AIX安全加固-2014-04.docVIP

AIX 安全加固 本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。对系统的安全配置审计、加固操作起到指导性作用。 1 账号管理、认证授权 1.1 账号 1.1.1 AIX-01-01-01 编号 AIX-01-01-01 名称 为不同的管理员分配不同的账号 实施目的 根据不同类型用途设置不同的帐户账号，提高系统安全。 问题影响 账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态 查看/etc/passwd中记录的系统当前用户列表 实施步骤 参考配置操作： 为用户创建账号： #mkuser username #passwd username 列出用户属性： #lsuser username 更改用户属性： #chuser attribute=value username 回退方案 删除新增加的帐户：#rmuser username 判断依据 标记用户用途，定期建立用户列表，比较是否有非法用户 实施风险 高 重要等级 ★★★ 备注 1.1.2 AIX-01-01-02 编号 AIX-01-01-02 名称 配置帐户锁定策略 实施目的 锁定不必要的帐户，提高系统安全。 问题影响 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险，容易被攻击者利用。 系统当前状态 查看/etc/passwd中记录的系统当前用户列表 实施步骤 参考配置操作： 系统管理员出示业务所需帐户列表，根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。 如要锁定user1用户，则采用的命令如下： #chuser account_locked=true user1 回退方案 如对user1用户解除锁定，则采用的命令如下： #chuser account_locked=false user1 判断依据 系统管理员出示业务所需帐户列表。 查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外，其他的帐户建议根据实际情况锁定或删除。 实施风险 高 重要等级 ★★★ 备注 1.1.3 AIX-01-01-03 编号 AIX-01-01-03 名称 限制超级管理员远程登录 实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。 问题影响 如允许root远程直接登陆，则系统将面临潜在的安全风险 系统当前状态 执行lsuser -a rlogin root命令，查看root的rlogin属性并记录 实施步骤 参考配置操作： 查看root的rlogin属性： #lsuser -a rlogin root 禁止root远程登陆： #chuser rlogin=false root 回退方案 还原root可以远程登陆，执行如下命令： #chuser rlogin=true root 判断依据 执行#lsuser –a rlogin root命令，查看root的rlogin属性，root是否可以远程登陆，如显示可以，则禁止。 实施风险 高 重要等级 ★★★ 备注 1.1.4 AIX-01-01-04 编号 AIX-01-01-04 名称 对系统账号进行登录限制 实施目的 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用 问题影响 可能利用系统进程默认账号登陆，账号越权使用 系统当前状态 查看/etc/security/passwd中各账号状态并记录 实施步骤 参考配置操作： 系统管理员出示业务所需登陆主机的帐户列表，根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。 禁止账号交互式登录： #chuser account_locked=true username 删除账号： #rmuser username 补充操作说明： 建议禁止交互登录的系统账号有： daemon,bin,sys,adm,uucp,guest,nobody,lp,help等 回退方案 还原被禁止登陆的帐户： #chuser account_locked=false username 注：对删除帐户的操作无法回退 判断依据 系统管理员出示业务所需登陆主机的帐户列表。 查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外，其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。 实施