AIX安全加固操作手册
AIX系统安全配置手册资料
AIX系统安全配置1 身分识别1.1 账户设定只有特定的授权帐户可用来增加用户及群组,此为AIX默认值且不应被更改;一般帐户不应该有多余的管理权限,此为AIX默认值且不该被更改;只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。
以用来防止非法存取系统,或集中攻击有特别权限的帐户,此为AIX默认值且不该被更改;只有特定的授权帐户可用来检查使用者状态。
为防止入侵者存取非公开系统资料,用户状态资料仅可由特定帐户取得。
这一点在AIX仅部份可行,因为如果使用者锁定,则其它使用者无法看到此使用者,但却可使用 who 命令来检查登陆的帐户;只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。
以用来防止非法存取系统,或集中攻击有特别权限的群组,此为AIX默认值且不该被更改;只有特定的授权帐户可用来更改授权帐户数目。
太多的用户同时使用某应用系统可能影响系统稳定性,此为AIX默认值且不该被更改;系统管理员群组的人员不可存取所有资源,管理群组的人员应只能存取工作上所需用的资源。
存取所有资源不应被允许,此为AIX默认值且不该被更改;一般用户不可存取特定系统文件及命令。
系统命令及程序只能被特定帐户使用,一般用户不可存取此类功能。
应通过权限控制管理来进行限制,此为AIX默认值且不该被更改;权限的控制管理应在文件产生时即被设置,仅有文件的产生者能读取、写入、执行或删除此文件,使用者的 umask设定为仅允许文件产生者存取 (例外:root 用户可存取系统所有文件)。
Umask的设定控制了文件除了删除外的权限,删除的权限则根据文件所在目录的权限位来决定;最少权限机制应被应用,以确保应用程序以最少权限执行,所有应用程序的授权应保持最低权限;只有特别的授权帐户可安装软件或加入新设备到系统中,并安装安全的更新修正程序,此为AIX默认值且不该被更改;存取系统资源取决于使用者及群组的身份,使用者的权限可能多于其群组的权限;1.2 推荐用户属性推荐以下属性:每个用户应有一个不与其它用户共享的用户标识。
aix安全加固方案
1IBM AIX系统1.1 系统维护升级加固1.下载系统推荐维护包¾在AIX操作系统中,补丁修正软件包分为维护包和推荐维护包:维护包(Maintenance Levels,简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。
每个文件集的更新都是累计的,即它包含了AIX 4.3发布以来的所有那个文件集的补丁,并替换了所有以前的更新。
维护包(ML)的命名规则是4位的 VRMF:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。
可以通过安装ML来升级操作系统的改进版号modification,例如,从4.3.0.0升级到4.3.3.0。
¾推荐维护包(Recommended Maintenance,简称RM)是由一系列适用于最新的ML的文件集组成的软件包,它由一系列经过较多实测过的更新的文件集组成。
通过安装RM,可以使你的系统拥有较新的文件集,但它不能升级系统版本。
推荐维护包(RM)的命名规则是4位的 VRMF,再加两位数字后缀:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance如 4330-01 是 4330 的第1个推荐维护包(RM)。
可以用以下的命令来判定是否4330-01已经安装在系统里,oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330:instfix -ik 4330-01_AIX_ML我们可以通过该网站()下载ML或RM,并通过gzip解压缩,然后按照如下提示的详细信息进行安装。
2.解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3.用df检查系统硬盘空间大小,确保/,/usr,/var,/tmp等目录有足够的空间。
信息安全手册之系统加固指南
信息安全手册之系统加固指南操作系统加固标准操作环境允许用户设置、配置和维护自己的工作站或服务器可能会创建一个不一致的环境,其中特定的工作站或服务器比其他工作站或服务器更容易受到攻击。
这种类型的环境可以很容易地让对手在网络上获得最初的立足点。
标准操作环境(SOE)是操作系统和应用程序的标准化实施,旨在确保一致且安全的基线。
当国有企业从服务提供商等第三方获得时,应考虑网络供应链风险,例如意外或故意包含恶意内容或配置。
为了减少此类事件的可能性,组织不仅应该从可信来源获取其国有企业,而且还应该在使用前对其进行扫描,以确保其完整性。
由于操作环境的配置会随着时间的推移而自然而变化(例如,应用补丁,更改配置以及添加或删除应用程序),因此必须至少每年审查和更新一次SOE,以确保保持更新的基线。
SOE用于工作站和服务器。
第三方提供的 SOE 在使用之前会扫描恶意内容和配置。
国有企业至少每年进行一次审查和更新。
操作系统版本和版本较新版本的操作系统通常会在安全功能方面比旧版本有所改进。
这可能会使攻击者更难以为他们发现的安全漏洞创建可靠的漏洞。
