AIX安全配置规范解决方案.docVIP

  • 131
  • 0
  • 约 21页
  • 2017-04-09 发布于湖北
  • 举报
AIX 操作系统安全配置规范 2011年3月 第1章 概述 1.1 适用范围 适用于中国电信使用AIX操作系统的设备。本规范明确了安全配置的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同,配置操作有所不同,本规范以AIX 5.X为例,给出参考配置操作。 第2章 安全配置要求 2.1 账号 编号: 1 要求内容 应按照不同的用户分配不同的账号。 操作指南 1、参考配置操作 为用户创建账号: #useradd username #创建账号 #passwd username #设置密码 修改权限: #chmod 750 directory #其中750为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。 2、补充操作说明 检测方法 1、判定条件 能够登录成功并且可以进行常用操作; 2、检测操作 使用不同的账号进行登录并进行一些常用操作; 3、补充说明 编号: 2 要求内容 应删除或锁定与设备运行、维护等工作无关的账号。 操作指南 1、参考配置操作 删除用户:#userdel username; 锁定用户: 1)修改/etc/shadow文件,用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。 检测方法 1、判定条件 被删除或锁定的账号无法登录成功; 2、检测操作 使用删除或锁定的与工作无关的账号登录系统; 3、补充说明 需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。 解锁时间:15分钟 编号: 3 要求内容 限制具备超级管理员权限的用户远程登录。 需要远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。 操作指南 1、 参考配置操作 编辑/etc/security/user,加上: 在root项上输入false作为rlogin的值 此项只能限制root用户远程使用telnet登录。用ssh登录,修改此项不会看到效果的 2、补充操作说明 如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。 检测方法 1、判定条件 root远程登录不成功,提示“没有权限”; 普通用户可以登录成功,而且可以切换到root用户; 2、检测操作 root从远程使用telnet登录; 普通用户从远程使用telnet登录; root从远程使用ssh登录; 普通用户从远程使用ssh登录; 3、补充说明 限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。 编号:4 要求内容 对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。 操作指南 1、参考配置操作 把如下shell保存后,运行,会修改ssh的安全设置项: unalias cp rm mv case `find /usr /etc -type f | grep -c ssh_config$` in 0) echo Cannot find ssh_config ;; 1) DIR=`find /usr /etc -type f 2/dev/null | \ grep ssh_config$ | sed -e s:/ssh_config::` cd $DIR cp ssh_config ssh_config.tmp awk /^#? *Protocol/ { print Protocol 2; next }; { print } ssh_config.tmp ssh_config if [ `grep -El ^Protocol ssh_config` = ]; then echo Protocol 2

文档评论(0)

1亿VIP精品文档

相关文档