AIX操作系统安全配置规范

AIX安全配置程序1 账号认证编号：安全要求-设备-通用-配置-1编号：安全要求-设备-通用-配置-22密码策略编号：安全要求-设备-通用-配置-3编号：安全要求-设备-通用-配置-4编号：安全要求-设备-通用-配置-5编号：安全要求-设备-通用-配置-63审核授权策略编号：安全要求-设备-通用-配置-7(1)设置全局审核事件配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。

classes:custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime(2)审核系统安全文件修改配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。

/etc/security/environ:w = "S_ENVIRON_WRITE"/etc/security/group:w = "S_GROUP_WRITE"/etc/security/limits:w = "S_LIMITS_WRITE"/etc/security/login.cfg:w = "S_LOGIN_WRITE"/etc/security/passwd:r = "S_PASSWD_READ"w = "S_PASSWD_WRITE"/etc/security/user:w = "S_USER_WRITE"/etc/security/audit/config:w = "AUD_CONFIG_WR"编号：安全要求-设备-通用-配置-8编号：安全要求-设备-AIX-配置-94日志配置策略本部分对AIX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。

AIX系统安全配置指南1. 远程访问控制 ........................................................................... - 2 -1.1.登陆限制 .......................................................................... - 2 -1.2.登陆屏幕欢迎词 .............................................................. - 2 -1.3.离开时锁定 ...................................................................... - 3 -1.4.强制自动注销 .................................................................. - 3 -2. 用户帐户安全 ........................................................................... - 4 -2.1. Root 帐户......................................................................... - 4 -2.2. 禁用直接 root 用户登录................................................ -4 -2.3. 用户帐户控制 .................................................................. - 5 -2.4. 禁用不需要的默认帐户 .................................................. - 6 -3. 密码安全 ................................................................................... - 7 -3.1. 设置强密码 ...................................................................... - 7 -3.2.设置密码策略 .................................................................. - 7 -4. AIX系统日常检查 ................................................................... - 9 -1. 远程访问控制1.1. 登陆限制要防止潜在黑客较难通过猜测密码来攻击系统，请在/etc/security/login.cfg 文件中设置登陆控制： 属性 用于PtYs(网络) 用于TTYs 建议值注释Sad_enabled Y Y false 很少需要“安全注意键”。

操作系统安装规范中国外汇交易中心工程运行部修订记录目录修订记录 (2)安全要求核对表 (4)1.适用环境 (6)2.安装选项 (6)3.软件安装清单 (7)3.1.系统自带 (7)3.2.扩展 (7)4.用户和组 (9)4.1.组 (9)4.2.用户 (9)5.存储和文件系统 (10)5.1.rootvg的配置 (10)5.2.vg的缺省配置参数 (10)5.3.rootvg中的文件系统 (10)6.系统补丁 (12)6.1.iFix IV07564 (12)6.2.eFix IZ96883 (12)7.系统环境设置 (12)7.1.Shell (12)7.2.内核 (13)7.3.limit配置 (13)7.4.root用户 (14)7.4.1.主目录 (14)7.4.2.profile文件 (14)7.5.NTP (15)6.5 sysdump (15)6.6 存储相关参数 (15)8.系统安全设置 (17)8.1.登录控制策略（/etc/security/login.cfg） (17)8.2.禁用和清理帐户 (17)8.3.用户设置(/etc/security/user) (17)8.4.主机信任安全 (18)8.5.SSH安装和配置 (18)8.6.网络安全参数 (19)8.7.资源控制（/etc/security/limits） (19)8.8.主机日志审计（生产环境） (19)8.9.停止以下服务 (19)8.10.更改SNMP服务community name (20)8.11.数据库账号管理 (21)8.12.网络参数 (21)安全要求核对表1.适用环境操作系统：AIX操作系统位数：64位以AIX 6.1为例，操作系统版本需遵循最新的《版本规划》，具体配置可根据实际情况调整并作记录。

2.安装选项使用缺省值3.软件安装清单3.1.系统自带3.2.扩展4.用户和组4.1.组根据配置数据“服务器用户和组”，创建以下几类组：1.操作人员组: support2.系统管理和维护组: duty，rtbridge,itmsuptmkgroup -'A' id='2011' rtbridgemkgroup -'A' id='2004' itmsupt3.数据库和中间件组：oracle,oper,dba,db2grp1,mkgroup -'A' id='3001' oraclemkgroup -'A' id='3002' opermkgroup -'A' id='3003' dba4.2.用户根据配置数据“服务器用户和组”，创建以下几类用户1.“场务值班”用户: support2.“系统组”用户：rtbridge,个人用户举例：mkuser -a pgrp= rtbridge groups=rtbridge home=/home/rtbridge shell=/usr/bin/ksh id=2011 rtbridge3.“数据库和中间件”用户：4.“应用”用户：5.“监控、备份等管理系统的帐户”: itmsuptmkuser -a pgrp=itmsupt groups= itmsupt home=/home/itmsupt id=2004 itmsupt5.存储和文件系统5.1.rootvg的配置rootvg中应包含两块pvrootvg中的逻辑卷，如存储设备不能提供底层镜像，都应配置成MIRROR方式5.2.vg的缺省配置参数如果业务系统没有特殊要求，使用如下配置：5.3.rootvg中的文件系统注：Owner和Mod为空，则不用进行设置6.系统补丁6.1.iFix IV07564AIX 5300-12-03（仅针对该版本，AIX 5300-12-04已修复）存在一个bug，会导致javacore dump无法正常生成，修复该问题需要打iFix IV07564。