使用较旧的操作系统版本,特别是那些不再受供应商支持的操作系统,使组织暴露于开发技术,这些技术后来在较新版本中得到了缓解。
x64(64位)版本的 Microsoft Windows 包括 x86(32 位)版本所缺乏的其他安全功能。
使用x86(32 位)版本的Microsoft Windows 会使组织暴露于 x64(64 位)版本的MicrosoftWindows 所缓解的利用技术。
请注意,对于仅实施基本八个成熟度模型中的第二个成熟度的组织,安全控制 1407 不适用。
最新版本或先前版本的操作系统用于工作站、服务器和网络设备。
在开发 MicrosoftWindows SOE 时,将使用 64 位版本的操作系统。
操作系统配置当操作系统以默认状态部署时,很容易导致不安全的操作环境,允许对手在网络上获得初始立足点。
AIX操作系统安全配置要求及操作指南
AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制:要实施分级访问控制机制,明确管理者和普通用户
的访问等级,并分配不同的权限,使不同的用户层次由不同的权限控制。
2. 加强密码的安全策略:要加强密码的安全策略,包括定期更改密码,禁止使用过于简单的密码,不要在没有严格安全限制的情况下使用
root 权限。
3. 运行级别:禁止用户以root 身份登录系统,只有当用户需要以root 身份执行一些操作时,才能以root 身份登录,否则以普通用户身
份登录。
4.防火墙:根据网络的具体情况,采用专用防火墙或者网络模式的防
火墙,控制和限制外部计算机的访问权限。
5. 禁止外部访问:禁止外部访问系统,如FTP,telnet,外部的terminal访问等,除非有必要。
启用SSL/TLS 加密 socket 服务,防止
攻击者窃取数据。
6.定期备份:定期对重要的数据进行备份,以便在发生意外时及时进
行恢复。
7.实施流量监测:实施流量监测,实时检测系统中的网络流量和活动,以便及时捕获非法活动。
AIX安全加固
AIX安全加固■文档编号■密级■版本编号■日期目录AIX安全加固 (1)一.系统信息 (2)二.账号 (2)2.1禁用无用账号 (2)2.2添加口令策略 (2)2.3禁止ROOT远程登录 (3)2.4限制FTP登录 (3)三.服务 (4)3.1关闭不必要的INETD服务 (4)3.2关闭其他不必要的服务 (4)3.3检查SSH服务 (5)3.4关闭NFS服务 (5)3.5检查.RHOSTS和/ETC/HOSTS.EQUIV文件 (6)3.6检查TCP W RAPPER.......................................................................... E RROR!B OOKMARK NOT DEFINED.四.网络参数 (6)五.文件系统 (7)5.1设置UMASK值 (7)5.2设置登录超时 (7)六.日志 (8)6.1系统日志 ....................................................................................... E RROR!B OOKMARK NOT DEFINED.6.2错误日志 ....................................................................................... E RROR!B OOKMARK NOT DEFINED.6.3SU日志........................................................................................... E RROR!B OOKMARK NOT DEFINED.6.4SYSLOGD日志................................................................................... E RROR!B OOKMARK NOT DEFINED.6.5CRON日志 (8)一. 系统信息二. 账号2.1 禁用无用账号2.2 添加口令策略2.3 禁止root远程登录2.4 限制FTP登录三. 服务3.1 关闭不必要的inetd服务3.2 关闭其他不必要的服务3.3 检查SSH服务3.4 关闭NFS服务3.5 检查.rhosts和/etc/hosts.equiv文件四. 网络参数五. 文件系统5.1 设置UMASK值5.2 设置登录超时六. 日志6.1 日志设置。
AIX操作系统安全配置手册
AIX操作系统安全配置手册许新新***************.com2011-6-8 版本号:V1.0目录1. 引言 (2)2. 用户管理 (2)2.1 用户账号安全设置 (2)2.2 删除一个用户账号 (3)2.3 禁止root用户直接登录 (4)2.4 用户登录审计 (4)2.5 密码规则设置 (6)2.6 文件和目录的默认访问权限 (6)2.7 用户错误登录次数过多导致账号被锁定 (7)2.8 查看密码的上次修改时间 (7)2.9 chpasswd和pwdadmin命令的使用 (8)3. 网络安全 (9)3.1 安装SSH文件集并设置 (9)3.2 TELNET和SSH的安全性比较 (10)3.3 禁止TELNET、FTP、RLOGIN等网络服务 (11)3.4 限制某些用户FTP登录 (12)3.5 设置目录的FTP访问权限 (12)3.6 将用户FTP访问限定在自己的$HOME目录 (15)3.7 实现基于IP地址的访问控制 (15)3.8 查看当前的TCPIP网络连接 (18)4. 系统安全管理 (19)4.1 设置用户终端长时间不操作后自动退出 (19)4.2 设置NTP网络时钟协议 (20)4.3 停止NFS服务 (22)4.4 设置用户limits参数 (23)4.5 wtmp文件的使用 (24)1. 引言AIX作为IBM Power系列开放平台服务器的专用操作系统,属于UNIX操作系统的一个商业版本。
