AIX主机操作系统加固规范_第1页
AIX主机操作系统加固规范_第2页
AIX主机操作系统加固规范_第3页
AIX主机操作系统加固规范_第4页
AIX主机操作系统加固规范_第5页
已阅读5页,还剩32页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、AIX 主机操作系统加固规范主机操作系统加固规范 20202020 年年 7 7 月月 目目录录 1 1账号管理、认证授权账号管理、认证授权.1 1.1账号.1 1.1.1SHG-AIX-01-01-01.1 1.1.2SHG-AIX-01-01-02.2 1.1.3SHG-AIX-01-01-03.3 1.1.4SHG-AIX-01-01-04.4 1.1.5SHG-AIX-01-01-05.5 1.2口令.6 1.2.1SHG-AIX-01-02-01.6 1.2.2SHG-AIX-01-02-02.7 1.2.3SHG-AIX-01-02-03.8 1.2.4SHG-AIX-01-02-

2、04.8 1.2.5SHG-AIX-01-02-05.9 1.3授权.10 1.3.1SHG-AIX-01-03-01.10 1.3.2SHG-AIX-01-03-02.11 1.3.3SHG-AIX-01-03-03.12 1.3.4SHG-AIX-01-03-04.13 1.3.5SHG-AIX-01-03-05.14 2 2日志配置日志配置.15 2.1.1SHG-AIX-02-01-01.15 2.1.2SHG-AIX-02-01-02.16 2.1.3SHG-AIX-02-01-03.17 2.1.4SHG-AIX-02-01-04.18 3 3通信协议通信协议.19 3.1IP 协

3、议安全.19 3.1.1SHG-AIX-03-01-01.19 3.1.2SHG-AIX-03-01-02.20 3.2路由协议安全.21 3.2.1SHG-AIX-03-02-01.21 4补丁管理补丁管理.24 4.1.1SHG-AIX-04-01-01.24 5服务进程和启动服务进程和启动.25 5.1.1SHG-AIX-05-01-01.25 5.1.2SHG-AIX-05-01-02.27 6 6设备其他安全要求设备其他安全要求.31 6.1登陆超时策略.31 6.1.1SHG-AIX-06-01-01.31 6.2系统 BANNER设置 .32 6.2.1SHG-AIX-06-02

4、-01.32 6.3内核调整.33 6.3.1SHG-AIX-06-03-01.33 7附录:附录:AIX 可被利用的漏洞(截止可被利用的漏洞(截止 2009-3-8).34 本文档是 AIX 操作系统的对于 AIX 系统设备账号认证、日志、协议、补丁升级、 文件系统管理等方面的安全配置要求,共 27 项。对系统的安全配置审计、加固操 作起到指导性作用。 1 1 1 1 账号管理、认证授权账号管理、认证授权账号管理、认证授权账号管理、认证授权 账号账号账号账号 ..1 SHG-AIX-01-01-01SHG-AIX-01-01-01SHG-

5、AIX-01-01-01SHG-AIX-01-01-01 编号 SHG-AIX-01-01-01 名称为不同的管理员分配不同的账号 实施目的根据不同类型用途设置不同的帐户账号,提高系统安全。 问题影响账号混淆,权限不明确,存在用户越权使用的可能。 系统当前状态查看/etc/passwd 中记录的系统当前用户列表 实施步骤 参考配置操作:参考配置操作: 为用户创建账号: #mkuser username #passwd username 列出用户属性: #lsuser username 更改用户属性: #chuser attribute=value username 回退方案删除新增加的帐户:#

6、rmuser username 判断依据标记用户用途,定期建立用户列表,比较是否有非法用户 实施风险高 重要等级 备注 ..2 SHG-AIX-01-01-02SHG-AIX-01-01-02SHG-AIX-01-01-02SHG-AIX-01-01-02 编号 SHG-AIX-01-01-02 名称配置帐户锁定策略 实施目的锁定不必要的帐户,提高系统安全。 问题影响 系统中存在与业务应用无关的帐户会给系统带来潜在的安 全风险,容易被攻击者利用。 系统当前状态查看/etc/passwd 中记录的系统当前用户列表 实施步骤 参考配置操作:参考配置操作: 系统管理

