AIX5.3、AIX6.0 AIX操作系统安全加固

于 2022-10-11 16:18:39 发布
阅读量738 收藏 9
点赞数 2
文章标签: 安全 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vipee1/article/details/127265777
版权

加固要求

设置口令失效提示

加固方法

编辑/etc/security/user 设置default项下的 pwdwarntime=阀值。

检查方法

使用命令:

cat /etc/security/user

结果中default项下的pwdwarntime值在15-7之间即为符合。

AIX5.3:

 

AIX6.1:

 

2.检查是否设置口令复杂度策略

加固要求

所有的系统账户,口令长度应至少8位,并包括:数字、小写字母、大写字母和特殊符号4类中至少3类,配置须通过堡垒机实现,所有账户均应纳入堡垒机管理

加固方法

1.口令中应包含的唯一字符数量

编辑/etc/security/user 设置default项下的 mindiff=阀值;

2.口令中最少应包含的非字母字符数量

编辑/etc/security/user 设置default项下的 minother=阀值;

3.口令中最少应包含的字母字符数量。

编辑/etc/security/user 设置default项下的 minalpha=阀值;

4.口令最少应包含的字符数量

编辑/etc/security/user 设置default项下的 minlen=阀值。

检查方法

使用命令:

cat /etc/security/user

结果中default项下的mindiff值不小于1;minother值不小于1;minalpha值不小于1;minlen不小于8,四项均满足为符合。

AIX5.3:

 

AIX6.1:

 

        1. 检查是否设置口令重复使用次数

加固要求

设置密码重复使用次数限制

加固方法

编辑/etc/security/user 设置default项下的 histsize=阀值。

检查方法

使用命令:

cat /etc/security/user

结果中default项下的histsize值不小于5为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置口令生存周期

加固要求

系统帐户口令的生存期不长于90天(13周),到期后必须更换口令

系统帐户两次口令的更换时间间隔不低于7天

加固方法

对于采用静态口令认证技术的设备,账号口令的生存周期不长于90天(13周=91天)

编辑/etc/security/user 设置default项下的 histexpire=阀值;

对于采用静态口令认证技术的设备,账号口令的生存周期不等于0。

编辑/etc/security/user 设置default项下的 histexpire=阀值

如果文件不存在则创建并按照要求进行编辑。

检查方法

使用命令:

cat /etc/security/user

结果中default项下的 histexpire值不小于1且不大于90,为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置口令连续认证失败次数

加固要求

运维管理类账号连续认证失败次数过多应当锁定该系统用户

加固方法

检测登录失败次数限制是否设为非0

编辑/etc/security/user 设置default项下的 loginretries=阀值;

检测登录失败次数限制

编辑/etc/security/user 设置default项下的 loginretries=阀值。

检查方法

使用命令:

cat /etc/security/user

结果中default项下的loginretries值大于0小于6为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置使用SSH进行远程维护

加固要求

配置使用SSH进行远程维护

加固方法

使用ssh2版本  在/etc/ssh/sshd_config文件中添加行: Protocol 2

不设置使用RSA算法的基于rhosts的安全验证,在/etc/ssh/sshd_config文件中添加行:RhostsRSAAuthentication no

完全禁止SSHD使用.rhosts文件在/etc/ssh/sshd_config文件中添加行: IgnoreRhosts yes

允许窗口图形传输使用ssh加密在/etc/ssh/sshd_config文件中添加行:X11Forwarding yes

设置ssh登录时显示的banner在/etc/ssh/sshd_config文件中添加行:Banner /etc/motd

不允许空密码  在/etc/ssh/sshd_config文件中添加行:PermitEmptyPasswords no

不允许基于主机白名单方式认证在/etc/ssh/sshd_config文件中添加行:HostbasedAuthentication no

不设置使用基于rhosts的安全验证在/etc/ssh/sshd_config文件中添加行:RhostsAuthentication no

检查方法

使用命令:

cat /etc/ssh/sshd_config

结果中包含:

Protocol 2

RhostsRSAAuthentication no

IgnoreRhosts yes

X11Forwarding yes

Banner /etc/motd

PermitEmptyPasswords no

HostbasedAuthentication no

RhostsAuthentication no

以上所有内容为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否安装ssh服务

加固要求

所有的系统维护及配置必须采用ssh方式进行远程连接及数据传输,应安装并配置SSH,禁止使用telnet及其他方式的远程连接及数据传输

加固方法

安装ssh服务。

检查方法

使用命令:

ssh -v

结果中包含ssh版本为符合 。

AIX5.3:

    

AIX6.1:

加固情况

备注

        1. 检查是否设置登录超时

加固要求

具备字符交互界面的操作系统,应设置帐户无操作600秒后自动登出

加固方法

在/etc/profile文件中用文本编辑工具增加一行配置,增加如下行:

TMOUT=120

TIMEOUT=120

export readonly TMOUT TIMEOUT

改变这项设置后,重新登录才能有效。

检查方法

使用命令:

cat /etc/profile

结果中包含

TMOUT=120, TIMEOUT=120 export readonly TMOUT TIMEOUT相同作用语句为符合(超时时间不大于10分钟即可)。

AIX5.3:

AIX6.1:

加固情况

备注

      1. 访问控制
        1. 检查是否删除或锁定无关帐号

加固要求

应及时删除或停用多余的、过期的账户

加固方法

1. 执行备份:

cp -p /etc/passwd /etc/passwd_bak

cp -p /etc/security/passwd /etc/security/passwd_bak

2. 删除用户:

rmuser –p username;

3. 锁定无用帐户:

chuser account_locked=true username

其中,username为要删除或锁定的用户名,包括:

daemon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd 。

检查方法

使用命令:

cat  /etc/passwd

结果中不包含:daemon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置用户所需的最小权限

加固要求

设置用户所需的最小权限

加固方法

是否存在/etc/security/passwd文件

/etc/group必须所有用户都可读,root用户可写

执行命令:chmod 644 /etc/group

不存在/etc/security/passwd文件

/etc/security的所有者必须是root和security组成员

执行命令:chown -R root:security /etc/security

/etc/passwd的所有者必须是root和security组成员

执行命令:chown -R root:security /etc/passwd

/etc/passwd所有用户都可读,root用户可写

执行命令:chmod 644 /etc/passwd

/etc/security/audit的所有者必须是root和audit组成员

执行命令:chown -R root:audit /etc/security/audit

/etc/group的所有者必须是root和security组成员

执行命令:chown -R root:security /etc/group

如果是有写权限,就需移去组及其它用户对/etc的写权限、其它用户对/etc的读权限(特殊情况除外)

执行命令:chmod -R go-w /etc

/etc/security/passwd只有root可读

执行命令:chmod 400 /etc/security/passwd

/etc/security必须root用户可读写执行,同组用户

执行命令:chmod 750 /etc/security

检查方法

使用命令:

ls -l /etc

ls -l /etc

ls -dl /etc/security

ls -l /etc/passwd

ls -dl /etc/security/audit

ls -l /etc/group

结果中:

/etc目录其他组无写权限(如rwxr-xr-x)

