aix系統(tǒng)安全加固參考信息講課講稿

1、Good is good, but better carries it.精益求精，善益求善。aix系統(tǒng)安全加固參考信息Linux系統(tǒng)安全加固參考信息目錄TOCo1-3hzuHYPERLINKl_Toc3346038741操作系統(tǒng)安全-身份鑒別PAGEREF_Toc334603874h4HYPERLINKl_Toc3346038751.1對登錄操作系統(tǒng)的用戶進行身份標識和鑒別PAGEREF_Toc334603875h4HYPERLINKl_Toc3346038761.2最小密碼長度PAGEREF_Toc334603876h4HYPERLINKl_Toc3346038771.3密碼復雜度PAGER

2、EF_Toc334603877h4HYPERLINKl_Toc3346038781.4密碼字典PAGEREF_Toc334603878h5HYPERLINKl_Toc3346038791.5系統(tǒng)密碼使用時間PAGEREF_Toc334603879h5HYPERLINKl_Toc3346038801.6對失敗登錄的次數(shù)進行限制PAGEREF_Toc334603880h5HYPERLINKl_Toc3346038811.7密碼重復使用次數(shù)設置PAGEREF_Toc334603881h5HYPERLINKl_Toc3346038821.8SSH服務IP，端口，協(xié)議，允許密碼錯誤的次數(shù)，網(wǎng)絡中允許打開

3、的會話數(shù)PAGEREF_Toc334603882h6HYPERLINKl_Toc3346038831.9root賬號遠程登錄設置PAGEREF_Toc334603883h6HYPERLINKl_Toc3346038841.10防止任何人使用su命令連接root用戶PAGEREF_Toc334603884h7HYPERLINKl_Toc3346038851.11系統(tǒng)Banner設置PAGEREF_Toc334603885h7HYPERLINKl_Toc3346038862操作系統(tǒng)安全-訪問控制PAGEREF_Toc334603886h7HYPERLINKl_Toc3346038872.1修改帳戶

4、口令，更改默認帳戶的訪問權限PAGEREF_Toc334603887h7HYPERLINKl_Toc3346038882.2刪除多余的、過期的帳戶，避免共享帳戶的存在PAGEREF_Toc334603888h8HYPERLINKl_Toc3346038892.3限制超級管理員遠程登錄PAGEREF_Toc334603889h8HYPERLINKl_Toc3346038903操作系統(tǒng)安全-入侵防范PAGEREF_Toc334603890h9HYPERLINKl_Toc3346038913.1僅安裝需要的應用程序，關閉不需要的服務和端口PAGEREF_Toc334603891h9HYPERLINK

5、l_Toc3346038923.2關閉不必要的服務PAGEREF_Toc334603892h9HYPERLINKl_Toc3346038933.3網(wǎng)絡訪問控制策略PAGEREF_Toc334603893h9HYPERLINKl_Toc3346038944操作系統(tǒng)安全-資源控制PAGEREF_Toc334603894h10HYPERLINKl_Toc3346038954.1根據(jù)安全策略設置登錄終端的空閑超時斷開會話或鎖定PAGEREF_Toc334603895h10HYPERLINKl_Toc3346038964.2文件創(chuàng)建初始權限PAGEREF_Toc334603896h10HYPERLINK

6、l_Toc3346038974.3設置合適的歷史命令數(shù)量PAGEREF_Toc334603897h10HYPERLINKl_Toc3346038984.4系統(tǒng)磁盤剩余空間充分滿足近期的業(yè)務需求PAGEREF_Toc334603898h10HYPERLINKl_Toc3346038994.5檢查并記錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率PAGEREF_Toc334603899h11HYPERLINKl_Toc3346039005操作系統(tǒng)安全日志PAGEREF_Toc334603900h11HYPERLINKl_Toc3346039015.1日志功能開啟PAGEREF_Toc334603901h11

7、HYPERLINKl_Toc3346039025.2失敗登錄日志監(jiān)控PAGEREF_Toc334603902h11HYPERLINKl_Toc3346039035.3syslog日志等級的安全配置PAGEREF_Toc334603903h12HYPERLINKl_Toc3346039045.4安全審計策略PAGEREF_Toc334603904h12HYPERLINKl_Toc3346039055.5系統(tǒng)日志記錄PAGEREF_Toc334603905h12HYPERLINKl_Toc3346039065.6啟用記錄cron行為日志功能和cron/at的使用情況PAGEREF_Toc33460