7、员出示业务所需帐户列表,根据列表只保留系统 与业务所需帐户。结合实际情况锁定或删除其余帐户。 如要锁定 user1 用户,则采用的命令如下: #chuser account_locked=true user1 回退方案 如对 user1 用户解除锁定,则采用的命令如下: #chuser account_locked=false user1 判断依据 系统管理员出示业务所需帐户列表。 查看/etc/passwd 中所记录的系统当前用户列表是否与业务 应用所需帐户相对应。除系统帐户和业务应用帐户外,其 他的帐户建议根据实际情况锁定或删除。 实施风险高 重要等级 备注 .31.1.3

8、1.1.3 SHG-AIX-01-01-03SHG-AIX-01-01-03SHG-AIX-01-01-03SHG-AIX-01-01-03 编号 SHG-AIX-01-01-03 名称限制超级管理员远程登录 实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理 员权限操作,应先以普通权限用户远程登录后,再切换到 超级管理员权限账。 问题影响如允许 root 远程直接登陆,则系统将面临潜在的安全风险 系统当前状态 执行 lsuser -a rlogin root 命令,查看 root 的 rlogin 属性并 记录 实施步骤 参考配置操作:参考配置操作: 查看 root 的 rlogi

9、n 属性: #lsuser -a rlogin root 禁止root远程登陆: #chuser rlogin=false root 回退方案 还原 root 可以远程登陆,执行如下命令: #chuser rlogin=true root 判断依据 执行#lsuser a rlogin root 命令,查看 root 的 rlogin 属性,root 是否可以远程登陆,如显示可以,则禁止。 实施风险高 重要等级 备注 ..4 SHG-AIX-01-01-04SHG-AIX-01-01-04SHG-AIX-01-01-04SHG-AIX-01-01-04 编号

10、SHG-AIX-01-01-04 名称对系统账号进行登录限制 实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和 服务使用 问题影响可能利用系统进程默认账号登陆,账号越权使用 系统当前状态查看/etc/security/passwd 中各账号状态并记录 实施步骤 参考配置操作:参考配置操作: 系统管理员出示业务所需登陆主机的帐户列表,根据列表 只保留系统与业务所需的登陆帐户。结合实际情况禁止或 删除其余帐户。 禁止账号交互式登录: #chuser account_locked=true username 删除账号: #rmuser username 补充操作说明:补充操作说明: 建议

11、禁止交互登录的系统账号有: daemon,bin,sys,adm,uucp,guest,nobody,lp,help 等 回退方案 还原被禁止登陆的帐户: #chuser account_locked=false username 注:对删除帐户的操作无法回退 判断依据 系统管理员出示业务所需登陆主机的帐户列表。 查看/etc/security/passwd 中所记录的可以登陆主机的帐 户是否与业务应用所需登陆主机的帐户相对应。除业务应 用需登陆主机的帐户外,其他的帐户建议根据实际情况可 以设置成禁止登陆或直接将其帐户删除。 实施风险高 重要等级 备注 ..5

12、 SHG-AIX-01-01-05SHG-AIX-01-01-05SHG-AIX-01-01-05SHG-AIX-01-01-05 编号 SHG-AIX-01-01-05 名称为空口令用户设置密码 实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令 认证就能进入系统。 问题影响系统中的帐户存在被非法利用的风险 系统当前状态查看/etc/passwd 中的内容并记录 实施步骤 参考配置操作:参考配置操作: 用 root 用户登陆 AIX 系统,执行 passwd 命令,给空口令 的帐户增加密码。 如采用和执行如下命令: #passwd username password 回退方案 Ro

13、ot 身份设置用户口令,取消口令 如做了口令策略则失败 判断依据 登陆系统判断,查看/etc/passwd 中的内容,从而判断系统 中是否存在空口令的帐户。如发现存在,则建议为该帐户 设置密码。 实施风险高 重要等级 备注 口令口令口令口令 ..1 SHG-AIX-01-02-01SHG-AIX-01-02-01SHG-AIX-01-02-01SHG-AIX-01-02-01 编号 SHG-AIX-01-02-01 名称缺省密码长度限制 实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口 令认证技术的设备,口令长度至少 6 位。且

