AIX加固指导
本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共27项。对系统的安全配置审计、加固操作起到指导性作用。1 账号管理、认证授权1.1 账号1.1.1 AIX-01-01-01编号 AIX-01-01-01名称 为不同的管理员分配不同的账号...显示全部
本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共27项。对系统的安全配置审计、加固操作起到指导性作用。
1 账号管理、认证授权
1.1 账号
1.1.1 AIX-01-01-01
编号 AIX-01-01-01
名称 为不同的管理员分配不同的账号
实施目的 根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响 账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
为用户创建账号:
#mkuser username
#passwd username
列出用户属性:
#lsuser username
更改用户属性:
#chuser attribute=value username
回退方案 删除新增加的帐户:#rmuser username
判断依据 标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险 高
重要等级 ★★★
备注
1.1.2 AIX-01-01-02
编号 AIX-01-01-02
名称 配置帐户锁定策略
实施目的 锁定不必要的帐户,提高系统安全。
问题影响 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。
如要锁定user1用户,则采用的命令如下:
#chuser account_locked=true user1
回退方案 如对user1用户解除锁定,则采用的命令如下:
#chuser account_locked=false user1
判断依据 系统管理员出示业务所需帐户列表。
查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。
实施风险 高
重要等级 ★★★
备注
1.1.3 AIX-01-01-03
编号 AIX-01-01-03
名称 限制超级管理员远程登录
实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。
问题影响 如允许root远程直接登陆,则系统将面临潜在的安全风险
系统当前状态 执行lsuser -a rlogin root命令,查看root的rlogin属性并记录
实施步骤 参考配置操作:
查看root的rlogin属性:
#lsuser -a rlogin root
禁止root远程登陆:
#chuser rlogin=false root
回退方案 还原root可以远程登陆,执行如下命令:
#chuser rlogin=true root
判断依据 执行#lsuser –a rlogin root命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。
实施风险 高
重要等级 ★★★
备注
1.1.4 AIX-01-01-04
编号 AIX-01-01-04
名称 对系统账号进行登录限制
实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用
问题影响 可能利用系统进程默认账号登陆,账号越权使用
系统当前状态 查看/etc/security/passwd中各账号状态并记录
实施步骤 参考配置操作:
系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。
禁止账号交互式登录:
#chuser account_locked=true username
删除账号:
#rmuser username
补充操作说明:
建议禁止交互登录的系统账号有:
daemon,bin,sys,adm,uucp,guest,nobody,lp,help等
回退方案 还原被禁止登陆的帐户:
#chuser account_locked=false username
注:对删除帐户的操作无法回退
判断依据 系统管理员出示业务所需登陆主机的帐户列表。
查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。
实施风险 高
重要等级 ★
备注
1.1.5 AIX-01-01-05
编号 AIX-01-01-05
名称 为空口令用户设置密码
实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。
问题影响 系统中的帐户存在被非法利用的风险
系统当前状态 查看/etc/passwd中的内容并记录
实施步骤 参考配置操作:
用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。
如采用和执行如下命令:
#passwd username password
回退方案 Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据 登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。如发现存在,则建议为该帐户设置密码。
实施风险 高
重要等级 ★
备注
1.2 口令
1.2.1 AIX-01-02-01
编号 AIX-01-02-01
名称 缺省密码长度限制
实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位。且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。
问题影响 增加系统的帐户密码被暴力破解的成功率和潜在的风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录。
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置密码最短长度为8位:
#chuser minlen=8 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuser uasename命令,查看帐户属性中密码的最短长度策略是否符合8位。如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.2 AIX-01-02-02
编号 AIX-01-02-02
名称 缺省密码复杂度限制
实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类
问题影响 增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令中最少包含4个字母字符的数量:
#chuser minalpha=4 username
设置口令中最少包含1个非字母数字字符数量:
#chuser minother=1 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.3 AIX-01-02-03
编号 AIX-01-02-03
名称 缺省密码生存周期限制
实施目的 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患
问题影响 容易造成密码被非法利用,并且难以管理
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令最长有效期为12周(84天):
#chuser maxage=12 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.4 AIX-01-02-04
编号 AIX-01-02-04
名称 密码重复使用限制
实施目的 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
问题影响 造成系统帐户密码破解的几率增加以及存在潜在的安全风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置同一口令与前面5个口令不能重复:
#chuser histsize=5 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuser uasename命令,查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个,则进行设置。
实施风险 低
重要等级 ★
备注
1.2.5 AIX-01-02-05
编号 AIX-01-02-05
名称 密码重试限制
实施目的 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
问题影响 增加系统帐户密码被暴力破解的风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置6次登陆失败后帐户锁定阀值:
#chuser loginretries=6 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次,则进行设置。
