AIX安全加固操作手册.doc

AIX安全加固操作手册作为宽带智能网中的Appserver，在完成AIX操作系统上智能网系统的安装和配置以后（除系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵，系统加固的具体步骤如下：一、 系统推荐补丁升级加固1 检查是否打上了AIX操作系统要求补丁（433要求10以上；5.1要求5以上；5.2要求使用IBM最新发布的补丁）检查补丁版本命令：oslevel r 或 instfix i |grep ML (看返回结果中OS版本后带的小版本号)2 如果未安装补丁，使用如下方式安装补丁1) 将补丁盘放入光驱、以root执行：mount /cdrom2) 执行：smitty update_all （选择/dev/cd0为安装介质）注意选择安装选项中：COMMIT software updates? noSAVE replaced files? yes安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown Fr 重起系统二、 AIX系统配置安全加固1. 编辑/etc/inetd.conf文件，关闭所有服务。将inetd.conf文件中的内容清空> /etc/inetd.confrefresh s inetd2. 编辑/etc/rc.tcpip文件，关闭除以下服务外的所有服务：portmapsysloginetd sendmail snmpd如关闭dpid2，则只要注销以下行：(前面加#号即可)#start /usr/sbin/dpid2 "$src_running"再使用：stopsrc s XXX来停止这些已经启动的服务3. /etc/inittab中关闭用:注释服务，不是#piobe Printer IO BackEndqdaemon Printer Queueing Daemon writesrv write serverhttpdlite docsearch Web Serverimnss docsearch imnss Daemonimqss docsearch imqss daemon4. 删除一些无用的用户rmuser -p uucp;rmuser -p nuucp5. 手工编辑/etc/security/user 控制用户登录限制、缺省文件创建权限限制default默认设置不允许suloginrlogin，将三项设置依次设置为false即可，其余缺省；缺省umask设置为027；设置各用户设置密码的最小长度为8；放开root、(sybase或oracle)、zxin10用户的su权限；放开(sybase或oracle)、zxin10用户的rlogin权限；设置root的umask为077default:login=falsesu=falserlogin=falseumask=027minlen=8root:su=trueumask=077zxin10:su=truerlogin=trueoracle:su=truerlogin=truepwdck -y ALL修复同步口令文件6. 更改login默认策略（/etc/security/login.cfg）default:logindelay=2logindisable=3logininterval=60（logininterval秒内产生logindisable次无效登录，即锁定port）loginreenable=5（loginreenable分钟后解除锁定）7. 编辑/etc/profile，添加下列行：TMOUT=3600TIMEOUT=3600export TMOUT TIMEOUT8. 加固系统TCP/IP配置编辑rc文件，添加：/usr/sbin/no -o clean_partial_conns=1 /usr/sbin/no -o arpt_killc=20 /usr/sbin/no -o icmpaddressmask=0 /usr/sbin/no -o directed_broadcast=0 /usr/sbin/no -o ipsrcroutesend=0/usr/sbin/no -o ipsrcrouteforward=0/usr/sbin/no -o ip6srcrouteforward =0 /usr/sbin/no -o ipignoreredirects=1/usr/sbin/no -o ipsendredirects=09. 使用以下方法使尝试登录失败记录有效修改/etc/syslog.conf文件增加日志审计内容:*.crit /var/log/loginlog创建loginlog，记录失败登陆touch /var/log/loginlogchmod 600 /var/log/loginlogchgrp sys /var/log/loginlogrefresh s syslogd10. 删除不需要的cronscd /var/spool/cron/crontabsrm -r sysrm -r admrm -r uucp三、 安装ssh服务端和客户端）安装ssh服务端（AIX上）在AIX 4.3.3和5.1系统上安装OpenSSH内容提要这篇文档介绍了在AIX 4.3.3和5.1系统上安装openSSH的步骤正文（一）在AIX 4.3.3系统上安装OpenSSH在AIX 4.3.3系统里，openSSH是用RPM格式的安装包来安装的，而在5.1和5.2的系统里是用installp格式的安装包来安装的。