大家好,我这边的系统是两台 AIX 小机组的 HACMP ,有独立的防火墙,也没有复杂的服务,上面有 web 应用和数据库,这样的安全设置行不行呢?请批评,谢谢。
可能能够除去的用户:uucp,nuucp,lpd,imnadm,guest。可能不需要的公共组标识:uucp,printq,imnadm。
/etc/passwd 包含基本的用户属性,可以把密码项写一个星号(*),禁止某个用户登录。在 /etc/security/passwd 相应行的开头插入一个星号(*)来禁用特定帐户。
/etc/security/user 文件包含扩充的用户属性。
pwdwarntime=7 loginretries=5 histsize=3 maxage=26 maxexpired=1 minalpha=2 minother=2 minlen=6 maxrepeats=2 mindiff=4
root: rlogin=false sugroups=?
对于不用的用户可以设置 account_locked=true expires=0101000070 login=false rlogin=false
对于登录失败次数太多而被锁定的用户,解锁命令 chsec -f /etc/security/lastlog -s 用户名 -a unsuccessful_login_count=0
/etc/security/login.cfg 包含登录和用户鉴别的配置信息,
加密方法改成用 SHA512 或 Blowfish
sak_enabled=false
logindisable=4
logininterval=60
loginreenable=30
logindelay=5
修改/etc/syslog.conf文件增加日志审计内容:
*.crit
/var/log/loginlog
创建loginlog,记录失败登陆
#touch /var/log/loginlog
#chmod 600 /var/log/loginlog
#chgrp sys /var/log/loginlog
#refresh –s syslogd
编辑 /etc/profile ,为所有用户包含自动注销值,
TMOUT=600 ; TIMEOUT=600 ; export readonly TMOUT TIMEOUT
防止在登录屏幕上显示某些信息,编辑 /etc/security/login.cfg 中的 herald 参数,可以用 chsec 命令或者直接编辑文件。
# chsec -f /etc/security/login.cfg -a default -herald
"Unauthorized use of this system is prohibited.nnlogin: "
除去启动 CDE 的 /etc/rc.dt 脚本。禁用 xwd 和 xwud 命令。
为了关闭桌面自动启动功能,使用 smitty dtconfig 或 dtconfig -d。
输入下面的命令以得到 Login Manager 的进程 ID:cat /var/dt/Xpid
输入下面的命令停止 Login Manager: kill -term process_id
删除不需要的crons
cd /var/spool/cron/crontabs
rm -r sys
rm -r adm
rm -r uucp
修改 SSH 配置: vi /etc/ssh/sshd_config
Protocol 2
禁止ssh的root用户登录、ssh使用10891端口
PermitRootLogin no
ssh port 10891
再重启ssh服务
stopsrc -s sshd && startsrc -s sshd
编辑 /etc/inetd.conf ,禁止不安全服务开机自动启动,在要禁用的服务行前加井号(#),再刷新: refresh -s inetd
停止已启动的不安全服务服务
stopsrc -t telnet
stopsrc–t ftp
编辑 /etc/rc.tcpip 文件,在要禁用的服务行前加井号(#),禁用除以下服务外的所有服务:
portmap
syslog
inetd
sendmail
snmpd
/etc/inittab 中关闭下列服务
piobe Printer IO BackEnd
qdaemon
Printer Queueing Daemon
writesrv write server
httpdlite docsearch Web Server
imnss
docsearch imnss Daemon
imqss docsearch imqss daemon
用冒号(:)注释服务,不是井号(#)
编辑 /etc/snmpd.conf 修改 snmp 服务的配置
更改 /etc/snmpdv3.conf 中的 public 为 harden 或主机名
/usr/sbin/snmp3_ssw -1
stopsrc -s clinfoES
stopsrc -s clsmuxpdES
stopsrc -s snmpd
startsrc -s snmpd
startsrc -s clsmuxpdES
startsrc -s clinfoES
限制root用户不可访问ftp服务。/etc/ftpusers 增加一行:root
删除所有 .netrc 文件, find / -name .netrc 并删除
收起