系统安全配置技术规范-AIX.doc

系统安全配置技术规范—AIX 版本 V0.9 日期 2013-06-03 文档编号 文档发布 文档说明 （一）变更信息 版本号 变更日期 变更者 变更理由/变更内容 备注 （二）文档审核人 姓名 职位 签名 日期 目 录 1 适用范围 5 2 帐号管理与授权 5 2.1 【基本】按照用户角色分配不同权限的帐号 5 2.2 【基本】删除或锁定无用帐户 5 2.3 【基本】禁止超级管理员帐户远程登录 6 2.4 【基本】将用户帐号分配到相应的帐户组 7 2.5 【基本】设置口令策略满足复杂度要求 7 2.6 【基本】检查是否存在空口令帐号 8 2.7 【基本】检查口令生存周期要求 9 2.8 【基本】检查口令重复次数限制 9 2.9 连续认证失败次数 10 2.10 设置文件权限 10 2.11 删除除root外的UID为0的用户 11 2.12 系统umask设置 11 2.13 只允许root用户使用at/ cron 12 3 日志配置要求 12 3.1 【基本】对用户登录认证进行记录 12 3.2 【基本】设置日志服务器 13 3.3 【基本】按帐号分配日志文件读取、修改和删除权限 13 3.4 配置日志记录与设备相关的安全事件 14 3.5 系统应用/服务log配置 14 4 IP协议安全要求 15 4.1 【基本】使用ssh远程登录 15 4.2 隐藏ssh的banner信息 15 4.3 远程登录的IP地址范围设定 16 4.4 禁止ICMP重定向 17 4.5 关闭数据包转发 17 5 服务配置要求 18 5.1 【基本】关闭不必要的服务 18 5.2 【基本】应按帐户精确设置FTP的权限 18 5.3 【基本】更新系统补丁 19 5.4 设置NTP服务器 19 5.5 设置连接超时自动登出 19 6 其它配置要求 20 6.1 为目录设置粘性位 20 6.2 查找未授权的SUID/SGID可执行文件 20 6.3 查找没有所有者的文件和目录 21 6.4 设置图形界面超时10分钟自动锁屏 21 6.5 设置登录时显示的警告信息 22 6.6 禁止X Server监听6000/TCP端口 22 6.7 防止堆栈缓冲溢出 22  适用范围 如无特殊说明，本规范所有配置项适用于AIX操作系统 6.x系列或以上版本。其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。 帐号管理与授权 【基本】按照用户角色分配不同权限的帐号 配置项描述 按照用户角色分配不同的权限，实现用户权限最小化，防止用户的不当操作。 检查方法 1、执行： #more /etc/passwd 查看系统中存在的用户，确认每个帐户的home路径及启动shell； 2、与管理员确认需要锁定的帐户 操作步骤 1、执行备份： #cp –p /etc/passwd /etc/passwd_bak 2、修改帐户，保存退出 回退操作 执行： #cp /etc/passwd_bak /etc/passwd 风险说明 低风险，更改用户权限可能导致某些应用无法正常运行。 【基本】删除或锁定无用帐户 配置项描述 删除或锁定无用帐户，防止利用过期帐户的攻击 检查方法 1、执行： #more /etc/passwd 管理员查看是否存在无用帐户 2、对无用帐户可以锁定 3、关注日常无用帐户是否被置密码，检查etc/passwd的标志是否为!，如果是*，则需要删除密码标志位，或锁定帐户 操作步骤 1、执行备份： #cp –p /etc/passwd /etc/passwd_bak 2、锁定无用帐户： #chuser account_locked=true username 回退操作 执行： #cp /etc/passwd_bak /etc/passwd #chuser account_locked=false username 风险说明 低风险，被锁定的帐户无法登录系统，可能导致某些应用无法正常运行。 【基本】禁止超级管理员帐户远程登录 配置项描述 禁止超级管理员帐户远程登录，超级管理员远程操作系统存在较大风险。 检查方法 执行：#more /etc/security/user 检查在root项目中是否有下列行: rlogin=false login=true su=true sugroup=system 检查SSH #more /etc/ssh/sshd_config 检查下列行设置是否为no并且该行未被注释： PermitRootLogin （禁止超级管