aix系统安全加固参考信息word精品文档24页

AIX系统安全配置1 身分识别1.1 账户设定只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改；一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改；只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。

以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改；只有特定的授权帐户可用来检查使用者状态。

为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。

这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户；只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。

以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改；只有特定的授权帐户可用来更改授权帐户数目。

太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改；系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。

存取所有资源不应被允许，此为AIX默认值且不该被更改；一般用户不可存取特定系统文件及命令。

系统命令及程序只能被特定帐户使用，一般用户不可存取此类功能。

应通过权限控制管理来进行限制，此为AIX默认值且不该被更改；权限的控制管理应在文件产生时即被设置，仅有文件的产生者能读取、写入、执行或删除此文件，使用者的 umask设定为仅允许文件产生者存取 (例外：root 用户可存取系统所有文件)。

Umask的设定控制了文件除了删除外的权限，删除的权限则根据文件所在目录的权限位来决定；最少权限机制应被应用，以确保应用程序以最少权限执行，所有应用程序的授权应保持最低权限；只有特别的授权帐户可安装软件或加入新设备到系统中，并安装安全的更新修正程序，此为AIX默认值且不该被更改；存取系统资源取决于使用者及群组的身份，使用者的权限可能多于其群组的权限；1.2 推荐用户属性推荐以下属性：每个用户应有一个不与其它用户共享的用户标识。

IBM AIX 安全加固手册二零零三年十一月安氏互联网安全系统（中国）有限公司版本控制版本号日期参与人员更新说明文档拟定，编写，提交1AIX系统补丁和升级情况检查 (3)2AIX系统通用环境检查 (4)2.1检查错误日志 (4)2.2软件安装检查 (4)2.3系统配置检查（部分由自编脚本完成） (4)3超级用户检查 (7)4用户登录/口令管理 (8)5SUID/SGID文件检查 (10)6系统/用户的文件/目录检查 (11)1 AIX系统补丁和升级情况检查1．用下指令检查当前已安装的程序和升级：lppchk –vlppchk -c2 AIX系统通用环境检查2.1 检查错误日志运行errpt -a |more，记录其结果输出。