在4.3.3系统上安装有如下三个步骤：1.安装首要必备的文件集；2.下载rpm格式的安装包；3.安装openSSH必需的rpm安装包。1.安装首要必备的文件集在安装rpm格式的安装包之前需要安装文件集rpm.rte和perl.rte,rpm.rte文件集能够通过以下途径获得：Linux Toolbox CD 光盘或者Linux Toolbox 站点：这些文件集可以通过smitty installp 命令来安装2.下载rpm格式的安装包rpm格式的安装包能够从以下网址下载：在这个网页上，prngd程序（Psuedo Random Number Generator Daemon)和zlib压缩和解压缩库能被下载，它们是安装openssl rpm安装包所首要必需的，他们各自对应的文件集为：prngd-0.9.23-2.aix4.3.ppc.rpm和zlib-1.aix4.3.ppc.rpm。在分类内容下载区域的右上方点击AIX TOOLbox Cryptographic Content,如果你不是一个已注册的用户，你应该先注册你自己。然后点击在面板底部出现的Accept License按钮并开始下载openssl和openssh rpm安装包：openssl-0.9e-2.aix4.3.ppc.rpmopenssl-devel-0.9.6e-2.aix4.3.ppc.rpmopenssl-doc-0.9.6e-2.aix4.3.ppc.rpmopenssh-3.4p1-4.aix4.3.ppc.rpmopenssh-server-3.4p1-4.aix4.3.ppc.rpmopenssh-clients-3.4p1-4.aix4.3.ppc.rpm3.安装openSSH必需的rpm安装包把上一步下载的rpm文件包放到一个目录下面，并在此当前目录下运行如下命令进行安装：# rpm -i zlib-1.1.4-1.aix4.3.ppc.rpm# rpm -i prngd-0.9.23-2.aix4.3.ppc.rpm# rpm -i openssl-0.9e-2.aix4.3.ppc.rpm# rpm -i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm# rpm -i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm# rpm -i openssh-3.4p1-4.aix4.3.ppc.rpm# rpm -i openssh-server-3.4p1-4.aix4.3.ppc.rpm# rpm -i openssh-clients-3.4p1-4.aix4.3.ppc.rpm有时在安装openssl文件包时会得到 error: failed dependencies错误，如果出现这种错误请运行如下命令：# rpm -i -nodeps openssl-0.9.6e-2.aix4.3.ppc.rpm下面的命令能用来更新AIX-rpm:# /usr/sbin/updtvpkgprngd必须在openssl和openssh安装之前安装，并且openssl又是安装openssh rpm 文件包所首要必需的。文件集 openssl-devel-0.9.6e-2.aix4.3.ppc.rpm 和 openssl-doc-0.9.6e-2.aix4.3.ppc.rpm 不是安装openSSH所必需的。想验证一下这些文件包是否被安装，请运行如下命令：# rpm -qa | egrep '(openssl|openssh|prng)'->zlib-1.1.4-1prngd-0.9.23-2openssl-0.9.6e-2openssl-devel-0.9.6e-2openssl-doc-0.9.6e-2openssh-3.4p1-4openssh-server-3.4p1-4openssh-clients-3.4p1-4这些文件包被装在/opt/freeware目录下，并且建立了一些连接在/usr/bin或者/usr/sbin目录里，如下所示：# ls -l /usr/bin/sshlrwxrwxrwx -1 root -system -26 Oct 17 08:07 /usr/bin/ssh -> -././opt/freeware/bin/ssh# ls -l /usr/sbin/sshdlrwxrwxrwx -1 root -system -28 Oct 17 08:06 /usr/sbin/sshd -> ././opt/freeware/sbin/sshd（二）在AIX 5.1系统上安装OpenSSH在5.1系统里，openssh本身的安装包是installp格式，但是所有的首要必备文件包（包括openssl）只能用rpm -i命令来安装（用与4.3.3一样的rpm文件包）。