- 安全加固指导
加固要求 | 设置口令失效提示 |
加固方法 | 编辑/etc/security/user 设置default项下的 pwdwarntime=阀值。 |
检查方法 | 使用命令: cat /etc/security/user 结果中default项下的pwdwarntime值在15-7之间即为符合。 AIX5.3:
AIX6.1:
|
加固要求 | 所有的系统账户,口令长度应至少8位,并包括:数字、小写字母、大写字母和特殊符号4类中至少3类,配置须通过堡垒机实现,所有账户均应纳入堡垒机管理 |
加固方法 | 1.口令中应包含的唯一字符数量 编辑/etc/security/user 设置default项下的 mindiff=阀值; 2.口令中最少应包含的非字母字符数量 编辑/etc/security/user 设置default项下的 minother=阀值; 3.口令中最少应包含的字母字符数量。 编辑/etc/security/user 设置default项下的 minalpha=阀值; 4.口令最少应包含的字符数量 编辑/etc/security/user 设置default项下的 minlen=阀值。 |
检查方法 | 使用命令: cat /etc/security/user 结果中default项下的mindiff值不小于1;minother值不小于1;minalpha值不小于1;minlen不小于8,四项均满足为符合。 AIX5.3:
AIX6.1:
|
加固要求 | 设置密码重复使用次数限制 |
加固方法 | 编辑/etc/security/user 设置default项下的 histsize=阀值。 |
检查方法 | 使用命令: cat /etc/security/user 结果中default项下的histsize值不小于5为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 系统帐户口令的生存期不长于90天(13周),到期后必须更换口令 系统帐户两次口令的更换时间间隔不低于7天 |
加固方法 | 对于采用静态口令认证技术的设备,账号口令的生存周期不长于90天(13周=91天) 编辑/etc/security/user 设置default项下的 histexpire=阀值; 对于采用静态口令认证技术的设备,账号口令的生存周期不等于0。 编辑/etc/security/user 设置default项下的 histexpire=阀值 如果文件不存在则创建并按照要求进行编辑。 |
检查方法 | 使用命令: cat /etc/security/user 结果中default项下的 histexpire值不小于1且不大于90,为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 运维管理类账号连续认证失败次数过多应当锁定该系统用户 |
加固方法 | 检测登录失败次数限制是否设为非0 编辑/etc/security/user 设置default项下的 loginretries=阀值; 检测登录失败次数限制 编辑/etc/security/user 设置default项下的 loginretries=阀值。 |
检查方法 | 使用命令: cat /etc/security/user 结果中default项下的loginretries值大于0小于6为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
-
-
-
- 检查是否配置使用SSH进行远程维护
-
-
加固要求 | 配置使用SSH进行远程维护 |
加固方法 | 使用ssh2版本 在/etc/ssh/sshd_config文件中添加行: Protocol 2 不设置使用RSA算法的基于rhosts的安全验证,在/etc/ssh/sshd_config文件中添加行:RhostsRSAAuthentication no 完全禁止SSHD使用.rhosts文件在/etc/ssh/sshd_config文件中添加行: IgnoreRhosts yes 允许窗口图形传输使用ssh加密在/etc/ssh/sshd_config文件中添加行:X11Forwarding yes 设置ssh登录时显示的banner在/etc/ssh/sshd_config文件中添加行:Banner /etc/motd 不允许空密码 在/etc/ssh/sshd_config文件中添加行:PermitEmptyPasswords no 不允许基于主机白名单方式认证在/etc/ssh/sshd_config文件中添加行:HostbasedAuthentication no 不设置使用基于rhosts的安全验证在/etc/ssh/sshd_config文件中添加行:RhostsAuthentication no |
检查方法 | 使用命令: cat /etc/ssh/sshd_config 结果中包含: Protocol 2 RhostsRSAAuthentication no IgnoreRhosts yes X11Forwarding yes Banner /etc/motd PermitEmptyPasswords no HostbasedAuthentication no RhostsAuthentication no 以上所有内容为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 所有的系统维护及配置必须采用ssh方式进行远程连接及数据传输,应安装并配置SSH,禁止使用telnet及其他方式的远程连接及数据传输 |
加固方法 | 安装ssh服务。 |
检查方法 | 使用命令: ssh -v 结果中包含ssh版本为符合 。 AIX5.3:
AIX6.1: |
加固情况 | |
备注 |
加固要求 | 具备字符交互界面的操作系统,应设置帐户无操作600秒后自动登出 |
加固方法 | 在/etc/profile文件中用文本编辑工具增加一行配置,增加如下行: TMOUT=120 TIMEOUT=120 export readonly TMOUT TIMEOUT 改变这项设置后,重新登录才能有效。 |
