主机加固操作手册(A的IX).docVIP

AIX加固操作手册 编号 加固项 备注 1.1 禁用以下服务： kshell(kerbores协议的shell服务) klogin(kerbores协议的login服务) exec(提供rexec远程执行命令服务) echo(字符回显测试服务) discard（丢弃字符测试服务） chargen(发送字符测试服务) daytime(时间同步服务) time(时间同步服务) ntalk(基于字符的聊天服务服务) rstatd(服务器内核信息查询) rusersd(用户信息查询服务) rwalld(用户信息通告服务) sprayd(系统性能信息查询服务) pcnfsd(非UNIX客户机打印缓冲服务) 加固步骤: 1. 编辑/etc/inetd.conf文件 2. 注释以下单词开头的行： kshell klogin exec echo discard chargen daytime time ntalk rstatd rusersd rwalld sprayd pcnfsd服务 3. 重启服务 refresh -s inetd 回退步骤: 1. 编辑/etc/inetd.conf文件 2. 取消注释以下单词开头的行： kshell klogin exec echo discard chargen daytime time ntalk rstatd ruserd rwalld sprayd pcnfsd 3. 重启服务 refresh -s inetd 1.2 禁用以下服务： sendmail(邮件服务) routed(基于rip的路由服务) gated(多种路由协议的路由服务) named(DNS服务) timed(时间同步服务) rwhod(用户信息服务) lpd(打印服务) ndpd-router(路由服务) ndpd-host(路由服务) piobe(打印服务) httpdlite(man文档查询) writesrv(用户聊天服务)服务 加固步骤: 禁用以下服务，以sendmail服务为例：sendmail routed gated named timed rwhod lpd, ndpd-router ndpd-host 1．检查服务开启情况 lssrc -a 2. 停止sendmail服务 stopsrc -s sendmail 3. 禁止sendmail自启动 chrctcp -d sendmail 禁用以下服务，以piobe为例 piobe httplite writesrv服务 1. 停止piobe服务 stopsrc -s piobe 2. 禁止piobe服务自启动 编辑/etc/inittab,在piobe开头的行前增加分号 回退步骤: 启用以下服务，以sendmail服务为例：sendmail routed gated named timed rwhod lpd, ndpd-router ndpd-host 1. 启动sendmail服务 startsrc -s sendmail 2. 设置sendmail服务自启动 chrctcp -a sendmail 启用以下服务，以piobe为例 piobe httplite writesrv 1. 启动piobe服务 startsrc -s piobe 2. 允许piobe服务自启动 编辑/etc/inittab,取消piobe行的注释（分号）s snmpd 回退步骤: 1. 编辑/etc/snmpd.conf 2. 修改cpic为public 3. 重启snmpd服务 refresh -s snmpd 1.4 禁止syslog接收网络日志 加固步骤： 1．设置syslogd参数 chssys -s syslogd –a “-r” 2. 重启syslogd服务 stopsrc -s syslogd startsrc -s syslogd 回退步骤: 操作如下: 1．设置syslogd参数 chssys -s syslogd –a “” 2. 重启syslogd服务 stopsrc –s syslogd startsrc -s syslogd 1.5 设置所有人可写目录的sticky位 加固步骤： find / -type d \( -perm -0002 -a ! -perm -1000 \) -print -exec chmod +t {} \; 回退步骤： 如果某个用户test需要写test1拥有的文件file1,file1所在目录为dir1,修改如下: chmod -t dir1 1.6 规范基于rhosts认证的信任关系 1． 查找/etc/hosts.equiv与~/.