AIX系统安全加固手册.docVIP

　　　 第 PAGE 2页 共 NUMPAGES 13页 信息安全加固手册 AIX系统 目 录 TOC \o 1-2 \h \z \u 1 端口与服务 3 1.1 相关端口对应服务禁止 3 1.2 系统相关服务默认banner消息禁止 4 1.3 nfs服务关闭 4 1.4 图形管理服务关闭 5 1.5 FTP服务登入权限 5 1.6 禁止rlogin服务 6 1.7 Cron服务内容以及服务日志审核批 6 1.8 Syslog服务属性 7 2 系统网络参数类 8 2.1 Suid/sgid文件 8 2.2 Umask权限设置 8 2.3 系统核心网络参数安全性增强 9 3 用户管理、访问控制、审计功能类 9 3.1 防止root从远程登录 9 3.2 减少登录会话时间 10 3.3 系统口令强壮度与策略 10 3.4 Root用户历史操作记录 11 3.5 删除默认系统用户 12 4 文件权限 12 4.1 文件权限和文件类型设置 12 端口与服务 相关端口对应服务禁止 风险描述 21, 23 , 25, 111, 513 , 514 , 515, 540 , 80 ，6112， 161 , 7, 37 , 110 相关rpc等服务禁止 风险等级 风险高 加固建议 判断上述系统默认服务在本系统是否需要应用来决定关闭或者替换升级 加固的风险/影响 有些业务服务可能需要以上某些系统服务，关闭服务将造成某些系统维护方式或者业务服务不正常，相关系统默认服务（ftp, rsh, kshell, rlogin, krlogin, rexec, comsat, uucp, finger, tftp, talk,ntalk, echo, discard, chargen, daytime, time及rpc小服务），具体说明如下： Rsh,rlogin,rexec - R远程登录系列服务,容易被窃听 Finger -允许远程查询登陆用户信息 Time - 网络时间服务，允许远程察看系统时间 Echo - 网络测试服务，回显字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用 Discard - 网络测试服务，丢弃输入, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用 Daytime - 网络测试服务，显示时间, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用 Chargen - 网络测试服务，回应随机字符串, 为“拒绝服务”攻击提供机会, 除非正在测试网络，否则禁用 comsat -通知接收的电子邮件，以 root 用户身份运行，因此涉及安全性, 很少需要的,禁用 klogin - Kerberos 登录，如果您的站点使用 Kerberos 认证则启用 kshell - Kerberos shell，如果您的站点使用 Kerberos 认证则启用 ntalk - 允许用户相互交谈，以 root 用户身份运行，除非绝对需要，否则禁用 talk - 在网上两个用户间建立分区屏幕，不是必需服务，与 talk 命令一起使用，在端口 517 提供 UDP 服务 ntalk - new talk tftp - 以 root 用户身份运行并且可能危及安全 uucp - 除非有使用 UUCP 的应用程序，否则禁用 dtspc - CDE 子过程控制，不用图形管理的话禁用 加固风险规避方法 根据主机的业务需求，关闭对应服务端口，事先将原配置文件做备份 加固成果 关闭不用的端口可以避免非法用户利用这些端口入侵系统，通过升级服务来减少可被利用的漏洞。 加固具体方法 编辑或注释inetd.conf 中所对应服务的启动脚本和启动语句来禁止上述服务。 有些服务可能以cron定时启动 请检查cron定时脚本。 XXX公司意见 XXX公司管理员对本条风险加固的意见： 同意 需要修改（描述修改的意见） 不同意（描述不同意的原因） 签名（签字确认） 系统相关服务默认banner消息禁止 风险描述 系统相关服务如ftpd, telnetd, sendmail 等默认banner消息禁止， 风险等级 风险中 加固建议 修改可判断系统版本输出消息的服务banner 加固的风险/影响 连接或使用上述服务将不会返回上述服