Aix上规则包发布及部署手册

AIX系统安全配置1 身分识别1.1 账户设定只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改；一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改；只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。

以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改；只有特定的授权帐户可用来检查使用者状态。

为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。

这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户；只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。

以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改；只有特定的授权帐户可用来更改授权帐户数目。

太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改；系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。

存取所有资源不应被允许，此为AIX默认值且不该被更改；一般用户不可存取特定系统文件及命令。

系统命令及程序只能被特定帐户使用，一般用户不可存取此类功能。

应通过权限控制管理来进行限制，此为AIX默认值且不该被更改；权限的控制管理应在文件产生时即被设置，仅有文件的产生者能读取、写入、执行或删除此文件，使用者的 umask设定为仅允许文件产生者存取 (例外：root 用户可存取系统所有文件)。

Umask的设定控制了文件除了删除外的权限，删除的权限则根据文件所在目录的权限位来决定；最少权限机制应被应用，以确保应用程序以最少权限执行，所有应用程序的授权应保持最低权限；只有特别的授权帐户可安装软件或加入新设备到系统中，并安装安全的更新修正程序，此为AIX默认值且不该被更改；存取系统资源取决于使用者及群组的身份，使用者的权限可能多于其群组的权限；1.2 推荐用户属性推荐以下属性：每个用户应有一个不与其它用户共享的用户标识。

AIX安全配置程序1 账号认证编号：安全要求-设备-通用-配置-1编号：安全要求-设备-通用-配置-22密码策略编号：安全要求-设备-通用-配置-3编号：安全要求-设备-通用-配置-4编号：安全要求-设备-通用-配置-5编号：安全要求-设备-通用-配置-63审核授权策略编号：安全要求-设备-通用-配置-7(1)设置全局审核事件配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。

classes:custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime(2)审核系统安全文件修改配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。

/etc/security/environ:w = "S_ENVIRON_WRITE"/etc/security/group:w = "S_GROUP_WRITE"/etc/security/limits:w = "S_LIMITS_WRITE"/etc/security/login.cfg:w = "S_LOGIN_WRITE"/etc/security/passwd:r = "S_PASSWD_READ"w = "S_PASSWD_WRITE"/etc/security/user:w = "S_USER_WRITE"/etc/security/audit/config:w = "AUD_CONFIG_WR"编号：安全要求-设备-通用-配置-8编号：安全要求-设备-AIX-配置-94日志配置策略本部分对AIX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。

AIX系统安全配置指南1. 远程访问控制 ........................................................................... - 2 -1.1.登陆限制 .......................................................................... - 2 -1.2.登陆屏幕欢迎词 .............................................................. - 2 -1.3.离开时锁定 ...................................................................... - 3 -1.4.强制自动注销 .................................................................. - 3 -2. 用户帐户安全 ........................................................................... - 4 -2.1. Root 帐户......................................................................... - 4 -2.2. 禁用直接 root 用户登录................................................ -4 -2.3. 用户帐户控制 .................................................................. - 5 -2.4. 禁用不需要的默认帐户 .................................................. - 6 -3. 密码安全 ................................................................................... - 7 -3.1. 设置强密码 ...................................................................... - 7 -3.2.设置密码策略 .................................................................. - 7 -4. AIX系统日常检查 ................................................................... - 9 -1. 远程访问控制1.1. 登陆限制要防止潜在黑客较难通过猜测密码来攻击系统，请在/etc/security/login.cfg 文件中设置登陆控制： 属性 用于PtYs(网络) 用于TTYs 建议值注释Sad_enabled Y Y false 很少需要“安全注意键”。

索引2存储管理.................................................2.1概述................................................2.2物理卷定义（PV）...................................2.3巻组定义（VG）.....................................2.4逻辑卷定义（LV）...................................2.5交换空间（PS）.....................................2.6文件系统命令 .......................................2.7作启动镜像盘 .......................................2.8创建文件系统过程 ...................................3系统管理.................................................3.1系统错误日志（errdemon）..........................3.2系统日志(alog)......................................3.3系统状态及设备查询 .................................3.4系统关机及重启 .....................................3.5光驱加载 ...........................................3.6性能监控 ...........................................3.7服务管理 ...........................................3.8环境变量 ...........................................3.9启动常见错误码 .....................................4网络管理.................................................4.1TCPIP服务组........................................ 1命令索引2存储管理2.1概述AIX下磁盘首先是一个物理卷（PV），几个物理卷组成一个巻组（VG）。

中国移动A I X操作系统安全配置规范S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o nU s e d i n C h i n a M o b i l e版本号：1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第四层：技术规范·AIX操作系统类】·【第2501号】2008-5-15发布2008-05-15实施中国移动通信集团公司发布目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明 (1)1.3外部引用说明 (3)1.4术语和定义 (3)1.5符号和缩略语 (3)2AIX设备安全配置要求 (3)2.1账号管理、认证授权 (3)2.1.1账号 (3)2.1.2口令 (6)2.1.3授权 (8)2.2日志配置要求 (10)2.3IP协议安全配置要求 (13)2.3.1IP协议安全 (13)2.3.2路由协议安全 (14)2.4设备其他安全配置要求 (15)2.4.1屏幕保护 (15)2.4.2文件系统及访问权限 (16)2.4.3补丁管理 (16)2.4.4服务 (17)2.4.5启动项 (19)前言本标准由中国移动通信有限公司网络部提出并归口。

本标准由标准提出并归口部门负责解释。

本标准起草单位：中国移动通信有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：中国移动集团浙江公司徐良1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。