中国移动A I X操作系统安全配置规范S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o nU s e d i n C h i n a M o b i l e版本号：1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第四层：技术规范·AIX操作系统类】·【第2501号】2008-5-15发布2008-05-15实施中国移动通信集团公司发布目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明 (1)1.3外部引用说明 (3)1.4术语和定义 (3)1.5符号和缩略语 (3)2AIX设备安全配置要求 (3)2.1账号管理、认证授权 (3)2.1.1账号 (3)2.1.2口令 (6)2.1.3授权 (8)2.2日志配置要求 (10)2.3IP协议安全配置要求 (13)2.3.1IP协议安全 (13)2.3.2路由协议安全 (14)2.4设备其他安全配置要求 (15)2.4.1屏幕保护 (15)2.4.2文件系统及访问权限 (16)2.4.3补丁管理 (16)2.4.4服务 (17)2.4.5启动项 (19)前言本标准由中国移动通信有限公司网络部提出并归口。

本标准由标准提出并归口部门负责解释。

本标准起草单位：中国移动通信有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：中国移动集团浙江公司徐良1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。

本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。

1.2 内部适用性说明本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的AIX操作系统安全配置要求。

以下分项列出本规范对《通用规范》设备配置要求的修订情况：安全要求-设备-AIX-配置-4-可选安全要求-设备-AIX-配置-5-可选安全要求-设备-AIX-配置-6安全要求-设备-AIX-配置-12-可选安全要求-设备-AIX-配置-13-可选安全要求-设备-AIX-配置-18-可选安全要求-设备-AIX-配置-19-可选安全要求-设备-AIX-配置-21-可选安全要求-设备-AIX-配置-22-可选安全要求-设备- AIX -配置-23-可选安全要求-设备- AIX -配置-24-可选安全要求-设备- AIX -配置-27-可选安全要求-设备- AIX -配置- 28-可选安全要求-设备- AIX -配置-30-可选安全要求-设备- AIX -配置-31-可选安全要求-设备- AIX -配置-32-可选安全要求-设备- AIX -配置-33安全要求-设备- AIX -配置-34-可选安全要求-设备- AIX -配置-35-可选安全要求-设备- AIX -配置-36-可选安全要求-设备- AIX -配置-PZ -37本规范还针对直接引用《通用规范》的配置要求，给出了在AIX操作系统上的具体配置方法和检测方法。

AIX操作系统安全配置手册许新新2011-6-8 版本号：目录1. 引言.................................................. 错误!未定义书签。

2. 用户管理.............................................. 错误!未定义书签。

用户账号安全设置.................................... 错误!未定义书签。

删除一个用户账号.................................... 错误!未定义书签。

禁止root用户直接登录............................... 错误!未定义书签。

用户登录审计........................................ 错误!未定义书签。

密码规则设置........................................ 错误!未定义书签。

文件和目录的默认访问权限............................ 错误!未定义书签。

用户错误登录次数过多导致账号被锁定.................. 错误!未定义书签。

查看密码的上次修改时间.............................. 错误!未定义书签。

chpasswd和pwdadmin命令的使用...................... 错误!未定义书签。

3. 网络安全.............................................. 错误!未定义书签。

安装SSH文件集并设置................................ 错误!未定义书签。

TELNET和SSH的安全性比较........................... 错误!未定义书签。

禁止TELNET、FTP、RLOGIN等网络服务.................. 错误!未定义书签。

AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制：要实施分级访问控制机制，明确管理者和普通用户
的访问等级，并分配不同的权限，使不同的用户层次由不同的权限控制。