作为企业级服务器的操作平台,安全性是AIX必备的一个重要特性。
由于我们的小型机上往往运行着客户的核心生产业务,因此对于系统的安全设置往往会有着严格的要求。
2. 用户管理AIX是一个多用户操作系统,多个用户要在同一个系统环境中协同工作,用户访问权限的设置、用户作业的相互隔离、用户系统资源的限制,都是AIX操作系统不可或缺的功能。
2.1 用户账号安全设置为了保证整个操作系统的安全,每个用户账号必须满足如下安全设置要求:(1)每个系统管理员应该设置单独的账号,不允许多个管理员共用一个账号;(2)root用户不允许直接登录,必须通过其他用户登录后,通过su命令获得root用户权限;(3)禁用或者删除不使用的系统账号;(4)设置必要的密码规则。
AIX 操作系统安全配置要求及操作指南
补丁
1
应根据需要及时进行补丁装 载。对服务器系统应先进行 兼容性测试。
1
设备应配置日志功能,对用 户登录进行记录,记录内容 包括用户登录使用的账号, 登录是否成功,登录时间, 以及远程登录时,用户使用 的IP 地址。
日志
2(可选)
启用记录cron行为日志功能 和cron/at的使用情况
3
设备应配置权限,控制对日 志文件读取、修改和删除等 操作。
1、参考配置操作 修改配置文件 vi /etc/syslog.conf,加上这几行: \t\t/var/adm/authlog *.info;auth.none\t\t/var/adm/syslog\n" 建立日志文件,如下命令: touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 重新启动 syslog 服务,依次执行下列命令: stopsrc -s syslogd startsrc -s syslogd AIX 系统默认不捕获登录信息到syslogd,以上配置增加了验证信 息发送到/var/adm/authlog 和/var/adm/syslog 2、补充操作说明 1、参考配置操作 cron/At的相关文件主要有以下几个: /var/spool/cron/crontabs 存放cron任务的目录 /var/spool/cron/cron.allow 允许使用crontab命令的用户 /var/spool/cron/cron.deny 不允许使用crontab命令的用户 /var/spool/cron/atjobs 存放at任务的目录 /var/spool/cron/at.allow 允许使用at的用户 /var/spool/cron/at.deny 不允许使用at的用户 使用crontab和at命令可以分别对cron和at任务进行控制。 #crontab -l 查看当前的cron任务 #at -l 查看当前的at 任务
AIX安全加固操作步骤
IBM AIX系统1系统维护升级加固1.下载系统推荐维护包在AIX操作系统中,补丁修正软件包分为维护包和推荐维护包:维护包(Maintenance Levels,简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。
每个文件集的更新都是累计的,即它包含了AIX 4.3发布以来的所有那个文件集的补丁,并替换了所有以前的更新。
维护包(ML)的命名规则是4位的VRMF:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。
可以通过安装ML来升级操作系统的改进版号modification,例如,从4.3.0.0升级到4.3.3.0。
推荐维护包(Recommended Maintenance,简称RM)是由一系列适用于最新的ML的文件集组成的软件包,它由一系列经过较多实测过的更新的文件集组成。
通过安装RM,可以使你的系统拥有较新的文件集,但它不能升级系统版本。
推荐维护包(RM)的命名规则是4位的VRMF,再加两位数字后缀:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance如4330-01 是4330 的第1个推荐维护包(RM)。
可以用以下的命令来判定是否4330-01已经安装在系统里,oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330:instfix -ik 4330-01_AIX_ML我们可以通过该网站()下载ML或RM,并通过gzip解压缩,然后按照如下提示的详细信息进行安装。