/etc/group权限为644

/etc/security的拥有者为root:security

/etc/passwd权限为644

/etc/security/audit的拥有者为root:audit

/etc/group的拥有者为root:security

/etc/shadow权限为400

/etc/security权限为750

以上均满足为符合 。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置日志文件权限

加固要求

设置日志文件的相关权限,包括读写执行等权限

加固方法

检测/var/adm/syslog文件权限是否合规:

执行命令:chmod 640 /var/adm/syslog

检测/var/adm/authlog文件权限是否合规:

执行命令:chmod 600 /var/adm/authlog

检查方法

使用命令:

ls -l /var/adm/authlog

ls -l  /var/adm/syslog

结果中 /var/adm/authlog权限为600, /var/adm/syslog权限为640则符合 。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁用root用户远程ssh

加固要求

禁用root用户远程ssh

加固方法

编辑/etc/ssh/sshd_config: PermitRootLogin no;重启sshd。

检查方法

使用命令:

cat /etc/ssh/sshd_config

结果中包含PermitRootLogin no为符合 。

AIX5.3:

AIX6.1:

    

加固情况

备注

        1. 检查是否禁止root用户远程telnet

加固要求

禁止root用户远程telnet

加固方法

编辑/etc/security/user 设置root项下的 rlogin=false。

检查方法

使用命令:

cat /etc/security/user

结果中root项下的 rlogin=false为符合 。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁止不必要的用户登录FTP

加固要求

禁止不必要的用户登录FTP(例如root账号);限制ftp用户登录后只能在自己当前目录下活动

加固方法

eg:执行命令:echo root >>/etc/ftpusers

说明:  在这个列表里边的用户名是不允许ftp登陆的

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

检查方法

使用命令:

cat/etc/ftp

结果中仅含必须使用ftp的用户为符合 。

加固情况

备注

        1. 检查是否设置重要文件和目录的权限

加固要求

配置重要文件及目录权限,防止非法访问

加固方法

检查文件是否存在:

查看/etc/init.d目录权限

chmod -R 750 /etc/init.d

检查方法

使用命令:

cat /etc/init.d

ls -l /etc/init.d

结果中可看到/etc/init.d文件内容,且文件权限为750则符合 。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否按组进行帐号管理

加固要求

按组进行帐号管理

加固方法

创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号:

#groupadd -g GID groupname

将用户username分配到group组中:

#usermod -g group username

查询被分配到的组的GID:

#id username

可以根据实际需求使用如上命令进行设置。

检查方法

使用命令:

cat /etc/passwd

结果中用户所在组与用户权限相符为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置控制FTP进程缺省访问权限

加固要求

设置控制FTP进程缺省访问权限

加固方法

编辑/etc/ftpaccess.ctl,加入如下两行:

useronly: username, username, ... # 匿名用户

检查方法

使用命令:

cat /etc/ftpaccess.ctl

结果中包含示例相同作用语句useronly: username, username, ... # 匿名用户,为符合。

加固情况

备注

        1. 检查是否按用户分配帐号责任到人

加固要求

按照用户需求及权限为用户设置相关账号,避免共享账号和不符合访问权限的账号出现

加固方法

为用户创建帐号:

#useradd username  #创建帐号

#passwd username   #设置密码

修改权限:

#chmod XXX directory  #其中XXX为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)

使用该命令为不同的用户分配不同的帐号,设置不同的口令及权限信息等。

检查方法

使用命令:

cat /etc/passwd

结果中不包含多余、过期账号为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁止匿名FTP

加固要求

禁止匿名FTP

加固方法

默认不支持匿名,需要做专门的配置。

检查方法:使用ftp作匿名登录尝试,如能登录,则删除/etc/passwd下的ftp账号。

检查方法

使用命令:

cat /etc/passwd

结果中不包含ftp账户为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁止其他机器修改网络掩码

加固要求

禁止其他机器修改网络掩码

加固方法

不允许其他机器重新设置此机网络掩码/usr/sbin/no -o icmpaddressmask=0。

检查方法

使用命令:

no -a | grep icmpaddressmask

结果中icmpaddressmask值为0为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁止主机系统ICMP重定向

加固要求

ICMP重定向可以通过发送重定向报文来帮助用户选择最优路由,但是此报文可以被攻击者获取,从而冒充最优路由,所以必须进行ICMP攻击防护配置

加固方法

忽略ICMP重定向报文并不发送它们:

/usr/sbin/no -o ipsendredirects=0

忽略ICMP重定向报文并不发送它们:

/usr/sbin/no -o ipignoreredirects=1 。

检查方法

使用命令:

no -a| grep ipsendredirects

no -a | grep ipignoreredirects

结果中 ipsendredirects值为0且ipignoreredirects值为1为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检测用户缺省访问权限是否符合规范

加固要求

控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限,防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制

加固方法

在/etc/security/user文件default段增加 umask = 077 。

检查方法

使用命令:

cat /etc/security/user

结果中default段中包含umask = 077为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置文件与目录缺省访问权限

加固要求

对目录默认的访问权限进行设置

加固方法

执行命令:lsuser -a home ALL | awk '{print $1}' | while read user; do chuser umask=077 $user;done 。

检查方法

使用命令:

lsuser -a umask ALL | grep -v 'umask=77'

结果为077则符合。

AIX5.3:

AIX6.1:

加固情况

备注

      1. 安全审计
        1. 检查是否启用内核级审核

加固要求

启用内核级审核

加固方法

执行命令:audit start;若要在重新引导系统时自动启动审计,在启动脚本中添加 “audit start” 。

检查方法

使用命令:

cat /var/adm/audit

结果中包含audit且audit非空则符合

加固情况

备注

        1. 检查是否记录用户登录日志

加固要求

记录登录系统的登录操作日志,所有登录系统日志都需被记录,日志应至少保存6个月以上

加固方法

检测是否配置authlog日志:

修改配置文件/etc/syslog.conf,加上一行:

auth.info            /var/adm/authlog

检测是否配置syslog日志:

修改配置文件/etc/syslog.conf,加上一行:

*.info;auth.none           /var/adm/syslog

检测是否存在/var/adm/syslog文件:

执行命令:touch  /var/adm/syslog

若存在,且已在syslog.conf配置文件中配置过,重启syslog服务:

stopsrc -s syslogd

startsrc -s syslogd

检测是否存在/var/adm/authlog文件:

执行命令:touch  /var/adm/authlog

检测/var/adm/authlog是否属于root和system组:

执行命令:chown root:system /var/adm/authlog 。

检查方法

使用命令:

cd /var/adm

cat authlog

cat syslog

结果中包含authlog 、syslog 文件且文件非空则符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置NTP(网络时间协议)服务保持时间同步

加固要求

保持系统时间同步,便于系统管理

加固方法

如果网络中存在信任的NTP(网络时间协议)服务器,应该配置系统使用NTP(网络时间协议)服务保持时间同步。

echo 'server *.*.*.*'>>/etc/ntp.conf

检查文件/etc/ntp.conf是否存在。

检查方法

使用命令:

cat /etc/ntp.conf

结果中配置了ntp服务器地址为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置日志功能,记录与设备相关的安全事件

加固要求

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址,配置须通过日志平台实现,所有用户登录日志审计均应通过日志平台统一管理,日志应至少保存6个月以上

加固方法

修改配置文件vi /etc/syslog.conf,

配置如下类似语句:

*.err;kern.debug;daemon.notice;        /var/adm/messages

定义为需要保存的设备相关安全事件。

检查方法

使用命令:

cat /etc/syslog.conf

结果中包含*.err;kern.debug;daemon.notice; /var/adm/messages语句为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否启用系统记账(System accounting)

加固要求

启用系统记账(System accounting)

加固方法

把以下内容保存为一个文本文件,并执行(请确保有执行权限):

lslpp -i bos.acct >/dev/null 2>&1  #检查文件集是否存在

if [ "$?" != 0 ]

then

        echo "bos.acct not installed, cannot proceed";

else

        su - adm -c "crontab -l"; > /tmp/crontab.adm  #增加到crontab执行

        echo "0 8-17 * * 1-5 /usr/lib/sa/sa1 1200 3 &">>/tmp/crontab.adm

        echo "0 * * * 0,6 /usr/lib/sa/sa1 &">>/tmp/crontab.adm

        echo "0 18-7 * * 1-5 /usr/lib/sa/sa1 &">>/tmp/crontab.adm

        echo "5 18 * * 1-5 /usr/lib/sa/sa2 -s 8:00 -e 18:01 -i 3600 -A &">>/tmp/

crontab.adm

        mkdir -p /var/adm/sa;              #建立sa目录

        chown adm:adm /var/adm/sa;  #改变属主为adm

        chmod 755 /var/adm/sa;         #赋予权限值

        su - adm -c "crontab /tmp/crontab.adm";

fi

检查方法

使用命令:

cat /tmp/crontab.adm

若结果中包含系统资源使用情况为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置远程日志功能,将需要重点关注的日志内容传输到日志服务器

加固要求

配置远程日志功能,将需要重点关注的日志内容传输到日志服务器,日志应至少保存6个月以上

加固方法

检查配置文件/etc/syslog.conf是否配置本地类型的

修改配置文件vi /etc/syslog.conf,

加上:

 local7.* @loghost

可以将此处loghost替换为实际的IP或域名。

重新启动syslog服务,依次执行下列命令:

stopsrc -s syslogd  startsrc -s syslogd

补充操作说明

注意: *.*和@之间用空格隔开

检查配置文件/etc/syslog.conf是否配置紧急信息

修改配置文件vi /etc/syslog.conf,

加上:

*.emerg @loghost 

可以将此处loghost替换为实际的IP或域名。

重新启动syslog服务,依次执行下列命令:

stopsrc -s syslogd  startsrc -s syslogd

补充操作说明

注意: *.*和@之间用空格隔开

检查配置文件/etc/syslog.conf中是否配置通报时除

修改配置文件vi /etc/syslog.conf,

加上:

*.info;auth.none @loghost 

可以将此处loghost替换为实际的IP或域名。

重新启动syslog服务,依次执行下列命令:

stopsrc -s syslogd  startsrc -s syslogd

补充操作说明

注意: *.*和@之间用空格隔开

检查配置文件/etc/syslog.conf中是否配置主机认证

修改配置文件vi /etc/syslog.conf,

加上:

 auth.info @loghost 

可以将此处loghost替换为实际的IP或域名。

重新启动syslog服务,依次执行下列命令:

stopsrc -s syslogd  startsrc -s syslogd

补充操作说明

注意: *.*和@之间用空格隔开

检查方法

使用命令:

cat /etc/syslog.conf

结果中包含:

local7.* @loghost

*.emerg @loghost

*.info;auth.none @loghost

 auth.info @loghost

以上4项为符合 。

AIX5.3:

AIX6.1:

加固情况

备注

      1. 入侵防范
        1. 检查是否优化参数,抵制 SYN-flood 攻击

加固要求

优化参数,抵制 SYN-flood 攻击

加固方法

/usr/sbin/no -o clean_partial_conns=1

检查方法

使用命令:

no -a | grep clean_partial_conns

结果中clean_partial_conns值为1为符合

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁用所有tty设备

加固要求

禁用所有tty设备

配置方法

执行rmdev命令删除tty设备。

检查方法

使用命令:

lsdev -C -c tty

结果中不包含tty为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否关闭系统串行口(serial port)

加固要求

关闭系统串行口(serial port)

加固方法

把以下内容保存为一个文本文件,并执行(请确保有执行权限):

for i in `grep ^tty /etc/inittab | cut -f1 -d:`;

do

echo "Disabling login from port /dev/$i"

chitab "$i:2:off:/usr/sbin/getty /dev/$i"

done

检查方法

使用命令:

lsdev -C

结果中pty和vty口均为defined 状态为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁用NFS服务端

加固要求

禁用NFS服务端

加固方法

检查是否有nfs服务端  执行禁止NFS服务端命令[ `lslpp -L bos.net.nfs.server 2>&1 | grep -c 'not installed'` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f 'bos.net.nfs.server'

应限制能够访问NFS服务的IP范围  编辑文件:vi /etc/hosts.allow 增加一行:nsf:允许访问的IP

如果没有必要,需要停止NFS服务  关闭命令: rmnfs -B

检查方法

使用命令:

lssrc -s nfsd

nfsstat -s

结果中不包含NSF相关信息为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁用NFS客户端

加固要求

禁用NFS客户端

加固方法

检查是否有nfs客户端  执行禁止nfs客户端命令:[ `lslpp -L bos.net.nfs.client 2>&1 | grep -c 'not installed'` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f'bos.net.nfs.client'

如果没有必要,需要停止NFS服务  关闭命令: rmnfs -B。

检查方法

使用命令:

nfsstat -c

结果中不包含NSF相关信息为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否关闭不必要启动项-GUI登录

加固要求

关闭不必要启动项-GUI登录

加固方法

关闭GUI登录界面

chmod ug-s /usr/dt/bin/dtaction /usr/dt/bin/dtappgather /usr/dt/bin/dtprintinfo /usr/dt/bin/dtsession

/usr/dt/bin/dtconfig -d 。

检查方法

使用命令:

ls -l  /usr/dt/bin/dtaction

ls -l /usr/dt/bin/dtappgather

ls -l /usr/dt/bin/dtprintinfo

ls -l /usr/dt/bin/dtsession

/usr/dt/bin/dtconfig

结果中文件权限的所有者和所属组均有's'权限。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否关闭不必要常见启动项

加固要求

根据每台机器的不同角色,关闭不需要的系统服务。配置方法中的服务项提供参考,根据服务器的角色和应用情况对启动项进行修改

配置方法

关闭sendmail服务: stopsrc -s sendmail chrctcp -d sendmail cd /var/spool/cron/crontabs crontab -l > root.tmp if [ `grep -c "sendmail -q" root.tmp` -eq 0 ]; then echo "0 * * * * /usr/sbin/sendmail -q" >> root.tmp crontab root.tmp fi rm -f root.tmp

关闭不经常使用的服务: 以下语句在AIX 4.3.3上执行: for SVC in routed gated named timed rwhod snmpd dpid2 lpd portmap ndpd-router ndpd-host yp; do echo "Turning off $SVC" stopsrc -s $SVC chrctcp -d $SVC done for SVC in piobe httpdlite pmd writesrv; do echo "Turning off $SVC" rmitab $SVC done