14、密码规则至少 应采用字母(大小写穿插)加数字加标点符号(包括通配 符)的方式。 问题影响增加系统的帐户密码被暴力破解的成功率和潜在的风险 系统当前状态 运行 lsuser username 命令,查看帐户属性和当前状态,并 记录。 实施步骤 参考配置操作:参考配置操作: 查看帐户帐户属性: #lsuser username 设置密码最短长度为 8 位: #chuser minlen=8 username 回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前 状态。 判断依据 运行 lsuser uasename 命令,查看帐户属性中密码的最短 长度策略是否符合 8 位。如不符合,则进行

15、设置。 实施风险低 重要等级 备注 ..2 SHG-AIX-01-02-02SHG-AIX-01-02-02SHG-AIX-01-02-02SHG-AIX-01-02-02 编号 SHG-AIX-01-02-02 名称缺省密码复杂度限制 实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口 令认证技术的设备,包括数字、小写字母、大写字母和特 殊符号 4 类中至少 2 类 问题影响 增加系统中的帐户密码被暴力破解的成功率以及潜在的安 全风险 系统当前状态 运行 lsuser username 命令,查看帐户属性和当前状态,并 记录 实施步骤 参考配置操作

16、:参考配置操作: 查看帐户帐户属性: #lsuser username 设置口令中最少包含 4 个字母字符的数量: #chuser minalpha=4 username 设置口令中最少包含 1 个非字母数字字符数量: #chuser minother=1 username 回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前 状态 判断依据 运行 lsuser uasename 命令,查看帐户属性中口令是否符 合包含最少 4 个字母字符以及是否包含最少 1 个非字母数 字字符。如不符合,则进行设置。 实施风险低 重要等级 备注 ..3 SHG-AIX

17、-01-02-03SHG-AIX-01-02-03SHG-AIX-01-02-03SHG-AIX-01-02-03 编号 SHG-AIX-01-02-03 名称缺省密码生存周期限制 实施目的 对于采用静态口令认证技术的设备,帐户口令的生存期不 长于 90 天,减少口令安全隐患 问题影响容易造成密码被非法利用,并且难以管理 系统当前状态 运行 lsuser username 命令,查看帐户属性和当前状态,并 记录 实施步骤 参考配置操作:参考配置操作: 查看帐户帐户属性: #lsuser username 设置口令最长有效期为 12 周(84 天): #chuser maxage=12 user

18、name 回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前 状态 判断依据 运行 lsuser uasename 命令,查看帐户属性中口令的最长 有效期是否小于 90 天。如未设置或大于 90 天,则进行设 置。 实施风险低 重要等级 备注 ..4 SHG-AIX-01-02-04SHG-AIX-01-02-04SHG-AIX-01-02-04SHG-AIX-01-02-04 编号 SHG-AIX-01-02-04 名称密码重复使用限制 实施目的 对于采用静态口令认证技术的设备,应配置设备,使用户 不能重复使用最近 5 次(含 5 次)内已使用的口

19、令 问题影响 造成系统帐户密码破解的几率增加以及存在潜在的安全风 险 系统当前状态 运行 lsuser username 命令,查看帐户属性和当前状态,并 记录 实施步骤 参考配置操作:参考配置操作: 查看帐户帐户属性: #lsuser username 设置同一口令与前面 5 个口令不能重复: #chuser histsize=5 username 回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前 状态。 判断依据 运行 lsuser uasename 命令,查看帐户属性中是否设置了 同一口令与前面 5 个口令不能重复的策略。如未设置或大 于 5 个,则进行设置。 实施风险低 重

20、要等级 备注 ..5 SHG-AIX-01-02-05SHG-AIX-01-02-05SHG-AIX-01-02-05SHG-AIX-01-02-05 编号 SHG-AIX-01-02-05 名称密码重试限制 实施目的 对于采用静态口令认证技术的设备,应配置当用户连续认 证失败次数超过 6 次(不含 6 次) ,锁定该用户使用的账号。 问题影响增加系统帐户密码被暴力破解的风险 系统当前状态 运行 lsuser username 命令,查看帐户属性和当前状态,并 记录 实施步骤 参考配置操作:参考配置操作: 查看帐户帐户属性: #lsuser username