2.解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3.用df检查系统硬盘空间大小,确保/,/usr,/var,/tmp等目录有足够的空间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AIX安全加固操作手册作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下:一、系统推荐补丁升级加固1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁)检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号)2.如果未安装补丁,使用如下方式安装补丁1)将补丁盘放入光驱、以root执行:mount /cdrom2)执行:smitty update_all (选择/dev/cd0为安装介质)注意选择安装选项中:COMMIT software updates? noSA VE replaced files? yes安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown –Fr 重起系统二、AIX系统配置安全加固1.编辑/etc/inetd.conf文件,关闭所有服务。
将inetd.conf文件中的内容清空> /etc/inetd.confrefresh –s inetd2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务:portmapsysloginetdsendmailsnmpd如关闭dpid2,则只要注销以下行:(前面加#号即可)#start /usr/sbin/dpid2 "$src_running"再使用:stopsrc –s XXX来停止这些已经启动的服务3./etc/inittab中关闭用:注释服务,不是‘#’piobe Printer IO BackEndqdaemon Printer Queueing Daemonwritesrv write serverhttpdlite docsearch Web Serverimnss docsearch imnss Daemonimqss docsearch imqss daemon4.删除一些无用的用户rmuser -p uucp;rmuser -p nuucp5.手工编辑/etc/security/user 控制用户登录限制、缺省文件创建权限限制default默认设置不允许su\login\rlogin,将三项设置依次设置为false即可,其余缺省;缺省umask设置为027;设置各用户设置密码的最小长度为8;放开root、(sybase或oracle)、zxin10用户的su权限;放开(sybase或oracle)、zxin10用户的rlogin权限;设置root的umask为077default:login=falsesu=falserlogin=falseumask=027minlen=8...root:su=trueumask=077...zxin10:su=truerlogin=true...oracle:su=truerlogin=true#pwdck -y ALL修复同步口令文件6.更改login默认策略(/etc/security/login.cfg)default:logindelay=2logindisable=3logininterval=60(logininterval秒内产生logindisable次无效登录,即锁定port)loginreenable=5(loginreenable分钟后解除锁定)7.编辑/etc/profile,添加下列行:TMOUT=3600TIMEOUT=3600export TMOUT TIMEOUT8.加固系统TCP/IP配置编辑文件,添加:/usr/sbin/no -o clean_partial_conns=1/usr/sbin/no -o arpt_killc=20/usr/sbin/no -o icmpaddressmask=0/usr/sbin/no -o directed_broadcast=0/usr/sbin/no -o ipsrcroutesend=0/usr/sbin/no -o ipsrcrouteforward=0/usr/sbin/no -o ip6srcrouteforward =0/usr/sbin/no -o ipignoreredirects=1/usr/sbin/no -o ipsendredirects=09.使用以下方法使尝试登录失败记录有效修改/etc/syslog.conf文件增加日志审计内容:*.crit /var/log/loginlog创建loginlog,记录失败登陆#touch /var/log/loginlog#chmod 600 /var/log/loginlog#chgrp sys /var/log/loginlog#refresh –s syslogd10.删除不需要的cronscd /var/spool/cron/crontabsrm -r sysrm -r admrm -r uucp三、安装ssh服务端和客户端a)安装ssh服务端(AIX上)在AIX 4.3.3和5.1系统上安装OpenSSH内容这篇文档介绍了在AIX 4.3.3和5.1系统上安装openSSH的步骤提要正文(一)在AIX 4.3.3系统上安装OpenSSH在AIX 4.3.3系统里,openSSH是用RPM格式的安装包来安装的,而在5.1和5.2的系统里是用installp格式的安装包来安装的。