2.2 软件安装检查运行tcbck，usrck，grpck进行系统初步检查。

2.3 系统配置检查（部分由自编脚本完成）1．运行sysinfo确定系统基本硬件情况。

2．运行lsvg确定系统rootvg3．运行lsvg –p rootvg列举检查系统物理卷4．运行lsvg –l rootvg列举检查系统逻辑卷5．运行lspv hdskX列举检查每个磁盘的物理卷信息lspv –p hdiskXlspv –l hdskX6．列举检查系统软件清单：lslpp –l7．列举检查系统软件安装历史：lslpp –h8．列举检查系统名称、节点名称、LAN网络号码、系统发布版本、AIX操作系统版本、系统ID编号：uname -x9．列举检查所有系统的硬件连接：lsdev –C | sort –d10．列举检查NFS状态：lssrc –g nfs11．列举检查inet服务：inetserv –s –S –X12．列举检查系统其他服务：检查/etc/inetd.conf、/etc/rc.tcpip、/etc/rc.*和/etc/inittab内容13．列举检查主机表：hostent -S14．列举检查名字服务器：namerslv -s -I15．列举检查网络状态：netstat -i以及netstat –rn16．检查失败登录尝试：/usr/bin/who '-s' '/etc/security/failedlogin'17．检查用户组定义：/usr/sbin/lsgroup '-fa' 'id' 'users' 'ALL'18．检查用户信息：/usr/sbin/lsuser '-fa' 'id' 'groups' 'home' 'auditclasses' 'login' 'su' 'rlogin' 'telnet' 'ttys' 'ALL'19．通过tcpchk检查tcp子系统，并确定.netrc和.rhosts文件的用户20．检查确定TCP系统安装的子系统lslpp –l |grep lssrc –g tcpip21．搜索检查.rhosts和.netrc文件find / -name '.rhosts' –printfind / -name '.netrc' –print22．搜索检查可以使用r系列命令的主机：if [ -x /usr/sbin/inetd -a -f /etc/hosts.equiv ]; thenecho " the following hosts are allowed to rsh, rcp, rlogin"echocat /etc/hosts.equiv | grep -v "#"echo " "fi23．检查可以递交远程打印任务的用户if [ -x /usr/sbin/inetd -a -f /etc/hosts.lpd ]; thenecho " the following hosts are allowed to submit remote print jobs"echo " ONLY"cat /etc/hosts.lpd | grep -v "#"echo " "fi24．运行tcbck检查tcb系统25．运行nfsck检查NFS系统26．检查是否安装NFS系统：lslpp -l |/bin/grep nfs27．检查NFS/NIS是否处于激活状态：lssrc -g nfs|/bin/grep active28．检查系统是否作为NFS服务器：if [ -x /usr/sbin/nfsd -a -f /etc/exports ];then echo "This machine is an NFS server"29．检查系统输出的共享文件系统：cat /etc/xtab30．检查其他共享输出主机：/usr/bin/showmount31．如果系统为NFS客户端，检查mount的远程系统：mount | grep -v "^ " 32．检查是否激活NIS系统：isypset=`domainname | /bin/grep "^[a-zA-Z]"` 33．如果激活了NIS系统，检查NIS域名：/usr/bin/domainname34．运行nethwchk检查网络硬件状态35．列举检查网络接口的连接状况：lsdev -C -c if36．检查系统自举时启动的网络接口：odmget -q"value='up'" CuAt|grep name|cut -c10-1237．检查网络接口状态：ifconfig en0ifconfig et038．检查系统日志状态以及审计日志文件3 超级用户检查1．检查uid=0的用户2．运行lsuser –f ALL检查可以使用su命令的userid3．审计su命令日志4．确保/etc/profile不包含当前目录5．检查/var/adm/cron/cron.deny和/var/adm/cron/cron.allow中的用户情况6．检查是否禁用root直接登录系统：在SMIT CHANGE/SHOW User Characteristics Screen中检查'User can LOGIN REMOTELY?是否为false'4 用户登录/口令管理1．在/etc/security/user，/etc/security/mkuser.default，/etc/security/login.cfg文件中检查用户/口令特性maxage=8maxrepeat=2minalpha=5mindiff=2maxrepeats=32．检查SMIT User管理域中的DEFAULT内容：admin=falselogin=truesu=falsedaemon=truerlogin=falsesugroups=ALLttys=ALLauth1=SYSTEMauth2=NONEtpath=nosakumask=027expire=03．检查password文件的不一致性：运行/usr/bin/pwdck -n ALL检查并报告错误4．检查group不一致性运行/usr/sbin/grpck -n ALL检查并报告错误5．审查/etc/passwd，/etc/security/passwd，/etc/group和/etc/security/group文件，运行crack工具检查薄弱用户/系统口令6．如果系统运行NIS，使用'ypcat passwd'获取passwd文件，并运行crack工具检查薄弱用户/系统口令7．检查/etc/security/limits文件8．检查/usr/lib/security/mkuser.default文件中的默认group，shell，用户目录和其它默认属性9．检查/etc/environment，/etc/profile和/etc/security/environ文件中的环境变量5 SUID/SGID文件检查检查所有属于下列用户或者用户组的suid/sgid程序：用户：root，daemon，bin等用户组：bin，kmem，mail等所有的这类程序至少具有511的权限。

1IBM AIX系统1.1 系统维护升级加固1．下载系统推荐维护包¾在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(Maintenance Levels，简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。

每个文件集的更新都是累计的，即它包含了AIX 4.3发布以来的所有那个文件集的补丁，并替换了所有以前的更新。

维护包(ML)的命名规则是4位的 VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。

可以通过安装ML来升级操作系统的改进版号modification，例如，从4.3.0.0升级到4.3.3.0。

¾推荐维护包(Recommended Maintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过较多实测过的更新的文件集组成。