21、设置 6 次登陆失败后帐户锁定阀值: #chuser loginretries=6 username 回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前 状态 判断依据 运行 lsuser uasename 命令,查看帐户属性中是否设置了 6 次登陆失败后帐户锁定阀值的策略。如未设置或大于 6 次, 则进行设置。 实施风险中 重要等级 备注 授权授权授权授权 ..1 SHG-AIX-01-03-01SHG-AIX-01-03-01SHG-AIX-01-03-01SHG-AIX-01-03-01 编号 SHG-AIX-01-03-0

22、1 名称设置关键目录的权限 实施目的 在设备权限配置能力内,根据用户的业务需要,配置其所 需的最小权限。 问题影响增加系统关键目录容易被攻击者非法访问的风险 系统当前状态查看/usr/bin、/sbin、/etc 目录,并记录关键目录的权限 实施步骤 1 1、参考配置操作、参考配置操作 通过 chmod 命令对目录的权限进行实际设置。 2 2、补充操作说明、补充操作说明 文件或目录属主属组权限 /etc/passwdrootsecurity-rw-r-r- /etc/grouprootsecurity-rw-r-r- /etc/filesystemrootsystem-rw-rw-r- /et

23、c/hostsrootsystem-rw-rw-r- /etc/inittabrootsystem-rw- /etc/security/faildloginrootsystem-rw-r-r- 回退方案 通过 chmod 命令还原目录权限到加固前状态 判断依据 AIX 系统,/usr/bin、/bin、/sbin 目录为可执行文件目录, /etc 目录为系统配置目录,包括帐户文件,系统配置,网络 配置文件等,这些目录和文件相对重要。确认这些配置文 件的权限设置是否安全。 实施风险高 重要等级 备注 ..2 SHG-AIX-01-03-02SHG-AIX-01-

24、03-02SHG-AIX-01-03-02SHG-AIX-01-03-02 编号 SHG-AIX-01-03-02 名称修改 umask 值 实施目的 控制用户缺省访问权限,当在创建新文件或目录时,屏蔽 掉新文件或目录不应有的访问允许权限。防止同属于该组 的其它用户及别的组的用户修改该用户的文件或更高限制。 问题影响增加攻击者非法访问目录的风险 系统当前状态查看/etc/security/user 文件的配置,并记录 实施步骤 1 1、参考配置操作、参考配置操作 设置 umask 为 027: #vi /etc/security/user 在 default 小节,设置 umask 为 027

25、 回退方案 修改/etc/security/user 文件到加固前状态 判断依据 查看/etc/security/user 文件中的 default 小节是否设置 umask 为 027 实施风险高 重要等级 备注 ..3 SHG-AIX-01-03-03SHG-AIX-01-03-03SHG-AIX-01-03-03SHG-AIX-01-03-03 编号 SHG-AIX-01-03-03 名称FTP 用户及服务安全 实施目的设置系统中的帐户是否可以通过 ftp 登陆操作 问题影响 增加攻击者利用系统帐户非法通过 FTP 登陆操作和非法访 问目录的安全风险 系

26、统当前状态查看/etc/ftpusers 文件,并记录 实施步骤 参考配置操作:参考配置操作: 根据系统管理员提供允许 ftp 登陆操作的系统帐户列表, 并与系统中当前的允许 ftp 登陆操作的用户相比对。 设置是否允许系统帐户通过 ftp 方式登陆: #vi /etc/ftpusers 注:默认情况下,该文件不存在。 将所有的系统用户和其他希望被禁止 ftp 登录的用户添加到 该文件中(每行一个用户名)。 注:在无特殊需求的情况下,以下列表中的用户名是不允 许 ftp 登陆操作的: root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help 等 回退方

27、案 修改/etc/ftpusers 文件设置到系统加固前状态 判断依据 根据系统管理员提供的允许 ftp 登陆操作的系统帐户,查 看/etc/ftpusers 文件,与其相比对,是否与系统管理员所 提供的帐户列表相一致。如果发现与列表中不对应的帐户 则建议设置成禁止通过 ftp 登陆操作。 实施风险高 重要等级 备注 ..4 SHG-AIX-01-03-0SHG-AIX-01-03-0SHG-AIX-01-03-0SHG-AIX-01-03-04 4 4 4 编号 SHG-AIX-01-03-04 名称设置目录权限 实施目的设置目录权限,防止非法访问目录。 问

