AIX操作系统安全配置规范V(中国移动内部资料)nac.docx

《AIX操作系统安全配置规范V(中国移动内部资料)nac.docx》由会员分享，可在线阅读，更多相关《AIX操作系统安全配置规范V(中国移动内部资料)nac.docx（67页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、xxx实施xxx发布中国移动AIX操作系统安全配置规范安全配置规范Specification for AIX OS Configuration Used in China Mobile版本号：1.0.0中国移动通信有限公司网络部目录1范围围12规范范性引用用文件13术语语和定义义和缩略略语14AIIX设备备安全配配置要求求14.1账号管管理、认认证授权权24.1.1账号24.1.2口令44.1.3授权74.2日志配配置要求求104.33IP协议议安全配配置要求求144.3.1IP协议议安全144.3.2路由协协议安全全174.44设备其其他安全全配置要要求194.4.1屏幕保保护194.4.2

2、文件系系统及访访问权限限204.4.3物理端端口设置置224.4.4补丁管管理224.4.5服务234.4.6内核调调整264.4.7启动项项275编制制历史29前言言为了贯彻彻安全三三同步的的要求，在在设备选选型、入入网测试试、工程程验收以以及运行行维护等等环节，明明确并落落实安全全功能和和配置要要求。有有限公司司组织部部分省公公司编制制了中国国移动设设备安全全功能和和配置系系列规范范。本系列规范范可作为编编制设备备技术规规范、设设备入网网测试规规范，工工程验收收手册，局局数据模模板等文文档的依依据。本本规范是是该系列列规范之之一，明明确了中中国移动动各类型型设备所所需满足足的通用用安全功功

3、能和配配置要求求，并作作为本系系列其他他规范的的编制基基础。本标准起起草单位位：中国国移动通通信有限限公司网网络部、中国移动通信集团天津、江苏有限公司。本标准解解释单位位：同提提出单位位。本标准主主要起草草人： 张瑾、赵强、石磊、陈陈敏时、周周智、曹曹一生。1 范围本规范适适用于中中国移动动通信网网、业务务系统和和支撑系系统中使使用AIIX操作作系统的的设备。本本规范明明确了AAIX操操作系统统配置的的基本安安全要求求，在未未特别说说明的情情况下，均均适用于于所有运运行的AAIX操操作系统统版本。2 规范性引引用文件件本规范是是在中中国移动动设备通通用设备备安全功功能和配配置规范范（以以下简称

4、称通用用规范）各各项设备备配置要要求的基基础上，提提出的AAIX操操作系统统安全配配置要求求。以本规范还还针对直直接引用用通用用规范的配置要求，给出了在AIX操作系统上的具体配置方法和检测方法。编号采纳意见见补充说明明安全要求求-设备备-通用用-配置置-1完全采纳纳安全要求求-设备备-通用用-配置置-2完全采纳纳安全要求求-设备备-通用用-配置置-3-可选完全采纳纳安全要求求-设备备-通用用-配置置-4完全采纳纳安全要求求-设备备-通用用-配置置-5完全采纳纳安全要求求-设备备-通用用-配置置-299-可选选未采纳安全要求求-设备备-通用用-配置置-6-可选完全采纳纳安全要求求-设备备-通用用

5、-配置置-7-可选完全采纳纳安全要求求-设备备-通用用-配置置-9完全采纳纳安全要求求-设备备-通用用-配置置-122完全采纳纳安全要求求-设备备-通用用-配置置-133-可选选未采纳安全要求求-设备备-通用用-配置置-244-可选选完全采纳纳安全要求求-设备备-通用用-配置置-144-可选选完全采纳纳安全要求求-设备备-通用用-配置置-288未采纳安全要求求-设备备-通用用-配置置-166-可选选未采纳安全要求求-设备备-通用用-配置置-177-可选选完全采纳纳安全要求求-设备备-通用用-配置置-199完全采纳纳安全要求求-设备备-通用用-配置置-200-可选选完全采纳纳安全要求求-设备备-