检查方法 | 使用命令: cat /etc/profile 结果中包含 TMOUT=120, TIMEOUT=120 export readonly TMOUT TIMEOUT相同作用语句为符合(超时时间不大于10分钟即可)。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 应及时删除或停用多余的、过期的账户 |
加固方法 | 1. 执行备份: cp -p /etc/passwd /etc/passwd_bak cp -p /etc/security/passwd /etc/security/passwd_bak 2. 删除用户: rmuser –p username; 3. 锁定无用帐户: chuser account_locked=true username 其中,username为要删除或锁定的用户名,包括: daemon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd 。 |
检查方法 | 使用命令: cat /etc/passwd 结果中不包含:daemon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 设置用户所需的最小权限 |
加固方法 | 是否存在/etc/security/passwd文件 /etc/group必须所有用户都可读,root用户可写 执行命令:chmod 644 /etc/group 不存在/etc/security/passwd文件 /etc/security的所有者必须是root和security组成员 执行命令:chown -R root:security /etc/security /etc/passwd的所有者必须是root和security组成员 执行命令:chown -R root:security /etc/passwd /etc/passwd所有用户都可读,root用户可写 执行命令:chmod 644 /etc/passwd /etc/security/audit的所有者必须是root和audit组成员 执行命令:chown -R root:audit /etc/security/audit /etc/group的所有者必须是root和security组成员 执行命令:chown -R root:security /etc/group 如果是有写权限,就需移去组及其它用户对/etc的写权限、其它用户对/etc的读权限(特殊情况除外) 执行命令:chmod -R go-w /etc /etc/security/passwd只有root可读 执行命令:chmod 400 /etc/security/passwd /etc/security必须root用户可读写执行,同组用户 执行命令:chmod 750 /etc/security |
检查方法 | 使用命令: ls -l /etc ls -l /etc ls -dl /etc/security ls -l /etc/passwd ls -dl /etc/security/audit ls -l /etc/group 结果中: /etc目录其他组无写权限(如rwxr-xr-x) /etc/group权限为644 /etc/security的拥有者为root:security /etc/passwd权限为644 /etc/security/audit的拥有者为root:audit /etc/group的拥有者为root:security /etc/shadow权限为400 /etc/security权限为750 以上均满足为符合 。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 设置日志文件的相关权限,包括读写执行等权限 |
加固方法 | 检测/var/adm/syslog文件权限是否合规: 执行命令:chmod 640 /var/adm/syslog 检测/var/adm/authlog文件权限是否合规: 执行命令:chmod 600 /var/adm/authlog |
检查方法 | 使用命令: ls -l /var/adm/authlog ls -l /var/adm/syslog 结果中 /var/adm/authlog权限为600, /var/adm/syslog权限为640则符合 。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
-
-
-
- 检查是否禁用root用户远程ssh
-
-
加固要求 | 禁用root用户远程ssh |
加固方法 | 编辑/etc/ssh/sshd_config: PermitRootLogin no;重启sshd。 |
检查方法 | 使用命令: cat /etc/ssh/sshd_config 结果中包含PermitRootLogin no为符合 。 AIX5.3: AIX6.1:
|
加固情况 | |
备注 |
-
-
-
- 检查是否禁止root用户远程telnet
-
-
加固要求 | 禁止root用户远程telnet |
加固方法 | 编辑/etc/security/user 设置root项下的 rlogin=false。 |
检查方法 | 使用命令: cat /etc/security/user 结果中root项下的 rlogin=false为符合 。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 禁止不必要的用户登录FTP(例如root账号);限制ftp用户登录后只能在自己当前目录下活动 |
加固方法 | eg:执行命令:echo root >>/etc/ftpusers 说明: 在这个列表里边的用户名是不允许ftp登陆的 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 |
检查方法 | 使用命令: cat/etc/ftp 结果中仅含必须使用ftp的用户为符合 。 |
加固情况 | |
备注 |
加固要求 | 配置重要文件及目录权限,防止非法访问 |
加固方法 | 检查文件是否存在: 查看/etc/init.d目录权限 chmod -R 750 /etc/init.d |
