AIX操作系统安全配置要求及操作指南

Aix IT敢客 1年前 (2017-09-16) 8797次浏览 已收录 0个评论 扫描二维码

AIX 操作系统安全配置要求及操作指南

 

1 范围

适用于使用 AIX 操作系统的设备。本规范明确了安全配置的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同,配置操作有所不同,本规范以 AIX 5.X 为例,给出参考配置操作。

2 缩略语

 

SSH

Secure Shell Protocol

安全外壳协议

FTP

File Transfer Protocol

文件传输协议

UDP

User Datagram Protocol

用户数据包协议

TCP

Transmission Control Protocol

传输控制协议

3 安全配置要求

  1. 帐号

编号: 1

要求内容

应按照不同的用户分配不同的账号。

操作指南

  1. 参考配置操作为用户创建账号:

    #useradd username  #创建账号

    #passwd username   #设置密码修改权限:

    #chmod 750 directory  #其中 750 为设置的权限,可根据实际情况设置相应的权限,directory 是要更改权限的目录)

    使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。

  2. 补充操作说明


     

检测方法

  1. 判定条件能够登录成功并且可以进行常用操作;

  2. 检测操作

    使用不同的账号进行登录并进行一些常用操作;

  3. 补充说明


     

编号: 2

要求内容

应删除或锁定与设备运行、维护等工作无关的账号。


 

操作指南

  1. 参考配置操作

删除用户:#userdel username;  

锁定用户:

1)修改/etc/shadow 文件,用户名后加*LK*

2)/etc/passwd 文件中的 shell 域设置成/bin/false

3)#passwd -l username

只有具备超级用户权限的使用者方可使用,#passwd -l username 锁定用户,#passwd –d username 解锁后原有密码失效,登录需输入新密码,修改/etc/shadow 能保留原有密码。

  1. 补充操作说明

需要锁定的用户:listen,gdm,webservd,nobody,nobody4noaccess

检测方法

  1. 判定条件被删除或锁定的账号无法登录成功;

  2. 检测操作

    使用删除或锁定的与工作无关的账号登录系统;

  3. 补充说明

    需要锁定的用户:listen,gdm,webservd,nobody,nobody4noaccess

解锁时间:15 分钟

编号: 3

要求内容

限制具备超级管理员权限的用户远程登录。

需要远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。

操作指南

  1. 参考配置操作

编辑/etc/security/user,加上:

root 项上输入 false 作为 rlogin 的值

此项只能限制 root 用户远程使用 telnet 登录。用 ssh 登录,修改此项不会看到效果的

  1. 补充操作说明

如果限制 root 从远程 ssh 登录,修改/etc/ssh/sshd_config 文件,将 PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 服务。

检测方法

  1. 判定条件
    root
    远程登录不成功,提示"没有权限";普通用户可以登录成功,而且可以切换到 root 用户;

  2. 检测操作

    root 从远程使用 telnet 登录;普通用户从远程使用 telnet 登录; root 从远程使用 ssh 登录;

    普通用户从远程使用 ssh 登录;

     

  3. 补充说明限制 root 从远程 ssh 登录,修改/etc/ssh/sshd_config 文件,将

    PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd 服务。

编号:4

要求内容

对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密协议,并安全配置 SSHD 的设置。

操作指南

1、参考配置操作把如下 shell 保存后,运行,会修改 ssh 的安全设置项: unalias cp rm mv  case `find /usr /etc -type f | grep -c ssh_config$` in  

  1. echo "Cannot find ssh_config"  

          ;;  

  2. DIR=`find /usr /etc -type f 2>/dev/null | \           grep ssh_config$ | sed -e "s:/ssh_config::"`         cd $DIR         cp ssh_config ssh_config.tmp         awk '/^#? *Protocol/ { print "Protocol 2"; next };  

        { print }' ssh_config.tmp > ssh_config         if [ "`grep -El ^Protocol ssh_config`" = "" ]; then              echo 'Protocol 2' >> ssh_config         fi  

 

      rm ssh_config.tmp         chmod 600 ssh_config  

      ;;  

       *)     echo     "You     have     multiple     sshd_config     files.

