AIX安全配置基线精编版[15页].docx

《AIX安全配置基线精编版[15页].docx》由会员分享，可在线阅读，更多相关《AIX安全配置基线精编版[15页].docx（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、最新资料推荐AIX 系统安全配置基线中国移动通信有限公司 管理信息系统部2009年 3月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章账号管理认证授权22.1账号22.1.1用户帐号设置22.1.2用户组设置22.1.3用户口令设置32.1.4Root用户远程登录限制32.1.5系统用户登录限制42.2口令42.2.1口令生存期安全要求42.2.2口令历史安全要求42.2.3用户口令锁定策略52.2.4

2、用户访问权限安全要求52.2.5用户FTP访问的安全要求6第3章网络与服务73.1服务73.1.1远程维护安全要求73.2网络73.2.1 ICMP重定向安全要求7第4章日志审计84.1日志84.1.1添加认证日志84.2审计84.2.1安全事件审计8第5章设备其他安全配置要求105.1设备105.1.1屏幕保护105.2缓冲区105.2.1缓冲区溢出10第6章评审与修订12最新精品资料整理推荐，更新于二二一年一月十八日2021年1月18日星期一17:52:16第1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的AIX 操作系统的主机应当遵循的操作系统安全性设置

3、标准，本文档旨在指导系统管理人员或安全检查人员进行AIX 操作系统的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的AIX 服务器系统。1.3 适用版本AIX系列服务器；1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 账号管理认证授

4、权2.1 账号2.1.1用户帐号设置安全基线项目名称操作系统AIX用户账户安全基线要求项安全基线编号SBL-AIX-02-01-01 安全基线项说明 用户帐号设置。检测操作步骤1、执行：lsuser a home ALL2、执行：ls l /etc/passwd基线符合性判定依据需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd备注2.1.2用户组设置安全基线项目名称操作系统AIX用户组安全基线要求项安全基线编号SBL-AIX-02-01-02 安全基线项说明 用户组设置。检测操作步骤1、执行：more /etc

5、/group 2、执行：ls -l /etc/group基线符合性判定依据不要存在无用的用户组：uucp printq备注2.1.3用户口令设置安全基线项目名称操作系统AIX用户口令安全基线要求项安全基线编号SBL-AIX-02-01-03 安全基线项说明 用户口令设置。对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类检测操作步骤1、执行：more /etc/security/user ，检查maxage/minlen/minage/pwdwarntime参数2、执行：pwdck n ALL, 检查是否存在空口令账号基线符合性判定依据不能

6、存在简单密码；创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。备注2.1.4Root用户远程登录限制安全基线项目名称操作系统AIX远程登录安全基线要求项安全基线编号SBL-AIX-02-01-04 安全基线项说明 Root用户远程登录限制。检测操作步骤1、执行：more /etc/security/user ，检查在root项目中是否有下列行:rlogin=falselogin=true su=true sugroup=system基线符合性

7、判定依据禁止root用户直接登录系统可以增加系统入侵的难度备注2.1.5系统用户登录限制安全基线项目名称操作系统AIX用户登录安全基线要求项安全基线编号SBL-AIX-02-01-05 安全基线项说明 系统用户登录限制。检测操作步骤1、执行：more /etc/security/user ，检查在daemon bin sys adm uucp nuucp printq guest nobody lpd sshd项目中是否有下列行:rlogin=falselogin=false基线符合性判定依据系统账号仅被守护进程和服务使用，不应直接由用户登录系统。如果系统没有应用这些守护进程或服务，建议删除这

8、些账号。备注2.2 口令2.2.1口令生存期安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天。检测操作步骤1、执行：more /etc/security/user ，检查histexpire基线符合性判定依据Histexpire小于等于13备注2.2.2口令历史安全要求安全基线项目名称操作系统AIX口令生存期安全基线要求项安全基线编号SBL-AIX-02-02-02 安全基线项说明 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次