6、通用用-配置置-277未采纳本规范新新增的安安全配置置要求，如如下：安全要求求-设备备-AIIX-配配置-44-可选选安全要求求-设备备-AIIX-配配置-55-可选选安全要求求-设备备-AIIX-配配置-112-可可选安全要求求-设备备-AIIX-配配置-113-可选选安全要求求-设备备-AIIX-配配置-118-可选选安全要求求-设备备-AIIX-配配置-119-可选选安全要求求-设备备-AIIX-配配置-221-可可选安全要求求-设备备-AIIX-配配置-222-可可选安全要求求-设备备-AIIX-配配置-223-可可选安全要求求-设备备-AIIX-配配置-224-可可选安全要求求-设备

7、备-AIIX-配配置-227-可可选安全要求求-设备备-AIIX-配配置-228-可可选安全要求求-设备备-AIIX-配配置-331-可可选安全要求求-设备备-AIIX-配配置-332-可可选安全要求求-设备备-AIIX-配配置-333-可可选安全要求求-设备备-AIIX-配配置-334-可可选安全要求求-设备备-AIIX-配配置-335-可可选安全要求求-设备备-AIIX-配配置-336-可可选安全要求求-设备备-AIIX-配配置-337-可可选3 术语和定定义和缩缩略语（对于规规范出现现的英文文缩略语语或符号号在这里里统一说说明。）语词英文描述述中文描述述4 AIX设设备安全全配置要要求本

8、规范所所指的设设备为采采用AIIX操作作系统的的设备。本本规范提提出的安安全配置置要求，在在未特别别说明的的情况下下，均适适用于采采用AIIX操作作系统的的设备。本规范从从运行AIIX操作作系统设设备的认认证授权权功能、安安全日志志功能、IIP网络络安全功功能，其其他自身身安全配配置功能能四个方方面提出出安全配配置要求求。4.1 账号管理理、认证证授权4.1.1 账号编号： 安全要要求-设设备-通通用-配配置-11要求内容容应按照不不同的用用户分配配不同的的账号，避避免不同同用户间间共享账账号，避避免用户户账号和设设备间通通信使用用的账号号共享。操作指南南1、参考考配置操操作为用户创创建账号号

9、：#useeraddd uuserrnamme #创建建账号#passswdd ussernnamee #设置置密码修改权限限：#chmmod 750 diirecctorry #其中中7555为设置置的权限限，可根根据实际际情况设设置相应应的权限限，diirecctorry是要要更改权权限的目目录)使用该命命令为不不同的用用户分配配不同的的账号，设设置不同同的口令令及权限限信息等等。2、补充充操作说说明检测方法法1、判定定条件能够登录录成功并并且可以以进行常常用操作作；2、检测测操作使用不同同的账号号进行登登录并进进行一些些常用操操作；3、补充充说明编号： 安全要要求-设设备-通通用-配配置

10、-22要求内容容应删除或或锁定与与设备运运行、维维护等工工作无关关的账号号。系统统内存在在不可删除的的内置账账号，包包括rooot,binn等。操作指南南1、参考考配置操操作删除用户户：#rrmusser p uuserrnamme; 锁定用户户：1)修改改/ettc/sshaddow文文件，用用户名后后加*LLK*2)将/etcc/paasswwd文件件中的sshelll域设设置成/binn/faalsee3)#ppassswd -l useernaame只有具备备超级用用户权限限的使用用者方可可使用，#passswdd -ll ussernnamee锁定用用户,用用#paasswwd d

11、ussernnamee解锁后后原有密密码失效效，登录录需输入入新密码，修修改/eetc/shaadoww能保留留原有密密码。2、补充充操作说说明需要锁定定的用户户：deeamoon,bbin,syss,addm,uuucpp,nuuucpp,prrinttq,gguesst,nnoboody,lpdd,ssshd检测方法法1、判定定条件被删除或或锁定的的账号无法法登录成成功；2、检测测操作使用删除除或锁定定的与工工作无关关的账号号登录系系统；3、补充充说明需要锁定定的用户户：deeamoon,bbin,syss,addm,uuucpp,nuuucpp,prrinttq,gguesst,nnob

