AIX操作系统安全配置规范.docx
《AIX操作系统安全配置规范.docx》由会员分享,可在线阅读,更多相关《AIX操作系统安全配置规范.docx(27页珍藏版)》请在冰点文库上搜索。
AIX操作系统安全配置规范
AIX安全配置程序
1账号认证
编号:
安全要求-设备-通用-配置-1
要求内容
应删除或锁定与设备运行、维护等工作无关的账号。
系统内存在不
可删除的内置账号,包括root,bin等。
操作指南
1、参考配置操作
删除用户:
#rmuser–pusername;
锁定用户:
1)修改/etc/shadow文件,用户名后加*LK*
2)将/etc/passwd文件中的shell域设置成/bin/false
3)#chuseraccount_locked=TRUEusername
只有具备超级用户权限的使用者方可使用,#chuseraccount_locked=TRUEusername锁定用户,用#chuseraccount_locked=FALSEusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
2、补充操作说明
需要锁定的用户:
deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd
检测方法
1、判定条件
被删除或锁定的账号无法登录成功;
2、检测操作
使用删除或锁定的与工作无关的账号登录系统;
3、补充说明
需要锁定的用户:
deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd
编号:
安全要求-设备-通用-配置-2
要求内容
限制具备超级管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。
操作指南
1、参考配置操作
编辑/etc/security/user,加上:
如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
2、补充操作说明
检测方法
1、判定条件
root远程登录不成功,提示“Notonsystemconsole”;
普通用户可以登录成功,而且可以切换到root用户;
2、检测操作
root从远程使用telnet登录;
普通用户从远程使用telnet登录;
root从远程使用ssh登录;
普通用户从远程使用ssh登录;
3、补充说明
限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。
2密码策略
编号:
安全要求-设备-通用-配置-3
要求内容
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
操作指南
1、参考配置操作
chsec-f/etc/security/user-sdefault-aminlen=8
chsec-f/etc/security/user-sdefault-aminalpha=1
chsec-f/etc/security/user-sdefault-amindiff=1
chsec-f/etc/security/user-sdefault-aminother=1
chsec–f/etc/security/user–sdefault-apwdwarntime=5
minlen=8#密码长度最少8位
minalpha=1#包含的字母最少1个
mindiff=1#包含的唯一字符最少1个
minother=1#包含的非字母最少1个
pwdwarntime=5#系统在密码过期前5天发出修改密码的警告信息给用户
2、补充操作说明
检测方法
1、判定条件
不符合密码强度的时候,系统对口令强度要求进行提示;
符合密码强度的时候,可以成功设置;
2、检测操作
1、检查口令强度配置选项是否可以进行如下配置:
i.配置口令的最小长度;
ii.将口令配置为强口令。
2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
编号:
安全要求-设备-通用-配置-4
要求内容
对于采用静态口令认证技术的设备,帐户口令的生存期不长于12周(84天)。
操作指南
1、参考配置操作
方法一:
chsec-f/etc/security/user-sdefault-ahistexpire=12
方法二:
用vi或其他文本编辑工具修改chsec-f/etc/security/user文件如下值:
histexpire=13
histexpire=13#密码可重复使用的星期为12周(84天)
2、补充操作说明
检测方法
1、判定条件
密码过期后登录不成功;
2、检测操作
使用超过84天的帐户口令登录会提示密码过期;
编号:
安全要求-设备-通用-配置-5
要求内容
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近3次(含3次)内已使用的口令。
操作指南
1、参考配置操作
方法一:
chsec-f/etc/security/user-sdefault-ahistsize=3
方法二:
用vi或其他文本编辑工具修改chsec-f/etc/security/user文件如下值:
histsize=3
histexpire=3#可允许的密码重复次数
检测方法
1、判定条件
设置密码不成功
2、检测操作
cat/etc/security/user,设置如下
histsize=3
3、补充说明
默认没有histsize的标记,即不记录以前的密码。
编号:
安全要求-设备-通用-配置-6
要求内容
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次(不含5次),锁定该用户使用的账号。
操作指南
1、参考配置操作
指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:
chsec-f/etc/security/user-sdefault-aloginretries=5
2、补充操作说明
检测方法
1、判定条件
帐户被锁定,不再提示让再次登录;
2、检测操作
创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录5次以上(不含5次);
3审核授权策略
编号:
安全要求-设备-通用-配置-7
(1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。
classes:
custom=USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_JobAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER_Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime
(2)审核系统安全文件修改
配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。
/etc/security/environ:
w="S_ENVIRON_WRITE"
/etc/security/group:
w="S_GROUP_WRITE"
/etc/security/limits:
w="S_LIMITS_WRITE"
/etc/security/login.cfg:
w="S_LOGIN_WRITE"