Resolve"         echo "before continuing."  

      ;;  esac  

#也可以手动编辑 ssh_config,在 "Host *"后输入 "Protocol 2"

 

cd $DIR  cp sshd_config sshd_config.tmp  awk '/^#? *Protocol/ { print "Protocol 2"; next };  

    /^#? *X11Forwarding/ \  

         { print "X11Forwarding yes"; next };  

    /^#? *IgnoreRhosts/ \  

         { print "IgnoreRhosts yes"; next };  

    /^#? *RhostsAuthentication/ \  

         { print " RhostsAuthentication no"; next };  

    /^#? *RhostsRSAAuthentication/ \  

         { print "RhostsRSAAuthentication no"; next };  

    /^#? *HostbasedAuthentication/ \  

         { print "HostbasedAuthentication no"; next };  

    /^#? *PermitRootLogin/ \  

         { print "PermitRootLogin no"; next };  

    /^#? *PermitEmptyPasswords/ \  

         { print "PermitEmptyPasswords no"; next };  

    /^#? *Banner/ \  

         { print "Banner /etc/motd"; next };        {print}' sshd_config.tmp > sshd_config  rm sshd_config.tmp  chmod 600 sshd_config  

 

Protocol  2 #使用 ssh2 版本

X11Forwarding yes #允许窗口图形传输使用 ssh 加密

IgnoreRhosts  yes#完全禁止 SSHD 使用.rhosts 文件

RhostsAuthentication no #不设置使用基于 rhosts 的安全验证

RhostsRSAAuthentication no #设置使用 RSA 算法的基于 rhosts 的安全验证

HostbasedAuthentication no #不允许基于主机白名单方式认证

PermitRootLogin no #不允许 root 登录

PermitEmptyPasswords no #不允许空密码

Banner /etc/motd  #设置 ssh 登录时显示的 banner

2、补充操作说明

 

查看 SSH 服务状态:

# ps –elf|grep ssh

检测方法

1
判定条件

# ps –elf|grep ssh

是否有 ssh 进程存在
2
、检测操作

查看 SSH 服务状态:

# ps –elf|grep ssh

查看 telnet 服务状态:

# ps –elf|grep telnet

  1. 口令

编号:1

要求内容

对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 3 类。

操作指南

  1. 参考配置操作

chsec -f /etc/security/user -s default -a minlen=8 chsec -f /etc/security/user -s default -a minalpha=1 chsec -f /etc/security/user -s default -a mindiff=1 chsec -f /etc/security/user -s default -a minother=1 chsec –f /etc/security/user –s default -a pwdwarntime=5

 

minlen=8 #密码长度最少 8 minalpha=1 #包含的字母最少 1 mindiff=1 #包含的唯一字符最少 1 minother=1#包含的非字母最少 1 pwdwarntime=5 #系统在密码过期前 5 天发出修改密码的警告信息给用户

  1. 补充操作说明


 

检测方法

  1. 判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;

  2. 检测操作

  3. 检查口令强度配置选项是否可以进行如下配置:

    i.
    配置口令的最小长度; ii.
    将口令配置为强口令。

  4. 创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于 8 位的口令,查看系统是否对

 

口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。


 

编号: 2

要求内容

对于采用静态口令认证技术的设备,帐户口令的生存期不长于 90 天。

操作指南

  1. 参考配置操作

方法一:

chsec -f /etc/security/user -s default -a histexpire=13 方法二:

vi 或其他文本编辑工具修改 chsec -f /etc/security/user 文件如下值:

histexpire=13

 

histexpire=13 #密码可重复使用的星期为 13 周(91 天)

 

  1. 补充操作说明


 

检测方法

  1. 判定条件密码过期后登录不成功;

