系统安全配置技术规范-AIX

系统安全配置技术规范—AIX

文档说明

（一）变更信息

（二）文档审核人

目录

1适用范围5 2帐号管理与授权5

2.1【基本】按照用户角色分配不同权限的帐号5

2.2【基本】删除或锁定无用帐户5

2.3【基本】禁止超级管理员帐户远程登录6

2.4【基本】将用户帐号分配到相应的帐户组7

2.5【基本】设置口令策略满足复杂度要求7

2.6【基本】检查是否存在空口令帐号错误!未定义书签。

2.7【基本】检查口令生存周期要求8

2.8【基本】检查口令重复次数限制8

2.9连续认证失败次数9

2.10设置文件权限9

2.11删除除ROOT外的UID为0的用户10

2.12系统UMASK设置10

2.13只允许ROOT用户使用AT/ CRON11 3日志配置要求12

3.1【基本】对用户登录认证进行记录12

3.2【基本】设置日志服务器12

3.3【基本】按帐号分配日志文件读取、修改和删除权限13

3.4配置日志记录与设备相关的安全事件13

3.5系统应用/服务LOG配置14 4IP协议安全要求15

4.1【基本】使用SSH远程登录15

4.2隐藏SSH的BANNER信息15

4.3远程登录的IP地址范围设定15

4.4禁止ICMP重定向16

4.5关闭数据包转发17 5服务配置要求17

5.1【基本】关闭不必要的服务17

5.2【基本】应按帐户精确设置FTP的权限18

5.3【基本】更新系统补丁18

5.4设置NTP服务器错误!未定义书签。

5.5设置连接超时自动登出19 6其它配置要求20

6.1为目录设置粘性位20

6.2查找未授权的SUID/SGID可执行文件20

6.3查找没有所有者的文件和目录21

6.4设置图形界面超时10分钟自动锁屏错误!未定义书签。

6.5设置登录时显示的警告信息21

6.6禁止X S ERVER监听6000/TCP端口21

6.7防止堆栈缓冲溢出22

1适用范围

如无特殊说明，本规范所有配置项适用于AIX操作系统6.x系列或以上版本。其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。

2帐号管理与授权

2.1【基本】按照用户角色分配不同权限的帐号

2.2【基本】删除或锁定无用帐户

2.3【基本】禁止超级管理员帐户远程登录

2.4【基本】将用户帐号分配到相应的帐户组

2.5【基本】设置口令策略满足复杂度要求

2.6 【基本】检查口令生存周期要求

2.7 【基本】检查口令重复次数限制

2.8连续认证失败次数

2.9设置文件权限

2.10删除除root外的UID为0的用户

2.11系统umask设置

2.12只允许root用户使用at/ cron

3日志配置要求

3.1【基本】对用户登录认证进行记录

3.2【基本】设置日志服务器

3.3【基本】按帐号分配日志文件读取、修改和删除权限

3.4配置日志记录与设备相关的安全事件

3.5系统应用/服务log配置

4IP协议安全要求

4.1【基本】使用ssh远程登录

4.2隐藏ssh的banner信息

4.3远程登录的IP地址范围设定

4.4禁止ICMP重定向

4.5关闭数据包转发

5服务配置要求

5.1【基本】关闭不必要的服务

5.2【基本】应按帐户精确设置FTP的权限

5.3【基本】更新系统补丁

5.4时区配置

5.5设置连接超时自动登出

6其它配置要求

6.1为目录设置粘性位

6.2查找未授权的SUID/SGID可执行文件

6.3查找没有所有者的文件和目录

6.4设置登录时显示的警告信息

6.5禁止X Server监听6000/TCP端口

6.6 防止堆栈缓冲溢出