AIX加固指导
本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共27项。对系统的安全配置审计、加固操作起到指导性作用。
1 账号管理、认证授权
1.1 账号
1.1.1 AIX-01-01-01
编号 AIX-01-01-01
名称 为不同的管理员分配不同的账号
实施目的 根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响 账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
为用户创建账号:
#mkuser username
#passwd username
列出用户属性:
#lsuser username
更改用户属性:
#chuser attribute=value username
回退方案 删除新增加的帐户:#rmuser username
判断依据 标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险 高
重要等级 ★★★
备注
1.1.2 AIX-01-01-02
编号 AIX-01-01-02
名称 配置帐户锁定策略
实施目的 锁定不必要的帐户,提高系统安全。
问题影响 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。
如要锁定user1用户,则采用的命令如下:
#chuser account_locked=true user1
回退方案 如对user1用户解除锁定,则采用的命令如下:
#chuser account_locked=false user1
判断依据 系统管理员出示业务所需帐户列表。
查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。
实施风险 高
重要等级 ★★★
备注
1.1.3 AIX-01-01-03
编号 AIX-01-01-03
名称 限制超级管理员远程登录
实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。
问题影响 如允许root远程直接登陆,则系统将面临潜在的安全风险
系统当前状态 执行lsuser -a rlogin root命令,查看root的rlogin属性并记录
实施步骤 参考配置操作:
查看root的rlogin属性:
#lsuser -a rlogin root
禁止root远程登陆:
#chuser rlogin=false root
回退方案 还原root可以远程登陆,执行如下命令:
#chuser rlogin=true root
判断依据 执行#lsuser –a rlogin root命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。
实施风险 高
重要等级 ★★★
备注
1.1.4 AIX-01-01-04
编号 AIX-01-01-04
名称 对系统账号进行登录限制
实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用
问题影响 可能利用系统进程默认账号登陆,账号越权使用
系统当前状态 查看/etc/security/passwd中各账号状态并记录
实施步骤 参考配置操作:
系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。
禁止账号交互式登录:
#chuser account_locked=true username
删除账号:
#rmuser username
补充操作说明:
建议禁止交互登录的系统账号有:
daemon,bin,sys,adm,uucp,guest,nobody,lp,help等
回退方案 还原被禁止登陆的帐户:
#chuser account_locked=false username
注:对删除帐户的操作无法回退
判断依据 系统管理员出示业务所需登陆主机的帐户列表。
查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。
实施风险 高
重要等级 ★
备注
1.1.5 AIX-01-01-05
编号 AIX-01-01-05
名称 为空口令用户设置密码
实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。
问题影响 系统中的帐户存在被非法利用的风险
系统当前状态 查看/etc/passwd中的内容并记录
实施步骤 参考配置操作:
用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。
如采用和执行如下命令:
#passwd username password
回退方案 Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据 登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。如发现存在,则建议为该帐户设置密码。
实施风险 高
重要等级 ★
备注
1.2 口令
1.2.1 AIX-01-02-01
编号 AIX-01-02-01
名称 缺省密码长度限制
实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位。且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。
问题影响 增加系统的帐户密码被暴力破解的成功率和潜在的风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录。
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置密码最短长度为8位:
#chuser minlen=8 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuser uasename命令,查看帐户属性中密码的最短长度策略是否符合8位。如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.2 AIX-01-02-02
编号 AIX-01-02-02
名称 缺省密码复杂度限制
实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类
问题影响 增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令中最少包含4个字母字符的数量:
#chuser minalpha=4 username
设置口令中最少包含1个非字母数字字符数量:
#chuser minother=1 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.3 AIX-01-02-03
编号 AIX-01-02-03
名称 缺省密码生存周期限制
实施目的 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患
问题影响 容易造成密码被非法利用,并且难以管理
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令最长有效期为12周(84天):
#chuser maxage=12 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.4 AIX-01-02-04
编号 AIX-01-02-04
名称 密码重复使用限制
实施目的 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
问题影响 造成系统帐户密码破解的几率增加以及存在潜在的安全风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置同一口令与前面5个口令不能重复:
#chuser histsize=5 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuser uasename命令,查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个,则进行设置。
实施风险 低
重要等级 ★
备注
1.2.5 AIX-01-02-05
编号 AIX-01-02-05
名称 密码重试限制
实施目的 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
问题影响 增加系统帐户密码被暴力破解的风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置6次登陆失败后帐户锁定阀值:
#chuser loginretries=6 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次,则进行设置。
实施风险 中
重要等级 ★
备注
1 账号管理、认证授权
1.1 账号
1.1.1 AIX-01-01-01
编号 AIX-01-01-01
名称 为不同的管理员分配不同的账号
实施目的 根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响 账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
为用户创建账号:
#mkuser username
#passwd username
列出用户属性:
#lsuser username
更改用户属性:
#chuser attribute=value username
回退方案 删除新增加的帐户:#rmuser username
判断依据 标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险 高
重要等级 ★★★
备注
1.1.2 AIX-01-01-02
编号 AIX-01-01-02
名称 配置帐户锁定策略
实施目的 锁定不必要的帐户,提高系统安全。
问题影响 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。
如要锁定user1用户,则采用的命令如下:
#chuser account_locked=true user1
回退方案 如对user1用户解除锁定,则采用的命令如下:
#chuser account_locked=false user1
判断依据 系统管理员出示业务所需帐户列表。
查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。
实施风险 高
重要等级 ★★★
备注
1.1.3 AIX-01-01-03
编号 AIX-01-01-03
名称 限制超级管理员远程登录
实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。
问题影响 如允许root远程直接登陆,则系统将面临潜在的安全风险
系统当前状态 执行lsuser -a rlogin root命令,查看root的rlogin属性并记录
实施步骤 参考配置操作:
查看root的rlogin属性:
#lsuser -a rlogin root
禁止root远程登陆:
#chuser rlogin=false root
回退方案 还原root可以远程登陆,执行如下命令:
#chuser rlogin=true root
判断依据 执行#lsuser –a rlogin root命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。
实施风险 高
重要等级 ★★★
备注
1.1.4 AIX-01-01-04
编号 AIX-01-01-04
名称 对系统账号进行登录限制
实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用
问题影响 可能利用系统进程默认账号登陆,账号越权使用
系统当前状态 查看/etc/security/passwd中各账号状态并记录
实施步骤 参考配置操作:
系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。
禁止账号交互式登录:
#chuser account_locked=true username
删除账号:
#rmuser username
补充操作说明:
建议禁止交互登录的系统账号有:
daemon,bin,sys,adm,uucp,guest,nobody,lp,help等
回退方案 还原被禁止登陆的帐户:
#chuser account_locked=false username
注:对删除帐户的操作无法回退
判断依据 系统管理员出示业务所需登陆主机的帐户列表。
查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。
实施风险 高
重要等级 ★
备注
1.1.5 AIX-01-01-05
编号 AIX-01-01-05
名称 为空口令用户设置密码
