AIX系统安全加固手册

AIX系统安全配置指南1. 远程访问控制 ........................................................................... - 2 -1.1.登陆限制 .......................................................................... - 2 -1.2.登陆屏幕欢迎词 .............................................................. - 2 -1.3.离开时锁定 ...................................................................... - 3 -1.4.强制自动注销 .................................................................. - 3 -2. 用户帐户安全 ........................................................................... - 4 -2.1. Root 帐户......................................................................... - 4 -2.2. 禁用直接 root 用户登录................................................ -4 -2.3. 用户帐户控制 .................................................................. - 5 -2.4. 禁用不需要的默认帐户 .................................................. - 6 -3. 密码安全 ................................................................................... - 7 -3.1. 设置强密码 ...................................................................... - 7 -3.2.设置密码策略 .................................................................. - 7 -4. AIX系统日常检查 ................................................................... - 9 -1. 远程访问控制1.1. 登陆限制要防止潜在黑客较难通过猜测密码来攻击系统，请在/etc/security/login.cfg 文件中设置登陆控制： 属性 用于PtYs(网络) 用于TTYs 建议值注释Sad_enabled Y Y false 很少需要“安全注意键”。

信息安全手册之系统加固指南操作系统加固标准操作环境允许用户设置、配置和维护自己的工作站或服务器可能会创建一个不一致的环境，其中特定的工作站或服务器比其他工作站或服务器更容易受到攻击。

这种类型的环境可以很容易地让对手在网络上获得最初的立足点。

标准操作环境（SOE）是操作系统和应用程序的标准化实施，旨在确保一致且安全的基线。

当国有企业从服务提供商等第三方获得时，应考虑网络供应链风险，例如意外或故意包含恶意内容或配置。

为了减少此类事件的可能性，组织不仅应该从可信来源获取其国有企业，而且还应该在使用前对其进行扫描，以确保其完整性。

由于操作环境的配置会随着时间的推移而自然而变化（例如，应用补丁，更改配置以及添加或删除应用程序），因此必须至少每年审查和更新一次SOE，以确保保持更新的基线。

SOE用于工作站和服务器。

第三方提供的 SOE 在使用之前会扫描恶意内容和配置。

国有企业至少每年进行一次审查和更新。

操作系统版本和版本较新版本的操作系统通常会在安全功能方面比旧版本有所改进。

这可能会使攻击者更难以为他们发现的安全漏洞创建可靠的漏洞。

使用较旧的操作系统版本，特别是那些不再受供应商支持的操作系统，使组织暴露于开发技术，这些技术后来在较新版本中得到了缓解。

x64（64位）版本的 Microsoft Windows 包括 x86（32 位）版本所缺乏的其他安全功能。

使用x86（32 位）版本的Microsoft Windows 会使组织暴露于 x64（64 位）版本的MicrosoftWindows 所缓解的利用技术。

请注意，对于仅实施基本八个成熟度模型中的第二个成熟度的组织，安全控制 1407 不适用。

最新版本或先前版本的操作系统用于工作站、服务器和网络设备。

在开发 MicrosoftWindows SOE 时，将使用 64 位版本的操作系统。

操作系统配置当操作系统以默认状态部署时，很容易导致不安全的操作环境，允许对手在网络上获得初始立足点。

1.1 安全加固解决方案1.1.1安全加固范围及方法确定加固的范围是陕西电视台全台网中的主机系统和网络设备，以及相关的数据库系统。

主要有：●服务器加固。

主要包括对Windows服务器和Unix服务器的评估加固，其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。

●网络设备加固。

主要包括对防火墙，交换机的评估加固。

●安全加固服务主要以人工的方式实现。

1.1.2安全加固流程图Error! No text of specified style in document.-1 安全加固流程图图Error! No text of specified style in document.-2 系统加固实施流程图2 1.1.3安全加固步骤1.准备工作一人操作，一人记录，尽量防止可能出现的误操作。

2.收集系统信息加固之前收集所有的系统信息和用户服务需求，收集所有应用和服务软件信息，做好加固前预备工作。

3.做好备份工作系统加固之前，先对系统做完全备份。

加固过程可能存在任何不可遇见的风险，当加固失败时，可以恢复到加固前状态。

4.加固系统按照系统加固核对表，逐项按顺序执行操作。

5.复查配置对加固后的系统，全部复查一次所作加固内容，确保正确无误。

6.应急恢复当出现不可预料的后果时，首先使用备份恢复系统提供服务，同时与安全专家小组取得联系，寻求帮助，解决问题1.1.4安全加固内容表Error! No text of specified style in document.-1 安全加固内容说明表应用软件我们建议操作系统安装最小软件包，例如不安装开发包，不安装不必要的库，不安装编绎器等，但很多情况下必须安装一些软件包。

APACHE或NETSCAPE ENTERPRISE SERVER是一般UNIX首选的WEB服务器，其配置本身就是一项独立的服务邮件和域名服务等都需要进行合理的配置。