12、oody,lpdd,ssshd 编号： 安全要要求-设设备-通通用-配配置-33要求内容容限制具备备超级管管理员权权限的用用户远程程登录。远远程执行行管理员员权限操操作，应应先以普普通权限限用户远远程登录录后，再再切换到到超级管管理员权权限账号号后执行行相应操操作。操作指南南1、 参考配置置操作编辑/eetc/seccuriity/useer，加加上：在rooot项上上输入ffalsse作为为rlooginn的值此项只能能限制rroott用户远远程使用用tellnett登录。用ssh登录，修改此项不会看到效果的2、补充充操作说说明如果限制制rooot从远远程sssh登录录，修改改/ettc/s

13、ssh/sshhd_cconffig文文件，将将PerrmittRoootLooginn yees改为为PerrmittRoootLooginn noo，重启启sshhd服务务。检测方法法1、判定定条件roott远程登登录不成成功，提提示“Nott onn syysteem cconssolee”；普通用户户可以登登录成功功，而且且可以切切换到rroott用户；2、检测测操作roott从远程程使用ttelnnet登登录；普通用户户从远程程使用ttelnnet登登录；roott从远程程使用sssh登登录；普通用户户从远程程使用sssh登登录；3、补充充说明限制rooot从从远程sssh登登录，修

14、改/eetc/sshh/ssshd_connfigg文件，将将PerrmittRoootLooginn yees改为为PerrmittRoootLooginn noo，重启启sshhd服务务。编号： 安全要要求-设设备-AAIX-配置-4-可选选要求内容容根据系统统要求及及用户的的业务需需求，建建立多帐帐户组，将将用户账账号分配配到相应应的帐户户组。操作指南南1、参考考配置操操作创建帐户户组：#grooupaadd g GGID grooupnnamee #创创建一个个组，并并为其设设置GIID号，若若不设GGID，系系统会自自动为该该组分配配一个GGID号号；#useermood g ggr

15、ouup uuserrnamme #将用用户ussernnamee分配到到grooup组组中。查询被分分配到的的组的GGID：#idd ussernnamee可以根据据实际需需求使用用如上命命令进行行设置。2、补充充操作说说明可以使用用 -gg 选项项设定新新组的 GIDD。0 到 4499 之间的的值留给给 rooot、bbin、mmaill 这样样的系统统账号，因因此最好好指定该该值大于于 4999。如如果新组组名或者者 GIID 已已经存在在，则返返回错误误信息。当grooup_namme字段段长度大大于八个个字符，ggrouupaddd命令令会执行行失败；当用户希希望以其其他用户户组成

16、员员身份出出现时，需需要使用用newwgrpp命令进进行更改改，如#newwgrpp syys 即即把当前前用户以以syss组身份份运行；检测方法法1、判定定条件可以查看看到用户户账号分配配到相应应的帐户户组中；或都通过过命令检检查账号号是否属属于应有有的组：#id useernaame 2、检测测操作查看组文文件：ccat /ettc/ggrouup 3、补充充说明文件中的的格式说说明：grouup_nnamee:GIID:uuserr_liist 编号： 安全要要求-设设备-AAIX-配置-5-可选选要求内容容对系统账账号进行行登录限限制，确确保系统统账号仅被被守护进进程和服服务使用用，不

17、应应直接由由该账号号登录系系统。如如果系统统没有应应用这些些守护进进程或服服务，应应删除这这些账号号。操作指南南1、参考考配置操操作禁止账号号交互式式登录：修改/eetc/shaadoww文件，用用户名后后密码列列为NPP；删除账号号：#rmmuseer -p uuserrnamme;2、补充充操作说说明禁止交互互登录的的系统账号号，比如如uuccp nnuuccp llpd gueest priintqq等检测方法法1、判定定条件被禁止账账号交互互式登录录的帐户户远程登登录不成成功；2、检测测操作用rooot登录录后，新新建一账账号，密密码不设设，从远远程用此此帐户登登录，登登录会显显示lo