以下语句在AIX 5上执行: for SVC in routed gated named timed rwhod mrouted snmpd hostmibd dpid2 lpd portmap autoconf6 ndpd-router ndpd-host yp; do echo "Turning off $SVC" stopsrc -s $SVC chrctcp -d $SVC done for SVC in piobe i4ls httpdlite pmd writesrv; do echo "Turning off $SVC" stopsrc -s $SVC rmitab $SVC done。

检查方法

使用命令:

lssrc -a

结果中不必要服务状态均为stopped为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否安装系统补丁

加固要求

安装系统补丁

加固方法

先把补丁集拷贝到一个目录,如/08update,然后执行

#smit update_all

选择安装目录/08update

默认

SOFTWARE to update [_update_all]

选择不提交,保存被覆盖的文件,可以回滚操作,接受许可协议

COMMIT software updates?                          no

SAVE replaced files?                                    yes

ACCEPT new license agreements?                 Yes

然后回车执行安装。

检查方法

使用命令:

oslevel -qs

结果中包含最新稳定版本补丁为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否关闭不必要启动项-NIS服务

加固要求

关闭不必要启动项-NIS服务

加固方法

应关闭NIS客户端  关闭命令: stopsrc -s ypbind

应关闭NIS服务器端  关闭NIS服务器端: stopsrc -s ypserv

是否删除NIS客户端  执行命令: [ `lslpp -L bos.net.nis.client 2>&1 |grep -c "not installed"` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f 'bos.net.nis.client'

是否删除NIS服务端  执行命令: [ `lslpp -L bos.net.nis.server 2>&1 |grep -c "not installed"` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f 'bos.net.nis.server'

检查方法

使用命令:

lssrc -a

结果中-NIS服务状态为stopped为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否关闭inetd中不必要服务

加固要求

根据每台机器的不同角色,关闭不需要的系统服务

加固方法

查看所有开启的服务: #ps -e -f

方法一:手动方式操作

在inetd.conf中关闭不用的服务 首先复制/etc/inetd.conf。

#cp /etc/inetd.conf /etc/inetd.conf.backup

然后用vi编辑器编辑inetd.conf文件,对于需要注释掉的服务在相应行开头标记"#"字符,重启inetd服务,即可。

重新启用该服务,使用命令:

refresh -s inetd

方法二:自动方式操作 A.把以下复制到文本里: for SVC in ftp telnet shell kshell login klogin exec echo discard chargen daytime time ttdbserver dtspc; do echo "Disabling $SVC TCP" chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime time cmsd; do echo "Disabling $SVC UDP" chsubserver -d -v $SVC -p udp done refresh -s inetd

B.执行命令:

#sh dis_server.sh

检查方法

使用命令:

lssrc -a |grep inetd

结果中inetd服务状态为stopped为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置参数,不允许被SMURF广播攻击

加固要求

配置参数,不允许被SMURF广播攻击

加固方法

不允许被SMURF广播攻击

/usr/sbin/no -o directed_broadcast=0

检查方法

使用命令:lsdev -C | grep directed_broadcast

结果directed_broadcast的值为0为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置不做路由功能的系统关闭数据包转发功能

加固要求

对于不做路由功能的系统,应该关闭数据包转发功能

加固方法

关闭IP转发

/usr/sbin/no -o ipsrcrouteforward=0

/usr/sbin/no -o ipsrcrouterecv=0

/usr/sbin/no -o ipsrcroutesend=0

/usr/sbin/no -o nonlocsrcroute=0

检查方法

使用命令:

no -a | grep ipsrcrouteforward

no -a | grep ipsrcrouterecv

no -a | grep ipsrcroutesend

no -a | grep nonlocsrcroute

检查结果均为0为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置防止堆栈缓冲溢出

加固要求

禁止程序崩溃时把自身的敏感信息从内存里DUMP到文

加固方法

限制内核文件的大小(硬限制)

编辑 /etc/security/limits, 在default配置段增加一行:core_hard = 0

限制内核文件的大小(软限制)

编辑 /etc/security/limits, 在default配置段增加一行:core = 0

禁止程序崩溃时把自身的敏感信息从内存里DUMP到

编辑 /etc/profile 增加ulimit -c 0

检查方法

使用命令:

cat /etc/security/limits

结果中default配置段包含core = 0为符合。

cat /etc/profile

结果包括ulimit -c 0为符合。

AIX5.3:

AIX6.1:

加固情况

备注
        1. 检查是否设置口令重复使用次数

加固要求

设置密码重复使用次数限制

加固方法

编辑/etc/security/user 设置default项下的 histsize=阀值。

检查方法

使用命令:

cat /etc/security/user

结果中default项下的histsize值不小于5为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置口令生存周期

加固要求

系统帐户口令的生存期不长于90天(13周),到期后必须更换口令

系统帐户两次口令的更换时间间隔不低于7天

加固方法

对于采用静态口令认证技术的设备,账号口令的生存周期不长于90天(13周=91天)

编辑/etc/security/user 设置default项下的 histexpire=阀值;

对于采用静态口令认证技术的设备,账号口令的生存周期不等于0。

编辑/etc/security/user 设置default项下的 histexpire=阀值

如果文件不存在则创建并按照要求进行编辑。

检查方法

使用命令:

cat /etc/security/user

结果中default项下的 histexpire值不小于1且不大于90,为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置口令连续认证失败次数

加固要求

运维管理类账号连续认证失败次数过多应当锁定该系统用户

加固方法

检测登录失败次数限制是否设为非0

编辑/etc/security/user 设置default项下的 loginretries=阀值;

检测登录失败次数限制

编辑/etc/security/user 设置default项下的 loginretries=阀值。

检查方法

使用命令:

cat /etc/security/user

结果中default项下的loginretries值大于0小于6为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置使用SSH进行远程维护

加固要求

配置使用SSH进行远程维护

加固方法

使用ssh2版本  在/etc/ssh/sshd_config文件中添加行: Protocol 2

不设置使用RSA算法的基于rhosts的安全验证,在/etc/ssh/sshd_config文件中添加行:RhostsRSAAuthentication no

完全禁止SSHD使用.rhosts文件在/etc/ssh/sshd_config文件中添加行: IgnoreRhosts yes

允许窗口图形传输使用ssh加密在/etc/ssh/sshd_config文件中添加行:X11Forwarding yes

设置ssh登录时显示的banner在/etc/ssh/sshd_config文件中添加行:Banner /etc/motd

不允许空密码  在/etc/ssh/sshd_config文件中添加行:PermitEmptyPasswords no

不允许基于主机白名单方式认证在/etc/ssh/sshd_config文件中添加行:HostbasedAuthentication no

不设置使用基于rhosts的安全验证在/etc/ssh/sshd_config文件中添加行:RhostsAuthentication no

检查方法

使用命令:

cat /etc/ssh/sshd_config

结果中包含:

Protocol 2

RhostsRSAAuthentication no

IgnoreRhosts yes

X11Forwarding yes

Banner /etc/motd

PermitEmptyPasswords no

HostbasedAuthentication no

RhostsAuthentication no

以上所有内容为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否安装ssh服务

加固要求

所有的系统维护及配置必须采用ssh方式进行远程连接及数据传输,应安装并配置SSH,禁止使用telnet及其他方式的远程连接及数据传输

加固方法

安装ssh服务。

检查方法

使用命令:

ssh -v

结果中包含ssh版本为符合 。

AIX5.3:

    

AIX6.1:

加固情况

备注

        1. 检查是否设置登录超时

加固要求

具备字符交互界面的操作系统,应设置帐户无操作600秒后自动登出

加固方法

在/etc/profile文件中用文本编辑工具增加一行配置,增加如下行:

TMOUT=120

TIMEOUT=120

export readonly TMOUT TIMEOUT

改变这项设置后,重新登录才能有效。

检查方法

使用命令:

cat /etc/profile

结果中包含

TMOUT=120, TIMEOUT=120 export readonly TMOUT TIMEOUT相同作用语句为符合(超时时间不大于10分钟即可)。

AIX5.3:

AIX6.1:

加固情况

备注

      1. 访问控制
        1. 检查是否删除或锁定无关帐号

加固要求

应及时删除或停用多余的、过期的账户

加固方法

1. 执行备份:

cp -p /etc/passwd /etc/passwd_bak

cp -p /etc/security/passwd /etc/security/passwd_bak

2. 删除用户:

rmuser –p username;

3. 锁定无用帐户:

chuser account_locked=true username

其中,username为要删除或锁定的用户名,包括:

daemon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd 。

检查方法

使用命令:

cat  /etc/passwd

结果中不包含:daemon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置用户所需的最小权限

加固要求

设置用户所需的最小权限

加固方法

是否存在/etc/security/passwd文件

/etc/group必须所有用户都可读,root用户可写

执行命令:chmod 644 /etc/group

不存在/etc/security/passwd文件

/etc/security的所有者必须是root和security组成员

执行命令:chown -R root:security /etc/security

/etc/passwd的所有者必须是root和security组成员

执行命令:chown -R root:security /etc/passwd

/etc/passwd所有用户都可读,root用户可写

执行命令:chmod 644 /etc/passwd

/etc/security/audit的所有者必须是root和audit组成员

执行命令:chown -R root:audit /etc/security/audit

/etc/group的所有者必须是root和security组成员

执行命令:chown -R root:security /etc/group

如果是有写权限,就需移去组及其它用户对/etc的写权限、其它用户对/etc的读权限(特殊情况除外)

执行命令:chmod -R go-w /etc

/etc/security/passwd只有root可读

执行命令:chmod 400 /etc/security/passwd

/etc/security必须root用户可读写执行,同组用户

执行命令:chmod 750 /etc/security

检查方法

使用命令:

ls -l /etc

ls -l /etc

ls -dl /etc/security

ls -l /etc/passwd

ls -dl /etc/security/audit

ls -l /etc/group

结果中:

/etc目录其他组无写权限(如rwxr-xr-x)

/etc/group权限为644

/etc/security的拥有者为root:security

/etc/passwd权限为644

/etc/security/audit的拥有者为root:audit

/etc/group的拥有者为root:security

/etc/shadow权限为400

/etc/security权限为750

以上均满足为符合 。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置日志文件权限

加固要求

设置日志文件的相关权限,包括读写执行等权限

加固方法

检测/var/adm/syslog文件权限是否合规:

执行命令:chmod 640 /var/adm/syslog

检测/var/adm/authlog文件权限是否合规:

执行命令:chmod 600 /var/adm/authlog

检查方法

使用命令:

ls -l /var/adm/authlog

ls -l  /var/adm/syslog

结果中 /var/adm/authlog权限为600, /var/adm/syslog权限为640则符合 。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁用root用户远程ssh

加固要求

禁用root用户远程ssh

加固方法

编辑/etc/ssh/sshd_config: PermitRootLogin no;重启sshd。

检查方法

使用命令:

cat /etc/ssh/sshd_config

结果中包含PermitRootLogin no为符合 。

AIX5.3:

AIX6.1:

    

加固情况

备注

        1. 检查是否禁止root用户远程telnet

加固要求

禁止root用户远程telnet

加固方法

编辑/etc/security/user 设置root项下的 rlogin=false。

检查方法

使用命令:

cat /etc/security/user

结果中root项下的 rlogin=false为符合 。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁止不必要的用户登录FTP

加固要求

禁止不必要的用户登录FTP(例如root账号);限制ftp用户登录后只能在自己当前目录下活动

加固方法

eg:执行命令:echo root >>/etc/ftpusers

说明:  在这个列表里边的用户名是不允许ftp登陆的

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

检查方法

使用命令:

cat/etc/ftp

结果中仅含必须使用ftp的用户为符合 。

加固情况

备注

        1. 检查是否设置重要文件和目录的权限

加固要求

配置重要文件及目录权限,防止非法访问

加固方法

检查文件是否存在:

查看/etc/init.d目录权限

chmod -R 750 /etc/init.d

检查方法

使用命令:

cat /etc/init.d

ls -l /etc/init.d

结果中可看到/etc/init.d文件内容,且文件权限为750则符合 。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否按组进行帐号管理

加固要求

按组进行帐号管理

加固方法

创建一个组,并为其设置GID号,若不设GID,系统会自动为该组分配一个GID号:

#groupadd -g GID groupname

将用户username分配到group组中:

#usermod -g group username

查询被分配到的组的GID:

#id username

可以根据实际需求使用如上命令进行设置。

检查方法

使用命令:

cat /etc/passwd

结果中用户所在组与用户权限相符为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置控制FTP进程缺省访问权限

加固要求

设置控制FTP进程缺省访问权限

加固方法

编辑/etc/ftpaccess.ctl,加入如下两行:

useronly: username, username, ... # 匿名用户

检查方法

使用命令:

cat /etc/ftpaccess.ctl

结果中包含示例相同作用语句useronly: username, username, ... # 匿名用户,为符合。

加固情况

备注

        1. 检查是否按用户分配帐号责任到人

加固要求

按照用户需求及权限为用户设置相关账号,避免共享账号和不符合访问权限的账号出现

加固方法

为用户创建帐号:

#useradd username  #创建帐号

#passwd username   #设置密码

修改权限:

#chmod XXX directory  #其中XXX为设置的权限,可根据实际情况设置相应的权限,directory是要更改权限的目录)

使用该命令为不同的用户分配不同的帐号,设置不同的口令及权限信息等。

检查方法

使用命令:

cat /etc/passwd

结果中不包含多余、过期账号为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁止匿名FTP

加固要求

禁止匿名FTP

加固方法

默认不支持匿名,需要做专门的配置。

检查方法:使用ftp作匿名登录尝试,如能登录,则删除/etc/passwd下的ftp账号。

检查方法

使用命令:

cat /etc/passwd

结果中不包含ftp账户为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁止其他机器修改网络掩码

加固要求

禁止其他机器修改网络掩码

加固方法

不允许其他机器重新设置此机网络掩码/usr/sbin/no -o icmpaddressmask=0。

检查方法

使用命令:

no -a | grep icmpaddressmask

结果中icmpaddressmask值为0为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁止主机系统ICMP重定向

加固要求

ICMP重定向可以通过发送重定向报文来帮助用户选择最优路由,但是此报文可以被攻击者获取,从而冒充最优路由,所以必须进行ICMP攻击防护配置

加固方法

忽略ICMP重定向报文并不发送它们:

/usr/sbin/no -o ipsendredirects=0

忽略ICMP重定向报文并不发送它们:

/usr/sbin/no -o ipignoreredirects=1 。

检查方法

使用命令:

no -a| grep ipsendredirects

no -a | grep ipignoreredirects

结果中 ipsendredirects值为0且ipignoreredirects值为1为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检测用户缺省访问权限是否符合规范

加固要求

控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限,防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制

加固方法

在/etc/security/user文件default段增加 umask = 077 。

检查方法

使用命令:

cat /etc/security/user

结果中default段中包含umask = 077为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置文件与目录缺省访问权限

加固要求

对目录默认的访问权限进行设置

加固方法

执行命令:lsuser -a home ALL | awk '{print $1}' | while read user; do chuser umask=077 $user;done 。

检查方法

使用命令:

lsuser -a umask ALL | grep -v 'umask=77'

结果为077则符合。

AIX5.3:

AIX6.1:

加固情况

备注

      1. 安全审计
        1. 检查是否启用内核级审核

加固要求

启用内核级审核

加固方法

执行命令:audit start;若要在重新引导系统时自动启动审计,在启动脚本中添加 “audit start” 。

检查方法

使用命令:

cat /var/adm/audit

结果中包含audit且audit非空则符合

加固情况

备注

        1. 检查是否记录用户登录日志

加固要求

记录登录系统的登录操作日志,所有登录系统日志都需被记录,日志应至少保存6个月以上

加固方法

检测是否配置authlog日志:

修改配置文件/etc/syslog.conf,加上一行:

auth.info            /var/adm/authlog

检测是否配置syslog日志:

修改配置文件/etc/syslog.conf,加上一行:

*.info;auth.none           /var/adm/syslog

检测是否存在/var/adm/syslog文件:

执行命令:touch  /var/adm/syslog

若存在,且已在syslog.conf配置文件中配置过,重启syslog服务:

stopsrc -s syslogd

startsrc -s syslogd

检测是否存在/var/adm/authlog文件:

执行命令:touch  /var/adm/authlog

检测/var/adm/authlog是否属于root和system组:

执行命令:chown root:system /var/adm/authlog 。

检查方法

使用命令:

cd /var/adm

cat authlog

cat syslog

结果中包含authlog 、syslog 文件且文件非空则符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置NTP(网络时间协议)服务保持时间同步

加固要求

保持系统时间同步,便于系统管理

加固方法

如果网络中存在信任的NTP(网络时间协议)服务器,应该配置系统使用NTP(网络时间协议)服务保持时间同步。

echo 'server *.*.*.*'>>/etc/ntp.conf

检查文件/etc/ntp.conf是否存在。

检查方法

使用命令:

cat /etc/ntp.conf

结果中配置了ntp服务器地址为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置日志功能,记录与设备相关的安全事件

加固要求

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址,配置须通过日志平台实现,所有用户登录日志审计均应通过日志平台统一管理,日志应至少保存6个月以上

加固方法

修改配置文件vi /etc/syslog.conf,

配置如下类似语句:

*.err;kern.debug;daemon.notice;        /var/adm/messages

定义为需要保存的设备相关安全事件。

检查方法

使用命令:

cat /etc/syslog.conf

结果中包含*.err;kern.debug;daemon.notice; /var/adm/messages语句为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否启用系统记账(System accounting)

加固要求

启用系统记账(System accounting)

加固方法

把以下内容保存为一个文本文件,并执行(请确保有执行权限):

lslpp -i bos.acct >/dev/null 2>&1  #检查文件集是否存在

if [ "$?" != 0 ]

then

        echo "bos.acct not installed, cannot proceed";

else

        su - adm -c "crontab -l"; > /tmp/crontab.adm  #增加到crontab执行

        echo "0 8-17 * * 1-5 /usr/lib/sa/sa1 1200 3 &">>/tmp/crontab.adm

        echo "0 * * * 0,6 /usr/lib/sa/sa1 &">>/tmp/crontab.adm

        echo "0 18-7 * * 1-5 /usr/lib/sa/sa1 &">>/tmp/crontab.adm

        echo "5 18 * * 1-5 /usr/lib/sa/sa2 -s 8:00 -e 18:01 -i 3600 -A &">>/tmp/

crontab.adm

        mkdir -p /var/adm/sa;              #建立sa目录

        chown adm:adm /var/adm/sa;  #改变属主为adm

        chmod 755 /var/adm/sa;         #赋予权限值

        su - adm -c "crontab /tmp/crontab.adm";

fi

检查方法

使用命令:

cat /tmp/crontab.adm

若结果中包含系统资源使用情况为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置远程日志功能,将需要重点关注的日志内容传输到日志服务器

加固要求

配置远程日志功能,将需要重点关注的日志内容传输到日志服务器,日志应至少保存6个月以上

加固方法

检查配置文件/etc/syslog.conf是否配置本地类型的

修改配置文件vi /etc/syslog.conf,

加上:

 local7.* @loghost

可以将此处loghost替换为实际的IP或域名。

重新启动syslog服务,依次执行下列命令:

stopsrc -s syslogd  startsrc -s syslogd

补充操作说明

注意: *.*和@之间用空格隔开

检查配置文件/etc/syslog.conf是否配置紧急信息

修改配置文件vi /etc/syslog.conf,

加上:

*.emerg @loghost 

可以将此处loghost替换为实际的IP或域名。

重新启动syslog服务,依次执行下列命令:

stopsrc -s syslogd  startsrc -s syslogd

补充操作说明

注意: *.*和@之间用空格隔开

检查配置文件/etc/syslog.conf中是否配置通报时除

修改配置文件vi /etc/syslog.conf,

加上:

*.info;auth.none @loghost 

可以将此处loghost替换为实际的IP或域名。

重新启动syslog服务,依次执行下列命令:

stopsrc -s syslogd  startsrc -s syslogd

补充操作说明

注意: *.*和@之间用空格隔开

检查配置文件/etc/syslog.conf中是否配置主机认证

修改配置文件vi /etc/syslog.conf,

加上:

 auth.info @loghost 

可以将此处loghost替换为实际的IP或域名。

重新启动syslog服务,依次执行下列命令:

stopsrc -s syslogd  startsrc -s syslogd

补充操作说明

注意: *.*和@之间用空格隔开

检查方法

使用命令:

cat /etc/syslog.conf

结果中包含:

local7.* @loghost

*.emerg @loghost

*.info;auth.none @loghost

 auth.info @loghost

以上4项为符合 。

AIX5.3:

AIX6.1:

加固情况

备注

      1. 入侵防范
        1. 检查是否优化参数,抵制 SYN-flood 攻击

加固要求

优化参数,抵制 SYN-flood 攻击

加固方法

/usr/sbin/no -o clean_partial_conns=1

检查方法

使用命令:

no -a | grep clean_partial_conns

结果中clean_partial_conns值为1为符合

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁用所有tty设备

加固要求

禁用所有tty设备

配置方法

执行rmdev命令删除tty设备。

检查方法

使用命令:

lsdev -C -c tty

结果中不包含tty为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否关闭系统串行口(serial port)

加固要求

关闭系统串行口(serial port)

加固方法

把以下内容保存为一个文本文件,并执行(请确保有执行权限):

for i in `grep ^tty /etc/inittab | cut -f1 -d:`;

do

echo "Disabling login from port /dev/$i"

chitab "$i:2:off:/usr/sbin/getty /dev/$i"

done

检查方法

使用命令:

lsdev -C

结果中pty和vty口均为defined 状态为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁用NFS服务端

