28-SGISLOP-SA38-10AIX等级保护测评作业指导书(四级).doc

下载可编辑 专业资料精心资料 控制编号 控制编号：SGISL/OP-SA38-10 信息安全等级保护测评作业指导书 AIX主机（三级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 20 中国电力科学研究院信息安全实验室  下载可编辑 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA38-10 郝增帅 按公安部要求修订 詹雄 2010.3.8 一、身份鉴别 用户身份标识和鉴别 测评项编号 ADT-OS-AIX-01 对应要求 应对登录操作系统的用户进行身份标识和鉴别。 测评项名称 用户身份标识和鉴别 测评分项1：检查并记录R族文件的配置，记录主机信任关系 操作步骤 #find / -name .rhosts 对每个.rhosts文件进行检 #find / -name .netrc 对.netrc文件进行检 #more /etc/hosts.equiv 适用版本 任何版本 实施风险 无 符合性判定 如果不存在信任关系或存在细粒度控制的信任关系，判定结果为符合； 如果存在与任意主机任意用户的信任关系，判定结果为不符合。 测评分项2：查看系统是否存在空口令用户 操作步骤 # more /etc/security/passwd检查空口令帐号， 适用版本 任何版本 实施风险 无 符合性判定 /etc/security/passwd中所有密码位不为空，判定结果为符合； /etc/security/passwd中所存在密码位为空，判定结果为不符合。 备注 账号口令强度 测评项编号 ADT-OS-AIX-02 对应要求 操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换 测评项名称 账号口令强度 测评分项1： 检查系统帐号密码策略 操作步骤 执行以下命令： #more /etc/security/user记录Default规则,以及各用户配置的规则，重点关注： minlen口令最短长度 minalpha口令中最少包含字母字符个数 minother口令中最少包含非字母数字字符个数 loginretries 连续登录失败后锁定用户 适用版本 任何版本 实施风险 无 符合性判定 密码要求8位以上字母、数字、非字母组合,判定结果为符合； 密码要求8位以下或未要求字母、数字、非字母组合,判定结果为不符合； 测评分项2：检查系统中是否存在空口令或者是弱口令 操作步骤 1. 利用扫描工具进行查看 2. 询问管理员系统中是否存在弱口令 3. 手工尝试密码是否与用户名相同 适用版本 任何版本 实施风险 扫描可能会造成账号被锁定 符合性判定 系统中不存在弱口令账户，判定结果为符合； 系统中存在弱口令账户，判定结果为不符合； 备注 登录失败处理策略 测评项编号 ADT-OS-AIX-03 对应要求 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 测评项名称 登录失败处理策略 测评分项1： 检查系统帐号登录失败处理策略 操作步骤 执行以下命令 #more /etc/security/user记录Default规则,以及各用户配置的规则 检查loginretries 值 #more /etc/security/login.cfg 检查loginreenable值（端口锁定解锁时间） logindelay （失败登录后延迟时间） 适用版本 任何版本 实施风险 无 符合性判定 系统配置了合理的帐号锁定阀值及失败登录间隔时间，判定结果为符合； 系统未配置登录失败处理策略，判定结果为不符合； 测评分项2：如果启用了SSH远程登录，则检查SSH远程用户登录失败处理策略 操作步骤 执行以下命令 cat /etc/sshd_config 查看MaxAuthTries 等参数。 LoginGraceTime 1m 帐号锁定时间（建议为30 分钟） PermitRootLogin no MaxAuthTries 3 帐号锁定阀值（建议5 次） 适用版本 任何版本 实施风险 无 符合性判定 系统配置了合理的登录失败处理策略，帐号锁定阀值及帐号锁定时间，判定结果为符合； 系统未配置登录失败处理策略，判定结果为不符合； 备注 远程管理方式 测评项编号 ADT-OS-AIX-04 对应要求 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听 测评项名称 检查系统远程管理方式 测评分项1： 检查系统帐号登录失败处理策略 操作步骤 询问系统管理员，并查看开启的服务中是否包含了不安全的远程管理方式，如telnet, ftp,ssh,VNC 等。 执行：#