18、oginn inncorrrecct，如如果rooot用用户没设设密码没没有任何何提示信信息直接接退出；3、补充充说明4.1.2 口令编号： 安全要要求-设设备-通通用-配配置-44要求内容容对于采用用静态口口令认证证技术的的设备，口口令长度度至少66位，并并包括数数字、小小写字母母、大写写字母和和特殊符符号4类类中至少少2类。操作指南南1、参考考配置操操作chseec -f /etcc/seecurrityy/usser -s deffaullt -a minnlenn=6chseec -f /etcc/seecurrityy/usser -s deffaullt -a mminaalphh

19、a=11chseec -f /etcc/seecurrityy/usser -s deffaullt -a mminddifff=1chseec -f /etcc/seecurrityy/usser -s deffaullt -a mminootheer=11chseec f /etcc/seecurrityy/usser s ddefaaultt -aa pwddwarrntiime=5minllen=6 #密码长长度最少少6位minaalphha=11 #包含含的字母母最少11个minddifff=1 #包含含的唯一一字符最最少1个个minootheer=11#包含含的非字字母最少少1个p

20、wdwwarnntimme=55 #系系统在密密码过期期前5天天发出修修改密码码的警告告信息给给用户2、补充充操作说说明 检测方法法1、判定定条件不符合密密码强度度的时候候，系统统对口令令强度要要求进行行提示；符合密码码强度的的时候，可可以成功功设置；2、检测测操作1、检查查口令强强度配置置选项是是否可以以进行如如下配置置：i. 配置口令令的最小小长度；ii. 将口令配配置为强强口令。2、创建建一个普普通账号号，为用用户配置置与用户户名相同同的口令令、只包包含字符符或数字字的简单单口令以以及长度度短于66位的口口令，查查看系统统是否对对口令强强度要求求进行提提示；输输入带有有特殊符符号的复复杂

21、口令令、普通通复杂口口令，查查看系统统是否可可以成功功设置。编号： 安全要要求-设设备-通通用-配配置-55要求内容容对于采用用静态口口令认证证技术的的设备，帐户口令的生存期不长于90天。操作指南南1、 参考配置置操作方法一：chseec -f /etcc/seecurrityy/usser -s deffaullt -a hisstexxpirre=113方法二：用vi或或其他文文本编辑辑工具修修改chhsecc -ff /eetc/seccuriity/useer文件件如下值值：histtexppiree=133histtexppiree=133 #密密码可重重复使用用的星期期为133周（

22、991天）2、补充充操作说说明检测方法法1、判定定条件密码过期期后登录录不成功功；2、检测测操作使用超过过90天天的帐户户口令登登录会提提示密码码过期；编号： 安全要要求-设设备-通通用-配配置-66-可选选要求内容容对于采用用静态口口令认证证技术的的设备，应应配置设设备，使使用户不不能重复复使用最最近5次次（含55次）内内已使用用的口令令。操作指南南1、参考考配置操操作方法一：chseec -f /etcc/seecurrityy/usser -s deffaullt -a hhisttsizze=5方法二：用vi或或其他文文本编辑辑工具修修改chhsecc -ff /eetc/seccur

23、iity/useer文件件如下值值：histtsizze=55histtexppiree=5 #可允允许的密密码重复复次数检测方法法1、判定定条件设置密码码不成功功2、检测测操作cat /ettc/ssecuuritty/uuserr，设置置如下histtsizze=553、补充充说明默认没有有hisstsiize的的标记，即即不记录录以前的的密码。编号： 安全要要求-设设备-通通用-配配置-77-可选选要求内容容对于采用用静态口口令认证证技术的的设备，应应配置当当用户连连续认证证失败次次数超过过6次（不不含6次次），锁锁定该用用户使用用的账号号。操作指南南1、参考考配置操操作指定当本本地用户

24、户登陆失失败次数数等于或或者大于于允许的的重试次次数则账账号被锁锁定：chseec -f /etcc/seecurrityy/usser -s deffaullt -a llogiin rretrriess=62、补充充操作说说明检测方法法1、判定定条件帐户被锁锁定，不不再提示示让再次次登录；2、检测测操作创建一个个普通账账号，为为其配置置相应的的口令；并用新新建的账账号通过过错误的的口令进进行系统统登录66次以上上（不含含6次）；4.1.3 授权编号： 安全要要求-设设备-通通用-配配置-99要求内容容在设备权权限配置置能力内内，根据据用户的的业务需需要，配配置其所所需的最最小权限限。操作指