实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。
问题影响 系统中的帐户存在被非法利用的风险
系统当前状态 查看/etc/passwd中的内容并记录
实施步骤 参考配置操作:
用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。
如采用和执行如下命令:
#passwd username password
回退方案 Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据 登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。如发现存在,则建议为该帐户设置密码。
实施风险 高
重要等级 ★
备注
1.2 口令
1.2.1 AIX-01-02-01
编号 AIX-01-02-01
名称 缺省密码长度限制
实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位。且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。
问题影响 增加系统的帐户密码被暴力破解的成功率和潜在的风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录。
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置密码最短长度为8位:
#chuser minlen=8 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuser uasename命令,查看帐户属性中密码的最短长度策略是否符合8位。如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.2 AIX-01-02-02
编号 AIX-01-02-02
名称 缺省密码复杂度限制
实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类
问题影响 增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令中最少包含4个字母字符的数量:
#chuser minalpha=4 username
设置口令中最少包含1个非字母数字字符数量:
#chuser minother=1 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.3 AIX-01-02-03
编号 AIX-01-02-03
名称 缺省密码生存周期限制
实施目的 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患
问题影响 容易造成密码被非法利用,并且难以管理
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令最长有效期为12周(84天):
#chuser maxage=12 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.4 AIX-01-02-04
编号 AIX-01-02-04
名称 密码重复使用限制
实施目的 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
问题影响 造成系统帐户密码破解的几率增加以及存在潜在的安全风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置同一口令与前面5个口令不能重复:
#chuser histsize=5 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuser uasename命令,查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个,则进行设置。
实施风险 低
重要等级 ★
备注
1.2.5 AIX-01-02-05
编号 AIX-01-02-05
名称 密码重试限制
实施目的 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
问题影响 增加系统帐户密码被暴力破解的风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置6次登陆失败后帐户锁定阀值:
#chuser loginretries=6 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次,则进行设置。
实施风险 中
重要等级 ★
备注
13同行回答
3.1.2 AIX-03-01-02
编号 AIX-03-01-02
名称 限制管理员登陆IP
实施目的 对于通过IP协议进行远程维护的设备,设备应对允许登陆到该设备的IP地址范围进行设定。提高远程维护安全性。
问题影响 没有访问控制,系统可能被非法登陆或使用,从而存在潜在的安全风险。
系统当前状态 查看/etc/hosts.equiv文件配置并记录
实施步骤 参考配置操作:
建议采用如下安全配置操作:
修改文件 安全设置 操作说明
/etc/hosts.equiv
(全局配置文件)
~/.rhosts
(单独用户的配置文件) 限定信任的主机、账号
不能有单行的”+”或”+ +”的配置信息 编辑/etc/host.equiv文件或者~/.rhosts文件,只增加必须的帐户和主机,删除不必要的信任主机设置。
更改/etc/hosts.equiv文件的属性,只允许root可读写。
回退方案 修改/etc/hosts.equiv文件的配置到加固之前的状态
判断依据 查看/etc/hosts.equiv文件的配置是否按照以上要求进行了设置,如未设置则建议应按照要求进行设置。
实施风险 高
重要等级 ★
备注
3.2 路由协议安全
3.2.1 AIX-03-02-01
编号 AIX-03-02-01
名称 禁止ICMP重定向和关闭数据包转发
实施目的 禁止系统发送ICMP重定向包,关闭数据包转发,提高系统、网络的安全性
问题影响 主机可能存在会被非法改变路由的安全风险
系统当前状态 AIX系统网络参数可以通过no命令进行配置,执行no –a,显示所有网络参数并记录
实施步骤 参考配置操作:
建议采用如下设置进行安全配置:
AIX系统网络参数可以通过no命令进行配置,比较重要的网络参数有:
icmpaddressmask=0 忽略ICMP地址掩码请求
ipforwarding=0 不进行IP包转发
