1、 第 1 页 共 7 页 AIX 加固操作手册编号 加固项 备注1.1禁用以下服务:kshell(kerbores 协议的 shell 服务 ) klogin(kerbores 协议的 login 服务) exec(提供 rexec 远程执行命令服务)echo(字符回显测试服务) discard(丢弃字符测试服务) chargen(发送字符测试服务) daytime(时间同步服务) time(时间同步服务) ntalk(基于字符的聊天服务服务) rstatd(服务器内核信息查询) rusersd(用户信息查询服务) rwalld(用户信息通告服务) sprayd(系统性能信息查询服务) pcn
2、fsd(非 UNIX 客户机打印缓冲服务)加固步骤:1. 编辑/etc/inetd.conf 文件2. 注释以下单词开头的行:kshell klogin exec echo discard chargen daytime time ntalk rstatd rusersd rwalld sprayd pcnfsd 服务3. 重启服务refresh -s inetd回退步骤:1. 编辑/etc/inetd.conf 文件2. 取消注释以下单词开头的行:kshell 第 2 页 共 7 页 klogin exec echo discard chargen daytime time ntalk rs
3、tatd ruserd rwalld sprayd pcnfsd3. 重启服务refresh -s inetd1.2禁用以下服务:sendmail(邮件服务) routed(基于 rip 的路由服务) gated(多种路由协议的路由服务) named(DNS 服务 ) timed(时间同步服务) rwhod(用户信息服务 ) lpd(打印服务) ndpd-router(路由服务 ) ndpd-host(路由服务) piobe(打印服务) httpdlite(man 文档查询) writesrv(用户聊天服务)服务加固步骤:禁用以下服务,以 sendmail 服务为例:sendmailroute
4、dgatednamedtimedrwhodlpd,ndpd-routerndpd-host1检查服务开启情况lssrc -a2. 停止 sendmail 服务第 3 页 共 7 页 stopsrc -s sendmail3. 禁止 sendmail 自启动chrctcp -d sendmail 禁用以下服务,以 piobe 为例piobehttplitewritesrv 服务1. 停止 piobe 服务stopsrc -s piobe2. 禁止 piobe 服务自启动编辑/etc/inittab,在 piobe 开头的行前增加分号回退步骤:启用以下服务,以 sendmail 服务为例:send
5、mailroutedgatednamedtimedrwhodlpd,ndpd-routerndpd-host1. 启动 sendmail 服务startsrc -s sendmail2. 设置 sendmail 服务自启动chrctcp -a sendmail 第 4 页 共 7 页 启用以下服务,以 piobe 为例piobehttplitewritesrv1. 启动 piobe 服务startsrc -s piobe2. 允许 piobe 服务自启动编辑/etc/inittab,取消 piobe 行的注释(分号)1.3 加强 snmp community 复杂度加固步骤:1. 编辑/etc
6、/snmpd.conf2. 如果 community string 为 public,则修改 public 为 cpic3. 重启 snmpd 服务refresh -s snmpd回退步骤:1. 编辑/etc/snmpd.conf2. 修改 cpic 为 public3. 重启 snmpd 服务refresh -s snmpd1.4 禁止 syslog 接收网络日志加固步骤:1设置 syslogd 参数chssys -s syslogd a “-r”2. 重启 syslogd 服务stopsrc -s syslogdstartsrc -s syslogd回退步骤:第 5 页 共 7 页 操作如
7、下:1设置 syslogd 参数chssys -s syslogd a “”2. 重启 syslogd 服务stopsrc s syslogdstartsrc -s syslogd1.5 设置所有人可写目录的 sticky 位加固步骤:find / -type d ( -perm -0002 -a ! -perm -1000 ) -print -exec chmod +t ;find / -xdev -type d ( -perm -0002 -a ! -perm -1000 ) print exec chmod +t ;回退步骤:如果某个用户 test 需要写 test1 拥有的文件 fil
8、e1,file1 所在目录为 dir1,修改如下:chmod -t dir11.6 规范基于 rhosts 认证的信任关系1 查找/etc/hosts.equiv 与/.rhosts 文件,/.rhosts 查找方法如下:find / -name .rhosts -print2 如果/etc/hosts.equiv 或/.rhosts 文件中存在+号,与系统管理员确认信任关系后删除”+”号,重新设置详细的信任关系1.7 禁止系统用户使用 ftp 服务1编辑或创建/etc/ftpusers2. 每个系统帐号一行,系统帐号如下:daemon bin sys adm uucp guest nobod
9、y lpd lp invscout invscout ipsec nuucp第 6 页 共 7 页 1.8 限制 cron 的使用编辑或创建/var/adm/cron/cron.allow文件, 增加如下行:每行都为/var/spool/cron/crontabs 目录中一个文件名1.9 禁止系统帐号登陆1编辑/etc/passwd2. 设置系统帐号的登录 shell 为空,系统帐号如下:daemon bin sys adm uucp guest nobody lpd lp invscout invscout ipsec nuucp1.10 设置密码策略注意:设置密码最小长度会影响以前密码不符
10、合长度的用户,这步应由系统管理员导出系统帐号,跟应用相关人员确认,如果不符合需先修改密码后再做这一步加固步骤:1. 设置密码最小长度 8chsec -f /etc/security/user -s default -a minlen=8回退步骤:如果需要设置密码最小长度为 6,如下chsec -f /etc/security/user -s default -a minlen=61.11 确保系统的超级用户都是合法的1. 编辑/etc/passwd2. 如果存在其他 uid 为 0 的非 root 用户,确保其是合法的1.12 限制 root 用户远程登录 加固步骤:第 7 页 共 7 页 chuser rlogin=false root回退步骤:chuser rlogin=true root