检查方法 | 使用命令: cat /etc/init.d ls -l /etc/init.d 结果中可看到/etc/init.d文件内容,且文件权限为750则符合 。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 按组进行帐号管理 |
加固方法 | 创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号: #groupadd -g GID groupname 将用户username分配到group组中: #usermod -g group username 查询被分配到的组的GID: #id username 可以根据实际需求使用如上命令进行设置。 |
检查方法 | 使用命令: cat /etc/passwd 结果中用户所在组与用户权限相符为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
-
-
-
- 检查是否设置控制FTP进程缺省访问权限
-
-
加固要求 | 设置控制FTP进程缺省访问权限 |
加固方法 | 编辑/etc/ftpaccess.ctl,加入如下两行: useronly: username, username, ... # 匿名用户 |
检查方法 | 使用命令: cat /etc/ftpaccess.ctl 结果中包含示例相同作用语句useronly: username, username, ... # 匿名用户,为符合。 |
加固情况 | |
备注 |
加固要求 | 按照用户需求及权限为用户设置相关账号,避免共享账号和不符合访问权限的账号出现 |
加固方法 | 为用户创建帐号: #useradd username #创建帐号 #passwd username #设置密码 修改权限: #chmod XXX directory #其中XXX为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录) 使用该命令为不同的用户分配不同的帐号,设置不同的口令及权限信息等。 |
检查方法 | 使用命令: cat /etc/passwd 结果中不包含多余、过期账号为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 禁止匿名FTP |
加固方法 | 默认不支持匿名,需要做专门的配置。 检查方法:使用ftp作匿名登录尝试,如能登录,则删除/etc/passwd下的ftp账号。 |
检查方法 | 使用命令: cat /etc/passwd 结果中不包含ftp账户为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 禁止其他机器修改网络掩码 |
加固方法 | 不允许其他机器重新设置此机网络掩码/usr/sbin/no -o icmpaddressmask=0。 |
检查方法 | 使用命令: no -a | grep icmpaddressmask 结果中icmpaddressmask值为0为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | ICMP重定向可以通过发送重定向报文来帮助用户选择最优路由,但是此报文可以被攻击者获取,从而冒充最优路由,所以必须进行ICMP攻击防护配置 |
加固方法 | 忽略ICMP重定向报文并不发送它们: /usr/sbin/no -o ipsendredirects=0 忽略ICMP重定向报文并不发送它们: /usr/sbin/no -o ipignoreredirects=1 。 |
检查方法 | 使用命令: no -a| grep ipsendredirects no -a | grep ipignoreredirects 结果中 ipsendredirects值为0且ipignoreredirects值为1为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限,防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制 |
加固方法 | 在/etc/security/user文件default段增加 umask = 077 。 |
检查方法 | 使用命令: cat /etc/security/user 结果中default段中包含umask = 077为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 对目录默认的访问权限进行设置 |
加固方法 | 执行命令:lsuser -a home ALL | awk '{print $1}' | while read user; do chuser umask=077 $user;done 。 |
检查方法 | 使用命令: lsuser -a umask ALL | grep -v 'umask=77' 结果为077则符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 启用内核级审核 |
加固方法 | 执行命令:audit start;若要在重新引导系统时自动启动审计,在启动脚本中添加 “audit start” 。 |
检查方法 | 使用命令: cat /var/adm/audit 结果中包含audit且audit非空则符合 |
加固情况 | |
备注 |
加固要求 | 记录登录系统的登录操作日志,所有登录系统日志都需被记录,日志应至少保存6个月以上 |
加固方法 | 检测是否配置authlog日志: 修改配置文件/etc/syslog.conf,加上一行: auth.info /var/adm/authlog 检测是否配置syslog日志: 修改配置文件/etc/syslog.conf,加上一行: *.info;auth.none /var/adm/syslog 检测是否存在/var/adm/syslog文件: 执行命令:touch /var/adm/syslog 若存在,且已在syslog.conf配置文件中配置过,重启syslog服务: stopsrc -s syslogd startsrc -s syslogd 检测是否存在/var/adm/authlog文件: 执行命令:touch /var/adm/authlog 检测/var/adm/authlog是否属于root和system组: 执行命令:chown root:system /var/adm/authlog 。 |