25、南南1、参考考配置操操作通过chhmodd命令对对目录的的权限进进行实际际设置。2、 补充操作作说明chowwn -R rroott:seecurrityy /eetc/passswdd /eetc/grooup /ettc/ssecuuritty cchowwn -R rroott:auuditt /eetc/seccuriity/auddit chmmod 6444 /eetc/passswdd /eetc/grooup chmmod 7500 /eetc/seccuriity chmmod -R go-w,oo-r /ettc/ssecuuritty/etcc/paasswwd /etc

26、c/grroupp /eetc/seccuriity的的所有者者必须是rroott和seecurrityy组成员员/etcc/seecurrityy/auuditt的所有有者必须须是irroott和auuditt组成员员/etcc/paasswwd 所所有用户户都可读读，rooot用用户可写写 rrw-rrr /etcc/shhadoow 只只有rooot可可读 r- /etcc/grroupp 必须须所有用用户都可可读，rroott用户可可写 rw-rrr使用如下下命令设设置：chmood 6644 /ettc/ppassswdchmood 6644 /ettc/ggrouup如果是有有写权

27、限限，就需需移去组组及其它它用户对对/ettc的写写权限（特特殊情况况除外）执行命令令#chhmodd -RR goo-w,o-rr /eetc检测方法法1、判定定条件1、设备备系统能能够提供供用户权权限的配配置选项项，并记记录对用用户进行行权限配配置是否否必须在在用户创创建时进进行；2、记录录能够配配置的权权限选项项内容；3、所配配置的权权限规则则应能够够正确应应用，即即用户无无法访问问授权范范围之外外的系统统资源，而而可以访访问授权权范围之之内的系系统资源源。2、检测测操作1、利用用管理员员账号登录录系统，并并创建22个不同同的用户户；2、创建建用户时时查看系系统是否否提供了了用户权权限级

28、别别以及可可访问系系统资源源和命令令的选项项；3、为两两个用户户分别配配置不同同的权限限，2个个用户的的权限差差异应能能够分别别在用户户权限级级别、可可访问系系统资源源以及可可用命令令等方面面予以体体现；4、分别别利用22个新建建的账号号访问设设备系统统，并分分别尝试试访问允允许访问问的内容容和不允允许访问问的内容容，查看看权限配配置策略略是否生生效。3、补充充说明编号： 安全要要求-设设备-AAIX-配置-12-可可选要求内容容控制用户户缺省访访问权限限，当在创创建新文文件或目目录时 应屏蔽蔽掉新文文件或目目录不应应有的访访问允许许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件

29、或更高限制。操作指南南1、 参考配置置操作A.设置置所有存存在账户户的权限限：lsusser -a homme AALL | aawk pprinnt $1 | whiile reaad uuserr; ddo cchusser umaask=0777 $uuserrdoneevi /etcc/deefauult/loggin在在末尾增增加ummaskk 0227B.设置置默认的的proofille，用用编辑器器打开文文件/eetc/seccuriity/useer，找找到ummaskk这行，修修改如下下：Umassk=00772、补充充操作说说明如果用户户需要使使用一个个不同于于默认全全局系

30、统统设置的的umaask，可可以在需需要的时时候通过过命令行行设置，或或者在用用户的sshelll启动动文件中中配置。检测方法法1、判定定条件权限设置置符合实实际需要要；不应应有的访访问允许许权限被被屏蔽掉掉；2、检测测操作查看新建建的文件件或目录录的权限限，操作作举例如如下：#ls -l dirr ; #查看看目录ddir的的权限#catt /eetc/deffaullt/llogiin 查查看是否否有ummaskk 0227内容3、补充充说明umassk的默默认设置置一般为为0222，这给给新创建建的文件件默认权权限7555（7777-0222=7555），这这会给文文件所有有者读、写写权