ipignoreredirects=1 忽略ICMP重定向包
ipsendredirects=0 不发送ICMP重定向包
ipsrcrouteforward=0 不转发源路由包
ipsrcrouterecv=0 不接收源路由包
ipsrcroutesend=0 不发送源路由包
no -a 显示当前配置的网络参数
no -o icmpaddressmask=0 忽略ICMP地址掩码请求
配置方式:
no -o ipignoreredirects=1
no -o ipsendredirects=0
no –o ipsrcrouteforward=0
no –o ipsrcroutesend=0
no –o clean_partial_conns=1
no –o directed_broadcast=0
以及:
策略 默认设置 安全设置
忽略ICMP重定向包 ipignoreredirects=0 ipignoreredirects=1
不发送ICMP重定向包 ipsendredirects=1 ipsendredirects=0
不转发源路由包 ipsrcrouteforward=1 ipsrcrouteforward=0
不发送源路由包 ipsrcroutesend=1 ipsrcroutesend=0
防御SYN-FLOOD clean_partial_conns=0 clean_partial_conns=1
防御SMURF攻击 directed_broadcast=1 directed_broadcast=0
在/etc/rc.net文件重添加以下命令:
/usr/sbin/no -o icmpaddressmask=0
/usr/sbin/no -o ipforwarding=0
/usr/sbin/no -o ipignoreredirects=1
/usr/sbin/no -o ipsendredirects=0
/usr/sbin/no -o ipsrcrouteforward=0
/usr/sbin/no -o ipsrcrouterecv=0
/usr/sbin/no -o ipsrcroutesend=0
回退方案 删除在/etc/rc.net文件中添加的命令,并使用命令恢复到加固之前的状态
判断依据 执行no –a命令或查看/etc/rc.net文件中是否按照以上命令进行了安全配置,如未设置,则建议应按照要求进行安全配置。
实施风险 高
重要等级 ★
备注
4 补丁管理
4.1.1 AIX-04-01-01
编号 AIX-04-01-01
名称 系统补丁安装标准
实施目的 应根据需要及时进行补丁装载。注意:补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。
问题影响 系统存在严重的安全漏洞,存在被攻击者利用的安全风险
系统当前状态 执行oslevel –r命令或instfix -i|grep ML命令,查看补丁当前安装的状况和版本
实施步骤 参考配置操作:
使用instfix –aik命令来完成补丁的安装操作。
注意:
1、在AIX系统中涉及安全的补丁包有以下几种:
推荐维护包(Recommended Maintenance Packages): 由一系列最新的文件集组成的软件包,包含了特定的操作系统(如AIX 5.2)发布以来的所有文件集的补丁。
关键补丁Critical fixes(cfix):自推荐维护包之后,修补关键性漏洞的补丁。
紧急补丁Emergency fixes(efix): 自推荐维护包之后,修补紧急安全漏洞的补丁。
2、补丁安装原则:
在新装和重新安装系统后,必须安装最新的推荐维护包,以及该最新推荐维护包以来的所有单独的cfix和efix。
日常维护中如果厂家推出新的RM、cfix、efix则按照原补丁维护管理规定进行补丁安装。
回退方案 根据在加固前执行的oslevel –r命令或instfix -i|grep ML命令,查看补丁当前安装的状况和版本的记录,删除或卸载相应的补丁恢复成加固前的状态。
判断依据 执行oslevel –r命令或instfix -i|grep ML命令,查看补丁当前安装的状况和版本是否与IBM最新发布的官方补丁相一致。如不一致,则应根据实际情况和业务需要进行补丁的安装操作。
实施风险 高
重要等级 ★★
备注
5 服务进程和启动
5.1.1 AIX-05-01-01
编号 AIX-05-01-01
名称 关闭无效服务和启动项
实施目的 关闭无效的服务和启动项,提高系统性能,增加系统安全性
问题影响 不用的服务和启动项可能会带来很多安全隐患,容易被攻击者利用,从而存在潜在的安全风险
系统当前状态 查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置;查看/etc/inetd.conf文件并记录当前的配置
实施步骤 参考配置操作:
系统管理员提供与业务和应用系统相关的服务和启动项列表。
一、rc.d
AIX系统中的服务主要在/etc/inittab文件和/etc/rc.*(包括rc.tcpip,rc.nfs)等文件中启动,事实上,/etc /rc.*系列文件主要也是由/etc/inittab启动。同时,AIX中所有启动的服务(至少与业务相关的)都可以同过SRC(System Resource Manager)进行管理。可以有三种方式查看系统服务的启动情况:
1、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件;
2、使用lssrc和lsitab命令;
3、通过smit查看和更改。
注:SRC本身通过/etc/inittab文件启动。
lssrc -a 列出所有SRC管理的服务的状态
lsitab -a 列出所有由/etc/inittab启动的信息,和cat /etc/inittab基本相同,除了没有注释。
根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比,如果发现与业务应用无关的服务,或不必要的服务和启动项,则关闭掉或禁用;也可以对服务做适当配置。
二、inetd.conf
由INETD启动的服务在文件/etc/inetd.conf定义(inetd本身在/etc/rc.tcpip中由SRC启动),因此查看INETD启动的服务的情况有两种方法:
1、使用vi查看/etc/inetd.conf中没有注释的行;
2、使用lssrc命令。
lssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态;
refresh -s inetd 更改/etc/inetd.conf文件后重启inetd。