  2. 检测操作

    使用超过 90 天的帐户口令登录会提示密码过期;


     

编号: 3

要求内容

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近 5 次(含 5 次)内已使用的口令。

操作指南

1、参考配置操作

方法一:

chsec -f /etc/security/user -s default -a histsize=5

方法二:

vi 或其他文本编辑工具修改 chsec -f /etc/security/user 文件如下值:

histsize=5

 

histexpire=5 #可允许的密码重复次数


 

检测方法

  1. 判定条件设置密码不成功

  2. 检测操作

    cat /etc/security/user,设置如下

 

histsize=5

3、补充说明默认没有 histsize 的标记,即不记录以前的密码。

编号: 4

要求内容

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用的账号。

操作指南

1、参考配置操作

查看帐户帐户属性:

#lsuser username  

设置 6 次登陆失败后帐户锁定阀值:

#chuser loginretries=6 username

备注:root 账户不在锁定范围内

检测方法

1、判定条件

运行 lsuser uasename 命令,查看帐户属性中是否设置了 6

次登陆失败后帐户锁定阀值的策略。如未设置或大于 6 次,则进行设置

  1. 授权 编号: 1

要求内容

在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。

操作指南

  1. 参考配置操作通过 chmod 命令对目录的权限进行实际设置。

  2. 补充操作说明

    chown -R root:security /etc/passwd /etc/group /etc/security  chown -R root:audit /etc/security/audit  chmod 644 /etc/passwd /etc/group  chmod 750 /etc/security  chmod -R go-w,o-r /etc/security

     

    /etc/passwd /etc/group /etc/security 的所有者必须是 root security 组成员

    /etc/security/audit 的所有者必须是 iroot audit 组成员

    /etc/passwd 所有用户都可读,root 用户可写 –rw-r—r—  

    /etc/shadow 只有 root 可读 –r——–  

    /etc/group 必须所有用户都可读,root 用户可写 –rw-r—r— 使用如下命令设置:

    chmod 644 /etc/passwd chmod 644 /etc/group

 

如果是有写权限,就需移去组及其它用户对/etc 的写权限(特殊情况除外)

执行命令#chmod -R go-w,o-r /etc

检测方法

1、判定条件

  1. 设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;

  2. 记录能够配置的权限选项内容;

  3. 所配置的权限规则应能够正确应用,即用户无法访问授权范围

    之外的系统资源,而可以访问授权范围之内的系统资源。

    2、检测操作

  4. 利用管理员账号登录系统,并创建 2 个不同的用户;

  5. 创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;

  6. 为两个用户分别配置不同的权限,2 个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;

  7. 分别利用 2 个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。

    3、补充说明


编号:2

要求内容

控制 FTP 进程缺省访问权限,当通过 FTP 服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

操作指南

1、参考配置操作

  1. 限制某些系统帐户不准 ftp 登录: 通过修改 ftpusers 文件,增加帐户

    #vi /etc/ftpusers        

  2. 限制用户可使用 FTP 不能用 Telnet,假如用户为 ftpxll 创建一个/etc/shells 文件, 添加一行 /bin/true;

    修改/etc/passwd 文件,ftpxll:x:119:1::/home/ftpxll:/bin/true

    注:还需要把真实存在的 shell 目录加入/etc/shells 文件,否则没有用户能够登录 ftp 以上两个步骤可参考如下 shell 自动执行:

    lsuser -c ALL | grep -v ^#name | cut -f1 -d: | while read NAME; do     if [ `lsuser -f $NAME | grep id | cut -f2 -d=` -lt 200 ]; then       echo "Adding $NAME to /etc/ftpusers"       echo $NAME >> /etc/ftpusers.new     fi  done  sort -u /etc/ftpusers.new > /etc/ftpusers  rm /etc/ftpusers.new  chown root:system /etc/ftpusers  chmod 600 /etc/ftpusers

