(AIX主机操作系统加固规范.docxVIP

AIX主机操作系统加固规范2011年10月目录账号管理、认证授权1账号1SHG-AIX-01-01-011SHG-AIX-0I-0!-022L3 SHG-AIX-0/-0 卜 033SHG-AIX-01-01-044SHG-AIX-01-01-055口 j6SHG-AIX-01-02-016SHG-AIX-01-02-027SHG-AIX-01-02-038SHG-AIX-01-02-049SHG-AIX-01-02-05 10授权11SHG-AIX-01-03-0111SHG-AIX-Ol-03-02 12SHG-AIX-01-03-03 13SHG-AIX-01-03-04 14SHG-AIX-01-03-0514日志配置15LI SHG-ADC-02-0 丨-0115SHG-AIX-02-01-02 16SHG-AIX-02-01-03 17SHG-AIX-02-01-0418通信协议19IP协议安全19SHG-AIX-03-0J-0119SHG-AIX-03-0I-0221路由协议安全22SHG-AIX-03-02-0122补丁管理24SHG-AIX-04-01-0124服务进程和启动25SHG-AIX-05-0J-0125SHG-AIX-05-01-02 27设备其他安全要求31登陆超时策略31SHG-AIX-06-01-0131系统Banner设置32SHG-AIX-06-02-0132内核调整32SHG-AIX-06-03-0J32附录：AIX可被利用的漏洞（截止2009-3-8) 33本文档是AIX操作系统的对于AIX系统设备账号认证、口志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。对系统的安全配置审计、加M操作 起到指导性作用。1账号管理、认证授权1-1账号1. 1. 1 SHG-AIX-01-01-01编号SHG-AIX-01-01-01名称为不同的管理员分配不同的账号实施冃的根据不同类型用途设置不同的帐户账号，提髙系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态查看/etc/passwd中记录的系统:M/|前用户列表实施步骤参考配置操作：为用户创建账号：#mkuser username #passwd username 列出用户属性：#lsuser username 更改用户属性：#chuser attribute=value username回退方案删除新增加的帐户：ttrmuser username判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★ ★★备注1.1.2 SHG-AIX-01-01-02编号SHG-AIX-01-01-02名称配置帐户锁定策略实施冃的锁定不必要的帐户，提高系统安全。问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安 全风险，容易被攻击者利W。系统连前状态查看/etc/passwd中记录的系统:M/|前用户列表实施步骤参考配置操作：系统管理员出示业务所需帐户列表，根据列表只保留系统与 业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定userl用户，则釆用的命令如下：#chuser account_locked=true userl回退方案如对userl用户解除锁定，则釆用的命令如下：#chuser account一locked=false userl判断依据系统管理员出示业务所需帐户列表。查看/etc/passwd中所记录的系统:+|前用户列表是否~?业务 应用所需帐户相对应。除系统帐户和业务应用帐户外，其他的帐户建议根据实际情况锁定或删除。实施风险(RI重要等级★ ★★备注1.1.3 SHG-AIX-01-01-03编号SHG-AIX-01-01-03名称限制超级管理员远程登录实施冃的限制具备超级管理员权限的用户远程登录。远程执行管理员 权限操作，应先以普通权限用户远程登录后，再切换到超级 管理员权限账。问题影响如允许root远程直接登陆，则系统将面临潜在的安全风险系统当前状态执行Isuser -a rlogin root命令，查看root的rlogin属性并记录实施步骤参考配置操作：查看root的rlogin属性: #lsuser -a rlogin root 禁止root远程登陆： #chuser rlogin=false root回退方案还原root可以远程登陆，执行如下命令： #chuser rlogin=true root判断依据执行#lsuser 一 a rlogin root 命令，查看 root 的 rlogin 属性，root是否可以远程登陆，如显示可以，则禁止。实施风险高重要等级★ ★★1. 1.4 SHG-AIX-01-01-04编号SHG-AIX-01-01-0