTMOUT

TIMEOUT

2、补充操作阐明

检测措施1、鉴定条件

查看/elc/securily/.profile文献中R勺配置，与否存在登陆超时时

间的设置。如未设置，则提议应按照规定进行配置

2.10内核调整（可选）

规定内容防止堆栈缓冲溢出

操作指南1、参照配置操作

编辑/elc/securily/limits并且变化core值为0,并增长一行在背面，

如下：

core0

core_hard=0

保留文献后退出，执行命令：

echo"#AddedbyNsfocusSecurityBenchmark"»/etc/profile

echo"ulimit-c0"»/etc/profile

chdev-1sysO-afullcore=false

1、补充操作阐明

应用程序在发生错误的1时候会把自身的敏感信息从内存里DUMP

到文献，一旦被袭击者获取轻易引起袭击。

检测措施1、鉴定条件

可以防止core文献产生

2、检测操作

SWetc/security/liniits文献：

cat/etc/security/limits与否有如下两行：

core0

core_hard=0

查看/etc/profile文献:

ca(/etc/security/limits与否有如下行:

ulimit-c0

2.11使用SSH加密协议

规定内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加

密协议，并安全配置SSHD的设置。

操作指南1、参照配置操作

把如下shell保留后，运行，会修改sshH勺安全设置项：

unaliascprmmv

case'find/usr/etc-typef|grep-cssh_config$'in

0)echo"Cannotfindssh_config"

，，

1)DIR='find/usr/etc-typef2>/dev/null|\

grepssh_uonfig$|sed-e"s:/ssh_config::"'

cd$DIR

cpssh_configssh_config.tinp

awk7A#?*Protocol/{print"Protocol2";next);

{print}'ssh_config.tmp>ssh_config

if["'grep-ElAProtocolssh_config'"=then

echo'Protocol2'»ssh_config

fi

rmssh_config.tinp

chinod600ssh_config

，，

*)echo"Youhavemultiplesshd_configfiles.

Resolve"

echo"beforecontinuing.'

，，

esac

#也可以手动编辑ssh_config,在"Host*"后输入"Protocol2),

cd$DIR

cpsshd_configsshd_config.t