通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。

推荐维护包(RM)的命名规则是4位的 VRMF，再加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance如 4330-01 是 4330 的第1个推荐维护包(RM)。

可以用以下的命令来判定是否4330-01已经安装在系统里，oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330：instfix -ik 4330-01_AIX_ML我们可以通过该网站（）下载ML或RM，并通过gzip解压缩，然后按照如下提示的详细信息进行安装。

2．解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3．用df检查系统硬盘空间大小，确保/，/usr，/var，/tmp等目录有足够的空间。

AIX安全加固■文档编号■密级■版本编号■日期目录AIX安全加固 (1)一.系统信息 (2)二.账号 (2)2.1禁用无用账号 (2)2.2添加口令策略 (2)2.3禁止ROOT远程登录 (3)2.4限制FTP登录 (3)三.服务 (4)3.1关闭不必要的INETD服务 (4)3.2关闭其他不必要的服务 (4)3.3检查SSH服务 (5)3.4关闭NFS服务 (5)3.5检查.RHOSTS和/ETC/HOSTS.EQUIV文件 (6)3.6检查TCP W RAPPER.......................................................................... E RROR!B OOKMARK NOT DEFINED.四.网络参数 (6)五.文件系统 (7)5.1设置UMASK值 (7)5.2设置登录超时 (7)六.日志 (8)6.1系统日志 ....................................................................................... E RROR!B OOKMARK NOT DEFINED.6.2错误日志 ....................................................................................... E RROR!B OOKMARK NOT DEFINED.6.3SU日志........................................................................................... E RROR!B OOKMARK NOT DEFINED.6.4SYSLOGD日志................................................................................... E RROR!B OOKMARK NOT DEFINED.6.5CRON日志 (8)一. 系统信息二. 账号2.1 禁用无用账号2.2 添加口令策略2.3 禁止root远程登录2.4 限制FTP登录三. 服务3.1 关闭不必要的inetd服务3.2 关闭其他不必要的服务3.3 检查SSH服务3.4 关闭NFS服务3.5 检查.rhosts和/etc/hosts.equiv文件四. 网络参数五. 文件系统5.1 设置UMASK值5.2 设置登录超时六. 日志6.1 日志设置。