/etc/security/passwd:
r="S_PASSWD_READ"
w="S_PASSWD_WRITE"
/etc/security/user:
w="S_USER_WRITE"
/etc/security/audit/config:
w="AUD_CONFIG_WR"
编号:
安全要求-设备-通用-配置-8
要求内容
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南
1、参考配置操作
通过chmod命令对目录的权限进行实际设置。
2、补充操作说明
chmod644/etc/passwd/etc/group
chmod750/etc/security
chmod-Rgo-w,o-r/etc/security
/etc/passwd所有用户都可读,root用户可写–rw-r—r—
/etc/shadow只有root可读–r--------
/etc/group必须所有用户都可读,root用户可写–rw-r—r—
使用如下命令设置:
chmod644/etc/passwd
chmod644/etc/group
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod-Rgo-w,o-r/etc
检测方法
1、判定条件
1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;
2、记录能够配置的权限选项内容;
3、所配置的权限规则应能够正确应用,即用户无法访问授权范围之外的系统资源,而可以访问授权范围之内的系统资源。
2、检测操作
1、利用管理员账号登录系统,并创建2个不同的用户;
2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;
3、为两个用户分别配置不同的权限,2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;
4、分别利用2个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。
3、补充说明
编号:
安全要求-设备-AIX-配置-9
要求内容
控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
操作指南
1、参考配置操作
A.设置所有存在账户的权限:
lsuser-ahomeALL|awk'{print$1}'|whilereaduser;do
chuserumask=027$user
done
vi/etc/default/login在末尾增加umask027
B.设置默认的profile,用编辑器打开文件/etc/security/user,找到umask这行,修改如下:
Umask=027
2、补充操作说明
如果用户需要使用一个不同于默认全局系统设置的umask,可以在需要的时候通过命令行设置,或者在用户的shell启动文件中配置。
检测方法
1、判定条件
权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;
2、检测操作
查看新建的文件或目录的权限,操作举例如下:
#ls-ldir;#查看目录dir的权限
#cat/etc/default/login查看是否有umask027内容
3、补充说明
umask的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。
umask的计算:
umask是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。
4日志配置策略
本部分对AIX操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。
如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。
编号:
安全要求-设备-通用-配置-10
要求内容
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南
1、参考配置操作
修改配置文件vi/etc/syslog.conf,加上这几行:
auth.info\t\t/var/adm/authlog
*.info;auth.none\t\t/var/adm/syslog\n"
建立日志文件,如下命令:
touch/var/adm/authlog/var/adm/syslog
chownroot:
system/var/adm/authlog
配置日志文件权限,如下命令:
chmod600/var/adm/authlog
chmod640/var/adm/syslog
重新启动syslog服务,依次执行下列命令:
stopsrc-ssyslogd
startsrc-ssyslogd
AIX系统默认不捕获登录信息到syslogd,以上配置增加了验证信息发送到/var/adm/authlog和/var/adm/syslog,并设置了权限为其他用户和组禁止读写日志文件。
2、补充操作说明
检测方法
1、判定条件
列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。
2、检测操作
cat/var/adm/authlog
cat/var/adm/syslog
3、补充说明
编号:
安全要求-设备-通用-配置-11
要求内容
设备应配置日志功能,记录对与设备相关的安全事件。
操作指南
1、参考配置操作
修改配置文件vi/etc/syslog.conf,
配置如下类似语句:
*.err;kern.debug;daemon.notice;/var/adm/messages
定义为需要保存的设备相关安全事件。
2、补充操作说明
编号:
安全要求-设备-AIX-配置-12
要求内容
启用内核级审核
操作指南
1、参考配置操作
开始审计用如下命令:
#auditon
下一次系统启动自动执行审计用如下命令:
mkitab-icron"audit:
2:
once:
/usr/sbin/auditstart2>&1>/dev/console"
telinitq
echo"auditshutdown">>/usr/sbin/shutdown
2、补充操作说明
审计能跟踪和记录系统发生的活动,一个组或一个用户的行为。
详细请参考如下文件的第二个章节
检测方法
1、判定条件
能设定审核的内容并分析查看
2、检测操作
设定审核条件后用命令可查看:
auditstart
3、补充说明
5.5IP协议安全策略
编号:
安全要求-设备-通用-配置-13
要求内容
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,并安全配置SSHD的设置。
操作指南
1、参考配置操作
把如下shell保存后,运行,会修改ssh的安全设置项:
unaliascprmmv
case`find/usr/etc-typef|grep-cssh_config$`in
0)echo"Cannotfindssh_config"
;;
1)DIR=`find/usr/etc-typef2>/dev/null|\
grepssh_config$|sed-e"s:
/ssh_config:
:
"`
cd$DIR
cpssh_configssh_config.tmp
awk'/^#?