建议关闭由inetd启动的所有服务;如果有管理上的需要,可以打开telnetd、ftpd、rlogind、rshd等服务。
启动或停止inetd启动的服务(例如ftpd):
1、使用vi编辑/etc/inetd.conf,去掉注释(启动)或注释掉(停止)ftpd所在的行;
2、重启inetd:refresh -s inetd。
根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比,如果发现与业务应用无关的服务,或不必要的服务和启动项,则关闭掉或禁用;也可以对服务做适当配置。
回退方案 还原/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置到加固前的状态
还原/etc/inetd.conf文件的配置到加固前的状态
判断依据 根据系统管理员提供的业务应用相关的服务与启动项列表,
查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置是否按照要求进行了安全配置。
查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。
如发现以上两个文件中的配置不符合要求,则建议应按照以上要求的操作对系统进行加固,关闭无效服务和启动项。
实施风险 高
重要等级 ★
备注
5.1.2 AIX-05-01-02
编号 AIX-05-01-02
名称 系统网络与服务安全配置标准
实施目的 关闭无效的服务和启动项,提高系统性能,增加系统安全性
问题影响 不用的服务和启动项可能会带来很多安全隐患,容易被攻击者利用,从而存在潜在的安全风险
系统当前状态 查看/etc/inittab文件并记录当前配置;
查看/etc/rc.*(包括rc.tcpip,rc.nfs等文件)文件并记录当前配置;
查看/etc/inetd.conf文件并记录当前的配置。
实施步骤 参考配置操作:
系统管理员提供与业务和应用系统相关的服务和启动项列表。
AIX系统中涉及服务的配置和启动信息的,主要在以下几个文件:
/etc/inittab文件
/etc/rc.*(包括rc.tcpip,rc.nfs等文件)。
由INETD启动的服务在文件/etc/inetd.conf定义(inetd本身在/etc/rc.tcpip中由SRC启动)。
本部分的安全基线主要通过修改这些文件中的内容进行配置。
根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比,如果发现与业务应用无关的服务,或不必要的服务和启动项,则关闭掉或禁用;也可以对服务做适当配置。
建议按照下表进行安全配置:
操作的文件 要求禁用的服务 设置方式 操作说明
/etc/inittab piobe 注释掉该行(在该服务所在行加上冒号”:”) 查看由/etc/inittab文件启动的表项:
lsitab -a
对/etc/inittab进行编辑,注释掉启动项
更改完配置后停止该服务。(参考stopsrc命令)
qdaemon
writesrv
imqss
imnss
httpdlite
rcnfs
uprintfd
dt
/etc/rc.tcpip routed 注释掉该行(在该服务所在行加上冒号”#”) 查看由/etc/rc.tcpip文件启动的表项:
lssrc –g tcpip
对/etc/irc.tcpip进行编辑,注释掉启动项
更改完配置后停止该服务。(参考stopsrc命令)
Gated
Dhcpcd
Dhcpsd
Dhcprd
autoconf6
ndpd-host
ndpd-router
Lpd
Timed
Xntpd
Rwhod
dpid2
Aixmibd
Hostmibd
Mrouted
Portmap
对于nfs、snmp、dns、sendmail服务,应该先关闭;需要的时候,再开放,并且对服务做适当配置。 执行以下命令:
lssrc –s 名称
startsrc –s名称
stopsrc –s名称
/etc/inetd.conf 原则上关闭由inetd启动的所有服务 所有服务全部注释掉 lssrc -l -s inetd ——查看inetd的状态以及由INETD启动的服务的状态;
编辑/etc/inetd.conf文件,注释不需要的服务,
更改完配置后需要重启inetd进程。
至少禁用以下服务:
Shell、kshell、login、klogin、exec、comsat、uucp、bootps、finger、systat、netstat、 tftp、talk、ntalk、rpc.rquotad、rpc.rexd、rpc.rusersd、、rpc.ttdbserver、 rpc.sprayd、rpc.cmsd、rpc.rwalld、rpc.pcnfsd、rpc.rstatd、rpc.ssalld、echo、 discard、chargen、daytime、time、comsat、websm、instsrv、imap2、pop3、kfcli、 xmquery 注释掉该行
ftpd、rlogind、rshd等服务,应根据日常管理需要,选择是否禁用 禁用的方法:注释掉该行 同上
回退方案 还原/etc/inittab文件配置到加固以前的状态;
还原/etc/rc.*(包括rc.tcpip,rc.nfs等文件)文件配置到加固以前的状态;
还原/etc/inetd.conf文件配置到加固以前的状态。
判断依据 根据系统管理员提供的业务应用相关的服务与启动项列表,
查看/etc/inittab文件的配置是否按照要求进行了安全配置。
查看/etc/rc.*(包括rc.tcpip,rc.nfs等文件)文件的配置是否按照要求进行了安全配置。
查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。
如发现以上三个文件中的配置不符合要求,则建议应按照以上要求的操作对系统进行加固,配置系统网络与服务安全标准。
实施风险 高
重要等级 ★
备注
6 设备其他安全配置要求
6.1 登陆超时策略
6.1.1 AIX-06-01-01
编号 AIX-06-01-01
名称 设置登录超时策略
实施目的 对于具备字符交互界面的设备,应配置定时帐户自动登出。
问题影响 管理员忘记退出被非法利用,增加潜在风险
系统当前状态 查看/etc/security/.profile文件的配置状态,并记录。
实施步骤 参考配置操作:
设置登陆超时时间为300秒,修改/etc/security/.profile文件,增加一行:
TMOUT=300;TIMEOUT=300;export readonly TMOUT TIMEOUT
回退方案 修改/etc/security/.profile文件的配置到加固之前的状态