28、题影响增加攻击者非法访问系统目录的安全风险 系统当前状态查看重要文件和目录权限:ls l 并记录。 实施步骤 1 1、参考配置操作、参考配置操作 查看重要文件和目录权限:ls l 更改权限: 对于重要目录,建议执行如下类似操作: 例如: #chmod -R 750 /etc/init.d/* 这样只有 root 可以读、写和执行这个目录下的脚本 回退方案 使用 chmod 命令还原被修改权限的目录 判断依据 查看重要文件和目录权限:ls l 查看重要文件和目录下的文件权限设置是否为 750 以下 实施风险高 重要等级 备注 ..5 SHG-AIX-01-03-

29、0SHG-AIX-01-03-0SHG-AIX-01-03-0SHG-AIX-01-03-05 5 5 5 编号 SHG-AIX-01-03-05 名称设置 ftp 目录权限 实施目的 限制 ftp 用户登陆后在自己当前目录下活动,防止非法访 问目录。 问题影响增加系统帐户被利用后越权使用的安全风险 系统当前状态查看/etc/vsftpd/vsftpd.conf 文件并记录当前的配置 实施步骤 参考配置操作:参考配置操作: 限制 ftp 用户登陆后在自己当前目录下活动: #vi /etc/vsftpd/vsftpd.conf local_root=锁定目录路径 chroot_list_enab

30、le=YES chroot_list_file=/etc/vsftpd.chroot_list #vi vsftpd.chroot_list username(锁定用户名) 回退方案 还原/etc/vsftpd/vsftpd.conf 文件配置到加固前的状态 判断依据 查看/etc/vsftpd/vsftpd.conf 文件中的配置,查看是否已设置 限制 ftp 用户登陆后在自己当前目录下活动。如未配置则 应按要求设置。 实施风险中 重要等级 备注 2 2 2 2 日志配置日志配置日志配置日志配置 ..1 SHG-AIX-02-01-01SHG-AIX-02-

31、01-01SHG-AIX-02-01-01SHG-AIX-02-01-01 编号 SHG-AIX-02-01-01 名称启用日志记录功能 实施目的 设备应配置日志功能,对用户登录进行记录,记录内容包 括用户登录使用的账号,登录是否成功,登录时间,以及 远程登录时,用户使用的 IP 地址。 问题影响无法对用户的登陆进行日志记录,增加潜在的安全风险 系统当前状态查看/etc/syslog.conf 文件中的配置并记录 实施步骤 参考配置操作:参考配置操作: syslog 的配置主要通过/etc/syslog.conf 配置,日志信息可以 记录在本地的文件当中(如/var/adm/messages)

32、或远程的主机 上(hostname)。 startsrc -s syslogd 启动 syslog 服务 stopsrc-s syslogd 停止 syslog 服务 回退方案 修改/etc/syslog.conf 文件设置到系统加固前状态 判断依据 查看系统进程中是否存在 syslogd 守护进程。 查看/etc/syslog.conf 文件中的配置是否启动 syslog 服务。 如系统中不存在 syslogd 守护进程或在配置文件中发现 syslog 服务未启动,则应按要求进行配置。 实施风险低 重要等级 备注 ..2 SHG-AIX-02-01-02SH

33、G-AIX-02-01-02SHG-AIX-02-01-02SHG-AIX-02-01-02 编号 SHG-AIX-02-01-02 名称syslog 日志等级的安全配置 实施目的 syslog 提供日常维护日志外,还提供系统登陆,攻击尝试 等安全性的日志信息,帮助管理员进行审计和追踪。 问题影响无法对用户的操作进行日志记录,增加潜在的安全风险 系统当前状态查看/etc/syslog.conf 文件配置并记录 实施步骤 参考配置操作:参考配置操作: syslog 配置文件要求: 修改文件安全设置 /etc/syslog.conf 配置文件中包含一下日志记录: *.err /var/adm/er