9、）内已使用的口令。检测操作步骤1、执行：more /etc/security/user ，检查histsize基线符合性判定依据Histsize大于等于5备注2.2.3用户口令锁定策略安全基线项目名称操作系统AIX口令锁定安全基线要求项安全基线编号SBL-AIX-02-02-03 安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步骤1、执行：more /etc/security/user ，检查retries基线符合性判定依据retries=6备注2.2.4用户访问权限安全要求安全基线项目名称操作系统AIX用户访问

10、权限安全基线要求项安全基线编号SBL-AIX-02-02-04 安全基线项说明 控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。检测操作步骤1、执行：more /etc/default/login ，检查umask基线符合性判定依据umask 027备注2.2.5用户FTP访问的安全要求安全基线项目名称操作系统AIX用户FTP访问安全基线要求项安全基线编号SBL-AIX-02-02-05 安全基线项说明 控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应

11、有的访问允许权限。检测操作步骤1、 执行：more /etc/ftpaccess ，检查restricted-uid2、 执行：more /etc/ftpusers基线符合性判定依据ftpaccess中应有类似一行restricted-uid *(限制所有)；ftpusers列表里边的用户名应包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4备注第3章 网络与服务3.1 服务3.1.1远程维护安全要求安全基线项目名称操作系统AIX远程维护安全基线要求项安全基线编号SBL-AIX-03-01-01 安全基线项说明 对于使用IP

12、协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。检测操作步骤1、执行：ps elf|grep ssh2、执行：ps elf|grep telnet基线符合性判定依据ssh启用，telnet禁用备注3.2 网络3.2.1 ICMP重定向安全要求安全基线项目名称操作系统AIX ICMP重定向安全基线要求项安全基线编号SBL-AIX-03-02-01 安全基线项说明 主机系统应该禁止ICMP重定向，采用静态路由。检测操作步骤在/etc/rc2.d/S?inet搜索在/etc/rc2.d/S69inet中搜索基线符合性判定依据要求ip_send_redirects=0

13、要求ip6_send_redirects=0备注第4章 日志审计4.1 日志4.1.1添加认证日志安全基线项目名称操作系统AIX认证日志安全基线要求项安全基线编号SBL-AIX-04-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址检测操作步骤1、 执行：cat /etc/syslog.conf ，检查类似配置：auth.info /var/adm/authlog*.info;auth.none /var/adm/syslogn2、检测操作cat /var/adm/authlogcat

14、 /var/adm/syslog基线符合性判定依据列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。备注4.2 审计4.2.1安全事件审计安全基线项目名称操作系统AIX安全事件审计安全基线要求项安全基线编号SBL-AIX-04-02-01 安全基线项说明 设备应配置日志功能，记录对与设备相关的安全事件。检测操作步骤1、执行：cat /etc/syslog.conf ，检查类似配置：*.err;kern.debug;daemon.notice; /var/adm/messages基线符合性判定依据要求有上述类似配置。备注第5章 设备其他安全配置要求5.1 设备5.1.1屏幕保护安全基线

15、项目名称操作系统AIX屏幕保护安全基线要求项安全基线编号SBL-AIX-05-01-01 安全基线项说明 对于具备字符交互界面的设备，应配置定时帐户自动登出。检测操作步骤1、 查看：cat /etc/profile|grep TMOUTcat /etc/environment|grep TMOUTcat /etc/security/.profile|grep TMOUT基线符合性判定依据如果没显示则不符合配置要求。备注5.2 缓冲区5.2.1缓冲区溢出安全基线项目名称操作系统AIX缓冲区溢出安全基线要求项安全基线编号SBL-AIX-05-02-01 安全基线项说明 防止堆栈缓冲溢出。检测操作步骤1、查看：cat /etc/security/limits 2、查看/etc/ profile 文件：基线符合性判定依据cat /etc/security/limits有如下两行：core 0core_hard = 0/etc/ profile 文件有：ulimit c 0备注第6章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。