判断依据 查看/etc/security/.profile文件中的配置,是否存在登陆超时时间的设置。如未设置,则建议应按照要求进行配置。
实施风险 中
重要等级 ★
备注
6.2 系统Banner设置
6.2.1 AIX-06-02-01
编号 AIX-06-02-01
名称 系统Banner设置
实施目的 通过修改系统banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息
问题影响 存在潜在的安全风险,攻击者容易获取系统的基本信息
系统当前状态 查看/etc/security/login.cfg文件并记录当前的配置
实施步骤 参考配置操作:
设置系统Banner的操作如下:
在/etc/security/login.cfg文件中,在default小节增加:
herald = “ATTENTION:You have logged onto a secured server..All accesses logged.\n\nlogin:”
回退方案 还原/etc/security/login.cfg文件的配置到加固前的状态
判断依据 查看/etc/security/login.cfg文件中的配置是否按照以上要求进行了配置,如未配置,则建议应根据要求进行配置。
实施风险 低
重要等级 ★★
备注
6.3 内核调整
6.3.1 AIX-06-03-01
编号 AIX-06-03-01
名称 系统内核参数配置,禁止core dump
实施目的 禁止core dump
问题影响 存在潜在的安全风险
系统当前状态 查看/etc/security/limits文件并记录当前的配置
实施步骤 参考配置操作:
禁止core dump的配置:
编辑 /etc/security/limits 改变core值
core 0
加入如下行:
core_hard = 0
执行下列命令:
echo “ulimit -c 0″ >> /etc/profile
chdev -l sys0 -a fullcore=false
回退方案 还原/etc/security/limits文件的配置到加固前的状态
判断依据 查看/etc/security/limits文件中的配置是否按照以上要求进行了配置,如未配置,则建议应根据要求进行配置。
实施风险 高
重要等级 ★
备注收起
编号 AIX-03-01-02
名称 限制管理员登陆IP
实施目的 对于通过IP协议进行远程维护的设备,设备应对允许登陆到该设备的IP地址范围进行设定。提高远程维护安全性。
问题影响 没有访问控制,系统可能被非法登陆或使用,从而存在潜在的安全风险。
系统当前状态 查看/etc/hosts.equiv文件配置并记录
实施步骤 参考配置操作:
建议采用如下安全配置操作:
修改文件 安全设置 操作说明
/etc/hosts.equiv
(全局配置文件)
~/.rhosts
(单独用户的配置文件) 限定信任的主机、账号
不能有单行的”+”或”+ +”的配置信息 编辑/etc/host.equiv文件或者~/.rhosts文件,只增加必须的帐户和主机,删除不必要的信任主机设置。
更改/etc/hosts.equiv文件的属性,只允许root可读写。
回退方案 修改/etc/hosts.equiv文件的配置到加固之前的状态
判断依据 查看/etc/hosts.equiv文件的配置是否按照以上要求进行了设置,如未设置则建议应按照要求进行设置。
实施风险 高
重要等级 ★
备注
3.2 路由协议安全
3.2.1 AIX-03-02-01
编号 AIX-03-02-01
名称 禁止ICMP重定向和关闭数据包转发
实施目的 禁止系统发送ICMP重定向包,关闭数据包转发,提高系统、网络的安全性
问题影响 主机可能存在会被非法改变路由的安全风险
系统当前状态 AIX系统网络参数可以通过no命令进行配置,执行no –a,显示所有网络参数并记录
实施步骤 参考配置操作:
建议采用如下设置进行安全配置:
AIX系统网络参数可以通过no命令进行配置,比较重要的网络参数有:
icmpaddressmask=0 忽略ICMP地址掩码请求
ipforwarding=0 不进行IP包转发
ipignoreredirects=1 忽略ICMP重定向包
ipsendredirects=0 不发送ICMP重定向包
ipsrcrouteforward=0 不转发源路由包
ipsrcrouterecv=0 不接收源路由包
ipsrcroutesend=0 不发送源路由包
no -a 显示当前配置的网络参数
no -o icmpaddressmask=0 忽略ICMP地址掩码请求
配置方式:
no -o ipignoreredirects=1
no -o ipsendredirects=0
no –o ipsrcrouteforward=0
no –o ipsrcroutesend=0
no –o clean_partial_conns=1
no –o directed_broadcast=0
以及:
策略 默认设置 安全设置
忽略ICMP重定向包 ipignoreredirects=0 ipignoreredirects=1
不发送ICMP重定向包 ipsendredirects=1 ipsendredirects=0
不转发源路由包 ipsrcrouteforward=1 ipsrcrouteforward=0
不发送源路由包 ipsrcroutesend=1 ipsrcroutesend=0
防御SYN-FLOOD clean_partial_conns=0 clean_partial_conns=1
防御SMURF攻击 directed_broadcast=1 directed_broadcast=0
在/etc/rc.net文件重添加以下命令:
/usr/sbin/no -o icmpaddressmask=0
/usr/sbin/no -o ipforwarding=0
/usr/sbin/no -o ipignoreredirects=1
/usr/sbin/no -o ipsendredirects=0
/usr/sbin/no -o ipsrcrouteforward=0
/usr/sbin/no -o ipsrcrouterecv=0
/usr/sbin/no -o ipsrcroutesend=0
回退方案 删除在/etc/rc.net文件中添加的命令,并使用命令恢复到加固之前的状态
判断依据 执行no –a命令或查看/etc/rc.net文件中是否按照以上命令进行了安全配置,如未设置,则建议应按照要求进行安全配置。
实施风险 高
重要等级 ★
备注
4 补丁管理
4.1.1 AIX-04-01-01