本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。

1.2 内部适用性说明本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的AIX操作系统安全配置要求。

以下分项列出本规范对《通用规范》设备配置要求的修订情况：安全要求-设备-AIX-配置-4-可选安全要求-设备-AIX-配置-5-可选安全要求-设备-AIX-配置-6安全要求-设备-AIX-配置-12-可选安全要求-设备-AIX-配置-13-可选安全要求-设备-AIX-配置-18-可选安全要求-设备-AIX-配置-19-可选安全要求-设备-AIX-配置-21-可选安全要求-设备-AIX-配置-22-可选安全要求-设备- AIX -配置-23-可选安全要求-设备- AIX -配置-24-可选安全要求-设备- AIX -配置-27-可选安全要求-设备- AIX -配置- 28-可选安全要求-设备- AIX -配置-30-可选安全要求-设备- AIX -配置-31-可选安全要求-设备- AIX -配置-32-可选安全要求-设备- AIX -配置-33安全要求-设备- AIX -配置-34-可选安全要求-设备- AIX -配置-35-可选安全要求-设备- AIX -配置-36-可选安全要求-设备- AIX -配置-PZ -37本规范还针对直接引用《通用规范》的配置要求，给出了在AIX操作系统上的具体配置方法和检测方法。

浪潮存储系统InPath for AIX用户手册文档版本 2.0发布日期2020-09-28 适用版本InPath_for_AIX_V2.2.1及以上尊敬的用户：衷心感谢您选用浪潮存储系统！浪潮存储秉承“云存智用运筹新数据”的新存储之道，致力于为您提供符合新数据时代需求的存储产品和解决方案。

本手册用于帮助您更详细地了解和便捷地使用存储系统，涉及的截图仅为示例，最终界面请以实际设备显示的界面为准。

由于产品版本升级或其他原因，本手册内容会不定期进行更新，如有变动恕不另行通知。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

浪潮拥有本手册的版权，保留随时修改本手册的权利。

未经浪潮许可，任何单位和个人不得以任何形式复制本手册的内容。

如果您对本手册有任何疑问或建议，请向浪潮电子信息产业股份有限公司垂询。

技术服务电话：4008600011地址：中国济南市浪潮路1036号浪潮电子信息产业股份有限公司邮编：250101在您正式使用本存储系统之前，请先阅读以下声明。

只有您阅读并且同意以下声明后，方可正式开始使用本存储系统。

如果您对以下声明有任何疑问，请和您的供货商联系或直接与我们联系。

如您在开始使用本系统前未就以下声明向我们提出疑问，则默认您已经同意了以下声明。

1.请不要自行拆卸本存储系统机箱及机箱内任何硬件设备。

在本存储系统出现任何硬件故障或您希望对硬件进行任何升级时，请您将机器的详细硬件配置反映给我们的客户服务中心。

2.请不要将本存储系统的设备与任何其他型号的相应设备混用。

本存储系统的内存、CPU、CPU散热片、风扇、硬盘托架、硬盘等都是特殊规格的。

3.在使用本存储系统时遇到任何软件问题，请您首先和相应软件的提供商联系。

由提供商和我们联系，以方便我们共同沟通和解决您遇到的问题。

对于数据库、网络管理软件或其他网络产品的安装、运行问题，我们尤其希望您能够这样处理。

4.上架安装本存储系统前，请先仔细阅读相关产品手册中的快速安装指南。

AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制：要实施分级访问控制机制，明确管理者和普通用户
的访问等级，并分配不同的权限，使不同的用户层次由不同的权限控制。

2. 加强密码的安全策略：要加强密码的安全策略，包括定期更改密码，禁止使用过于简单的密码，不要在没有严格安全限制的情况下使用
root 权限。

3. 运行级别：禁止用户以root 身份登录系统，只有当用户需要以root 身份执行一些操作时，才能以root 身份登录，否则以普通用户身
份登录。

4.防火墙：根据网络的具体情况，采用专用防火墙或者网络模式的防
火墙，控制和限制外部计算机的访问权限。

5. 禁止外部访问：禁止外部访问系统，如FTP，telnet，外部的terminal访问等，除非有必要。

启用SSL/TLS 加密 socket 服务，防止
攻击者窃取数据。

6.定期备份：定期对重要的数据进行备份，以便在发生意外时及时进
行恢复。

7.实施流量监测：实施流量监测，实时检测系统中的网络流量和活动，以便及时捕获非法活动。

文档编号：AIX系统安全配置手册2006年5月文档信息分发控制版本控制AIX系统安全加固手册1.系统维护升级加固1．下载系统推荐维护包在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(Maintenance Levels，简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。

每个文件集的更新都是累计的，即它包含了AIX 4.3发布以来的所有那个文件集的补丁，并替换了所有以前的更新。

维护包(ML)的命名规则是4位的VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。

可以通过安装ML来升级操作系统的改进版号modification，例如，从4.3.0.0升级到4.3.3.0。

推荐维护包(Recommended Maintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过较多实测过的更新的文件集组成。

通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。

推荐维护包(RM)的命名规则是4位的VRMF，再加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance 如4330-01 是4330 的第1个推荐维护包(RM)。

可以用以下的命令来判定是否4330-01已经安装在系统里，oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330：instfix -ik 4330-01_AIX_ML我们可以通过该网站（）下载ML或RM，并通过gzip解压缩，然后按照如下提示的详细信息进行安装。

2．解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3．用df检查系统硬盘空间大小，确保/，/usr，/var，/tmp等目录有足够的空间。