检查方法 | 使用命令: cd /var/adm cat authlog cat syslog 结果中包含authlog 、syslog 文件且文件非空则符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
-
-
-
- 检查是否设置NTP(网络时间协议)服务保持时间同步
-
-
加固要求 | 保持系统时间同步,便于系统管理 |
加固方法 | 如果网络中存在信任的NTP(网络时间协议)服务器,应该配置系统使用NTP(网络时间协议)服务保持时间同步。 echo 'server *.*.*.*'>>/etc/ntp.conf 检查文件/etc/ntp.conf是否存在。 |
检查方法 | 使用命令: cat /etc/ntp.conf 结果中配置了ntp服务器地址为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址,配置须通过日志平台实现,所有用户登录日志审计均应通过日志平台统一管理,日志应至少保存6个月以上 |
加固方法 | 修改配置文件vi /etc/syslog.conf, 配置如下类似语句: *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 |
检查方法 | 使用命令: cat /etc/syslog.conf 结果中包含*.err;kern.debug;daemon.notice; /var/adm/messages语句为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 启用系统记账(System accounting) |
加固方法 | 把以下内容保存为一个文本文件,并执行(请确保有执行权限): lslpp -i bos.acct >/dev/null 2>&1 #检查文件集是否存在 if [ "$?" != 0 ] then echo "bos.acct not installed, cannot proceed"; else su - adm -c "crontab -l"; > /tmp/crontab.adm #增加到crontab执行 echo "0 8-17 * * 1-5 /usr/lib/sa/sa1 1200 3 &">>/tmp/crontab.adm echo "0 * * * 0,6 /usr/lib/sa/sa1 &">>/tmp/crontab.adm echo "0 18-7 * * 1-5 /usr/lib/sa/sa1 &">>/tmp/crontab.adm echo "5 18 * * 1-5 /usr/lib/sa/sa2 -s 8:00 -e 18:01 -i 3600 -A &">>/tmp/ crontab.adm mkdir -p /var/adm/sa; #建立sa目录 chown adm:adm /var/adm/sa; #改变属主为adm chmod 755 /var/adm/sa; #赋予权限值 su - adm -c "crontab /tmp/crontab.adm"; fi |
检查方法 | 使用命令: cat /tmp/crontab.adm 若结果中包含系统资源使用情况为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 配置远程日志功能,将需要重点关注的日志内容传输到日志服务器,日志应至少保存6个月以上 |
加固方法 | 检查配置文件/etc/syslog.conf是否配置本地类型的 修改配置文件vi /etc/syslog.conf, 加上: local7.* @loghost 可以将此处loghost替换为实际的IP或域名。 重新启动syslog服务,依次执行下列命令: stopsrc -s syslogd startsrc -s syslogd 补充操作说明 注意: *.*和@之间用空格隔开 检查配置文件/etc/syslog.conf是否配置紧急信息 修改配置文件vi /etc/syslog.conf, 加上: *.emerg @loghost 可以将此处loghost替换为实际的IP或域名。 重新启动syslog服务,依次执行下列命令: stopsrc -s syslogd startsrc -s syslogd 补充操作说明 注意: *.*和@之间用空格隔开 检查配置文件/etc/syslog.conf中是否配置通报时除 修改配置文件vi /etc/syslog.conf, 加上: *.info;auth.none @loghost 可以将此处loghost替换为实际的IP或域名。 重新启动syslog服务,依次执行下列命令: stopsrc -s syslogd startsrc -s syslogd 补充操作说明 注意: *.*和@之间用空格隔开 检查配置文件/etc/syslog.conf中是否配置主机认证 修改配置文件vi /etc/syslog.conf, 加上: auth.info @loghost 可以将此处loghost替换为实际的IP或域名。 重新启动syslog服务,依次执行下列命令: stopsrc -s syslogd startsrc -s syslogd 补充操作说明 注意: *.*和@之间用空格隔开 |
检查方法 | 使用命令: cat /etc/syslog.conf 结果中包含: local7.* @loghost *.emerg @loghost *.info;auth.none @loghost auth.info @loghost 以上4项为符合 。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 优化参数,抵制 SYN-flood 攻击 |
加固方法 | /usr/sbin/no -o clean_partial_conns=1 |