编号 AIX-04-01-01
名称 系统补丁安装标准
实施目的 应根据需要及时进行补丁装载。注意:补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。
问题影响 系统存在严重的安全漏洞,存在被攻击者利用的安全风险
系统当前状态 执行oslevel –r命令或instfix -i|grep ML命令,查看补丁当前安装的状况和版本
实施步骤 参考配置操作:
使用instfix –aik命令来完成补丁的安装操作。
注意:
1、在AIX系统中涉及安全的补丁包有以下几种:
推荐维护包(Recommended Maintenance Packages): 由一系列最新的文件集组成的软件包,包含了特定的操作系统(如AIX 5.2)发布以来的所有文件集的补丁。
关键补丁Critical fixes(cfix):自推荐维护包之后,修补关键性漏洞的补丁。
紧急补丁Emergency fixes(efix): 自推荐维护包之后,修补紧急安全漏洞的补丁。
2、补丁安装原则:
在新装和重新安装系统后,必须安装最新的推荐维护包,以及该最新推荐维护包以来的所有单独的cfix和efix。
日常维护中如果厂家推出新的RM、cfix、efix则按照原补丁维护管理规定进行补丁安装。
回退方案 根据在加固前执行的oslevel –r命令或instfix -i|grep ML命令,查看补丁当前安装的状况和版本的记录,删除或卸载相应的补丁恢复成加固前的状态。
判断依据 执行oslevel –r命令或instfix -i|grep ML命令,查看补丁当前安装的状况和版本是否与IBM最新发布的官方补丁相一致。如不一致,则应根据实际情况和业务需要进行补丁的安装操作。
实施风险 高
重要等级 ★★
备注
5 服务进程和启动
5.1.1 AIX-05-01-01
编号 AIX-05-01-01
名称 关闭无效服务和启动项
实施目的 关闭无效的服务和启动项,提高系统性能,增加系统安全性
问题影响 不用的服务和启动项可能会带来很多安全隐患,容易被攻击者利用,从而存在潜在的安全风险
系统当前状态 查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置;查看/etc/inetd.conf文件并记录当前的配置
实施步骤 参考配置操作:
系统管理员提供与业务和应用系统相关的服务和启动项列表。
一、rc.d
AIX系统中的服务主要在/etc/inittab文件和/etc/rc.*(包括rc.tcpip,rc.nfs)等文件中启动,事实上,/etc /rc.*系列文件主要也是由/etc/inittab启动。同时,AIX中所有启动的服务(至少与业务相关的)都可以同过SRC(System Resource Manager)进行管理。可以有三种方式查看系统服务的启动情况:
1、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件;
2、使用lssrc和lsitab命令;
3、通过smit查看和更改。
注:SRC本身通过/etc/inittab文件启动。
lssrc -a 列出所有SRC管理的服务的状态
lsitab -a 列出所有由/etc/inittab启动的信息,和cat /etc/inittab基本相同,除了没有注释。
根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比,如果发现与业务应用无关的服务,或不必要的服务和启动项,则关闭掉或禁用;也可以对服务做适当配置。
二、inetd.conf
由INETD启动的服务在文件/etc/inetd.conf定义(inetd本身在/etc/rc.tcpip中由SRC启动),因此查看INETD启动的服务的情况有两种方法:
1、使用vi查看/etc/inetd.conf中没有注释的行;
2、使用lssrc命令。
lssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态;
refresh -s inetd 更改/etc/inetd.conf文件后重启inetd。
建议关闭由inetd启动的所有服务;如果有管理上的需要,可以打开telnetd、ftpd、rlogind、rshd等服务。
启动或停止inetd启动的服务(例如ftpd):
1、使用vi编辑/etc/inetd.conf,去掉注释(启动)或注释掉(停止)ftpd所在的行;
2、重启inetd:refresh -s inetd。
根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比,如果发现与业务应用无关的服务,或不必要的服务和启动项,则关闭掉或禁用;也可以对服务做适当配置。
回退方案 还原/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置到加固前的状态
还原/etc/inetd.conf文件的配置到加固前的状态
判断依据 根据系统管理员提供的业务应用相关的服务与启动项列表,
查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置是否按照要求进行了安全配置。
查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。
如发现以上两个文件中的配置不符合要求,则建议应按照以上要求的操作对系统进行加固,关闭无效服务和启动项。
实施风险 高
重要等级 ★
备注
5.1.2 AIX-05-01-02
编号 AIX-05-01-02
名称 系统网络与服务安全配置标准
实施目的 关闭无效的服务和启动项,提高系统性能,增加系统安全性
问题影响 不用的服务和启动项可能会带来很多安全隐患,容易被攻击者利用,从而存在潜在的安全风险
系统当前状态 查看/etc/inittab文件并记录当前配置;
查看/etc/rc.*(包括rc.tcpip,rc.nfs等文件)文件并记录当前配置;
查看/etc/inetd.conf文件并记录当前的配置。
实施步骤 参考配置操作:
系统管理员提供与业务和应用系统相关的服务和启动项列表。
AIX系统中涉及服务的配置和启动信息的,主要在以下几个文件:
/etc/inittab文件
/etc/rc.*(包括rc.tcpip,rc.nfs等文件)。
由INETD启动的服务在文件/etc/inetd.conf定义(inetd本身在/etc/rc.tcpip中由SRC启动)。
本部分的安全基线主要通过修改这些文件中的内容进行配置。