34、rorlog *.alert /var/adm/alertlog *.cri /var/adm/critlog auth, /var/adm/authlog 回退方案 修改/etc/syslog.conf 文件配置到系统加固前的状态 判断依据查看/etc/syslog.conf 文件中的配置是否符合以上安全设 置。如不合符则建议应按要求进行设置。 实施风险高 重要等级 备注 ..3 SHG-AIX-02-01-0SHG-AIX-02-01-0SHG-AIX-02-01-0SHG-AIX-02-01-03 3 3 3 编号 SHG-AI

35、X-02-01-03 名称启用记录 su 日志功能 实施目的记录系统中 su 操作的日志 问题影响无法记录 su 指令的用户切换操作,增加潜在的安全风险 系统当前状态查看/etc/syslog.conf 文件配置,并记录 实施步骤 参考配置操作:参考配置操作: 设置/etc/syslog.conf 文件,并启动 su 日志记录。 注:在 AIX 系统中,su 日志记录默认是开启的。 查看/var/adm/sulog,用户使用 su 命令的日志。可根据需要 保留 60 天中有用的内容,其余删除。 文件记录以下信息:日期、时间、系统名称以及登录名。 /var/adm/sulog 文件也记录登录尝试

36、是否成功:+(加号)表 示登录成功,-(减号)表示登录失败。 回退方案 修改/etc/syslog.conf 文件设置到系统加固前状态 判断依据 查看/etc/syslog.conf 文件中是否配置了 su 日志记录 查看/var/adm/sulog 文件,是否存在 su 命令使用记录 实施风险低 重要等级 备注 ..4 SHG-AIX-02-01-0SHG-AIX-02-01-0SHG-AIX-02-01-0SHG-AIX-02-01-04 4 4 4 编号 SHG-AIX-02-01-04 名称启用记录 cron 行为日志功能和 cron/at 的使用情况

37、 实施目的对所有的 cron 行为以及使用情况进行审计和查看 问题影响 无法记录和查看 cron 服务(计划任务) ,存在潜在安全风 险 系统当前状态查看/var/spool/cron/目录下的文件配置,并记录 实施步骤 参考配置操作:参考配置操作: cron/At 的相关文件主要有以下几个: /var/spool/cron/crontabs 存放 cron 任务的目录 /var/spool/cron/cron.allow 允许使用 crontab 命令的用户 /var/spool/cron/cron.deny 不允许使用 crontab 命令的用户 /var/spool/cron/atjob

38、s 存放 at 任务的目录 /var/spool/cron/at.allow 允许使用 at 的用户 /var/spool/cron/at.deny 不允许使用 at 的用户 使用 crontab 和 at 命令可以分别对 cron 和 at 任务进行控制。 #crontab -l 查看当前的 cron 任务 #at -l 查看当前的 at 任务 回退方案 修改/var/spool/cron/目录下的文件设置到系统加固前状 态 判断依据 查看/var/spool/cron/目录下的文件配置是否按照以上要 求进行了安全配置。如未配置则建议按照要求进行配置。 实施风险低 重要等级 备注 3 3 3

39、 3 通信协议通信协议通信协议通信协议 IPIPIP 协议安全协议安全协议安全协议安全 ..1 SHG-AIX-03-01-01SHG-AIX-03-01-01SHG-AIX-03-01-01SHG-AIX-03-01-01 编号 SHG-AIX-03-01-01 名称使用 ssh 加密传输 实施目的提高远程管理安全性 问题影响使用非加密通信,内容易被非法监听,存在潜在安全风险 系统当前状态运行 ps -ef|grep ssh,查看状态,并记录。 实施步骤 参考配置操作:参考配置操作: 如果系统中没有安装 SSH,则首先需要正确安装 ope

40、nssh 后 才能够应用 SSH。 安装步骤举例说明: 在将 OpenSSL 下载到 AIX Version 5.3 计算机的本地目录 (本示例中为 /tmp)之后,可以通过运行下面的命令来安 装它: #geninstall -d/tmp R:openssl-0.9.6m 可以使用下面两种方法中的任何一种来安装 OpenSSH: smitty-Software Installation and Maintenance- Install and Update Software-Install Software 或者 #geninstall -IY -d/dev/cd0 I:openssh.bas

