aix系统安全加固参考信息.docVIP

Linux系统安全加固参考信息 目录 1 操作系统安全-身份鉴别 4 1.1 对登录操作系统的用户进行身份标识和鉴别 4 1.2 最小密码长度 4 1.3 密码复杂度 4 1.4 密码字典 5 1.5 系统密码使用时间 5 1.6 对失败登录的次数进行限制 5 1.7 密码重复使用次数设置 5 1.8 SSH服务IP，端口，协议，允许密码错误的次数，网络中允许打开的会话数 6 1.9 root账号远程登录设置 6 1.10 防止任何人使用su命令连接root用户 7 1.11 系统Banner设置 7 2 操作系统安全-访问控制 7 2.1 修改帐户口令，更改默认帐户的访问权限 7 2.2 删除多余的、过期的帐户，避免共享帐户的存在 8 2.3 限制超级管理员远程登录 8 3 操作系统安全-入侵防范 9 3.1 仅安装需要的应用程序，关闭不需要的服务和端口 9 3.2 关闭不必要的服务 9 3.3 网络访问控制策略 9 4 操作系统安全-资源控制 10 4.1 根据安全策略设置登录终端的空闲超时断开会话或锁定 10 4.2 文件创建初始权限 10 4.3 设置合适的历史命令数量 10 4.4 系统磁盘剩余空间充分满足近期的业务需求 10 4.5 检查并记录操作系统的分区情况和文件系统利用率 11 5 操作系统安全—日志 11 5.1 日志功能开启 11 5.2 失败登录日志监控 11 5.3 syslog日志等级的安全配置 12 5.4 安全审计策略 12 5.5 系统日志记录 12 5.6 启用记录cron行为日志功能和cron/at的使用情况 13 6 操作系统安全-系统安全 13 6.1 补丁管理 13 6.2 检查并记录系统开启的网络端口 14 6.3 关闭无效服务和启动项 14 6.4 仅允许特定IP允许访问服务 15 7 操作系统安全---其它服务安全 15 7.1 FTP配置文件 15 7.2 R族文件 16 7.3 NFS文件系统配置情况检查 16 7.4 FTP用户及服务安全 16  操作系统安全-身份鉴别 对登录操作系统的用户进行身份标识和鉴别 要求 需对所有的帐号设置密码，要求在登陆系统时必须输入口令进行身份验证。 解决方法 对于当前用户使用命令“passwd 密码”进行密码设置； 对于其他用户则使用root权限登录后，使用命令“ passwd 用户名 密码 ” 进行密码设置。 备注 最小密码长度 要求 密码长度、使用密码字典 解决方法 vi /etc/security/user minlen = 8 //定义口令的最小长度，注意口令的最小长度由minlen和minalpha+minother中较大的一个值来决定。minalpha+minother不应该大于8，如果大于8则minother会变为8-minalpha。minalpha = 4 //定义在口令中最少的字母的数量，默认是0，范围是：0到8 minother = 0定义在口令中最少的非字母的数量，默认是0，范围是：0到8 备注 密码复杂度 要求 密码复杂度 解决方法 vi /etc/security/user 密码复杂程度要求包含数字和字母 /etc/security/user Minalpha＝4//定义在口令中最少的字母的数量，默认是0，范围是：0到8 M定义在口令中最少的非字母的数量，默认是0，范围是：0到8 备注 密码字典 要求 使用密码字典检查新密码 解决方法 使用 /etc/security/user Dictionlist＝/usr/share/dict/words 备注 系统密码使用时间 要求 密码使用时间 解决方法 密码定期更改间隔设置为12周或更短 /etc/security/user Maxage=12 备注 对失败登录的次数进行限制 要求 对失败登录的次数进行限制 解决方法 允许的失败登陆次数设置为5次或5次以下 /etc/security/user Loginretries=5 备注 密码重复使用次数设置 要求 密码重复使用次数设置为至少8次 解决方法 /etc/security/user histsize=8 备注 SSH服务IP，端口，协议，允许密码错误的次数，网络中允许打开的会话数 要求 SSH服务IP，端口，协议，最大允许认证次数，网络中允许打开的会话数 解决方法 cat /etc/ssh/sshd_config Port 22 //SSH服务端端口为22 ListenAddress //SSH服务端监听地址为 SyslogFacility AUTHPRIV //系