8、3906h13HYPERLINKl_Toc3346039076操作系統(tǒng)安全-系統(tǒng)安全PAGEREF_Toc334603907h13HYPERLINKl_Toc3346039086.1補丁管理PAGEREF_Toc334603908h13HYPERLINKl_Toc3346039096.2檢查并記錄系統(tǒng)開啟的網(wǎng)絡端口PAGEREF_Toc334603909h14HYPERLINKl_Toc3346039106.3關閉無效服務和啟動項PAGEREF_Toc334603910h14HYPERLINKl_Toc3346039116.4僅允許特定IP允許訪問服務PAGEREF_Toc334603911h

9、15HYPERLINKl_Toc3346039127操作系統(tǒng)安全其它服務安全PAGEREF_Toc334603912h15HYPERLINKl_Toc3346039137.1FTP配置文件PAGEREF_Toc334603913h15HYPERLINKl_Toc3346039147.2R族文件PAGEREF_Toc334603914h16HYPERLINKl_Toc3346039157.3NFS文件系統(tǒng)配置情況檢查PAGEREF_Toc334603915h16HYPERLINKl_Toc3346039167.4FTP用戶及服務安全PAGEREF_Toc334603916h16操作系統(tǒng)安全-身份

10、鑒別對登錄操作系統(tǒng)的用戶進行身份標識和鑒別要求需對所有的帳號設置密碼，要求在登陸系統(tǒng)時必須輸入口令進行身份驗證。解決方法對于當前用戶使用命令“passwd”進行密碼設置；對于其他用戶則使用root權限登錄后，使用命令“passwd”進行密碼設置。備注最小密碼長度要求密碼長度、使用密碼字典解決方法vi/etc/security/userminlen=8/定義口令的最小長度，注意口令的最小長度由minlen和minalpha+minother中較大的一個值來決定。minalpha+minother不應該大于8，如果大于8則minother會變?yōu)?-minalpha。（minalpha=4/定義在口

11、令中最少的字母的數(shù)量，默認是0，范圍是：0到8minother=0/定義在口令中最少的非字母的數(shù)量，默認是0，范圍是：0到8）備注密碼復雜度要求密碼復雜度解決方法vi/etc/security/user密碼復雜程度要求包含數(shù)字和字母/etc/security/userMinalpha4/定義在口令中最少的字母的數(shù)量，默認是0，范圍是：0到8Minother4/定義在口令中最少的非字母的數(shù)量，默認是0，范圍是：0到8備注密碼字典要求使用密碼字典檢查新密碼解決方法使用/etc/security/userDictionlist/usr/share/dict/words備注系統(tǒng)密碼使用時間要求密碼使用

12、時間解決方法密碼定期更改間隔設置為12周或更短/etc/security/userMaxage=12備注對失敗登錄的次數(shù)進行限制要求對失敗登錄的次數(shù)進行限制解決方法允許的失敗登陸次數(shù)設置為5次或5次以下/etc/security/userLoginretries=5備注密碼重復使用次數(shù)設置要求密碼重復使用次數(shù)設置為至少8次解決方法/etc/security/userhistsize=8備注SSH服務IP，端口，協(xié)議，允許密碼錯誤的次數(shù)，網(wǎng)絡中允許打開的會話數(shù)要求SSH服務IP，端口，協(xié)議，最大允許認證次數(shù)，網(wǎng)絡中允許打開的會話數(shù)解決方法cat/etc/ssh/sshd_configPort22

13、/SSH服務端端口為22ListenAddress/SSH服務端監(jiān)聽地址為SyslogFacilityAUTHPRIV/系統(tǒng)登錄功能有加密LoginGraceTime0/限制用戶必須在指定的時間內認證成功，0表示不限制，2m為兩個月內。MaxAuthTries6/指定每個連接最大允許的認證次數(shù)，默認值是6。如果失敗認證的次數(shù)超過這個數(shù)值的一半，連接將被強制斷開，且會生成額外的失敗日志消息。MaxSessions10/指定每個網(wǎng)絡連接允許打開會話的最大數(shù)目，默認10MaxStarups10/最大允許保持多少個未認證的連接，默認10。達到限制后，將不再接受新連接，除非先前的連接認證成功或超過Log