检查方法 | 使用命令: no -a | grep clean_partial_conns 结果中clean_partial_conns值为1为符合 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 禁用所有tty设备 |
配置方法 | 执行rmdev命令删除tty设备。 |
检查方法 | 使用命令: lsdev -C -c tty 结果中不包含tty为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 关闭系统串行口(serial port) |
加固方法 | 把以下内容保存为一个文本文件,并执行(请确保有执行权限): for i in `grep ^tty /etc/inittab | cut -f1 -d:`; do echo "Disabling login from port /dev/$i" chitab "$i:2:off:/usr/sbin/getty /dev/$i" done |
检查方法 | 使用命令: lsdev -C 结果中pty和vty口均为defined 状态为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
-
-
-
- 检查是否禁用NFS服务端
-
-
加固要求 | 禁用NFS服务端 |
加固方法 | 检查是否有nfs服务端 执行禁止NFS服务端命令[ `lslpp -L bos.net.nfs.server 2>&1 | grep -c 'not installed'` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f 'bos.net.nfs.server' 或 应限制能够访问NFS服务的IP范围 编辑文件:vi /etc/hosts.allow 增加一行:nsf:允许访问的IP 或 如果没有必要,需要停止NFS服务 关闭命令: rmnfs -B |
检查方法 | 使用命令: lssrc -s nfsd nfsstat -s 结果中不包含NSF相关信息为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
-
-
-
- 检查是否禁用NFS客户端
-
-
加固要求 | 禁用NFS客户端 |
加固方法 | 检查是否有nfs客户端 执行禁止nfs客户端命令:[ `lslpp -L bos.net.nfs.client 2>&1 | grep -c 'not installed'` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f'bos.net.nfs.client' 或 如果没有必要,需要停止NFS服务 关闭命令: rmnfs -B。 |
检查方法 | 使用命令: nfsstat -c 结果中不包含NSF相关信息为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 关闭不必要启动项-GUI登录 |
加固方法 | 关闭GUI登录界面 chmod ug-s /usr/dt/bin/dtaction /usr/dt/bin/dtappgather /usr/dt/bin/dtprintinfo /usr/dt/bin/dtsession /usr/dt/bin/dtconfig -d 。 |
检查方法 | 使用命令: ls -l /usr/dt/bin/dtaction ls -l /usr/dt/bin/dtappgather ls -l /usr/dt/bin/dtprintinfo ls -l /usr/dt/bin/dtsession /usr/dt/bin/dtconfig 结果中文件权限的所有者和所属组均有's'权限。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 根据每台机器的不同角色,关闭不需要的系统服务。配置方法中的服务项提供参考,根据服务器的角色和应用情况对启动项进行修改 |
配置方法 | 关闭sendmail服务: stopsrc -s sendmail chrctcp -d sendmail cd /var/spool/cron/crontabs crontab -l > root.tmp if [ `grep -c "sendmail -q" root.tmp` -eq 0 ]; then echo "0 * * * * /usr/sbin/sendmail -q" >> root.tmp crontab root.tmp fi rm -f root.tmp 关闭不经常使用的服务: 以下语句在AIX 4.3.3上执行: for SVC in routed gated named timed rwhod snmpd dpid2 lpd portmap ndpd-router ndpd-host yp; do echo "Turning off $SVC" stopsrc -s $SVC chrctcp -d $SVC done for SVC in piobe httpdlite pmd writesrv; do echo "Turning off $SVC" rmitab $SVC done 以下语句在AIX 5上执行: for SVC in routed gated named timed rwhod mrouted snmpd hostmibd dpid2 lpd portmap autoconf6 ndpd-router ndpd-host yp; do echo "Turning off $SVC" stopsrc -s $SVC chrctcp -d $SVC done for SVC in piobe i4ls httpdlite pmd writesrv; do echo "Turning off $SVC" stopsrc -s $SVC rmitab $SVC done。 |
检查方法 | 使用命令: lssrc -a 结果中不必要服务状态均为stopped为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 安装系统补丁 |
