AIX安全加固操作手冊.docVIP

AIX安全加固操作手册 作为宽带智能网中的Appserver，在完成AIX操作系统上智能网系统的安装和配置以后（除系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵，系统加固的具体步骤如下： 系统推荐补丁升级加固 检查是否打上了AIX操作系统要求补丁（433要求10以上；5.1要求5以上；5.2要求使用IBM最新发布的补丁） 检查补丁版本命令：oslevel –r 或 instfix –i |grep ML (看返回结果中OS版本后带的小版本号) 如果未安装补丁，使用如下方式安装补丁 将补丁盘放入光驱、以root执行：mount /cdrom 执行：smitty update_all （选择/dev/cd0为安装介质） 注意选择安装选项中： COMMIT software updates? no SAVE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown –Fr 重起系统 AIX系统配置安全加固 编辑/etc/inetd.conf文件，关闭所有服务。 将inetd.conf文件中的内容清空 /etc/inetd.conf refresh –s inetd 编辑/etc/rc.tcpip文件，关闭除以下服务外的所有服务： portmap syslog inetd sendmail snmpd 如关闭dpid2，则只要注销以下行：(前面加#号即可) #start /usr/sbin/dpid2 $src_running 再使用： stopsrc –s XXX来停止这些已经启动的服务 /etc/inittab中关闭 用:注释服务，不是‘#’ piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server imnss docsearch imnss Daemon imqss docsearch imqss daemon 删除一些无用的用户 rmuser -p uucp;rmuser -p nuucp 手工编辑/etc/security/user 控制用户登录限制、缺省文件创建权限限制 default默认设置不允许su\login\rlogin，将三项设置依次设置为false即可，其余缺省；缺省umask设置为027；设置各用户设置密码的最小长度为8； 放开root、(sybase或oracle)、zxin10用户的su权限；放开(sybase或oracle)、zxin10用户的rlogin权限；设置root的umask为077 default: login=false su=false rlogin=false umask=027 minlen=8 ... root: su=true umask=077 ... zxin10: su=true rlogin=true ... oracle: su=true rlogin=true ＃pwdck -y ALL修复同步口令文件 更改login默认策略（/etc/security/login.cfg） default: logindelay=2 logindisable=3 logininterval=60（logininterval秒内产生logindisable次无效登录，即锁定port） loginreenable=5（loginreenable分钟后解除锁定） 编辑/etc/profile，添加下列行： TMOUT=3600 TIMEOUT=3600 export TMOUT TIMEOUT 加固系统TCP/IP配置 编辑文件，添加： /usr/sbin/no -o clean_partial_conns=1 /usr/sbin/no -o arpt_killc=20 /usr/sbin/no -o icmpaddressmask=0 /usr/sbin/no -o directed_broadcast=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ip6srcrouteforward =0 /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendredirects=0 使用以下方法使尝试登录失败记录有效 修改/etc/syslog.conf文件增加日志审计内容: *