AIX安全加固操作手册.pdf

AIX 安全加固操作手册 作为宽带智能网中的Appserver，在完成AIX 操作系统上智能网系统的安装和配置以后 （除 系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵， 系统加固的具体步骤如下： 一、系统推荐补丁升级加固 1 检查是否打上了AIX 操作系统要求补丁 （433 要求 10 以上；5.1要求5 以上；5.2 ． 要求使用IBM 最新发布的补丁） 检查补丁版本命令：oslevel–r 或 instfix –i |grep ML (看返回结果中OS版本后带 的小版本号) 2 如果未安装补丁，使用如下方式安装补丁 ． 1) 将补丁盘放入光驱、以root 执行：mount/cdrom 2) 执行：smittyupdate_all （选择/dev/cd0 为安装介质） 注意选择安装选项中： COMMIT softwareupdates? no SAVEreplaced files? yes 安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown–Fr 重起系统 二、AIX 系统配置安全加固 1. 编辑/etc/inetd.conf 文件，关闭所有服务。 将inetd.conf文件中的内容清空 /etc/inetd.conf refresh–sinetd 2. 编辑/etc/rc.tcpip 文件，关闭除以下服务外的所有服务： portmap syslog inetd sendmail snmpd 如关闭dpid2，则只要注销以下行：(前面加#号即可) #start/usr/sbin/dpid2 $src_running 再使用： stopsrc–sXXX 来停止这些已经启动的服务 3. /etc/inittab 中关闭 用:注释服务，不是 ‘#’ piobe Printer IOBackEnd qdaemon Printer QueueingDaemon writesrv write server httpdlite docsearchWeb Server imnss docsearchimnssDaemon imqss docsearch imqss daemon 4. 删除一些无用的用户 rmuser -p uucp;rmuser -p nuucp 5. 手工编辑/etc/security/user 控制用户登录限制、缺省文件创建权限限制 default 默认设置不允许su\login\rlogin，将三项设置依次设置为false 即可，其余缺 省；缺省umask 设置为027；设置各用户设置密码的最小长度为8； 放开root、(sybase 或oracle)、zxin10 用户的su 权限；放开(sybase 或oracle)、zxin10 用户的rlogin 权限；设置root 的umask 为077 default: login false su false rlogin false umask 027 minlen 8 ... root: su true umask 077 ... zxin10: su true rlogin true ... oracle: su true rlogin true ＃pwdck -yALL 修复同步口令文件 6. 更改login 默认策略 （/etc/security/login.cfg） default: logindelay 2 logindisable 3 logininterval 60 （logininterval 秒内产生logindisable 次无效登录