加固方法 | 先把补丁集拷贝到一个目录,如/08update,然后执行 #smit update_all 选择安装目录/08update 默认 SOFTWARE to update [_update_all] 选择不提交,保存被覆盖的文件,可以回滚操作,接受许可协议 COMMIT software updates? no SAVE replaced files? yes ACCEPT new license agreements? Yes 然后回车执行安装。 |
检查方法 | 使用命令: oslevel -qs 结果中包含最新稳定版本补丁为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 关闭不必要启动项-NIS服务 |
加固方法 | 应关闭NIS客户端 关闭命令: stopsrc -s ypbind 应关闭NIS服务器端 关闭NIS服务器端: stopsrc -s ypserv 是否删除NIS客户端 执行命令: [ `lslpp -L bos.net.nis.client 2>&1 |grep -c "not installed"` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f 'bos.net.nis.client' 是否删除NIS服务端 执行命令: [ `lslpp -L bos.net.nis.server 2>&1 |grep -c "not installed"` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f 'bos.net.nis.server' |
检查方法 | 使用命令: lssrc -a 结果中-NIS服务状态为stopped为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
-
-
-
- 检查是否关闭inetd中不必要服务
-
-
加固要求 | 根据每台机器的不同角色,关闭不需要的系统服务 |
加固方法 | 查看所有开启的服务: #ps -e -f 方法一:手动方式操作 在inetd.conf中关闭不用的服务 首先复制/etc/inetd.conf。 #cp /etc/inetd.conf /etc/inetd.conf.backup 然后用vi编辑器编辑inetd.conf文件,对于需要注释掉的服务在相应行开头标记"#"字符,重启inetd服务,即可。 重新启用该服务,使用命令: refresh -s inetd 方法二:自动方式操作 A.把以下复制到文本里: for SVC in ftp telnet shell kshell login klogin exec echo discard chargen daytime time ttdbserver dtspc; do echo "Disabling $SVC TCP" chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime time cmsd; do echo "Disabling $SVC UDP" chsubserver -d -v $SVC -p udp done refresh -s inetd B.执行命令: #sh dis_server.sh |
检查方法 | 使用命令: lssrc -a |grep inetd 结果中inetd服务状态为stopped为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
-
-
-
- 检查是否配置参数,不允许被SMURF广播攻击
-
-
加固要求 | 配置参数,不允许被SMURF广播攻击 |
加固方法 | 不允许被SMURF广播攻击 /usr/sbin/no -o directed_broadcast=0 |
检查方法 | 使用命令:lsdev -C | grep directed_broadcast 结果directed_broadcast的值为0为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 对于不做路由功能的系统,应该关闭数据包转发功能 |
加固方法 | 关闭IP转发 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o nonlocsrcroute=0 |
检查方法 | 使用命令: no -a | grep ipsrcrouteforward no -a | grep ipsrcrouterecv no -a | grep ipsrcroutesend no -a | grep nonlocsrcroute 检查结果均为0为符合。 AIX5.3: AIX6.1: |
加固情况 | |
备注 |
加固要求 | 禁止程序崩溃时把自身的敏感信息从内存里DUMP到文 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
加固方法 | 限制内核文件的大小(硬限制) 编辑 /etc/security/limits, 在default配置段增加一行:core_hard = 0 限制内核文件的大小(软限制) 编辑 /etc/security/limits, 在default配置段增加一行:core = 0 禁止程序崩溃时把自身的敏感信息从内存里DUMP到 编辑 /etc/profile 增加ulimit -c 0 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
检查方法 | 使用命令: cat /etc/security/limits 结果中default配置段包含core = 0为符合。 cat /etc/profile 结果包括ulimit -c 0为符合。 AIX5.3: AIX6.1: | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
加固情况 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
备注 |
|