根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比,如果发现与业务应用无关的服务,或不必要的服务和启动项,则关闭掉或禁用;也可以对服务做适当配置。
建议按照下表进行安全配置:
操作的文件 要求禁用的服务 设置方式 操作说明
/etc/inittab piobe 注释掉该行(在该服务所在行加上冒号”:”) 查看由/etc/inittab文件启动的表项:
lsitab -a
对/etc/inittab进行编辑,注释掉启动项
更改完配置后停止该服务。(参考stopsrc命令)
qdaemon
writesrv
imqss
imnss
httpdlite
rcnfs
uprintfd
dt
/etc/rc.tcpip routed 注释掉该行(在该服务所在行加上冒号”#”) 查看由/etc/rc.tcpip文件启动的表项:
lssrc –g tcpip
对/etc/irc.tcpip进行编辑,注释掉启动项
更改完配置后停止该服务。(参考stopsrc命令)
Gated
Dhcpcd
Dhcpsd
Dhcprd
autoconf6
ndpd-host
ndpd-router
Lpd
Timed
Xntpd
Rwhod
dpid2
Aixmibd
Hostmibd
Mrouted
Portmap
对于nfs、snmp、dns、sendmail服务,应该先关闭;需要的时候,再开放,并且对服务做适当配置。 执行以下命令:
lssrc –s 名称
startsrc –s名称
stopsrc –s名称
/etc/inetd.conf 原则上关闭由inetd启动的所有服务 所有服务全部注释掉 lssrc -l -s inetd ——查看inetd的状态以及由INETD启动的服务的状态;
编辑/etc/inetd.conf文件,注释不需要的服务,
更改完配置后需要重启inetd进程。
至少禁用以下服务:
Shell、kshell、login、klogin、exec、comsat、uucp、bootps、finger、systat、netstat、 tftp、talk、ntalk、rpc.rquotad、rpc.rexd、rpc.rusersd、、rpc.ttdbserver、 rpc.sprayd、rpc.cmsd、rpc.rwalld、rpc.pcnfsd、rpc.rstatd、rpc.ssalld、echo、 discard、chargen、daytime、time、comsat、websm、instsrv、imap2、pop3、kfcli、 xmquery 注释掉该行
ftpd、rlogind、rshd等服务,应根据日常管理需要,选择是否禁用 禁用的方法:注释掉该行 同上
回退方案 还原/etc/inittab文件配置到加固以前的状态;
还原/etc/rc.*(包括rc.tcpip,rc.nfs等文件)文件配置到加固以前的状态;
还原/etc/inetd.conf文件配置到加固以前的状态。
判断依据 根据系统管理员提供的业务应用相关的服务与启动项列表,
查看/etc/inittab文件的配置是否按照要求进行了安全配置。
查看/etc/rc.*(包括rc.tcpip,rc.nfs等文件)文件的配置是否按照要求进行了安全配置。
查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。
如发现以上三个文件中的配置不符合要求,则建议应按照以上要求的操作对系统进行加固,配置系统网络与服务安全标准。
实施风险 高
重要等级 ★
备注
6 设备其他安全配置要求
6.1 登陆超时策略
6.1.1 AIX-06-01-01
编号 AIX-06-01-01
名称 设置登录超时策略
实施目的 对于具备字符交互界面的设备,应配置定时帐户自动登出。
问题影响 管理员忘记退出被非法利用,增加潜在风险
系统当前状态 查看/etc/security/.profile文件的配置状态,并记录。
实施步骤 参考配置操作:
设置登陆超时时间为300秒,修改/etc/security/.profile文件,增加一行:
TMOUT=300;TIMEOUT=300;export readonly TMOUT TIMEOUT
回退方案 修改/etc/security/.profile文件的配置到加固之前的状态
判断依据 查看/etc/security/.profile文件中的配置,是否存在登陆超时时间的设置。如未设置,则建议应按照要求进行配置。
实施风险 中
重要等级 ★
备注
6.2 系统Banner设置
6.2.1 AIX-06-02-01
编号 AIX-06-02-01
名称 系统Banner设置
实施目的 通过修改系统banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息
问题影响 存在潜在的安全风险,攻击者容易获取系统的基本信息
系统当前状态 查看/etc/security/login.cfg文件并记录当前的配置
实施步骤 参考配置操作:
设置系统Banner的操作如下:
在/etc/security/login.cfg文件中,在default小节增加:
herald = “ATTENTION:You have logged onto a secured server..All accesses logged.\n\nlogin:”
回退方案 还原/etc/security/login.cfg文件的配置到加固前的状态
判断依据 查看/etc/security/login.cfg文件中的配置是否按照以上要求进行了配置,如未配置,则建议应根据要求进行配置。
实施风险 低
重要等级 ★★
备注
6.3 内核调整
6.3.1 AIX-06-03-01
编号 AIX-06-03-01
名称 系统内核参数配置,禁止core dump
实施目的 禁止core dump
问题影响 存在潜在的安全风险
系统当前状态 查看/etc/security/limits文件并记录当前的配置
实施步骤 参考配置操作:
禁止core dump的配置:
编辑 /etc/security/limits 改变core值
core 0
加入如下行:
core_hard = 0
执行下列命令:
echo “ulimit -c 0″ >> /etc/profile
chdev -l sys0 -a fullcore=false
回退方案 还原/etc/security/limits文件的配置到加固前的状态
判断依据 查看/etc/security/limits文件中的配置是否按照以上要求进行了配置,如未配置,则建议应根据要求进行配置。
实施风险 高
重要等级 ★
备注收起
比较有用,可以借鉴一下!收起
浏览1505
比较好收起
浏览1594
好东西学习收藏!收起
浏览1542
