aix系统安全加固手册

aix系统安全加固手册内容摘要：

Web Server dt （通用桌面环境，要用 CDE的话不能 删除） imnss docsearch imnss Daemon imqss docsearch imqss daemon rfs NFS Daemons 通过编辑文件 /etc/inittab或 rmitab命令完成。 ? 可从 /etc/ 中删除的服务： 32 routed gated dhcpcd dhcpsd dhcprd autoconf6 ndpdhost ndpdrouter lpd named timed xntpd rwhod snmp 系统网管软件 监控 dpid2 mrouted sendmail nfsd portmap ? 可从 /etc/ 中删除的服务： shell kshell login klogin exec sat uucp bootps finger systat 32 stat tftp talk ntalk echo discard chargen daytime time sat websm instsrv imap2 pop3 kfcli xmquery 3． 检查系统中所有的 .rhosts， .rc， 等文件，确保没有存在潜在的信任主机和用户关系，使这些文件内容为空。 4． 为 root 设定复杂的口令，删除临时用户和已经不用的用户，检查现有系统上32 的用户口令强度，修改弱口令或空口令。 5． 设定系统日志和审计行为 1) 增加日志缓冲和日志文件的大小： /usr/lib/errdemon s4194304 –B32768 2) monitor su mand： more /var/adm/sulog 3) use last mand monitor current and previous system logins and logouts file : /var/adm/wtmp 4) use who mand monitor all failed login attempts: who /etc/security/failedlogin 5) the users who are currently logged:use who mand. 6) /etc/ 设定系统审计和日志的主要文件 6． 在 /etc/profile 中设定用户自动 logoff 的值 —— TMOUT 和 TIMEOUT 值，如： TMOUT＝ 3600 for Korn Shell TIMEOUT＝ 3600 for Bourne Shell export TMOUT TIMEOUT 7． 审查 root 的 PATH 环境变量，确保没有本地目录出现。 8． 修改系统登录前的提示信息（ banner）， 启用 SAK，编辑 /etc/security/文件： sak_enabled=true herald = \r\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\ NOTICE TO USERS\r\n\r\nUse of this machine waives all rights to your privacy,\r\n\r\n and is consent to be monitored.\r\n\r\nUnauthorized use prohibited.\r\n\r\n\r\nlogin: 9． 用管理工具 smit chuser 来禁止 root 远程登录且只能在 console 登录，并限定登录尝试次数： 设置 /etc/security/user 文件中的 login 与 rlogin 值为 false， ttys 值为 tty0，loginretries 值为 3。 10． 通过编辑 /etc/security/user 文件或 使用 chsec 命令 设置默认的口令策略，并启用 SAK： minage=0 maxage=12 32 maxexpired=4 minalpha=4 minother=1 minlen=8 mindiff=3 maxrepeats=3 histexpire=26 histsize=8 pwdwarntime=14 tpath=on 11． Crontab Chmod 600 /var/spool/cron/crontabs/ID eg. Lp sys adm 除了 root 其他用户不能拥有 cron 访问 12． 执行 li –Ra –l –a listofallfiles，保存 listofallfiles 文件，以备日后核对。 13． 实现文件系统的 ACL 控制，实现针对用户的文件访问控制。 (可选 ) 14． 审查 NFS 策略，如果没有必 要，则关闭该服务。 15． 审查 SNMP 策略，如果需要该服务，应当将 munity 的名称设定为较复杂的字符串，并限定访问范围，如果不需要，则关闭该服务。 16． 审查 sendmail 服务策略，如果需要提供该服务，应当修改 文件，使之符合必要的安全要求（不转发，不能 vrfy 和 expn），如果不需要该服务，则关闭该服务。 4 Setuid and setgid (可选 ) ? 需要 setuid : /usr/bin/passwd /usr/bin/ps /usr/bin/su /usr/sbin/tsm /usr/bin/w ? 只需要 setgid 的是 : 32 /usr/bin/mailx /usr/bin/mail 其他的可以去除，但需要注意与数据库相关的 setUid 和 setgid （附：所有对配置文件进行修改的操作，做好的备份和权限管理工作。 如 cp /etc/ /etc/ chmod 000 ） 5 AIX5L User Management 用户 /用户组 1. 创建用户的具体命令 smitty mkgourp Or smit security 2. 创建用户的具体命令： smitty mkuser Or smit security 3. 对于用户组，使用 smit group 对于少量用户的管理，使用 sm。