 
  1. 限制 ftp 用户登陆后在自己当前目录下活动

编辑 ftpaccess,加入如下一行 restricted-uid *(限制所有) restricted-uid username(特定用户)  ftpaccess 文件与 ftpusers 文件在同一目录

  1. 设置 ftp 用户登录后对文件目录的存取权限,可编辑

/etc/ftpaccess

chmod      no guest,anonymous  delete     no guest,anonymous  overwrite  no guest,anonymous  rename     no guest,anonymous  umask      no anonymous

 

2、补充操作说明查看# cat ftpusers 说明:  在这个列表里边的用户名是不允许 ftp 登陆的。 root

daemon

bin sys

adm

lp

uucp nuucp

listen

nobody noaccess nobody4

检测方法

  1. 判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;

  2. 检测操作查看新建的文件或目录的权限,操作举例如下:

    #more /etc/ftpusers      

    #more  /etc/passwd

    #more /etc/ftpaccess      

  3. 补充说明

    查看# cat ftpusers 说明:  在这个列表里边的用户名是不允许 ftp 登陆的。 root

    daemon

    bin sys

    adm

    lp

    uucp

 

nuucp

listen

nobody noaccess nobody4

  1. 补丁

编号:1

要求内容

应根据需要及时进行补丁装载。对服务器系统应先进行兼容性测试。

操作指南

  1. 参考配置操作

先把补丁集拷贝到一个目录,如/08update,然后执行

#smit update_all

选择安装目录/08update

默认

SOFTWARE to update [_update_all]

选择不提交,保存被覆盖的文件,可以回滚操作,接受许可协议


  COMMIT software updates?                       no

   SAVE replaced files?                              yes     ACCEPT new license agreements?                  yes 然后回车执行安装。

  1. 补充操作说明


 

检测方法

  1. 判定条件查看最新的补丁号,确认已打上了最新补丁;

  2. 检测操作检查某一个补丁,比如 LY59082 是否安装

    #instfix –a –ivk LY59082

    检查文件集(filesets)是否安装

    #lslpp –l bos.adt.libm

  3. 补充说明

    补丁下载 http://www-933.ibm.com/eserver/support/fixes/

  1. 日志

    编号:1

要求内容

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的 IP 地址。

操作指南

1、参考配置操作

修改配置文件 vi /etc/syslog.conf,加上这几行:

auth.info\t\t/var/adm/authlog

 

*.info;auth.none\t\t/var/adm/syslog\n"  

建立日志文件,如下命令:

touch /var/adm/authlog /var/adm/syslog  chown root:system /var/adm/authlog  

 

重新启动 syslog 服务,依次执行下列命令: stopsrc -s syslogd  startsrc -s syslogd

 

AIX 系统默认不捕获登录信息到 syslogd,以上配置增加了验证信息发送到/var/adm/authlog /var/adm/syslog

2、补充操作说明


 

检测方法

  1. 判定条件列出用户账号、登录是否成功、登录时间、远程登录时的 IP 地址。

  2. 检测操作

    cat /var/adm/authlog cat /var/adm/syslog

  3. 补充说明


     

编号: 2(可选)

要求内容

启用记录cron行为日志功能和cron/at的使用情况

操作指南

1、参考配置操作

cron/At的相关文件主要有以下几个:

/var/spool/cron/crontabs 存放cron任务的目录

/var/spool/cron/cron.allow 允许使用crontab命令的用户

/var/spool/cron/cron.deny 不允许使用crontab命令的用户

/var/spool/cron/atjobs 存放at任务的目录

/var/spool/cron/at.allow 允许使用at的用户

/var/spool/cron/at.deny 不允许使用at的用户

使用crontabat命令可以分别对cronat任务进行控制。

#crontab -l 查看当前的cron任务

#at -l 查看当前的 at 任务

检测方法

1、判定条件 2、检测操作

查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。

编号:3

要求内容

设备应配置权限,控制对日志文件读取、修改和删除等操作。

操作指南

1、参考配置操作

 