14、inGraceTime的限制。備注修改完成后，重啟ssh服務servicesshdrestart備注root賬號遠程登錄設置要求不允許root直接登錄及相關配置解決方法使用命令“vi/etc/ssh/sshd_config”編輯配置文件#cat/etc/ssh/sshd_configPermitRootLoginyes/是否允許root登錄。PasswordAuthenticationyes/密碼是否有認證選yes有ChallengeResponseAuthenticationno/攻擊響應認證否GSSAPIAuthenticationyes/通用安全服務應用程序接口認證是UsePAMno/如

15、果啟用了PAM，那么必須使用root才能運行sshd。設置“PermitRootLogin”的值為no備注修改完成后，重啟ssh服務servicesshdrestart防止任何人使用su命令連接root用戶要求不想任何人都可以用“su”命令成為root或只讓某些用戶有權使用“su”命令解決方法備注系統(tǒng)Banner設置要求通過修改系統(tǒng)banner，避免泄漏操作系統(tǒng)名稱，版本號，主機名稱等，并且給出登陸告警信息解決方法設置系統(tǒng)Banner的操作如下：在/etc/security/login.cfg文件中，在default小節(jié)增加：herald=ATTENTION:Youhaveloggedonto

16、asecuredserver.Allaccesseslogged.nnlogin:備注操作系統(tǒng)安全-訪問控制修改帳戶口令，更改默認帳戶的訪問權限要求嚴格限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令解決方法使用命令cat/etc/password文件來查看默認賬戶，并使用命令“cat/etc/shadow”查看文件中的口令是否為默認口令。使用root賬戶進行登錄，使用命令“passwdusernamepassword”來修改用戶的口令。對于無法重命名的系統(tǒng)默認帳號，為增強主機系統(tǒng)的安全性，建議使用命令“smituser”，將與業(yè)務無關的系統(tǒng)默認用戶進行鎖定；備注此操作具有一

17、定的危險性，需要與管理員確認此項操作不會影響到業(yè)務系統(tǒng)的登錄，以免影響正常業(yè)務應用。刪除多余的、過期的帳戶，避免共享帳戶的存在要求刪除多余的、過期的帳戶，避免共享帳戶的存在解決方法方法一：可使用命令“smituser”，將多余的、過期的帳戶，共享帳戶等系統(tǒng)默認用戶進行鎖定；使用命令“smituser”解鎖不必要的賬號使用命令“smituser”刪除多余、過期的賬號方法二：vi/etc/security/user相關用戶account_locked=true備注此操作具有一定的危險性，需要與管理員確認此項操作不會影響到業(yè)務系統(tǒng)的登錄，以免影響正常業(yè)務應用。限制超級管理員遠程登錄要求限制具備超級管

18、理員權限的用戶遠程登錄。遠程執(zhí)行管理員權限操作，應先以普通權限用戶遠程登錄后，再切換到超級管理員權限賬。解決方法系統(tǒng)當前狀態(tài)：執(zhí)行l(wèi)suser-arloginroot命令，查看root的rlogin屬性并記錄實施步驟：參考配置操作：（1）、查看root的rlogin屬性：#lsuser-arloginroot（2）、禁止root遠程登陸：#chuserrlogin=falseroot備注還原root可以遠程登陸，執(zhí)行如下命令：#chuserrlogin=trueroot操作系統(tǒng)安全-入侵防范僅安裝需要的應用程序，關閉不需要的服務和端口要求1.詢問相關維護人員，主機系統(tǒng)是除裝有正常業(yè)務應用所需要

19、的程序外，是否還安裝有與業(yè)務應用無關的其它程序；2.詢問相關維護人員并獲取授權安裝軟件清單文檔，查看當前操作系統(tǒng)中是否安裝有非清單內的應用軟件。3.詢問相關維護人員，是否關閉了除正常業(yè)務應用之外的所有服務與端口，具體檢查方法：使用命令“netstatan”查看開放的端口；解決方法使用命令“netstatan”查看開放的端口；備注關閉不必要的服務要求關閉不必要的服務解決方法（9）要開啟審計服務auditd備注網(wǎng)絡訪問控制策略要求1.訪談系統(tǒng)管理員，是否制定了嚴格的訪問控制策略，包括是否限制登錄用戶，對遠程登錄的IP是否有限制，采用哪種遠程登錄方式等。解決方法查看hosts.allow、hosts

