注册登录
提 问
English 中文版
银行 系统安全

请教安全设置

大家好,我这边的系统是两台 AIX 小机组的 HACMP ,有独立的防火墙,也没有复杂的服务,上面有 web 应用和数据库,这样的安全设置行不行呢?请批评,谢谢。可能能够除去的用户:uucp,nuucp,lpd,imnadm,guest。可能不需要的公共组标识:uucp,printq,imnadm。/etc/passwd 包含基本的用户属性,可以把... 显示全部
大家好,我这边的系统是两台 AIX 小机组的 HACMP ,有独立的防火墙,也没有复杂的服务,上面有 web 应用和数据库,这样的安全设置行不行呢?请批评,谢谢。
可能能够除去的用户:uucp,nuucp,lpd,imnadm,guest。可能不需要的公共组标识:uucp,printq,imnadm。

/etc/passwd 包含基本的用户属性,可以把密码项写一个星号(*),禁止某个用户登录。在 /etc/security/passwd 相应行的开头插入一个星号(*)来禁用特定帐户。


/etc/security/user 文件包含扩充的用户属性。
pwdwarntime=7 loginretries=5 histsize=3 maxage=26 maxexpired=1 minalpha=2 minother=2 minlen=6 maxrepeats=2 mindiff=4
root: rlogin=false  sugroups=?
对于不用的用户可以设置 account_locked=true  expires=0101000070  login=false  rlogin=false

对于登录失败次数太多而被锁定的用户,解锁命令 chsec -f /etc/security/lastlog -s 用户名 -a unsuccessful_login_count=0


/etc/security/login.cfg 包含登录和用户鉴别的配置信息,
加密方法改成用 SHA512 或 Blowfish
sak_enabled=false
logindisable=4
logininterval=60
loginreenable=30
logindelay=5


修改/etc/syslog.conf文件增加日志审计内容:
*.crit
/var/log/loginlog
创建loginlog,记录失败登陆
#touch /var/log/loginlog
#chmod 600 /var/log/loginlog
#chgrp sys /var/log/loginlog
#refresh –s syslogd


编辑 /etc/profile ,为所有用户包含自动注销值,
TMOUT=600 ; TIMEOUT=600 ; export readonly TMOUT TIMEOUT


防止在登录屏幕上显示某些信息,编辑 /etc/security/login.cfg 中的 herald 参数,可以用 chsec 命令或者直接编辑文件。
# chsec -f /etc/security/login.cfg -a default -herald
"Unauthorized use of this system is prohibited.nnlogin: "

除去启动 CDE 的 /etc/rc.dt 脚本。禁用 xwd 和 xwud 命令。

为了关闭桌面自动启动功能,使用 smitty dtconfig 或 dtconfig -d。
输入下面的命令以得到 Login Manager 的进程 ID:cat /var/dt/Xpid
输入下面的命令停止 Login Manager: kill -term process_id


删除不需要的crons
cd /var/spool/cron/crontabs
rm -r sys
rm -r adm
rm -r uucp


修改 SSH 配置: vi /etc/ssh/sshd_config
    Protocol 2
禁止ssh的root用户登录、ssh使用10891端口
    PermitRootLogin no
    ssh port 10891
再重启ssh服务
    stopsrc -s sshd && startsrc -s sshd


编辑 /etc/inetd.conf ,禁止不安全服务开机自动启动,在要禁用的服务行前加井号(#),再刷新: refresh -s inetd

停止已启动的不安全服务服务
stopsrc -t telnet
stopsrc–t ftp


编辑 /etc/rc.tcpip 文件,在要禁用的服务行前加井号(#),禁用除以下服务外的所有服务:
portmap
syslog
inetd
sendmail
snmpd


/etc/inittab 中关闭下列服务
piobe    Printer IO BackEnd
qdaemon
Printer Queueing Daemon  
writesrv  write server
httpdlite  docsearch Web Server
imnss  
docsearch imnss Daemon
imqss  docsearch imqss daemon
用冒号(:)注释服务,不是井号(#)


编辑 /etc/snmpd.conf 修改 snmp 服务的配置
更改 /etc/snmpdv3.conf 中的 public 为 harden 或主机名
/usr/sbin/snmp3_ssw -1

stopsrc -s clinfoES
stopsrc -s clsmuxpdES
stopsrc -s snmpd

startsrc -s snmpd
startsrc -s clsmuxpdES
startsrc -s clinfoES


限制root用户不可访问ftp服务。/etc/ftpusers  增加一行:root
删除所有 .netrc 文件, find / -name .netrc 并删除 收起
关注 1
评论
参与6

查看其它 4 个回答北京荣歆咨询 的回答

北京荣歆咨询 北京荣歆咨询 系统架构师 北京荣歆咨询有限公司
配置太多,大概看了一下,应该对PowerHA影响不大。只是对snmp的设置有可能会影响clinfo的部分功能,见:HACMP clinfo only obtains data from SNMP when it is requested. You can optionally choose to have clinfo receive notification of events as asynchronous messages (traps).
trap public 127.0.0.1 1.2.3 fe #loopback
trap public 123.456.789.1#adam
trap public 123.456.789.2#eve
但是这里提到的异步消息接收功能是选配的。
必配的是:
In /etc/snmpdv3.conf or /etc/snmpd.conf, the required HACMP snmpd entry is:
smux 1.3.6.1.4.1.2.3.1.2.1.5 clsmuxpd_password # HACMP/ES for AIX clsmuxpd
In /etc snmpd.peers, the required HACMP snmpd entry is:
clsmuxpd 1.3.6.1.4.1.2.3.1.2.1.5 "clsmuxpd_password" # HACMP/ES for AIX clsmuxpd
这部分功能不受影响就应该没关系。可以测一下clinfo的功能就行了(用clstat)。

另:AIX 6.1.0.0-03 的版本太低了(用oslevel -s看的详细些),如果是生产用至少打到SP3以上的patch,最好CSP。
IT咨询服务 · 2015-01-08
浏览2139
评论

回答者

北京荣歆咨询
北京荣歆咨询 0 0 3
系统架构师 北京荣歆咨询有限公司
擅长领域: 服务器存储数据库
关注290
回答383
评论400

北京荣歆咨询 最近回答过的问题

  • 灾备中心设计切入点如何选择?
  • 医疗数据集中平台可以类似高校的信息门户整合吗?
  • 互联网电商的开源分布式大数据架构如何应用在医疗系统?
  • 适合医疗行业高性价比的容灾解决方案?
  • X86及Power的架构从性价比上应该如何选择?

    • 回答状态

  • 发布时间:2015-01-08
  • 关注会员:1 人
  • 回答浏览:2139

    • 关于TWT 使用指南社区专家合作 厂商入驻社区 企业招聘投诉建议版权与免责声明联系我们
    © 2024 talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30

    X社区推广