收藏
下载资源下载资源 加入VIP,免费下载

AIX系统安全检查方案.docx

上传人:b****2 文档编号:3558107 上传时间:2023-05-06 格式:DOCX 页数:13 大小:20.15KB
下载 相关 举报
AIX系统安全检查方案.docx_第1页
第1页 / 共13页
AIX系统安全检查方案.docx_第2页
第2页 / 共13页
AIX系统安全检查方案.docx_第3页
第3页 / 共13页
AIX系统安全检查方案.docx_第4页
第4页 / 共13页
AIX系统安全检查方案.docx_第5页
第5页 / 共13页
AIX系统安全检查方案.docx_第6页
第6页 / 共13页
AIX系统安全检查方案.docx_第7页
第7页 / 共13页
AIX系统安全检查方案.docx_第8页
第8页 / 共13页
AIX系统安全检查方案.docx_第9页
第9页 / 共13页
AIX系统安全检查方案.docx_第10页
第10页 / 共13页
AIX系统安全检查方案.docx_第11页
第11页 / 共13页
AIX系统安全检查方案.docx_第12页
第12页 / 共13页
AIX系统安全检查方案.docx_第13页
第13页 / 共13页
亲,该文档总共13页,全部预览完了,如果喜欢就下载吧!
下载资源
资源描述

AIX系统安全检查方案.docx

《AIX系统安全检查方案.docx》由会员分享,可在线阅读,更多相关《AIX系统安全检查方案.docx(13页珍藏版)》请在冰点文库上搜索。

AIX系统安全检查方案.docx

AIX系统安全检查方案

技术文件

技术文件名称:

AIX系统安全检查方案

技术文件编号:

版本:

V1.0

文件质量等级:

共12页

(包括封面)

拟制

审核

会签

标准化

批准

 

修改记录

文件编号

版本号

拟制人/

修改人

拟制/修改日期

更改理由

主要更改内容

(写要点即可)

1.0

2009/06/30

1.0.1

2009/08/14

添加内容

ZTE-AIX-SH03-06/ZTE-AIX-SM01-02配置项添加说明

1.1.0

2009/08/17

删除内容

删除ZTE-AIX-SH03-05和ZTE-AIX-SH03-06中ACL检查

注1:

每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表。

注2:

文件第一次归档时,“更改理由”、“主要更改内容”栏写“无”。

AIX操作系统安全检查方案目录

(包括封面)1

修改记录2

1概述5

内部适用性说明5

外部引用说明5

术语和定义5

符号和缩略语5

2AIX安全检查操作指导6

2.1ZTE-AIX-S01检查帐号安全6

2.1.1ZTE-AIX-SH01-01检查系统帐号安全性6

2.1.2ZTE-AIX-SM01-02检查root远程登录配置6

2.1.3ZTE-AIX-SM01-03检查口令复杂度,加密和密码历史配置6

2.1.4ZTE-AIX-SL01-04检查口令生存期配置7

2.2ZTE-AIX-S02检查登录会话环境7

2.2.1ZTE-AIX-SL02-01检查字符登录会话超时5分钟自动退出7

2.2.2ZTE-AIX-SL02-02检查图形登录会话超时5分钟自动退出7

2.2.3ZTE-AIX-SM02-03检查用户环境变量7

2.3ZTE-AIX-S03检查主机软件/网络服务8

2.3.1ZTE-AIX-SH03-01检查ftp登录用户限制8

2.3.2ZTE-AIX-SM03-02检查ftp用户活动目录限制8

2.3.3ZTE-AIX-SL03-03检查匿名ftp用户限制8

2.3.4ZTE-AIX-SM03-04检查GUI配置8

2.3.5ZTE-AIX-SH03-05检查TELNET服务配置9

2.3.6ZTE-AIX-SH03-06检查SSH服务配置9

2.3.7ZTE-AIX-SM03-07检查服务配置9

2.3.8ZTE-AIX-SM03-08检查SNMP服务配置9

2.3.9ZTE-AIX-SL03-09检查NTP服务器或客户端配置9

2.3.10ZTE-AIX-SM03-10检查信任主机配置10

2.3.11ZTE-AIX-SM03-11检查ftp初始化文件配置10

2.4ZTE-AIX-S04检查日志记录配置10

2.4.1ZTE-AIX-SL04-01检查登录日志配置10

2.4.2ZTE-AIX-SL04-02检查事件日志配置10

2.4.3ZTE-AIX-SL04-03检查远程日志服务器配置10

2.4.4ZTE-AIX-SL04-04检查cron日志配置11

2.4.5ZTE-AIX-SL04-05检查是否启用内核级审核11

2.5ZTE-AIX-S05检查文件权限11

2.5.1ZTE-AIX-SM05-01检查重要系统文件权限11

2.6ZTE-AIX-S06检查系统补丁安装情况11

2.6.1ZTE-AIX-SH06-01检查操作系统补丁版本11

2.7ZTE-AIX-S07检查网络协议安全配置12

2.7.1ZTE-AIX-SL07-01检查IP协议配置12

2.8ZTE-AIX-S08检查杂项12

2.8.1ZTE-AIX-SL08-01禁止产生Core文件配置12

AIX操作系统基本检查方案

1概述

内部适用性说明

本方案是在《业务研究院网络安全规范》中各项要求的基础上,提出AIX操作系统安全检查方案。

外部引用说明

《中国移动设备通用安全功能和配置规范》

《中国移动操作系统安全功能规范》

《AIX系统基本检查方案》

术语和定义

符号和缩略语

缩写

英文描述

中文描述

本文件中的字体标识如下:

蓝色斜体在具体执行时需要替换的内容

检查/加固项编码意义如下:

公司名称-操作系统-条目性质风险级别数字编号-小项数字编号

条目性质中:

S意为检查;E意为加固

风险级别中:

H意为高风险;M意为中等风险;L意为低风险,风险级别仅存于具体条目中

2AIX安全检查操作指导

2.1ZTE-AIX-S01检查帐号安全

2.1.1ZTE-AIX-SH01-01检查系统帐号安全性

#cat/etc/passwd

检查如下内容(强密码部分单独检查):

帐号名

用户ID是否为0

是否已锁定

默认shell

是否强密码

需要记录的内容:

用户ID为0的所有帐号,默认有shell并未锁定的帐号

2.1.2ZTE-AIX-SM01-02检查root远程登录配置

操作

期望输出

是否满足

#lsuser-arloginroot

rootrlogin=false

#grepPermitRootLogin/etc/ssh/sshd_config

PermitRootLoginno

说明:

如果未找到/etc/ssh/sshd_config文件,说明ssh未安装,不满足安全配置

2.1.3ZTE-AIX-SM01-03检查口令复杂度,加密和密码历史配置

操作

期望输出

是否满足

#lssec-f/etc/security/user-sdefault-aminlen

defaultminlen=8

#lssec-f/etc/security/user-sdefault-aminalpha

defaultminalpha=1

#lssec-f/etc/security/user-sdefault–amindiff

defaultmindiff=1

#lssec-f/etc/security/user-sdefault–aminother

defaultminother=1

#lssec-f/etc/security/user-sdefault–ahistsize

defaulthistsize=5

2.1.4ZTE-AIX-SL01-04检查口令生存期配置

操作

期望输出

是否满足

#lssec-f/etc/security/user-sdefault–apwdwarntime

defaultpwdwarntime=5

#lssec-f/etc/security/user-sdefault–ahistexpire

defaulthistexpire=13

2.2ZTE-AIX-S02检查登录会话环境

2.2.1ZTE-AIX-SL02-01检查字符登录会话超时5分钟自动退出

操作

期望输出

是否满足

#grepTMOUT/etc/profile

TMOUT=300;exportTMOUT

2.2.2ZTE-AIX-SL02-02检查图形登录会话超时5分钟自动退出

操作

期望输出

是否满足

#grepTimeout/usr/dt/config/*/sys.resources

输出中包含如下内容:

dtsession*saverTimeout:

5

dtsession*lockTimeout:

5

2.2.3ZTE-AIX-SM02-03检查用户环境变量

操作

期望输出

是否满足

#lssec-f/etc/security/user-sdefault–aumask

defaultumask=027

lsuser-ahomeALL|awk'{print$1}'|whilereaduser;dolsuser-aumask$user

done

所有用户的umask值均为umask=27

使用每个可以登录的帐号登录系统后,执行:

#set|grepPATH

检查PATH变量中,是否定义了当前目录:

“.”

无PATH变量包含当前目录(“.”)

2.3ZTE-AIX-S03检查主机软件/网络服务

2.3.1ZTE-AIX-SH03-01检查ftp登录用户限制

操作

期望输出

是否满足

#cat/etc/ftpusers

输出包含除允许ftp登录的用户之外的其他所有用户

2.3.2ZTE-AIX-SM03-02检查ftp用户活动目录限制

操作

期望输出

是否满足

#cat/etc/ftpaccess

输出中包含如下内容:

restricted-uid*

chmodnoguest,anonymous

deletenoguest,anonymous

overwritenoguest,anonymous

renamenoguest,anonymous

umasknoanonymous

2.3.3ZTE-AIX-SL03-03检查匿名ftp用户限制

操作

期望输出

是否满足

FTP登录被检查服务器,确认是否可以匿名访问

不能匿名访问

2.3.4ZTE-AIX-SM03-04检查GUI配置

操作

期望输出

是否满足

#ps–elf|grepdtlogin

无/usr/dt/bin/dtlogin进程

2.3.5ZTE-AIX-SH03-05检查TELNET服务配置

操作

期望输出

是否满足

#lssrc-ttelnet

无telnet服务输出

2.3.6ZTE-AIX-SH03-06检查SSH服务配置

操作

期望输出

是否满足

检查ssh是否已经启动:

#lssrc–ssshd

ssh服务status为active

说明:

如果相关命令提示:

0513-085ThesshdSubsystemisnotonfile.说明ssh服务未安装,不满足需求

2.3.7ZTE-AIX-SM03-07检查服务配置

#lssrc–a

输出内容请复制至右侧

#grep–v\^#/etc/inetd.conf

输出内容请复制至右侧

2.3.8ZTE-AIX-SM03-08检查SNMP服务配置

操作

期望输出

是否满足

#greppublic/etc/snmpd.conf

输出不包含如下内容:

communitypublic

2.3.9ZTE-AIX-SL03-09检查NTP服务器或客户端配置

操作

期望输出

是否满足

检查文件/etc/ntp.conf是否存在

文件存在

#lssrc-txntpd

xntpd服务status为active

2.3.10ZTE-AIX-SM03-10检查信任主机配置

操作

期望输出

是否满足

检查文件/etc/hosts.equiv是否存在(内容为空,可认为不存在)

文件不存在

#检查用户主目录下(包括/root)是否存在如下文件:

.rhosts

(如果文件内容为空,可认为不存在)

文件不存在

2.3.11ZTE-AIX-SM03-11检查ftp初始化文件配置

操作

期望输出

是否满足

检查用户主目录下(包括/root)是否存在如下文件:

.netrc

(如果文件内容为空,可认为不存在)

文件不存在

2.4ZTE-AIX-S04检查日志记录配置

2.4.1ZTE-AIX-SL04-01检查登录日志配置

操作

期望输出

是否满足

检查/var/adm/authlog和/var/adm/syslog是否存在

文件存在

2.4.2ZTE-AIX-SL04-02检查事件日志配置

操作

期望输出

是否满足

#grep/var/adm/messages/etc/syslog.conf

输出为(含有):

*.err;kern.debug;daemon.notice;/var/adm/messages

2.4.3ZTE-AIX-SL04-03检查远程日志服务器配置

操作

期望输出

是否满足

#grep@/etc/syslog.conf

输出中,@后面的主机名或ip地址不是为本机

2.4.4ZTE-AIX-SL04-04检查cron日志配置

操作

期望输出

是否满足

#greplogfile=/var/adm/cron/log/etc/cronlog.conf

输出中,@后面的主机名或ip地址不是为本机

本加固项仅对AIX5300-04或更高版本有效

2.4.5ZTE-AIX-SL04-05检查是否启用内核级审核

操作

期望输出

是否满足

#auditquery

输出中,包含:

auditingon

2.5ZTE-AIX-S05检查文件权限

2.5.1ZTE-AIX-SM05-01检查重要系统文件权限

操作

期望输出

是否满足

操作1:

#ls–l/etc/security

操作2:

#ls–l/etc/group

操作3:

#ls–l/etc/security/audit

操作4:

#ls–l/etc/passwd

权限部分输出如下:

操作1:

权限750,属主:

root:

security

操作2:

权限644,属主:

root:

security

操作3:

权限750,属主:

root:

audit

操作4:

权限644,属主:

root:

security

2.6ZTE-AIX-S06检查系统补丁安装情况

2.6.1ZTE-AIX-SH06-01检查操作系统补丁版本

#oslevel-r

2.7ZTE-AIX-S07检查网络协议安全配置

2.7.1ZTE-AIX-SL07-01检查IP协议配置

操作

期望输出

是否满足

#no-a|grepclean_partial_conns

clean_partial_conns=1

#no-a|grepdirected_broadcast

directed_broadcast=0

#no-a|grepicmpaddressmask

Icmpaddressmask=0

#no-a|grepipignoreredirects

Ipignoreredirects=1

#no-a|grepipsendredirects

Ipsendredirects=0

#no-a|grepipsrcrouteforward

Ipsrcrouteforward=0

#no-a|grepipsrcrouterecv

ipsrcrouterecv=0

#no-a|grepipsrcroutesend

ipsrcroutesend=0

#no-a|grepnonlocsrcroute

nonlocsrcroute=0

2.8ZTE-AIX-S08检查杂项

2.8.1ZTE-AIX-SL08-01禁止产生Core文件配置

操作

期望输出

是否满足

#grepcore/etc/security/limits

输出中包含:

core0

core_hard=0

#grep"ulimit-c0"/etc/profile

ulimit-c0

#lsattr-Elsys0|grepfull

fullcorefalseEnablefullCOREdumpTrue

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 总结汇报 > 学习总结

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2