配置日志文件权限,如下命令:

chmod 600 /var/adm/authlog  chmod 640 /var/adm/syslog  并设置了权限为其他用户和组禁止读写日志文件。

检测方法

  1. 判定条件没有相应权限的用户不能查看或删除日志文件

  2. 检测操作查看 syslog.conf 文件中配置的日志存放文件: more /etc/syslog.conf

    使用 ls –l /var/adm 查看的目录下日志文件的权限,如:authlogsyslog 的权限应分别为 600644

  3. 补充说明

    对于其他日志文件,也应该设置适当的权限,如登录失败事件的日志、操作日志,具体文件查看 syslog.conf 中的配置。

  1. 不必要的服务、端口

    编号:1

要求内容

列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。

操作指南

1、
参考配置操作

查看所有开启的服务:

#ps –e -f  

 

方法一:手动方式操作

inetd.conf中关闭不用的服务
首先复制/etc/inet/inetd.conf #cp

/etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi编辑器编辑

inetd.conf文件,对于需要注释掉的服务在相应行开头标记"#"字符,重启inetd服务,即可。

重新启用该服务,使用命令:

refresh –s inetd

 

方法二:自动方式操作 A.把以下复制到文本里:

for SVC in ftp telnet shell kshell login klogin exec \     echo discard chargen daytime time ttdbserver dtspc; do        echo "Disabling $SVC TCP"        chsubserver -d -v $SVC -p tcp  done  

 

for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd \     echo discard chargen daytime time cmsd; do        echo "Disabling $SVC UDP"  

 

     chsubserver -d -v $SVC -p udp  done  

 

refresh -s inetd

 

B.执行命令:

#sh dis_server.sh

2、补充操作说明参考附录 A,根据具体情况禁止不必要的基本网络服务。注意:改变了"inetd.conf"文件之后,需要重新启动inetd

对必须提供的服务采用tcpwapper来保护

并且为了防止服务取消后断线,一定要启用 SSHD 服务,用以登录操作和文件传输。

检测方法

  1. 判定条件所需的服务都列出来;没有不必要的服务;

  2. 检测操作

    查看所有开启的服务:cat /etc/inet/inetd.conf,cat /etc/inet/services

  3. 补充说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。 Tcp 服务如下:

    ftp telnet shell kshell login klogin exec

    UDP服务如下:

    ntalk rstatd rusersd rwalld sprayd pcnfsd 注意:改变了"inetd.conf"文件之后,需要重新启动inetd

    对必须提供的服务采用tcpwapper来保护

  1. 文件与目录权限

    编号:1

要求内容

控制用户缺省访问权限,当在创建新文件或目录时
应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。

操作指南

1
参考配置操作

A.设置所有存在账户的权限:

lsuser -a home ALL | awk '{print $1}' | while read user; do        chuser umask=077 $user done vi /etc/default/login 在末尾增加 umask 027

 

B.设置默认的 profile,用编辑器打开文件/etc/security/user,找到

umask 这行,修改如下:

Umask=077

 

 

2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的 umask,可以在需要的时候通过命令行设置,或者在用户的 shell 启动文件中配置。

检测方法

  1. 判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;

  2. 检测操作

    查看新建的文件或目录的权限,操作举例如下:

    #ls -l dir ; #查看目录 dir 的权限

    #cat /etc/default/login 查看是否有 umask 027 内容

  3. 补充说明

    umask 的默认设置一般为 022,这给新创建的文件默认权限 755 777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。

    umask 的计算:

    umask 是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码 777 减去需要的默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码 666 减去需要的默认权限对应的八进制数据代码值。

编号: 2

要求内容

对文件和目录进行权限设置,合理设置重要目录和文件的权限

操作指南

  1. 参考配置操作

查看重要文件和目录权限:ls –l

更改权限:

对于重要目录,建议执行如下类似操作:

# chmod -R 750 /etc/init.d/*

这样只有 root 可以读、写和执行这个目录下的脚本。

  1. 补充操作说明


 

检测方法

  1. 判定条件

root 外的其它帐户登录,对重要文件和目录进行删除、修改等操作不能够成功即为符合。

  1. 检测操作

查看重要文件和目录权限:ls –l

root 外的其它帐户登录,对重要文件和目录进行删除、修改等操作

  1. 补充说明


 

  1. 系统 Banner 设置

要求内容

修改系统 banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息

操作指南

1、参考配置操作

 

设置系统 Banner 的操作如下:

 

/etc/security/login.cfg 文件中,在 default 小节增加:

 

herald = "ATTENTION:You have logged onto a secured  server..All accesses logged.\n\nlogin:"


 

检测方法

查看/etc/security/login.cfg 文件中的配置是否按照以上要求

进行了配置

  1. 登陆超时时间设置

要求内容

对于具备字符交互界面的设备,配置定时帐户自动登出

操作指南

  1. 参考配置操作

设置登陆超时时间为 300 秒,修改/etc/security/.profile 文件,增加一行:

 

TMOUT300TIMEOUT=300export readonly TMOUT  

TIMEOUT

  1. 补充操作说明


 

检测方法

1、判定条件

查看/etc/security/.profile 文件中的配置,是否存在登陆超时时间的设置。如未设置,则建议应按照要求进行配置

  1. 内核调整设置

要求内容

防止堆栈缓冲溢出

操作指南

1、参考配置操作

编辑/etc/security/limits 并且改变 core 值为 0,并增加一行在后面,如下:

core 0 core_hard = 0

保存文件后退出,执行命令:

     echo "# Added by Nsfocus Security Benchmark" >> /etc/profile       echo "ulimit -c 0" >> /etc/profile        chdev -l sys0 -a fullcore=false

1
补充操作说明应用程序在发生错误的时候会把自身的敏感信息从内存里 DUMP

 

到文件,一旦被攻击者获取容易引发攻击。

注:内核参数改动后需要重启服务器才生效。

检测方法

  1. 判定条件能够防止 core 文件产生

  2. 检测操作

    查看/etc/security/limits 文件: cat  /etc/security/limits 是否有如下两行: core 0 core_hard = 0

     

    查看/etc/ profile 文件: cat  /etc/security/limits 是否有如下行: ulimit –c 0

  1. SSH 加密协议

    要求内容

    对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密协议,并安全配置 SSHD 的设置。

    操作指南

    1、参考配置操作把如下 shell 保存后,运行,会修改 ssh 的安全设置项: unalias cp rm mv  case `find /usr /etc -type f | grep -c ssh_config$` in  

      *)     echo     "You     have     multiple     sshd_config

    files.

     

    Resolve"         echo "before continuing."  

          ;;  esac  

    #也可以手动编辑 ssh_config,在 "Host *"后输入 "Protocol 2"

     

    cd $DIR  


     

    cp sshd_config sshd_config.tmp  awk '/^#? *Protocol/ { print "Protocol 2"; next };  

        /^#? *X11Forwarding/ \  

             { print "X11Forwarding yes"; next };  

        /^#? *IgnoreRhosts/ \  

             { print "IgnoreRhosts yes"; next };  

        /^#? *RhostsAuthentication/ \  

             { print " RhostsAuthentication no"; next };  

        /^#? *RhostsRSAAuthentication/ \  

             { print "RhostsRSAAuthentication no"; next };  

        /^#? *HostbasedAuthentication/ \  

             { print "HostbasedAuthentication no"; next };  

        /^#? *PermitRootLogin/ \  

             { print "PermitRootLogin no"; next };  

        /^#? *PermitEmptyPasswords/ \  

             { print "PermitEmptyPasswords no"; next };  

        /^#? *Banner/ \  

             { print "Banner /etc/motd"; next };        {print}' sshd_config.tmp > sshd_config  rm sshd_config.tmp  chmod 600 sshd_config  