实施风险 中
重要等级 ★
备注收起
1 账号管理、认证授权
1.1 账号
1.1.1 AIX-01-01-01
编号 AIX-01-01-01
名称 为不同的管理员分配不同的账号
实施目的 根据不同类型用途设置不同的帐户账号,提高系统安全。
问题影响 账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
为用户创建账号:
#mkuser username
#passwd username
列出用户属性:
#lsuser username
更改用户属性:
#chuser attribute=value username
回退方案 删除新增加的帐户:#rmuser username
判断依据 标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险 高
重要等级 ★★★
备注
1.1.2 AIX-01-01-02
编号 AIX-01-01-02
名称 配置帐户锁定策略
实施目的 锁定不必要的帐户,提高系统安全。
问题影响 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。
系统当前状态 查看/etc/passwd中记录的系统当前用户列表
实施步骤 参考配置操作:
系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。
如要锁定user1用户,则采用的命令如下:
#chuser account_locked=true user1
回退方案 如对user1用户解除锁定,则采用的命令如下:
#chuser account_locked=false user1
判断依据 系统管理员出示业务所需帐户列表。
查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。
实施风险 高
重要等级 ★★★
备注
1.1.3 AIX-01-01-03
编号 AIX-01-01-03
名称 限制超级管理员远程登录
实施目的 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。
问题影响 如允许root远程直接登陆,则系统将面临潜在的安全风险
系统当前状态 执行lsuser -a rlogin root命令,查看root的rlogin属性并记录
实施步骤 参考配置操作:
查看root的rlogin属性:
#lsuser -a rlogin root
禁止root远程登陆:
#chuser rlogin=false root
回退方案 还原root可以远程登陆,执行如下命令:
#chuser rlogin=true root
判断依据 执行#lsuser –a rlogin root命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。
实施风险 高
重要等级 ★★★
备注
1.1.4 AIX-01-01-04
编号 AIX-01-01-04
名称 对系统账号进行登录限制
实施目的 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用
问题影响 可能利用系统进程默认账号登陆,账号越权使用
系统当前状态 查看/etc/security/passwd中各账号状态并记录
实施步骤 参考配置操作:
系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。
禁止账号交互式登录:
#chuser account_locked=true username
删除账号:
#rmuser username
补充操作说明:
建议禁止交互登录的系统账号有:
daemon,bin,sys,adm,uucp,guest,nobody,lp,help等
回退方案 还原被禁止登陆的帐户:
#chuser account_locked=false username
注:对删除帐户的操作无法回退
判断依据 系统管理员出示业务所需登陆主机的帐户列表。
查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。
实施风险 高
重要等级 ★
备注
1.1.5 AIX-01-01-05
编号 AIX-01-01-05
名称 为空口令用户设置密码
实施目的 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。
问题影响 系统中的帐户存在被非法利用的风险
系统当前状态 查看/etc/passwd中的内容并记录
实施步骤 参考配置操作:
用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。
如采用和执行如下命令:
#passwd username password
回退方案 Root身份设置用户口令,取消口令
如做了口令策略则失败
判断依据 登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。如发现存在,则建议为该帐户设置密码。
实施风险 高
重要等级 ★
备注
1.2 口令
1.2.1 AIX-01-02-01
编号 AIX-01-02-01
名称 缺省密码长度限制
实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位。且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。
问题影响 增加系统的帐户密码被暴力破解的成功率和潜在的风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录。
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置密码最短长度为8位:
#chuser minlen=8 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuser uasename命令,查看帐户属性中密码的最短长度策略是否符合8位。如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.2 AIX-01-02-02
编号 AIX-01-02-02
名称 缺省密码复杂度限制
实施目的 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类
问题影响 增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令中最少包含4个字母字符的数量:
#chuser minalpha=4 username
设置口令中最少包含1个非字母数字字符数量:
#chuser minother=1 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.3 AIX-01-02-03
编号 AIX-01-02-03
名称 缺省密码生存周期限制
实施目的 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患
问题影响 容易造成密码被非法利用,并且难以管理
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置口令最长有效期为12周(84天):
#chuser maxage=12 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天,则进行设置。
实施风险 低
重要等级 ★★★
备注
1.2.4 AIX-01-02-04
编号 AIX-01-02-04
名称 密码重复使用限制
实施目的 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令
问题影响 造成系统帐户密码破解的几率增加以及存在潜在的安全风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置同一口令与前面5个口令不能重复:
#chuser histsize=5 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。
判断依据 运行lsuser uasename命令,查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个,则进行设置。
实施风险 低
重要等级 ★
备注
1.2.5 AIX-01-02-05
编号 AIX-01-02-05
名称 密码重试限制
实施目的 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
问题影响 增加系统帐户密码被暴力破解的风险
系统当前状态 运行lsuser username命令,查看帐户属性和当前状态,并记录
实施步骤 参考配置操作:
查看帐户帐户属性:
#lsuser username
设置6次登陆失败后帐户锁定阀值:
#chuser loginretries=6 username
回退方案 根据在加固前所记录的帐户属性,修改设置到系统加固前状态
判断依据 运行lsuser uasename命令,查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次,则进行设置。
实施风险 中
重要等级 ★
备注收起