20、.deny是否對某些服務，某些IP進行了限制。#cathosts.allowSshd:210.13.218.*:allow/表示允許210ip段連接shhd服務#cathosts.denySshd:all:deny/表示拒絕所有sshd遠程連接當hosts.allow與hosts.deny相沖突時以hosts.allow為準。備注操作系統(tǒng)安全-資源控制根據(jù)安全策略設置登錄終端的空閑超時斷開會話或鎖定要求根據(jù)安全策略設置登錄終端的空閑超時斷開會話或鎖定解決方法可使用命令“cat/etc/profile|grepTMOUT”查看超時的時間設置。使用命令“vi/etc/profile”修改配置文件，

21、添加行“TMOUT=180”，單位為秒，即超時時間為3分鐘。備注超時時間的設置需要與應用管理員進行確認，以免影響正常業(yè)務應用。文件創(chuàng)建初始權限要求文件創(chuàng)建初始權限解決方法vi/etc/security/user設置umask值umask077#適用root用戶，其它用戶不可讀umask022#適用非root用戶，其它用戶可讀不可寫備注設置合適的歷史命令數(shù)量要求設置合適的歷史命令數(shù)量解決方法編輯“/etc/profile”文件，確保HISTFILESIZE和HISTSIZE都設成了一個比較小的值。HISTSIZE=80HISTFILESIZE=80備注系統(tǒng)磁盤剩余空間充分滿足近期的業(yè)務需求要求1

22、.檢查用戶是否建立有服務器備份存儲及介質空間管理制度文檔，檢查其中是否對主機系統(tǒng)的磁盤空間的大小做出明確的要求；2.檢查主機系統(tǒng)的磁盤空間，查看各個分區(qū)是否有充足的剩余磁盤空間來滿足近期的業(yè)務需求。使用命令“dfhl”命令來查看當前磁盤占用空間情況解決方法建議如下：1.建立服務器備份存儲及介質空間管理制度文檔，并在其中對程序及重要數(shù)據(jù)的備份、對主機系統(tǒng)的磁盤空間的大小等項目做出明確的要求；2.管理員定期檢查所有主機系統(tǒng)的磁盤占用空間及其它資源占用情況，如果發(fā)現(xiàn)磁盤空間不夠，由相關技術人員提出申請，進行磁盤空間的擴充。備注檢查并記錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率要求檢查并記錄操作系統(tǒng)的分區(qū)情

23、況和文件系統(tǒng)利用率解決方法dfh可以查看相關信息：Filesystemsizeusedavailuse%mountedon文件系統(tǒng)大小已用可用使用率掛載點當使用率過高時要注意了！備注操作系統(tǒng)安全日志日志功能開啟要求啟用日志記錄功能解決方法syslog的配置主要通過/etc/syslog.conf配置，日志信息可以記錄在本地的文件當中(如/var/adm/messages)或遠程的主機上(hostname)。startsrc-ssyslogd啟動syslog服務stopsrc-ssyslogd停止syslog服務備注失敗登錄日志監(jiān)控要求通過系統(tǒng)日志的方式記錄失敗的登錄嘗試解決方法系統(tǒng)記錄失敗的用

24、戶登錄/etc/security/failedloginWho/etc/security/failedlogin查看備注syslog日志等級的安全配置要求syslog日志等級的安全配置解決方法syslog配置文件要求：修改文件安全設置/etc/syslog.conf配置文件中包含一下日志記錄：*.err/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/critlogauth,/var/adm/authlog備注安全審計策略要求安全審計策略解決方法方法：查看系統(tǒng)日志配置，執(zhí)行：#cat/etc/syslog.conf查看syslogd的

25、配置，并確認日志文件是否存在*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages/系統(tǒng)日志默認存放在/var/log/messagescron.*/var/log/cron/cron日志默認存放在/var/log/cronauthpriv.*/var/log/secure/安全日志默認存放在/var/log/secure備注系統(tǒng)日志記錄要求查年系統(tǒng)日志記錄解決方法執(zhí)行：cat/etc/log/secure/記錄pop3,telnet,ssh,ftp登陸信息的文件lastR/查看前50次登陸系統(tǒng)用戶的信息cat/e

26、tc/log/messages/查看系統(tǒng)發(fā)生的錯誤信息（包括登陸信息）備注啟用記錄cron行為日志功能和cron/at的使用情況要求啟用記錄cron行為日志功能和cron/at的使用情況解決方法cron/At的相關文件主要有以下幾個：/var/spool/cron/crontabs存放cron任務的目錄/var/spool/cron/cron.allow允許使用crontab命令的用戶/var/spool/cron/cron.deny不允許使用crontab命令的用戶/var/spool/cron/atjobs存放at任務的目錄/var/spool/cron/at.allow允許使用at的用戶