     

    Protocol  2 #使用 ssh2 版本

    X11Forwarding yes #允许窗口图形传输使用 ssh 加密

    IgnoreRhosts  yes#完全禁止 SSHD 使用.rhosts 文件

    RhostsAuthentication no #不设置使用基于 rhosts 的安全验证

    RhostsRSAAuthentication no #设置使用 RSA 算法的基于 rhosts 的安全验证

    HostbasedAuthentication no #不允许基于主机白名单方式认证

    PermitRootLogin no #不允许 root 登录

    PermitEmptyPasswords no #不允许空密码

    Banner /etc/motd  #设置 ssh 登录时显示的 banner

    2、补充操作说明查看 SSH 服务状态:

    # ps –elf|grep ssh

    检测方法

    2
    判定条件

    # ps –elf|grep ssh

    是否有 ssh 进程存在
    2
    、检测操作

    查看 SSH 服务状态:

    # ps –elf|grep ssh

    查看 telnet 服务状态:

     

    # ps –elf|grep telnet

    1. echo "Cannot find ssh_config"  

            ;;  

    2. DIR=`find /usr /etc -type f 2>/dev/null | \           grep ssh_config$ | sed -e "s:/ssh_config::"`         cd $DIR         cp ssh_config ssh_config.tmp         awk '/^#? *Protocol/ { print "Protocol 2"; next };  

          { print }' ssh_config.tmp > ssh_config         if [ "`grep -El ^Protocol ssh_config`" = "" ]; then              echo 'Protocol 2' >> ssh_config         fi         rm ssh_config.tmp         chmod 600 ssh_config  

            ;;  

  2. FTP 设置

  3. 编号 1

要求内容

禁止 root 登陆 FTP

操作指南

1、参考配置操作

Echo root >>/etc/ftpusers

检测方法

使用 root 登录 ftp

编号 2

要求内容

禁止匿名 ftp

操作指南

1、参考配置操作

默认不支持匿名,需要做专门的配置。

检查方法:

使用ftp 做匿名登录尝试,如能登录,则删除/etc/passwd下的ftp账号。

检测方法

检查方法:

使用 ftp 做匿名登录尝试


编号 3

要求内容

修改FTP banner 信息

操作指南

1、参考配置操作

cat << EOF >> /etc/ftpmotd  

Authorized uses only. All activity may be monitored and  reported  

EOF

检测方法

  1. 判断依据 ftp登录尝试

  2. 检查操作

附录 A:端口及服务

服务名称

端口

应用说明

关闭方法

处置建议

daytime

13/tcp

RFC867 白天协议

#daytime      stream tcp nowait root internal

建议关闭

13/udp

RFC867 白天协议

#daytime      dgram  udp nowait root internal

time

37/tcp

时间协议

#time         stream tcp nowait root internal

 

echo

7/tcp

RFC862_回声协议

#echo         stream tcp nowait root internal

 

7/udp

RFC862_回声协议

#echo         dgram  udp nowait root internal

discard

9/tcp

RFC863 废除协议

#discard      stream tcp nowait root internal

9/udp

#discard      dgram  udp nowait root internal

chargen

19/tcp

RFC864 字符产生协议

#chargen      stream tcp nowait root internal

19/udp

#chargen      dgram  udp nowait root internal

ftp

21/tcp

文件传输协议(控制)