AIX安全加固第1章系统基本信息uname -a 显示系统信息(硬件编号,系统名称,主机名,操作系统的version和release)oslevel 显示系统版本who -r 系统当前的runlevel第2章系统网卡信息ifconfig –a 显示系统内所有网卡信息第3章系统路由信息netstat –nr 显示系统路由信息第4章网络连接信息netstat –na 显示系统当前所有网络连接的状态第5章操作系统进程信息ps –ef 显示系统内所有的进程第6章文件系统基本权限信息检查基本的目录权限:[Copy to clipboard]CODE://etc/usr/var/tmp/dev/sbin/home/usr/bin/usr/lib/usr/sbin/var/adm/var/spool检查主要的配置文件权限:[Copy to clipboard]CODE:/etc/passwd/etc/security/passwd/etc/security/user/etc/security/login.cfg/etc/inittab使用find命令查找所有setuid,setgid和全局可写的文件和目录.find / -perm -4000 -ls 查找所有setuid的文件find / -perm -2000 -ls 查找所有setgid的文件find / -perm -0004 -ls 查找所有全局可写的文件和目录第7章系统是否允许root远程登录7.1.检查AIX系统中没有对root远程登录进行单独的限制,和其他用户一样,对root用户远程登录的限制可以在文件/etc/security/user中指定.该操作可以通过以下三种方式进行:1.使用vi直接查看及更改/etc/security/user文件;2.使用lsuser和chuser命令;3.通过smit查看及更改(smit lsuser,smit chuser).lsuser -a rlogin root 查看root的rlogin属性(默认为true,允许远程登录,telnet或rlogin)chuser rlogin=false root 禁止root远程登录lsuser -a ttys root 查看root的ttys属性(root用户允许登录的端口)chuser ttys=lft0 root 只允许root从lft0端口登录(本机)7.2.加固设置root的用户属性rlogin=false，ttys=lft0第8章 rc?.d中的服务的启动情况8.1.检查AIX 系统中的服务主要在/etc/inittab文件和/etc/rc.*(包括rc.tcpip,rc.nfs)等文件中启动,事实上,/etc/rc.* 系列文件主要也是由/etc/inittab启动.同时,AIX中所有启动的服务(至少是我们感兴趣的)都可以同过SRC(System Resource Manager)进行管理.可以有三种方式查看系统服务的启动情况:1.使用vi查看/etc/inittab,/etc/rc.tcpip和/etc/rc.nfs等文件(比较麻烦);2.使用lssrc和lsitab命令;3.通过smit查看和更改.注:SRC本身通过/etc/inittab文件启动.lssrc -a 列出所有SRC管理的服务的状态lsitab -a 列出所有由/etc/inittab启动的信息,和cat /etc/inittab 基本相同,除了没有注释.8.2.加固检查以下服务,如果不需要,关闭掉;否则,对服务做适当配置.第9章 /etc/inetd.conf中服务的启动情况9.1.检查由INETD启动的服务在文件/etc/inetd.conf定义(inetd本身在/etc/rc.tcpip中由SRC启动),因此查看INETD启动的服务的情况有两种方法:1.使用vi查看/etc/inetd.conf中没有注释的行;2.使用lssrc命令.lssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态refresh -s inetd 更改/etc/inetd.conf文件后重启inetd.9.2.加固建议关闭由inetd启动的所有服务;如果有管理上的需要,可以打开telnetd,ftpd,rlogind,rshd等服务.启动或停止inetd启动的服务(例如ftpd):1、使用vi编辑/etc/inetd.conf,去掉注释(启动)或注释掉(停止)ftpd所在的行;2、重启inetd:refresh -s inetd.第10章是否允许系统用户使用ftp登录?10.1.检查和其他UNIX系统一样,AIX系统中使用/etc/ftpusers文件保存不允许通过ftp登录的用户的名称,因此可以直接查看该文件以确定是否允许某用户登录(默认该文件不存在).10.2.加固使用vi编辑/etc/ftpusers文件，将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中(每行一个用户名).第11章系统中无用的用户是否删除或禁用11.1.检查询问系统管理员.passwd -l user1锁定user1用户11.2.加固建议锁定除了root以外所有的系统用户(默认是无法登录的).第12章口令策略的设置情况12.1.