*Protocol/{print"Protocol2";next};
{print}'ssh_config.tmp>ssh_config
if["`grep-El^Protocolssh_config`"=""];then
echo'Protocol2'>>ssh_config
fi
rmssh_config.tmp
chmod600ssh_config
;;
*)echo"Youhavemultiplesshd_configfiles.Resolve"
echo"beforecontinuing."
;;
esac
#也可以手动编辑ssh_config,在"Host*"后输入"Protocol2",
cd$DIR
cpsshd_configsshd_config.tmp
awk'/^#?
*Protocol/{print"Protocol2";next};
/^#?
*X11Forwarding/\
{print"X11Forwardingyes";next};
/^#?
*IgnoreRhosts/\
{print"IgnoreRhostsyes";next};
/^#?
*RhostsAuthentication/\
{print"RhostsAuthenticationno";next};
/^#?
*RhostsRSAAuthentication/\
{print"RhostsRSAAuthenticationno";next};
/^#?
*HostbasedAuthentication/\
{print"HostbasedAuthenticationno";next};
/^#?
*PermitRootLogin/\
{print"PermitRootLoginno";next};
/^#?
*PermitEmptyPasswords/\
{print"PermitEmptyPasswordsno";next};
/^#?
*Banner/\
{print"Banner/etc/motd";next};
{print}'sshd_config.tmp>sshd_config
rmsshd_config.tmp
chmod600sshd_config
Protocol2#使用ssh2版本
X11Forwardingyes#允许窗口图形传输使用ssh加密
IgnoreRhostsyes#完全禁止SSHD使用.rhosts文件
RhostsAuthenticationno#不设置使用基于rhosts的安全验证
RhostsRSAAuthenticationno#不设置使用RSA算法的基于rhosts的安全验证
HostbasedAuthenticationno#不允许基于主机白名单方式认证
PermitRootLoginno#不允许root登录
PermitEmptyPasswordsno#不允许空密码
Banner/etc/motd#设置ssh登录时显示的banner
2、补充操作说明
查看SSH服务状态:
#ps–elf|grepssh
检测方法
1、判定条件
#ps–elf|grepssh
是否有ssh进程存在
2、检测操作
查看SSH服务状态:
#lssrc–ssshd
查看telnet服务状态:
#lssrc–ttelnet
6路由协议安全策略
编号:
安全要求-设备-AIX-配置-14
要求内容
主机系统应该禁止ICMP重定向,采用静态路由。
操作指南
1、参考配置操作
A.把以下网络参数保持到一个文本里:
cat</etc/-tune
#!
/bin/ksh
#优化参数,抵制SYN-flood攻击
/usr/sbin/no-oclean_partial_conns=1
#不允许被SMURF广播攻击
/usr/sbin/no-odirected_broadcast=0
#不允许其他机器重新设置此机网络掩码
/usr/sbin/no-oicmpaddressmask=0
#忽略ICMP重定向报文并不发送它们.
/usr/sbin/no-oipignoreredirects=1
/usr/sbin/no-oipsendredirects=0
#拒绝任何源路由报文
/usr/sbin/no-oipsrcrouteforward=0
/usr/sbin/no-oipsrcrouterecv=0
/usr/sbin/no-oipsrcroutesend=0
/usr/sbin/no-ononlocsrcroute=0
EOF
B.赋予执行权限
chmod+x/etc/-tune
C.将新的记录添加到/etc/inittab中,并告知init命令在启动rctcpip之后执行/etc/-tune
mkitab-irctcpip"rcnettune:
2:
wait:
/etc/-tune>\
/dev/console2>&1"
2、补充操作说明
/usr/sbin/no命令是管理网络调整参数的
mkitab命令是在/etc/inittab添加启动记录的
检测方法
1、判定条件
在/etc/rc2.d/S?
?
inet搜索看是否有ndd-set/dev/ipip_send_redirects=0内容
/etc/rc2.d/S69inet中包含的是
ndd-set/dev/ipip6_send_redirects=0
2、检测操作
查看当前的路由信息:
#netstat-rn
3、补充说明
编号:
安全要求-设备-AIX-配置-15
要求内容
对于不做路由功能的系统,应该关闭数
升级会员 