27、/var/spool/cron/at.deny不允許使用at的用戶使用crontab和at命令可以分別對cron和at任務進行控制。#crontab-l查看當前的cron任務#at-l查看當前的at任務備注操作系統(tǒng)安全-系統(tǒng)安全補丁管理要求系統(tǒng)補丁安裝標準解決方法執(zhí)行oslevelr命令或instfix-i|grepML命令，查看補丁當前安裝的狀況和版本。使用instfixaik命令來完成補丁的安裝操作。注意：（1）、在AIX系統(tǒng)中涉及安全的補丁包有以下幾種：推薦維護包（RecommendedMaintenancePackages）:由一系列最新的文件集組成的軟件包，包含了特定的操作系統(tǒng)（如A

28、IX5.2）發(fā)布以來的所有文件集的補丁。關鍵補丁Criticalfixes(cfix)：自推薦維護包之后，修補關鍵性漏洞的補丁。緊急補丁Emergencyfixes(efix):自推薦維護包之后，修補緊急安全漏洞的補丁。（2）、補丁安裝原則：在新裝和重新安裝系統(tǒng)后，必須安裝最新的推薦維護包，以及該最新推薦維護包以來的所有單獨的cfix和efix。日常維護中如果廠家推出新的RM、cfix、efix則按照原補丁維護管理規(guī)定進行補丁安裝。備注應根據(jù)需要及時進行補丁裝載。注意：補丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當前的應用系統(tǒng)，安裝補丁之前要經過測試和驗證。檢查并記錄系統(tǒng)開啟的網(wǎng)絡端口要求檢查

29、并記錄系統(tǒng)開啟的網(wǎng)絡端口解決方法netstatantp(查看開啟的tcp端口)netstatanup（查看開啟的udp端口）其中：Proto顯示連接使用的協(xié)議LocalAddress查看本地地址及端口備注關閉無效服務和啟動項要求關閉無效服務和啟動項解決方法查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并記錄當前配置；查看/etc/inetd.conf文件并記錄當前的配置（一）、rc.dAIX系統(tǒng)中的服務主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中啟動，事實上，/etc/rc.*系列文件主要也是由/e

30、tc/inittab啟動。同時，AIX中所有啟動的服務（至少與業(yè)務相關的）都可以同過SRC（SystemResourceManager）進行管理?？梢杂腥N方式查看系統(tǒng)服務的啟動情況：（1）、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件；（2）、使用lssrc和lsitab命令；（3）、通過smit查看和更改。注：SRC本身通過/etc/inittab文件啟動。lssrc-a列出所有SRC管理的服務的狀態(tài)lsitab-a列出所有由/etc/inittab啟動的信息，和cat/etc/inittab基本相同，除了沒有注釋。根據(jù)管理員所提供的服務列

31、表與當前系統(tǒng)中所啟動的服務列表相對比，如果發(fā)現(xiàn)與業(yè)務應用無關的服務，或不必要的服務和啟動項，則關閉掉或禁用；也可以對服務做適當配置。（二）、inetd.conf由INETD啟動的服務在文件/etc/inetd.conf定義（inetd本身在/etc/rc.tcpip中由SRC啟動），因此查看INETD啟動的服務的情況有兩種方法：（1）、使用vi查看/etc/inetd.conf中沒有注釋的行；（2）、使用lssrc命令。lssrc-l-sinetd查看inetd的狀態(tài)以及由INETD啟動的服務的狀態(tài)；refresh-sinetd更改/etc/inetd.conf文件后重啟inetd。建議關閉由inetd啟動的所有服務；如果有管理上的需要，可以打開telnetd、ftpd、rlogind、rshd等服務。啟動或停止inetd啟動的服務（例如ftpd）：（1）、使用vi編輯/etc/inetd.conf，去掉注釋（啟動）或注釋掉（停止）ftpd所在的行；（2）、重啟inetd：refresh-sinetd。根據(jù)管理員所提供的服務列表與當前系統(tǒng)中所啟動的服務列表相對比，如果發(fā)現(xiàn)與業(yè)務應用無關的服務，或不必要的服務和啟動項，則關閉掉或禁用；也可以對服務做適當配置。備注僅允許特定IP允許訪問服務要求僅允許特定IP允許訪問服務解決方法查看hosts.allow