检查AIX系统的用户,口令设置的相关文件有:/etc/passwd 用户文件(不含加密的口令)/etc/security/passwd 用户的口令文件(类似于/etc/shadow文件,但格式不同)/etc/security/user 用户的扩展属性配置文件(锁定,登录,口令策略等)/etc/security/login.cfg 登录的配置文件(登录策略等)因此,对口令策略的修改主要是在/etc/security/user文件中进行,有以下三种方式:1.使用vi直接查看和修改/etc/security/user文件;2.使用lsuser/chuser命令;3.通过smit查看和修改口令策略(smit chuser).lsuser user1 列出用户user1的属性chuser maxage=26 user1 设置用户user1密码的最长有效期为26周12.2.加固对用户的以下属性进行配置：maxage=8 口令最长有效期为8周minage=0 口令最短有效期为0maxexpired=4 口令过期后4周内用户可以更改maxrepeats=3 口令中某一字符最多只能重复3次minlen=8 口令最短为8个字符minalpha=4 口令中最少包含4个字母字符minother=1 口令中最少包含一个非字母数字字符mindiff=4 新口令中最少有4个字符和旧口令不同loginretries=5 连续5次登录失败后锁定用户histexpire=26 同一口令在26周内不能重复使用histsize=0 同一口令与前0个口令不能重复第13章登录策略的设置情况13.1.检查登录策略主要在/etc/security/login.cfg中定义,可以通过以下三种方式调整:1.使用vi直接查看和修改/etc/security/login.cfg文件;2.使用chsec命令;3.通过smit查看和更改登录策略(smit chsec).lssec -f /etc/security/login.cfg -s default 列出默认的端口登录策略chsec -f /etc/security/login.cfg -s /dev/lft0 -a logindisable=3 三次连续失败登录后锁定端口13.2.加固对以下登录策略进行设置:logindelay=2 失败登录后延迟2秒显示提示符logindisable=3 3次失败登录后锁定端口logininterval=60 在60秒内3次失败登录才锁定端口loginreenable＝15 端口锁定15分钟后解锁第14章系统是否启用信任主机方式(.rhost、hosts.equiv),配置文件是否配置妥当14.1.检查检查rlogin,rsh,rexec服务是否启动.如果启动,查看配置文件/etc/hosts.equiv(全局配置文件)和~/.rhosts(单独用户的配置文件)文件,检查文件是否配置妥当.14.2.加固建议关闭R系列服务(rlogin,rsh,rexec);如果不能关闭(例如HACMP需要rsh的打开),则需要检查配置文件,确保没有失当的配置(例如单行的"+"或"+ +").第15章是否以安全模式加载文件系统(如ro,nosuid)与其他UNIX系统不同，AIX文件系统的配置文件是/etc/filesystems(BSD/Linux是/etc/fstab,Solaris是/etc/vfstab).使用mount命令可以查看当前加载的文件系统及加载选项.mount 查看当前加载的文件系统属性第16章 root的环境变量设置16.1.检查用户的环境变量主要在以下文件中设置:/etc/profile 全局的用户登录配置文件,其中可以设置环境变量~/.profile 单独用户的登录配置文件,其中可以设置环境变量/etc/environment 全局的环境变量设置文件/etc/security/environ 可以在其中对单独用户设置环境变量因此,对root的环境变量进行设置可以通过/etc/security/environ 文件进行:1.使用vi直接查看和修改/etc/security/environ文件;2.使用chsec命令;3.使用smit chsec.printenv 查看当前的环境变量设置chsec -f /etc/security/environ -s root -a TERM=vt100 设置root的TERM环境变量为vt10016.2.加固检查环境变量PATH,确保其中不包含本地目录(.).第17章通用用户的环境变量设置参看18(root的环境变量设置).通用用户的环境变量主要可以通过/etc/environment文件进行修改.第18章syslog日志的配置情况(例如:记录何种信息,是否本地存放)和其他的UNIX系统一样,syslog的配置主要通过/etc/syslog.conf 配置.日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(@hostname).startsrc -s syslogd 启动syslog服务stopsrc-s syslogd 停止syslog服务第19章系统内核参数的配置情况(主要考虑安全相关的网络参数)19.1.