31、限，但但只给组组成员和和其他用用户读权权限。umassk的计计算：umassk是使使用八进进制数据据代码设设置的，对对于目录录，该值值等于八八进制数数据代码码7777减去需需要的默默认权限限对应的的八进制制数据代代码值；对于文文件，该该值等于于八进制制数据代代码6666减去去需要的的默认权权限对应应的八进进制数据据代码值值。编号： 安全要要求-设设备-AAIX-配置-13-可可选要求内容容控制FTTP进程程缺省访访问权限限，当通过过FTPP服务创创建新文文件或目目录时应应屏蔽掉掉新文件件或目录录不应有有的访问问允许权权限。操作指南南1、参考考配置操操作a. 限制某些些系统帐帐户不准准ftpp登

32、录:通过修改改ftppuseers文文件，增增加帐户户#vi /ettc/fftpuuserrs b. 限制用户户可使用用FTPP不能用用Tellnett，假如如用户为为ftppxlll创建一个个/ettc/sshellls文文件, 添加一一行 /binn/trrue;修改/eetc/passswdd文件，ftpxll:x:119:1:/home/ftpxll:/bin/true注：还需需要把真真实存在在的shhelll目录加加入/eetc/sheellss文件，否否则没有有用户能能够登录录ftpp以上两个个步骤可可参考如如下shhelll自动执执行：lsusser -c ALLL | gre

33、ep -v #naame | ccut -f11 -dd: | whhilee reead NAMME; do if lsuuserr -ff $NNAMEE | greep iid | cuut -f2 -d= -lt 2000 ; thhen eechoo AAddiing $NAAME to /ettc/fftpuuserrs eechoo $NNAMEE /eetc/ftppuseers.neww fii doone sorrt -u /etcc/fttpusserss.neew /eetc/ftppuseers rm /ettc/fftpuuserrs.nnew choown roo

34、ot:ssysttem /ettc/fftpuuserrs cchmood 6600 /ettc/fftpuuserrsc. 限制fttp用户户登陆后后在自己己当前目目录下活活动编辑fttpacccesss，加加入如下下一行rresttricctedd-uiid *(限制制所有)，resttricctedd-uiid uuserrnamme（特特定用户户） ftpaacceess文文件与fftpuuserrs文件件在同一一目录 d. 设置fftp用用户登录录后对文文件目录录的存取取权限，可可编辑/etcc/fttpacccesss。chmood noo guuestt,annonyymouus

35、 deleete noo guuestt,annonyymouus overrwriite noo guuestt,annonyymouus renaame noo guuestt,annonyymouus umassk noo annonyymouus2、补充充操作说说明查看# catt fttpusserss说明: 在这这个列表表里边的的用户名名是不允允许fttp登陆陆的。roottdaemmonbinsysadmlpuucppnuuccplisttennoboodynoacccesssnoboody44检测方法法1、判定定条件权限设置置符合实实际需要要；不应应有的访访问允许许权限被被屏蔽

36、掉掉；2、检测测操作查看新建建的文件件或目录录的权限限，操作作举例如如下：#morre /etcc/fttpusserss #morre /ettc/ppassswd#morre /etcc/fttpacccesss 3、补充充说明查看# catt fttpusserss说明: 在这这个列表表里边的的用户名名是不允允许fttp登陆陆的。roottdaemmonbinsysadmlpuucppnuuccplisttennoboodynoacccesssnoboody444.2 日志配置置要求本部分对对AIXX操作系系统设备备的日志志功能提提出要求求，主要要考察设备备所具备备的日志志功能，确确保发

37、生生安全事事件后，设设备日志志能提供供充足的的信息进进行安全全事件定定位。根根据这些些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。编号： 安全要要求-设设备-通通用-配配置-112要求内容容设备应配配置日志志功能，对对用户登登录进行行记录，记记录内容容包括用用户登录录使用的的账号，登登录是否否成功，登登录时间间，以及及远程登登录时，用用户使用用的IPP地址。操作指南南1、参考考配置操操作修改配

