aix主机操作系统加固规范.pdf.docVIP

为“圈内人士”做点贡献！自己写了一个比较全的AIX系统安全加固手册本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。对系统的安全配置审计、加固操作起到指导性作用。1??账号管理、认证授权1.1??账号1.1.1?? AIX-01-01-01编号??AIX-01-01-01名称??为不同的管理员分配不同的账号实施目的??根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响??账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态??查看/etc/passwd中记录的系统当前用户列表实施步骤??参考配置操作：为用户创建账号：#mkuser username#passwd username列出用户属性：#lsuser username更改用户属性：#chuser attribute=value username回退方案??删除新增加的帐户：#rmuser username判断依据??标记用户用途，定期建立用户列表，比较是否有非法用户实施风险??高重要等级??备注1.1.2?? AIX-01-01-02编号??AIX-01-01-02名称??配置帐户锁定策略实施目的??锁定不必要的帐户，提高系统安全。问题影响??系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险，容易被攻击者利用。系统当前状态??查看/etc/passwd中记录的系统当前用户列表实施步骤??参考配置操作：系统管理员出示业务所需帐户列表，根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定user1用户，则采用的命令如下：#chuser account_locked=true user1回退方案??如对user1用户解除锁定，则采用的命令如下：#chuser account_locked=false user1判断依据??系统管理员出示业务所需帐户列表。查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外，其他的帐户建议根据实际情况锁定或删除。实施风险??高重要等级??备注1.1.3?? AIX-01-01-03编号??AIX-01-01-03名称??限制超级管理员远程登录实施目的??限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。问题影响??如允许root远程直接登陆，则系统将面临潜在的安全风险系统当前状态??执行lsuser -a rlogin root命令，查看root的rlogin属性并记录实施步骤??参考配置操作：查看root的rlogin属性：#lsuser -a rlogin root禁止root远程登陆：#chuser rlogin=false root回退方案??还原root可以远程登陆，执行如下命令：#chuser rlogin=true root判断依据??执行#lsuser –a rlogin root命令，查看root的rlogin属性，root是否可以远程登陆，如显示可以，则禁止。实施风险??高重要等级??备注1.1.4?? AIX-01-01-04编号??AIX-01-01-04名称??对系统账号进行登录限制实施目的??对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用问题影响??可能利用系统进程默认账号登陆，账号越权使用系统当前状态??查看/etc/security/passwd中各账号状态并记录实施步骤??参考配置操作：系统管理员出示业务所需登陆主机的帐户列表，根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。禁止账号交互式登录：#chuser account_locked=true username删除账号：#rmuser username补充操作说明：建议禁止交互登录的系统账号有：daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案??还原被禁止登陆的帐户：#chuser account_locked=false username注：对删除帐户的操作无法回退判断依据??系统管理员出示业务所需登陆主机的帐户列表。查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外，其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。实施风险??高重要等级??备注1.1.5?? AIX-0