检查AIX系统网络参数可以通过no命令进行配置,比较重要的网络参数有:icmpaddressmask=0 忽略ICMP地址掩码请求ipforwarding=0 不进行IP包转发ipignoreredirects=1 忽略ICMP重定向包ipsendredirects=0 不发送ICMP重定向包ipsrcrouteforward=0 不转发源路由包ipsrcrouterecv=0 不接收源路由包ipsrcroutesend=0 不发送源路由包no -a 显示当前配置的网络参数no -o icmpaddressmask=0 忽略ICMP地址掩码请求19.2.加固在/etc/文件重添加以下命令:/usr/sbin/no -o icmpaddressmask=0/usr/sbin/no -o ipforwarding=0/usr/sbin/no -o ipignoreredirects=1/usr/sbin/no -o ipsendredirects=0/usr/sbin/no -o ipsrcrouteforward=0/usr/sbin/no -o ipsrcrouterecv=0/usr/sbin/no -o ipsrcroutesend=0第20章是否修改系统的banner信息,防止系统泄漏信息通过login登录系统时的banner信息可以在/etc/security/login.cfg中使用属性herald设置,通过直接修改文件或使用chsec命令都可以进行.chsec -f /etc/security/login.cfg -s default -a herald="hello" 设置默认的banner为hello第21章是否对网络连接设置访问控制除了在信任主机模式(R命令)中可以按照主机地址进行访问控制外,AIX在默认安装时没有提供其他的主机访问控制方式(如防火墙.tcpwrapper等).第22章 CDE是否限定任意用户XDMCP登录连接XDMCP的访问控制可以在文件/usr/dt/config/Xaccess文件中设置,通过注释所有的行可以方便的禁止远程主机的访问.第23章 Cron/At的使用情况Cron/At的相关文件主要有以下几个:/var/spool/cron/crontabs 存放cron任务的目录/var/spool/cron/cron.allow 允许使用crontab命令的用户/var/spool/cron/cron.deny 不允许使用crontab命令的用户/var/spool/cron/atjobs 存放at任务的目录/var/spool/cron/at.allow 允许使用at的用户/var/spool/cron/at.deny 不允许使用at的用户使用crontab和at命令可以分别对cron和at任务进行控制.crontab -l 查看当前的cron任务at -l 查看当前的at任务第24章NFS的配置情况NFS系统的组成情况:nfsd NFS服务进程,运行在服务器端,处理客户的读写请求mountd 加载文件系统服务进程,运行在服务器端,处理客户加载nfs文件系统的请求biod 客户端服务进程,运行在客户端,处理客户对服务器的请求/etc/exports 定义服务器对外输出的NFS文件系统/etc/filesystems 定义客户端加载的NFS文件系统如果系统不需要NFS服务,可以使用rmnfs关闭NFS服务;如果不能关闭,使用showmount -e或直接查看/etc/exports文件检查输出的文件系统是否必要,以及属性是否妥当(readonly等).lssrc -l -s nfs 显示NFS服务的运行状态mknfs 启动NFS服务,并在启动文件中(/etc/inittab)添加NFS的启动项rmnfs 停止NFS服务，并从启动文件中(/etc/inittab)删除NFS的启动项showmount -e 显示本机输出的NFS文件系统mount 显示本机加载的文件系统(包括NFS文件系统)第25章 SNMP的配置情况如果系统不需要SNMP服务,可以关闭该服务(使用stopsrc -s snmpd停止服务并在/etc/rc.tcpip中注释掉);如果不能关闭,需要在/etc/snmpd.conf中指定不同的community name.lssrc -l -s snmpd 显示SNMP服务的运行状态startsrc -s snmpd 启动SNMP服务stopsrc -s snmpd 停止SNMP服务第26章 Sendmail的配置情况如果系统不需要Sendmail服务,可以关闭该服务(stopsrc -ssendmail停止服务并在/etc/rc.tcpip中注释掉);如果不能关闭,将sendmail服务升级到最新,并在其配置文件/etc /sendmail.cf中指定不同banner(参见示例).lssrc -l -s sendmail 显示Sendmail的运行状态startsrc -s sendmail 启动Sendmailstopsrc -s sendmail 停止SendmailDNS(Bind)的配置情况如果系统不需要DNS服务,可以关闭该服务(stopsrc -s named停止服务并在/etc/rc.tcpip中注释掉);如果不能关闭,将DNS服务升级到最新,并在其配置文件修改版本号(参见示例).lssrc -l -s named 显示DNS服务的运行状态startsrc -s named 启动DNS服务stopsrc -s named 停止DNS服务。