#ftp          stream tcp nowait root /usr/lbin/ftpd

根据情况选择开放

telnet

23/tcp

虚拟终端协议

#telnet       stream tcp nowait root /usr/lbin/telnetd  telnetd  

根据情况选择开放

sendmail

25/tcp

简单邮件发送协议

rc.tcpip/sendmail  

建议关闭

names

53/udp

域名服务

/etc/rc.tcpip

根据情况选择开放

53/tcp

域名服务

/etc/rc.tcpip

根据情况选择开放

login

513/tcp

远程登录

#login        stream tcp nowait root /usr/lbin/rlogind  rlogind

根据情况选择开放

shell

514/tcp

远程命令, no

passwd used

#shell        stream tcp nowait root /usr/lbin/remshd   remshd

根据情况选择开放

exec

512/tcp

remote execution, passwd required

#exec         stream tcp nowait root /usr/lbin/rexecd   rexecd

根据情况选择开放

ntalk

518/udp

new talk, conversation

#ntalk        dgram  udp wait   root /usr/lbin/ntalkd   ntalkd

建议关闭

ident

113/tcp

auth

#ident        stream tcp wait  bin  /usr/lbin/identd   identd

建议关闭

lpd

515/tcp

远程打印缓存

#printer     stream tcp nowait root

/usr/sbin/rlpdaemon  rlpdaemon -i

强烈建议关闭

tftp

69/udp

普通文件传输协议

#tftp         dgram  udp nowait root internal

强烈建议关闭

 

kshell

544/tcp

Kerberos remote

shell -kfall

#kshell stream tcp nowait root

/usr/lbin/remshd remshd -K

建议关闭

klogin

543/tcp

Kerberos rlogin -kfall

#klogin stream tcp nowait root

/usr/lbin/rlogind rlogind -K

建议关闭

recserv

7815/tcp

X 共享接收服务

#recserv stream tcp nowait root /usr/lbin/recserv recserv  

-display :0

建议关闭

dtspcd

6112/tcp

子进程控制

#dtspc stream tcp nowait root

/usr/dt/bin/dtspcd

/usr/dt/bin/dtspcd

强烈建议关闭

registrar

1712/tcp

资源监控服务

#registrar stream tcp nowait root

/etc/opt/resmon/lbin/registrar

#/etc/opt/resmon/lbin/registrar

根据情况选择开放

1712/udp

资源监控服务

#registrar stream tcp nowait root

/etc/opt/resmon/lbin/registrar /etc/opt/resmon/lbin/registrar

根据情况选择开放

动态端口

资源监控服务

#registrar stream tcp nowait root

/etc/opt/resmon/lbin/registrar

#/etc/opt/resmon/lbin/registrar

根据情况选择开放

portmap

111/tcp

端口映射

/etc/rc.tcpip  

根据情况选择开放

snmp

161/udp

简单网络管理协议

Agent

rc.tcpip/snmpd

根据情况选择开放

snmp

7161/tcp

简单网络管理协议

Agent

rc.tcpip/snmpd

根据情况选择开放

snmp-trap

162/udp

简单网络管理协议

Traps

rc.tcpip/snmpd

根据情况选择开放

dtlogin

177/udp

启动图形控制

usr/dt/config/Xaccess usr/dt/config/Xaccess usr/dt/config/Xaccess

/etc/rc.tcpip  

根据情况选择开放

6000/tcp

X 窗口服务

根据情况选择开放

动态端口

启动图形控制

根据情况选择开放

syslogd

514/udp

系统日志服务

建议保留

nfs

2049/tcp

NFS 远程文件系统

/etc/rc.nfs  

强烈建议关闭

2049/udp

NFS 远程文件系统

/etc/rc.nfs  

强烈建议关闭

rpc.ttdbserver

动态端口

HP-UX ToolTalk database server

#rpc xti tcp swait root

/usr/dt/bin/rpc.ttdbserver

100083 1

强烈建议关闭

   

/usr/dt/bin/rpc.ttdbserver

 

rpc.cmsd

动态端口

后台进程管理服务

#rpc dgram udp wait root

/usr/dt/bin/rpc.cmsd 100068

2-5 rpc.cmsd

强烈建议关闭


IT 敢客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:AIX 操作系统安全配置要求及操作指南
喜欢 (156)
[313176056@qq.com]
分享 (0)
IT敢客
关于作者:
“我所做的一切都是为了方便我的生活~~~“
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址