审计，日志做好系统的审计和日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息。

银河麒麟安全加固配置手册
银河麒麟安全加固配置手册旨在指导用户如何对银河麒麟系统进行安全加固。

以下是一些常见的安全加固配置建议：
1. 禁用不必要的服务：银河麒麟系统启动后，一些不必要的服务会自动运行，这些服务可能存在安全风险。

建议禁用这些服务，以减少被攻击的可能性。

2. 配置防火墙：防火墙是保护系统免受攻击的重要工具。

建议配置防火墙规则，只允许必要的网络流量通过，阻止未授权的访问。

3. 更新系统补丁：银河麒麟系统可能存在一些安全漏洞，及时更新系统补丁可以修复这些漏洞，提高系统的安全性。

4. 配置安全审计：审计日志可以帮助追踪系统中的异常行为，及时发现和处理安全事件。

建议配置安全审计规则，对系统中的重要操作进行记录和监控。

5. 限制用户权限：用户权限管理是安全加固的重要一环。

建议对用户权限进行严格控制，避免不必要的用户拥有过高权限。

6. 配置加密存储：存储设备中的数据可能被非法访问或窃取，建议配置加密存储，保护数据安全。

7. 配置安全启动：安全启动可以在系统启动时进行安全检查，确保系统没有被篡改或感染恶意程序。

建议配置安全启动功能，提高系统的安全性。

以上是银河麒麟安全加固配置手册的一些常见建议，具体配置方法可以参考银河麒麟系统的官方文档或咨询专业技术人员。

麒麟系统安全加固手册摘要：一、麒麟系统安全加固手册概述1.手册的目的和适用对象2.手册的主要内容二、麒麟系统的基本安全设置1.麒麟系统的特点和安全性2.麒麟系统的默认安全设置3.麒麟系统的安全模块三、麒麟系统的安全加固措施1.更新系统补丁2.配置防火墙3.配置入侵检测系统4.限制用户权限5.加密重要文件和数据6.防止恶意软件四、麒麟系统的安全使用建议1.增强密码安全2.定期备份数据3.防止社交工程攻击4.安全使用网络服务5.避免公开暴露个人信息五、麒麟系统的安全漏洞处理1.发现安全漏洞的途径2.安全漏洞的处理流程3.安全漏洞的修复措施正文：麒麟系统安全加固手册是为了帮助用户提高麒麟操作系统安全性能而编写的。

本手册适用于麒麟系统的管理员和普通用户，旨在指导用户了解和提高麒麟系统的安全性。

麒麟系统作为一款国产操作系统，从设计之初就非常重视安全性。

系统默认的安全设置可以满足大多数用户的需求，但仍需要根据实际情况进行调整和优化。

本手册将介绍麒麟系统的安全模块，帮助用户了解系统的安全机制。

为了进一步加强麒麟系统的安全性，本手册还提供了一系列安全加固措施。

这些措施包括更新系统补丁、配置防火墙、配置入侵检测系统、限制用户权限、加密重要文件和数据、防止恶意软件等。

通过实施这些措施，用户可以大大提高麒麟系统的安全性能。

在使用麒麟系统的过程中，用户还需要注意一些安全使用建议，例如增强密码安全、定期备份数据、防止社交工程攻击、安全使用网络服务、避免公开暴露个人信息等。

这些建议可以有效降低用户在使用麒麟系统过程中面临的安全风险。

最后，本手册还介绍了如何处理麒麟系统的安全漏洞。

用户可以通过本手册了解发现安全漏洞的途径、安全漏洞的处理流程以及安全漏洞的修复措施。

对于发现的安全漏洞，用户需要及时采取措施进行修复，以保障麒麟系统的安全性能。

总之，麒麟系统安全加固手册为用户提供了全面的安全指导，帮助用户提高麒麟系统的安全性能。

AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制：要实施分级访问控制机制，明确管理者和普通用户
的访问等级，并分配不同的权限，使不同的用户层次由不同的权限控制。

2. 加强密码的安全策略：要加强密码的安全策略，包括定期更改密码，禁止使用过于简单的密码，不要在没有严格安全限制的情况下使用
root 权限。

3. 运行级别：禁止用户以root 身份登录系统，只有当用户需要以root 身份执行一些操作时，才能以root 身份登录，否则以普通用户身
份登录。

4.防火墙：根据网络的具体情况，采用专用防火墙或者网络模式的防
火墙，控制和限制外部计算机的访问权限。

5. 禁止外部访问：禁止外部访问系统，如FTP，telnet，外部的terminal访问等，除非有必要。

启用SSL/TLS 加密 socket 服务，防止
攻击者窃取数据。

6.定期备份：定期对重要的数据进行备份，以便在发生意外时及时进
行恢复。

7.实施流量监测：实施流量监测，实时检测系统中的网络流量和活动，以便及时捕获非法活动。

文档编号：AIX系统安全配置手册2006年5月文档信息分发控制版本控制AIX系统安全加固手册1.系统维护升级加固1．下载系统推荐维护包在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(Maintenance Levels，简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。

每个文件集的更新都是累计的，即它包含了AIX 4.3发布以来的所有那个文件集的补丁，并替换了所有以前的更新。

维护包(ML)的命名规则是4位的VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。

可以通过安装ML来升级操作系统的改进版号modification，例如，从4.3.0.0升级到4.3.3.0。

推荐维护包(Recommended Maintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过较多实测过的更新的文件集组成。

通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。

推荐维护包(RM)的命名规则是4位的VRMF，再加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance 如4330-01 是4330 的第1个推荐维护包(RM)。

可以用以下的命令来判定是否4330-01已经安装在系统里，oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330：instfix -ik 4330-01_AIX_ML我们可以通过该网站（）下载ML或RM，并通过gzip解压缩，然后按照如下提示的详细信息进行安装。

2．解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3．用df检查系统硬盘空间大小，确保/，/usr，/var，/tmp等目录有足够的空间。