AIX 系统安全加固手册沈阳东软系统集成工程有限公司 技术支持部2011年 5月目 录概述 (5)1.1 目的 (5)1.2 适用范围 (5)1.3 适用版本 (5)账号管理认证授权 (6)1.4 账号 (6)2.1.1用户帐号创建 (6)2.1.2删除或锁定账号 (6)2.1.3限制具备超级管理员权限的用户远程登录 (7)2.1.4 对系统账号进行登录限制 (8)2.1.5建立多帐户组，将用户账号分配到相应的帐户组 (8)1.5 口令 (9)2.2.1 采用静态口令认证技术 (9)2.2.2 帐户口令的生存期 (10)2.2.3 用户不能重复使用最近 5次 (11)2.2.4连续认证失败次数超过 6 次锁定该用户使用的账号。

(11)1.6 授权 (12)2.3.1根据用户的业务需要，配置其所需的最小权限。

(12)2.3.2防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制.132.3.3文件系统及访问权限 (14)2.3.4 控制FTP进程缺省访问权限 (15)控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。

(15)2.3.5 FTP服务器应该限制 ftp 可以使用的目录范围 (16)日志配置要求 (17)1.7 设备应配置日志功能对用户登录进行记录 (17)1.8 记录对与设备相关的安全事件 (18)1.9 配置远程日志功能 (18)1.10 启用系统记账 (19)1.11 启用内核级审核 (20)IP协议安全配置要求 (21)1.12 IP 协议安全 (21)1.13 开放的IP服务端口和设备内部进程的对应表 (23)1.14 对允许登陆到该设备的 IP地址范围进行设定。

(24)1.15 禁止 ICMP 重定向，采用静态路由。

(25)1.16 关闭数据包转发功能。

(26)设备其他安全配置要求 (27)1.17 屏幕保护 (27)1.18 定时自动屏幕锁定 (28)1.19 物理端口设置 (28)1.20 补丁管理 (29)1.21 服务 (30)5.5.1不在列表的服务需关闭。

安全加固方案1安全加固概述随着网络技术的飞速发展，网络安全逐渐成为影响信息系统业务发展的关键问题。

由于信息系统拥有各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞，对其进行安全加固增加其安全性是十分必要的。

安全加固是指参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，对信息系统涉及的主机、网络设备、应用及数据库的脆弱性进行分析并修补，包括安全配置加固和漏洞修补，增强用户信息系统抗攻击能力，有效减轻系统总体安全风险，提升信息系统安全防范水平，可以建立起一套适应性更强的安全保障基线，有效构建起信息系统安全堤坝。

2安全加固内容安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。

2.1基线加固2.1.1主机加固针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。

Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。

Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。

AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。

2.1.2数据库加固针对不同数据库类型的数据库如Oracle、SQL Server、MySQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。

操作系统安全加固情况汇报
近期，我们对公司的操作系统安全进行了全面的加固工作，并在此向大家进行
一次汇报。

首先，我们对操作系统进行了全面的安全漏洞扫描和修复工作。

通过使用专业
的安全漏洞扫描工具，我们及时发现了系统中存在的一些潜在安全隐患，并立即进行了修复。

这些安全漏洞的修复工作，有效地提升了系统的安全性，避免了可能的安全风险。

其次，我们对系统的访问控制进行了加固。

通过对系统的访问权限进行了重新
的审查和调整，我们限制了一些不必要的访问权限，避免了未经授权的人员对系统的非法访问。

同时，我们也对系统的密码策略进行了优化，强化了密码的复杂性要求，提升了系统的防护能力。

此外，针对系统的安全防护措施，我们也进行了一系列的加固工作。

我们优化
了系统的防火墙设置，加强了对网络流量的监控和过滤，有效地阻止了一些恶意攻击和未经授权的访问。

同时，我们也加强了系统的日志监控和审计工作，及时发现和处理了一些异常的操作行为，确保了系统的安全稳定运行。

最后，我们对系统的安全更新和补丁管理进行了加强。

我们及时对系统的安全
补丁进行了安装和更新，确保系统的各种安全漏洞得到及时的修复和防范。

同时，我们也对系统的安全更新策略进行了优化，确保了系统的安全性和稳定性。

通过以上的安全加固工作，我们有效地提升了公司操作系统的安全性和稳定性，为公司的信息资产和业务数据提供了更加可靠的保护。

在未来，我们将继续加强对操作系统安全的管理和维护工作，不断提升系统的安全防护能力，确保公司信息系统的安全稳定运行。