2. 加强密码的安全策略：要加强密码的安全策略，包括定期更改密码，禁止使用过于简单的密码，不要在没有严格安全限制的情况下使用
root 权限。

3. 运行级别：禁止用户以root 身份登录系统，只有当用户需要以root 身份执行一些操作时，才能以root 身份登录，否则以普通用户身
份登录。

4.防火墙：根据网络的具体情况，采用专用防火墙或者网络模式的防
火墙，控制和限制外部计算机的访问权限。

5. 禁止外部访问：禁止外部访问系统，如FTP，telnet，外部的terminal访问等，除非有必要。

启用SSL/TLS 加密 socket 服务，防止
攻击者窃取数据。

6.定期备份：定期对重要的数据进行备份，以便在发生意外时及时进
行恢复。

7.实施流量监测：实施流量监测，实时检测系统中的网络流量和活动，以便及时捕获非法活动。

AIX系统安全配置1 身分识别1.1 账户设定1.2 推荐用户属性6.1.3用户帐户控制6.1.4登录用户标识1.5 使用访问控制表增强用户安全性1.6 停用无用的账户(Unnecessary Accounts)2 身分验证2.1 设定BIOS通行码2.2 设定账户密码2.3 使用 /etc/passwd 文件2.4 使用 /etc/passwd 文件和网络环境2.5 隐藏用户名和密码2.6 设置推荐的密码选项2.7 扩展密码限制3 访问控制3.1 保护使用者环境设定(User Configurations)3.2 使用 Noshell设置登录控制3.4 更改登录屏幕的欢迎消息3.5 更改公共桌面环境的登录屏幕3.6 设置系统缺省登录参数3.7 保护无人照管终端3.8 强制自动注销3.9 限制Root只可从控制台存取3.10 保护SUID 程序3.11 限制性的Restricted Shell3.12 检查World Writable Files3.13 使用 TCP Wrappers 限制存取4 数据保护4.1 完整性检测(Integrity Checking)4.2 使用MD5 Checksum 检查一致性5 安全事件记录5.1 加强系统日志5.2 系统错误日志工具(Systems Error Log)5.3 检查Cron 文件5.4 清除文件及目录6 网络服务设定1 防止IP 转送及主机欺骗(Host Spoofing)2 设定闲置(Inactive)的Time-out值3 关闭不必要的服务3.1 系统起动命令集(Startup-Script)3.2 /etc/inittab3.3 /etc/inetd.conf3.4 /etc/rc.nfs3.5 /etc/rc.tcpip3.6 停用TFTP3.7 停用Finger3.8 停用'r' 相关的命令服务3.9 执行securetcpip4 X-windows4.1 除去 /etc/rc.dt 文件4.2 阻止远程 X 服务器的未经授权的监视4.3 禁用和启用访问控制4.4 禁用运行 xhost 命令的用户许可权5 SNMP 服务6 Sendmail 的配置设定7 安装 SSH Secure Shell7.1 OpenSSH 编译的配置。

AIX7.1操作系统安装配置规范文档信息项目名称：AIX7.1操作系统安装配置规范文档版本号：1.0文档作者：环境保障二处生成日期：2015年7月文档审核者：环境保障二处审核日期：文档维护记录版本号维护日期作者/维护人描述1.0 2015-7-7 环境保障二处根据中心内部相关处室讨论意见及部门会商意见修订，形成正式文档2015年7月信息科技部适用范围本安装配置规范适用于AIX V7.1版。

除条文中特别规定适用范围的，本安装配置规范条文适用于总分行的生产、研发和测试等环境。

鉴于AIX7.1操作系统小版本在不断变化中，且还分为express、standard、enterprise三个版本，本文档根据standard版安装过程截取步骤及截图，若安装其他版本操作系统，文档中所涉及的步骤或截图可能与实际环境有所差异，请注意结合实际情况做出判断。

目录适用范围 (1)一、硬件配置要求(生产环境必须满足，研发测试环境供参考) (3)二、操作系统安装过程 (3)(一)准备工作 (3)(二)安装过程 (3)(三)其他软件包的安装 (20)三、操作系统的配置步骤 (21)(一)修改时区 (21)(二)修正操作系统时间 (22)(三)修改ROOT用户的密码 (23)(四)修改机器名 (23)(五)修改操作系统属性参数 (24)(六)设置系统DUMP (25)(七)VG创建及配置 (27)(八)修改系统交换空间 (31)(九)激活串口 (32)(十)修改IP地址和路由设置 (33)(十一)建立逻辑卷WORKLV (35)(十二)创建文件系统 (36)(十三)系统内核参数调优 (38)(十四)系统资源参数调整 (38)(十五)配置安全连接软件SSH (39)(十六)部署NTP服务(生产环境必须设置，研发测试环境供参考) (40)(十七)部署生产系统操作系统自动备份脚本(生产环境必须设置，研发测试环境供参考) 40四、操作系统的安全设置步骤 (41)(一)关闭所有不必要的系统服务进程 (41)(二)设置登录超时时间 (44)(三)限制用户使用SU (44)(四)操作系统用户帐户设置规范如下： (44)(五)用户密码策略设置(生产环境必须设置，研发测试环境供参考) (45)(六)系统安全其他方面的设置步骤 (47)五、双网卡配置与监控部署 (48)(一)小型机双网卡配置(生产环境必须设置，研发测试环境供参考) (48)(二)部署生产系统综合管理脚本(生产环境必须设置，研发测试环境供参考) (49)(三)部署系统集中监控平台T IVOLI监控代理(生产环境必须设置，研发测试环境供参考)50一、硬件配置要求(生产环境必须满足，研发测试环境供参考)AIX操作系统适用于IBM 小型机和刀片式基于Power系列芯片开发的机型，相应的硬件要求建议如下：➢双电源模块冗余配置（拷机过程中需进行电源冗余测试工作）。