AIX系统基准安全配置.docVIP

AIX系统 基准安全配置 2010年8月6日 目录 1. 优化系统服务 4 1.1. 禁用不必要的启动服务 4 1.2. 禁用不必要的系统服务 4 1.3. 禁用不必要的网络服务 4 2. 核心参数调整 4 3. 日志审计 5 3.1. 捕获发送到syslog的信息 5 4. 文件及目录权限 6 4.1. 设置passwd和group文件权限 6 4.2. 检查无明确属性的文件和目录 6 5. 系统访问、认证和授权 6 5.1. 删除/etc/hosts.equiv 6 5.2. 确保没有空口令（/薄弱口令）帐号 6 5.3. 设置登陆超时时间 6 5.4. 限制crontab 文件权限 7 5.5. 只允许root使用at和cron 7 6. 帐号及环境设置 7 6.1. 设定密码策略 7 6.2. 验证没有其他有root用户权限的UID 0 帐户存在 8 6.3. 没有 .在 roots $PATH 8 6.4. 删除 .netrc 和 .rhosts 文件 8 优化系统服务 禁用不必要的启动服务 配置/etc/inittab文件，将所有不是必须的服务全部禁用掉。一般建议禁用下列服务： piobe、qdaemon、writesrv、uprintfd、httpdlite、imnss、imqss、rcnfs 禁用不必要的系统服务 配置/etc/inetd.conf文件，将所有不是必须的服务全部禁用掉。一般建议禁用下列服务： shell、kshell、login、klogin、exec、comsat、uucp、bootps、finger、systat、netstat、tftp、talk、ntalk、rpc.rquotad、rpc.rexd、rpc.rusersd、rpc.ttdbserver、rpc.sprayd、rpc.cmsd、rpc.rwalld、rpc.pcnfsd、rpc.rstatd、rpc.ssalld、echo、discard、chargen、daytime、time、comsat、websm、instsrv、imap2、pop3、kfcli、xmquery 禁用不必要的网络服务 配置/etc/rc.tcpip文件，将所有不是必须的服务全部禁用掉。一般建议禁用下列服务： routed、gated、dhcpcd、dhcpsd、dhcprd、autoconf6、ndpd-host、ndpd-router、lpd、named、timed、xntpd、rwhod、snmp、dpid2、mrouted、sendmail、nfsd、portmap 核心参数调整 生成文件 /etc/-tune 如下： #!/bin/ksh # Deal with SYN-flood attacks as best we can. /usr/sbin/no -o clean_partial_conns=1 # Ignore redirects, dont send them ourselves. # ICMP Redirect is a poor excuse for a routing protocol. /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendredirects=0 # Refuse to have anything to do with source-routed packets. /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcroutesend=0 然后执行 chmod +x /etc/-tune mkitab -i rctcpip rcnettune:2:wait:/etc/-tune /dev/console 21 日志审计 捕获发送到syslog的信息 printf ### Following lines added by CISecurity \ AIX Benchmark Section 5.1\n\ \t\t/var/adm/authlog\n\ *.info;auth.none\t\t/var/adm/syslog\n \ /etc/syslog.conf touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog stopsrc -s syslogd startsrc -s syslogd 文件及目录权限 设置passwd和group文件权限 chown -R root