AIX安全加固操作手册.pdf

AIX 安全加固操作手册 作为宽带智能网中的 Appserver，在完成 AIX 操作系统上智能网系统的安装和配置以后（除系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵，系统加固的具体步骤如下：一、系统推荐补丁升级加固 1检查是否打上了 AIX 操作系统要求补丁（433 要求 10 以上；5.1 要求 5 以上；5.2要求使用 IBM 最新发布的补丁）检查补丁版本命令：oslevel r 或 instfix i|grep ML (看返回结果中 OS 版本后带的小版本号)2如果未安装补丁，使用如下方式安装补丁 1)将补丁盘放入光驱、以 root 执行：mount/cdrom 2)执行：smitty update_all（选择/dev/cd0 为安装介质）注意选择安装选项中：COMMIT software updates?no SAVE replaced files?yes 安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown Fr 重起系统 二、AIX 系统配置安全加固 1.编辑/etc/inetd.conf 文件，关闭所有服务。将 inetd.conf 文件中的内容清空 /etc/inetd.conf refresh s inetd 2.编辑/etc/rc.tcpip 文件，关闭除以下服务外的所有服务：portmap syslog inetd sendmail snmpd 如关闭 dpid2，则只要注销以下行：(前面加#号即可)#start/usr/sbin/dpid2$src_running 再使用：stopsrc s XXX 来停止这些已经启动的服务 3./etc/inittab 中关闭 用:注释服务，不是#piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server imnss docsearch imnss Daemon imqss docsearch imqss daemon 4.删除一些无用的用户 rmuser-p uucp;rmuser-p nuucp 5.手工编辑/etc/security/user 控制用户登录限制、缺省文件创建权限限制 default 默认设置不允许 suloginrlogin，将三项设置依次设置为 false 即可，其余缺省；缺省 umask 设置为 027；设置各用户设置密码的最小长度为 8；放开 root、(sybase 或 oracle)、zxin10 用户的 su 权限；放开(sybase 或 oracle)、zxin10用户的 rlogin 权限；设置 root 的 umask 为 077 default:login=false su=false rlogin=false umask=027 minlen=8.root:su=true umask=077.zxin10:su=true rlogin=true.oracle:su=true rlogin=true pwdck-y ALL 修复同步口令文件 6.更改 login 默认策略（/etc/security/login.cfg）default:logindelay=2 logindisable=3 logininterval=60（logininterval 秒内产生 logindisable 次无效登录，即锁定 port）loginreenable=5（loginreenable 分钟后解除锁定）7.编辑/etc/profile，添加下列行：TMOUT=3600 TIMEOUT=3600 export TMOUT TIMEOUT 在安装 rpm 格式的安装包之前需要安装文件集 rpm.rte 和 perl.rte,rpm.rte文件集能够通过以下途径获得：Linux Toolbox CD 光盘或者 Linux Toolbox 站点：http:/ 这些文件集可以通过 smitty installp 命令来安装 2.下载 rpm 格式的安装包 rpm 格式的安装包能够从以下网址下载：http:/ 在这个网页上，prngd 程序（Psuedo Random Number Generator Daemon)和 zlib 压缩和解压缩库能被下载，它们是安装 openssl rpm 安装包所首要必需的，他们各自对应的文件集为：prngd-0.9.23-2.aix4.3.ppc.rpm 和 zlib-1.aix4.3.ppc.rpm。在分类内容下载区域的右上方点击 AIX TOOLbox Cryptographic Content,如果你不是一个已注册的用户，你应该先注册你自己。然后点击在面板底部出现的 Accept License 按钮并开始下载 openssl 和 openssh rpm 安装包：openssl-0.9e-2.aix4.3.ppc.rpm openssl-devel-0.9.6e-2.aix4.3.ppc.rpm openssl-doc-0.9.6e-2.aix4.3.ppc.rpm openssh-3.4p1-4.aix4.3.ppc.rpm openssh-server-3.4p1-4.aix4.3.ppc.rpm openssh-clients-3.4p1-4.aix4.3.ppc.rpm 3.安装 openSSH 必需的 rpm 安装包 把上一步下载的 rpm 文件包放到一个目录下面，并在此当前目录下运行如下命令进行安装：#rpm-i zlib-1.1.4-1.aix4.3.ppc.rpm#rpm-i prngd-0.9.23-2.aix4.3.ppc.rpm#rpm-i openssl-0.9e-2.aix4.3.ppc.rpm#rpm-i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm#rpm-i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm#rpm-i openssh-3.4p1-4.aix4.3.ppc.rpm#rpm-i openssh-server-3.4p1-4.aix4.3.ppc.rpm#rpm-i openssh-clients-3.4p1-4.aix4.3.ppc.rpm 有时在安装 openssl 文件包时会得到 error:failed dependencies 错误，如果出现这种错误请运行如下命令：#rpm-i-nodeps openssl-0.9.6e-2.aix4.3.ppc.rpm 下面的命令能用来更新 AIX-rpm:#/usr/sbin/updtvpkg prngd 必须在 openssl 和 openssh 安装之前安装，并且 openssl 又是安装 openssh rpm 文件包所首要必需的。文件集 openssl-devel-0.9.6e-2.aix4.3.ppc.rpm 和 openssl-doc-0.9.6e-2.aix4.3.ppc.rpm 不是安装 openSSH 所必需的。想验证一下这些文件包是否被安装，请运行如下命令：#rpm-qa|egrep(openssl|openssh|prng)-zlib-1.1.4-1 prngd-0.9.23-2 openssl-0.9.6e-2 openssl-devel-0.9.6e-2 openssl-doc-0.9.6e-2 openssh-3.4p1-4 openssh-server-3.4p1-4 openssh-clients-3.4p1-4 这些文件包被装在/opt/freeware 目录下，并且建立了一些连接在/usr/bin 或者/usr/sbin 目录里，如下所示：#ls-l/usr/bin/ssh lrwxrwxrwx-1 root-system-26 Oct 17 08:07/usr/bin/ssh-././opt/freeware/bin/ssh#ls-l/usr/sbin/sshd lrwxrwxrwx-1 root-system-28 Oct 17 08:06/usr/sbin/sshd-././opt/freeware/sbin/sshd（二）在 AIX 5.1 系统上安装 OpenSSH 在 5.1 系统里，openssh 本身的安装包是 installp 格式，但是所有的首要必备文件包（包括openssl）只能用 rpm-i 命令来安装（用与 4.3.3 一样的 rpm 文件包）。installp 格式的安装包能够从以下网址下载：http:/ 首先需要安装首要必备的文件包如下：