注册登录
提 问
English中文版
银行系统安全

请教安全设置

大家好,我这边的系统是两台 AIX 小机组的 HACMP ,有独立的防火墙,也没有复杂的服务,上面有 web 应用和数据库,这样的安全设置行不行呢?请批评,谢谢。可能能够除去的用户:uucp,nuucp,lpd,imnadm,guest。可能不需要的公共组标识:uucp,printq,imnadm。/etc/passwd 包含基本的用户属性,可以把...显示全部
大家好,我这边的系统是两台 AIX 小机组的 HACMP ,有独立的防火墙,也没有复杂的服务,上面有 web 应用和数据库,这样的安全设置行不行呢?请批评,谢谢。
可能能够除去的用户:uucp,nuucp,lpd,imnadm,guest。可能不需要的公共组标识:uucp,printq,imnadm。

/etc/passwd 包含基本的用户属性,可以把密码项写一个星号(*),禁止某个用户登录。在 /etc/security/passwd 相应行的开头插入一个星号(*)来禁用特定帐户。


/etc/security/user 文件包含扩充的用户属性。
pwdwarntime=7 loginretries=5 histsize=3 maxage=26 maxexpired=1 minalpha=2 minother=2 minlen=6 maxrepeats=2 mindiff=4
root: rlogin=false  sugroups=?
对于不用的用户可以设置 account_locked=true  expires=0101000070  login=false  rlogin=false

对于登录失败次数太多而被锁定的用户,解锁命令 chsec -f /etc/security/lastlog -s 用户名 -a unsuccessful_login_count=0


/etc/security/login.cfg 包含登录和用户鉴别的配置信息,
加密方法改成用 SHA512 或 Blowfish
sak_enabled=false
logindisable=4
logininterval=60
loginreenable=30
logindelay=5


修改/etc/syslog.conf文件增加日志审计内容:
*.crit
/var/log/loginlog
创建loginlog,记录失败登陆
#touch /var/log/loginlog
#chmod 600 /var/log/loginlog
#chgrp sys /var/log/loginlog
#refresh –s syslogd


编辑 /etc/profile ,为所有用户包含自动注销值,
TMOUT=600 ; TIMEOUT=600 ; export readonly TMOUT TIMEOUT


防止在登录屏幕上显示某些信息,编辑 /etc/security/login.cfg 中的 herald 参数,可以用 chsec 命令或者直接编辑文件。
# chsec -f /etc/security/login.cfg -a default -herald
"Unauthorized use of this system is prohibited.nnlogin: "

除去启动 CDE 的 /etc/rc.dt 脚本。禁用 xwd 和 xwud 命令。

为了关闭桌面自动启动功能,使用 smitty dtconfig 或 dtconfig -d。
输入下面的命令以得到 Login Manager 的进程 ID:cat /var/dt/Xpid
输入下面的命令停止 Login Manager: kill -term process_id


删除不需要的crons
cd /var/spool/cron/crontabs
rm -r sys
rm -r adm
rm -r uucp


修改 SSH 配置: vi /etc/ssh/sshd_config
    Protocol 2
禁止ssh的root用户登录、ssh使用10891端口
    PermitRootLogin no
    ssh port 10891
再重启ssh服务
    stopsrc -s sshd && startsrc -s sshd


编辑 /etc/inetd.conf ,禁止不安全服务开机自动启动,在要禁用的服务行前加井号(#),再刷新: refresh -s inetd

停止已启动的不安全服务服务
stopsrc -t telnet
stopsrc–t ftp


编辑 /etc/rc.tcpip 文件,在要禁用的服务行前加井号(#),禁用除以下服务外的所有服务:
portmap
syslog
inetd
sendmail
snmpd


/etc/inittab 中关闭下列服务
piobe    Printer IO BackEnd
qdaemon
Printer Queueing Daemon  
writesrv  write server
httpdlite  docsearch Web Server
imnss  
docsearch imnss Daemon
imqss  docsearch imqss daemon
用冒号(:)注释服务,不是井号(#)


编辑 /etc/snmpd.conf 修改 snmp 服务的配置
更改 /etc/snmpdv3.conf 中的 public 为 harden 或主机名
/usr/sbin/snmp3_ssw -1

stopsrc -s clinfoES
stopsrc -s clsmuxpdES
stopsrc -s snmpd

startsrc -s snmpd
startsrc -s clsmuxpdES
startsrc -s clinfoES


限制root用户不可访问ftp服务。/etc/ftpusers  增加一行:root
删除所有 .netrc 文件, find / -name .netrc 并删除收起
关注1
评论
参与6

查看其它 4 个回答hx0hx的回答

hx0hxhx0hx系统运维工程师建设银行
回复 4# 北京荣歆咨询

多谢大侠提醒。我再研究研究。
oslevel -s 输出的是 6100-03-10-1119

禁用用户或者禁止 root 远程登录会影响 powerha 么?
银行 · 2015-01-08
浏览2044
评论

回答者

hx0hx
hx0hx
系统运维工程师建设银行
关注
回答6
评论28

hx0hx 最近回答过的问题

  • ANS1312E Server media mount not possible
  • 同城数据级备份的物理距离有标准么
  • iplanet 文件夹下文件数太多
  • iplanet 文件夹下文件数太多

    • 回答状态

  • 发布时间:2015-01-08
  • 关注会员:1 人
  • 回答浏览:2044

    • 关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们
    © 2024talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30

    X社区推广