在4.3.3系统上安装有如下三个步骤:1.安装首要必备的文件集;2.下载rpm格式的安装包;3.安装openSSH必需的rpm安装包。
1.安装首要必备的文件集在安装rpm格式的安装包之前需要安装文件集rpm.rte和perl.rte,rpm.rte文件集能够通过以下途径获得:Linux Toolbox CD 光盘或者Linux Toolbox 站点:/servers/aix/products/aixos/linux/download.html这些文件集可以通过smitty installp 命令来安装2.下载rpm格式的安装包rpm格式的安装包能够从以下网址下载:/servers/aix/products/aixos/linux/download.html在这个网页上,prngd程序(Psuedo Random Number Generator Daemon)和zlib压缩和解压缩库能被下载,它们是安装openssl rpm安装包所首要必需的,他们各自对应的文件集为:prngd-0.9.23-2.aix4.3.ppc.rpm和zlib-1.aix4.3..ppc.rpm。
在分类内容下载区域的右上方点击AIX TOOLbox Cryptographic Content,如果你不是一个已注册的用户,你应该先注册你自己。
然后点击在面板底部出现的Accept License按钮并开始下载openssl和openssh rpm安装包:openssl-0.9e-2.aix4.3.ppc.rpmopenssl-devel-0.9.6e-2.aix4.3.ppc.rpmopenssl-doc-0.9.6e-2.aix4.3.ppc.rpmopenssh-3.4p1-4.aix4.3.ppc.rpmopenssh-server-3.4p1-4.aix4.3.ppc.rpmopenssh-clients-3.4p1-4.aix4.3.ppc.rpm3.安装openSSH必需的rpm安装包把上一步下载的rpm文件包放到一个目录下面,并在此当前目录下运行如下命令进行安装:# rpm -i zlib-1.1.4-1.aix4.3.ppc.rpm# rpm -i prngd-0.9.23-2.aix4.3.ppc.rpm# rpm -i openssl-0.9e-2.aix4.3.ppc.rpm# rpm -i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm# rpm -i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm# rpm -i openssh-3.4p1-4.aix4.3.ppc.rpm# rpm -i openssh-server-3.4p1-4.aix4.3.ppc.rpm# rpm -i openssh-clients-3.4p1-4.aix4.3.ppc.rpm有时在安装openssl文件包时会得到error: failed dependencies错误,如果出现这种错误请运行如下命令:# rpm -i --nodeps openssl-0.9.6e-2.aix4.3.ppc.rpm下面的命令能用来更新AIX-rpm:# /usr/sbin/updtvpkgprngd必须在openssl和openssh安装之前安装,并且openssl又是安装openssh rpm 文件包所首要必需的。
文件集openssl-devel-0.9.6e-2.aix4.3.ppc.rpm 和openssl-doc-0.9.6e-2.aix4.3.ppc.rpm 不是安装openSSH所必需的。
想验证一下这些文件包是否被安装,请运行如下命令:# rpm -qa | egrep '(openssl|openssh|prng)'-->zlib-1.1.4-1prngd-0.9.23-2openssl-0.9.6e-2openssl-devel-0.9.6e-2openssl-doc-0.9.6e-2openssh-3.4p1-4openssh-server-3.4p1-4openssh-clients-3.4p1-4这些文件包被装在/opt/freeware目录下,并且建立了一些连接在/usr/bin或者/usr/sbin目录里,如下所示:# ls -l /usr/bin/sshlrwxrwxrwx --1 root --system -----26 Oct 17 08:07 /usr/bin/ssh ->------------------------------------------------../../opt/freeware/bin/ssh# ls -l /usr/sbin/sshdlrwxrwxrwx ----1 root ----system ----28 Oct 17 08:06 /usr/sbin/sshd-> ../../opt/freeware/sbin/sshd(二)在AIX 5.1系统上安装OpenSSH在5.1系统里,openssh本身的安装包是installp格式,但是所有的首要必备文件包(包括openssl)只能用rpm -i命令来安装(用与4.3.3一样的rpm文件包)。