38、置置文件vvi /etcc/syysloog.cconff，加上上这几行行：authh.innfottt/vaar/aadm/autthloog*.innfo;autth.nnoneett/vvar/admm/syysloognn 建立日志志文件，如如下命令令： toucch /varr/addm/aauthhlogg /vvar/admm/syysloog cchowwn rroott:syysteem /varr/addm/aauthhlogg 配置置日志文文件权限限，如下下命令：chmood 6600 /vaar/aadm/autthloog cchmood 6640 /vaar/aad

39、m/sysslogg 重新新启动ssysllog服服务，依依次执行行下列命命令：stoppsrcc -ss syysloogd starrtsrrc -s ssysllogddAIX系系统默认认不捕获获登录信信息到ssysllogdd，以上上配置增增加了验验证信息息发送到到/vaar/aadm/autthloog和/varr/addm/ssysllog，并并设置了了权限为为其他用用户和组组禁止读读写日志志文件。2、补充充操作说说明检测方法法1、判定定条件列出用户户账号、登登录是否否成功、登登录时间间、远程程登录时时的IPP地址。2、检测测操作cat /vaar/aadm/autthloogca

40、t /vaar/aadm/sysslogg3、补充充说明编号： 安全要要求-设设备-通通用-配配置-224-可可选要求内容容设备应配配置日志志功能，记记录对与与设备相相关的安安全事件件。操作指南南1、参考考配置操操作修改配置置文件vvi /etcc/syysloog.cconff，配置如下下类似语语句：*.errr;kkernn.deebugg;daaemoon.nnotiice; /varr/addm/mmesssagees定义为需需要保存存的设备备相关安安全事件件。2、补充充操作说说明检测方法法1、判定定条件查看/vvar/admm/meessaagess，记录录有需要要的设备备相关的的安

41、全事事件。2、检测测操作修改配置置文件vvi /etcc/syysloog.cconff，配置如下下类似语语句：*.errr;kkernn.deebugg;daaemoon.nnotiice; /varr/addm/mmesssagees定义为需需要保存存的设备备相关安安全事件件。3、补充充说明编号： 安全要要求-设设备-通通用-配配置-114-可可选要求内容容设备配置置远程日日志功能能，将需需要重点点关注的的日志内内容传输输到日志志服务器器。操作指南南1、参考考配置操操作修改配置置文件vvi /etcc/syysloog.cconff，加上这几几行：autth.iinfoottlloghho

42、stt *.inffo;aauthh.noonetttlooghoost *.eemerrgtttlogghosst llocaal7.*tttlogghosst可以将此此处looghoost替替换为实实际的IIP或域域名。重新启动动sysslogg服务，依次执行下列命令：stoppsrcc -ss syysloogd staartssrc -s syssloggd 2、补充充操作说说明注意：*.*和之之间为一一个Taab检测方法法1、判定定条件设备配置置远程日日志功能能，将需需要重点点关注的的日志内内容传输输到日志志服务器器。2、检测测操作查看日志志服务器器上的所所收到的的日志文文件。3、补

43、充充说明编号： 安全要要求-设设备-AAIX-配置-18-可可选要求内容容启用系统统记账（System accounting），记录系统数据，比如CPU利用率，磁盘的I/O信息等操作指南南1、 参考配置置操作把以下保保存为一一个文本本文件，并并执行lslppp -i bbos.accct /deev/nnulll 2&1 #检查查文件集集是否存存在 iif $? != 0 ; tthenn eccho boos.aacctt noot iinsttallled, caannoot pprocceedd elsse ssu - addm -c croontaab -l /ttmp/croontaab.aadm caat /tmmp/ccronntabb.addm #增加到到croontaab执行行 0 8-117 * * 1-55 /uusr/libb/saa/saa1 112000 3 & 0 * * * 00,6 /ussr/llib/sa/sa11 & 0 18-7 * * 1-55 /uusr/libb/saa/saa1 & 55 188 * * 11-5 /ussr/llib/sa/sa22 -ss 8:00 -e 18:01 -i 36000 -A & EOOF mmkdiir -p /var