installp 格式的安装包能够从以下网址下载：首先需要安装首要必备的文件包如下：# rpm -i zlib-1.1.4-1.aix4.3.ppc.rpm# rpm -i prngd-0.9.23-2.aix4.3.ppc.rpm# rpm -i openssl-0.9e-2.aix4.3.ppc.rpm# rpm -i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm# rpm -i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm用smitty installp命令来安装从openssh34p1_51.tar文件中解压缩出来的openssh文件集，下面这些是安装openssh所需要的从tar文件里解压缩的文件集：openssh.base.clientopenssh.base.server openssh.licenseopenssh.man.en_USopenssh.msg.en_US 在用smit菜单安装时必须更改Accept new License agreement栏的值为yes，否则安装将会失败。 用下面的命令来验证你安装了的文件集：# lslpp -l | grep ssh openssh.base.client -3.4.0.0 COMMITTED Open Secure Shell Commandsopenssh.base.server -3.4.0.0 COMMITTED Open Secure Shell Serveropenssh.license - - 3.4.0.0 COMMITTED Open Secure Shell Licenseopenssh.man.en_US - -3.4.0.0 COMMITTED Open Secure Shellopenssh.msg.en_US - -3.4.0.0 COMMITTED Open Secure Shell Messages -openssh.base.client -3.4.0.0 COMMITTED Open Secure Shell Commandsopenssh.base.server -3.4.0.0 COMMITTED Open Secure Shell Server你也将发现ssh命令位于/usr/bin目录下：# ls -al /usr/bin/ssh-r-xr-xr-x -1 root - system - -503240 Sep 06 13:11 /usr/bin/ssh# ls -al /usr/bin/scp-r-xr-xr-x -1 root -system - -64654 Sep 06 13:11 /usr/bin/scp（三）在4.3和5.1系统上的初始化配置在/etc/inittab文件里有如下条目将在系统启动时调用在/etc/rc.d/rc2.d目录下所有以S开始的脚本：l2:2:wait:/etc/rc.d/rc 2在/etc/rc.d/rc2.d目录下，下面的例子显示出启动sshd所必需的符号连接：在4.3.3:#ls -l /etc/rc.d/rc2.d | grep sshlrwxrwxrwx -1 root -system -14 Oct 17 08:06 K55sshd -> ./init.d/sshdlrwxrwxrwx -1 root -system -14 Oct 17 08:06 S55sshd -> ./init.d/sshd在5.1 :# ls -l /etc/rc.d/rc2.d | grep ssh-r-xr-xr-x -1 root -system - -307 Oct 21 16:11 Ksshd-r-xr-xr-x -1 root -system - -308 Oct 21 16:11 Ssshdprngd程序被/etc/inittab文件里的如下条目启动：prng:2:wait:/usr/bin/startsrc -s prngd如果想要指定SSH2协议在OPenSSH被用，需要在/etc/ssh/sshd.config文件里加入如下行：Protocol 2可以用telnet命令来验证SSH协议的版本：# telnet localhost 22Trying.Connected to localhost.austin.ibm.Escape character is ''.SSH-2.0-OpenSSH_3.4p1上面显示你现在正在用ssh2.如果你看到如下信息：# telnet localhost 22Trying.telnet: connect: A remote host refused an attempted connect operation.那么说明sshd程序现在没有运行，用Ctrl-c和q来终止，然后运行如下命令：#startsrc -s sshd不管什么时候调整了/etc/ssh/sshd.config文件，ssh都需要停掉并重新启动：#stopsrc -s sshd#startsrc -s sshdprngd也能用同样的方法停止和启动。）安装ssh客户端（windowns上）执行ssh的客户端安装程序即可完成安装，由于比较简单，不再详述。测试使用ssh客户端登录AIX，使用：开始>程序> SSH Secure Shell>Secure Shell Client启动客户端，在登录界面中使用：Quick Connect登录，输入AIX IP地址，登录用户，Authentication中选择Password方式，然后输入密码，如果登录成功，则表明ssh安装成功了。至此，AIX系统安全加固全部结束，请重新启动操作系统使设置生效：shutdown -Fr第 13 页