41、e 使用下面的命令启动 SSH 服务器: #startsrc -g ssh 使用下面的命令来确认已正确地启动了 SSH 服务器: #ps -ef|grep ssh 回退方案 卸载 SSH、或者停止 SSH 服务 判断依据 运行 ps -ef|grep ssh,查看系统进程中是否存在 SSH 进程, 如不存在,则建议应按照要求安装和配置好 SSH 服务。 实施风险高 重要等级 备注 ..2 SHG-AIX-03-01-02SHG-AIX-03-01-02SHG-AIX-03-01-02SHG-AIX-03-01-02 编号 SHG-AIX-03-01-02 名称

42、限制管理员登陆 IP 实施目的 对于通过 IP 协议进行远程维护的设备,设备应对允许登陆 到该设备的 IP 地址范围进行设定。提高远程维护安全性。 问题影响 没有访问控制,系统可能被非法登陆或使用,从而存在潜 在的安全风险。 系统当前状态查看/etc/hosts.equiv 文件配置并记录 实施步骤 参考配置操作:参考配置操作: 建议采用如下安全配置操作: 修改文件安全设置操作说明 /etc/hosts.equiv (全局配置文 限定信任的 主机、账号 编辑/etc/host.equiv 文件或 者/.rhosts 文件,只增加必 件) /.rhosts (单独用户的 配置文件) 不能有单行

43、的+或+ +的配置信 息 须的帐户和主机,删除不 必要的信任主机设置。 更改/etc/hosts.equiv 文件的 属性,只允许 root 可读写。 回退方案 修改/etc/hosts.equiv 文件的配置到加固之前的状态 判断依据 查看/etc/hosts.equiv 文件的配置是否按照以上要求进行了 设置,如未设置则建议应按照要求进行设置。 实施风险高 重要等级 备注 路由协议安全路由协议安全路由协议安全路由协议安全 ..1 SHG-AIX-03-02-01SHG-AIX-03-02-01SHG-AIX-03-02-01SHG-AI

44、X-03-02-01 编号 SHG-AIX-03-02-01 名称禁止 ICMP 重定向和关闭数据包转发 实施目的 禁止系统发送 ICMP 重定向包,关闭数据包转发,提高系统、 网络的安全性 问题影响主机可能存在会被非法改变路由的安全风险 系统当前状态 AIX 系统网络参数可以通过 no 命令进行配置,执行 no a,显示所有网络参数并记录 实施步骤 参考配置操作:参考配置操作: 建议采用如下设置进行安全配置: AIX 系统网络参数可以通过 no 命令进行配置,比较重要的 网络参数有: icmpaddressmask=0 忽略 ICMP 地址掩码请求 ipforwarding=0 不进行 IP

45、 包转发 ipignoreredirects=1 忽略 ICMP 重定向包 ipsendredirects=0 不发送 ICMP 重定向包 ipsrcrouteforward=0 不转发源路由包 ipsrcrouterecv=0 不接收源路由包 ipsrcroutesend=0 不发送源路由包 no -a 显示当前配置的网络参数 no -o icmpaddressmask=0 忽略 ICMP 地址掩码请求 配置方式: no -o ipignoreredirects=1 no -o ipsendredirects=0 no o ipsrcrouteforward=0 no o ipsrcrout

46、esend=0 no o clean_partial_conns=1 no o directed_broadcast=0 以及: 策略默认设置安全设置 忽略 ICMP 重定向包 ipignoreredirects=0ipignoreredirects=1 不发送 ICMP 重定向包 ipsendredirects=1ipsendredirects=0 不转发源路 由包 ipsrcrouteforward=1ipsrcrouteforward=0 不发送源路 由包 ipsrcroutesend=1ipsrcroutesend=0 防御 SYN- FLOOD clean_partial_conns

47、=0 clean_partial_conns=1 防御 SMURF 攻击 directed_broadcast=1directed_broadcast=0 在/etc/ 文件重添加以下命令: /usr/sbin/no -o icmpaddressmask=0 /usr/sbin/no -o ipforwarding=0 /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendredirects=0 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 回退方案 删除在/etc/ 文件中添加的命令,并使用命令恢复到加 固之前的状态 判断依据 执行 no a 命令或查看/etc/ 文件中是否按照以

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论