加固要求

禁用NFS服务端

加固方法

检查是否有nfs服务端  执行禁止NFS服务端命令[ `lslpp -L bos.net.nfs.server 2>&1 | grep -c 'not installed'` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f 'bos.net.nfs.server'

应限制能够访问NFS服务的IP范围  编辑文件:vi /etc/hosts.allow 增加一行:nsf:允许访问的IP

如果没有必要,需要停止NFS服务  关闭命令: rmnfs -B

检查方法

使用命令:

lssrc -s nfsd

nfsstat -s

结果中不包含NSF相关信息为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否禁用NFS客户端

加固要求

禁用NFS客户端

加固方法

检查是否有nfs客户端  执行禁止nfs客户端命令:[ `lslpp -L bos.net.nfs.client 2>&1 | grep -c 'not installed'` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f'bos.net.nfs.client'

如果没有必要,需要停止NFS服务  关闭命令: rmnfs -B。

检查方法

使用命令:

nfsstat -c

结果中不包含NSF相关信息为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否关闭不必要启动项-GUI登录

加固要求

关闭不必要启动项-GUI登录

加固方法

关闭GUI登录界面

chmod ug-s /usr/dt/bin/dtaction /usr/dt/bin/dtappgather /usr/dt/bin/dtprintinfo /usr/dt/bin/dtsession

/usr/dt/bin/dtconfig -d 。

检查方法

使用命令:

ls -l  /usr/dt/bin/dtaction

ls -l /usr/dt/bin/dtappgather

ls -l /usr/dt/bin/dtprintinfo

ls -l /usr/dt/bin/dtsession

/usr/dt/bin/dtconfig

结果中文件权限的所有者和所属组均有's'权限。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否关闭不必要常见启动项

加固要求

根据每台机器的不同角色,关闭不需要的系统服务。配置方法中的服务项提供参考,根据服务器的角色和应用情况对启动项进行修改

配置方法

关闭sendmail服务: stopsrc -s sendmail chrctcp -d sendmail cd /var/spool/cron/crontabs crontab -l > root.tmp if [ `grep -c "sendmail -q" root.tmp` -eq 0 ]; then echo "0 * * * * /usr/sbin/sendmail -q" >> root.tmp crontab root.tmp fi rm -f root.tmp

关闭不经常使用的服务: 以下语句在AIX 4.3.3上执行: for SVC in routed gated named timed rwhod snmpd dpid2 lpd portmap ndpd-router ndpd-host yp; do echo "Turning off $SVC" stopsrc -s $SVC chrctcp -d $SVC done for SVC in piobe httpdlite pmd writesrv; do echo "Turning off $SVC" rmitab $SVC done

以下语句在AIX 5上执行: for SVC in routed gated named timed rwhod mrouted snmpd hostmibd dpid2 lpd portmap autoconf6 ndpd-router ndpd-host yp; do echo "Turning off $SVC" stopsrc -s $SVC chrctcp -d $SVC done for SVC in piobe i4ls httpdlite pmd writesrv; do echo "Turning off $SVC" stopsrc -s $SVC rmitab $SVC done。

检查方法

使用命令:

lssrc -a

结果中不必要服务状态均为stopped为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否安装系统补丁

加固要求

安装系统补丁

加固方法

先把补丁集拷贝到一个目录,如/08update,然后执行

#smit update_all

选择安装目录/08update

默认

SOFTWARE to update [_update_all]

选择不提交,保存被覆盖的文件,可以回滚操作,接受许可协议

COMMIT software updates?                          no

SAVE replaced files?                                    yes

ACCEPT new license agreements?                 Yes

然后回车执行安装。

检查方法

使用命令:

oslevel -qs

结果中包含最新稳定版本补丁为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否关闭不必要启动项-NIS服务

加固要求

关闭不必要启动项-NIS服务

加固方法

应关闭NIS客户端  关闭命令: stopsrc -s ypbind

应关闭NIS服务器端  关闭NIS服务器端: stopsrc -s ypserv

是否删除NIS客户端  执行命令: [ `lslpp -L bos.net.nis.client 2>&1 |grep -c "not installed"` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f 'bos.net.nis.client'

是否删除NIS服务端  执行命令: [ `lslpp -L bos.net.nis.server 2>&1 |grep -c "not installed"` -eq 0 ] && /usr/lib/instl/sm_inst installp_cmd -u -f 'bos.net.nis.server'

检查方法

使用命令:

lssrc -a

结果中-NIS服务状态为stopped为符合。

加固情况

备注

        1. 检查是否关闭inetd中不必要服务

加固要求

根据每台机器的不同角色,关闭不需要的系统服务

加固方法

查看所有开启的服务: #ps -e -f

方法一:手动方式操作

在inetd.conf中关闭不用的服务 首先复制/etc/inetd.conf。

#cp /etc/inetd.conf /etc/inetd.conf.backup

然后用vi编辑器编辑inetd.conf文件,对于需要注释掉的服务在相应行开头标记"#"字符,重启inetd服务,即可。

重新启用该服务,使用命令:

refresh -s inetd

方法二:自动方式操作 A.把以下复制到文本里: for SVC in ftp telnet shell kshell login klogin exec echo discard chargen daytime time ttdbserver dtspc; do echo "Disabling $SVC TCP" chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime time cmsd; do echo "Disabling $SVC UDP" chsubserver -d -v $SVC -p udp done refresh -s inetd

B.执行命令:

#sh dis_server.sh

检查方法

使用命令:

lssrc -a |grep inetd

结果中inetd服务状态为stopped为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否配置参数,不允许被SMURF广播攻击

加固要求

配置参数,不允许被SMURF广播攻击

加固方法

不允许被SMURF广播攻击

/usr/sbin/no -o directed_broadcast=0

检查方法

使用命令:lsdev -C | grep directed_broadcast

结果directed_broadcast的值为0为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置不做路由功能的系统关闭数据包转发功能

加固要求

对于不做路由功能的系统,应该关闭数据包转发功能

加固方法

关闭IP转发

/usr/sbin/no -o ipsrcrouteforward=0

/usr/sbin/no -o ipsrcrouterecv=0

/usr/sbin/no -o ipsrcroutesend=0

/usr/sbin/no -o nonlocsrcroute=0

检查方法

使用命令:

no -a | grep ipsrcrouteforward

no -a | grep ipsrcrouterecv

no -a | grep ipsrcroutesend

no -a | grep nonlocsrcroute

检查结果均为0为符合。

AIX5.3:

AIX6.1:

加固情况

备注

        1. 检查是否设置防止堆栈缓冲溢出

加固要求

禁止程序崩溃时把自身的敏感信息从内存里DUMP到文

加固方法

限制内核文件的大小(硬限制)

编辑 /etc/security/limits, 在default配置段增加一行:core_hard = 0

限制内核文件的大小(软限制)

编辑 /etc/security/limits, 在default配置段增加一行:core = 0

禁止程序崩溃时把自身的敏感信息从内存里DUMP到

编辑 /etc/profile 增加ulimit -c 0

检查方法

使用命令:

cat /etc/security/limits

结果中default配置段包含core = 0为符合。

cat /etc/profile

结果包括ulimit -c 0为符合。

AIX5.3:

AIX6.1:

加固情况

备注

乐大厨串串店
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
MySQL(Windows)数据库安全加固指导手册
10-24 179
在mysql的安装目录下,在my.ini中配置log_slow_queries的目录,并重启mysql服务。在mysql的安装目录下,在my.ini中配置log_slave_updates=1,并重启mysql服务。在mysql的安装目录下,在my.ini中配置log_error的目录,并重启mysql服务。在mysql的安装目录下,在my.ini中配置log_bin的目录,并重启mysql服务。在mysql的安装目录下,在my.ini中配置log的目录,并重启mysql服务。
博客
Oracle(Windows)数据库安全加固指导手册
10-24 563
SQL>alter user 用户名 profile [new_profile];3)检查日志路径是否存在:切换到oracle的管理员,执行下列命令 $ORACLE_HOME/bin/lsnrctl LSNRCTL> set log_directory <Oracle_install_dir_path路径>/network/admin LSNRCTL> set log_file <sid名称>.log LSNRCTL> set log_status on LSNRCTL> save_config。
博客
Apache Tomcat 文件包含漏洞(CVE-2020-1938)操作指南
08-09 561
1.漏洞详细Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读
博客
Apache Solr 未授权上传(RCE)漏洞(CVE-2020-13957)加固操作指南
08-09 690
Apache Solr 未授权上传(RCE)漏洞(CVE-2020-13957)
博客
linux挂载硬盘技术手册
10-31 285
使用Vim编辑器,打开/etc/fstab,在最后一行添加如图中所示,其中/dev/VolGroup00/lvData指定需要挂载的分区LV,/opt指定要挂载的目录(挂载点),ext4分区文件系统格式,其它使用默认即可。创建了一个名字为lvData,容量大小是5T的分区,其中:-L:指定LV的大小 -n:指定LV的名。使用分区工具(如:fdisk等)创建LVM分区,方法和创建其他一般分区的方式是一样的,区别仅仅是LVM的分区类型为8e。一定要指定分区的格式为8e,这是LVM的分区格式。
博客
linux清理内存
10-31 5816
sync 命令将所有未写的系统缓冲区写到磁盘中,包含已修改的 i-node、已延迟的块 I/O 和读写映射文件)因为Linux的内核机制,一般情况下不需要特意去释放已经使用的cache。used——已使用内存,一般情况这个值会比较大,因为这个值包括了cache+应用程序使用的内存。后个值表示+buffers/cache——所有可供应用程序使用的内存大小,free加上缓存值。前个值表示-buffers/cache——应用程序使用的内存大小,used减去缓存值。free——完全未被使用的内存。
博客
linux利用yum命令升级操作系统
10-31 1316
手动安装的时候有可能会遇到树形依赖、环形依赖和模块依赖。这几种依赖手动解决并不困难,但解决过程较为繁琐,树形依赖最好解决,依据。只是光盘中的软件包有可能不是最新版本,这就需要用户做出折中了,如果需要体验最新版,就需要联网安装、升级。环形依赖的解决方式是同时安装具有环形依赖的包,也就是说在一条。中罗列出环形依赖的包,让系统同时进行安装。就是我们需要保留的文件,注意其余文件最好不要删除,以防以后使用。升级所有包,不改变软件设置和系统设置,系统版本升级,内核不改变。软件包,并自动解决包依赖问题。
博客
linux挂载ISO文件
10-31 3109
1) 在Linux下对SCSI的设备是以sd命名的,第一个ide设备是sda,第二个是sdb,依此类推。主SCSI上的两个设备分别对应sda和sdb,第二个SCSI口上的两个设备对应sdc和sdd。一般硬盘安装在主SCSI的主接口上,所以是sda或者sdb,光驱一般安装在第二个SCSI的主接口上,所以是sdc. (IDE接口设备是用hd命名的,第一个设备是hda,第二个是hdb。3)每个硬盘可以最多有四个主分区,一个扩展分区,扩展分区可以再分为多个逻辑分区。表示挂载的类型,挂载的数据ISO,和挂载点。
博客
XAMPP任意命令执行提升权限漏洞(CVE-2020-11107) 漏洞加固指南
10-27 1431
XAMPP任意命令执行提升权限漏洞(CVE-2020-11107)漏洞详细。任意命令执行提升权限漏洞(CVE-2020-11107)
博客
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞加固指南
10-25 7728
协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。整改时需要业务管理人员进行测试,测试前需要做好相关配置文件和数据的备份,以防止出现影响业务系统进行回退。版本,默认SSL密码算法是 ALL:!
博客
Linux操作系统安全加固指导
10-24 4267
linux加固指南(超详细版)
博客
Apache Tomcat 安全漏洞加固指南
10-24 3122
存在安全漏洞,该漏洞源于如果一个HTTP/2客户端连接到超过约定的最大数量的并发流连接(违反HTTP / 2协议),它是可能的后续请求在该连接可以包含HTTP头信息,包括HTTP / 2伪头,从先前的请求而不是标题。以下产品及版本受到影响:10.0.0-M1版本至10.0.0-M7版本, 9.0.0.M1版本至9.0.37版本,8.5.0版本至8.5.57版本。将旧版本的备份的配置文件以及项目copy到新版本中。关掉旧版本的tomcat,启动新本本的tomcat。备份当前版本的配置文件到新建的目录中。
博客
SMB服务远程代码执行漏洞(CVE-2020-0796)加固指南
10-24 3020
1SMB服务远程代码执行漏洞(CVE-2020-0796)高Windows。
博客
Windows RDP远程代码执行高危漏洞加固指南
10-20 852
序号漏洞类型风险等级漏洞主机( 操作系统及版本)1Windows RDP远程代码执行高危漏洞高Windows。
博客
Tomcat远程代码执行漏洞(CVE-2017-12615)加固指南
10-19 842
b.升级Tomcat版本到Tomcat8或Tomcat9。远程代码执行漏洞(CVE-2017-12615)
博客
Windows远程代码执行漏洞(CVE-2020-16898) 高危漏洞加固指南
10-17 1576
序号漏洞类型风险等级漏洞主机( 操作系统及版本)1Windows TCP/IP远程代码执行漏洞(CVE-2020-16898)高Windows 漏洞详细当Windows TCP / IP堆栈不正确地处理使用选项类型25(递归DNS服务器选项)且长度字段值为偶数的ICMPv6路由器广告数据包时,存在一个远程执行代码漏洞。在此选项中,长度以8个字节为增量进行计数,因此长度为3的RDNSS选项的总长度应为24个字节。该选项本身包含五个字段:IPv6递归DNS服务器的类型,长度,保留,生存时间和地址。前四个
博客
微软证书漏洞CVE-2020-0601 高危漏洞加固指南
10-14 648
1微软证书漏洞CVE-2020-0601高Windows。
博客
WEB应用安全扫描流程分享
10-14 1065
WEB应用安全扫描流程分享、APPSCAN使用方法
博客
Linux漏洞:showmount -e信息泄露(CEE-1999-0554)
10-14 713
Linux漏洞:showmount -e信息泄露(CEE-1999-0554)
博客
64位操作系统安装PLSQL Developer
10-13 3701
64位操作系统安装PLSQL Developer PLSQL DEVELOPER只有32位版本,没有64位版,因此要安装32位客户端
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值