AIX 安全加固-2014-04 (2).doc-道客多多

资源描述

1、AIX 安全加固本文档是 AIX 操作系统的对于 AIX 系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共 27 项。对系统的安全配置审计、加固操作起到指导性作用。1 账号管理、认证授权1.1 账号1.1.1 AIX-01-01-01编号 AIX-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态查看/etc/passwd 中记录的系统当前用户列表实施步骤参考配置操作：为用户创建账号：#mkuser username#passwd us

2、ername列出用户属性：#lsuser username更改用户属性：#chuser attribute=value username回退方案删除新增加的帐户：#rmuser username判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级备注1.1.2 AIX-01-01-02编号 AIX-01-01-02名称配置帐户锁定策略实施目的锁定不必要的帐户，提高系统安全。问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险，容易被攻击者利用。系统当前状态查看/etc/passwd 中记录的系统当前用户列表实施步骤参考配置操作：系统管理员出

3、示业务所需帐户列表，根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定 user1 用户，则采用的命令如下：#chuser account_locked=true user1回退方案如对 user1 用户解除锁定，则采用的命令如下：#chuser account_locked=false user1判断依据系统管理员出示业务所需帐户列表。查看/etc/passwd 中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外，其他的帐户建议根据实际情况锁定或删除。实施风险高重要等级备注1.1.3 AIX-01-01-03编号 AIX-01-

4、01-03名称限制超级管理员远程登录实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。问题影响如允许 root 远程直接登陆，则系统将面临潜在的安全风险系统当前状态执行 lsuser -a rlogin root 命令，查看 root 的 rlogin 属性并记录实施步骤参考配置操作：查看 root 的 rlogin 属性：#lsuser -a rlogin root禁止 root 远程登陆：#chuser rlogin=false root回退方案还原 root 可以远程登陆，执行如下命令：#chuser

5、 rlogin=true root判断依据执行#lsuser a rlogin root 命令，查看 root 的 rlogin 属性，root 是否可以远程登陆，如显示可以，则禁止。实施风险高重要等级备注1.1.4 AIX-01-01-04编号 AIX-01-01-04名称对系统账号进行登录限制实施目的对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用问题影响可能利用系统进程默认账号登陆，账号越权使用系统当前状态查看/etc/security/passwd 中各账号状态并记录实施步骤参考配置操作：系统管理员出示业务所需登陆主机的帐户列表，根据列表只保留系统与业务所需的

6、登陆帐户。结合实际情况禁止或删除其余帐户。禁止账号交互式登录：#chuser account_locked=true username删除账号：#rmuser username补充操作说明：建议禁止交互登录的系统账号有：daemon,bin,sys,adm,uucp,guest,nobody,lp,help 等回退方案还原被禁止登陆的帐户：#chuser account_locked=false username注：对删除帐户的操作无法回退判断依据系统管理员出示业务所需登陆主机的帐户列表。查看/etc/security/passwd 中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的

7、帐户相对应。除业务应用需登陆主机的帐户外，其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。实施风险高重要等级备注1.1.5 AIX-01-01-05编号 AIX-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响系统中的帐户存在被非法利用的风险系统当前状态查看/etc/passwd 中的内容并记录实施步骤参考配置操作：用 root 用户登陆 AIX 系统，执行 passwd 命令，给空口令的帐户增加密码。如采用和执行如下命令：#passwd username password回退方案 Roo

8、t 身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断，查看/etc/passwd 中的内容，从而判断系统中是否存在空口令的帐户。如发现存在，则建议为该帐户设置密码。实施风险高重要等级备注1.2 口令1.2.1 AIX-01-02-01编号 AIX-01-02-01名称缺省密码长度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少 6 位。且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。问题影响增加系统的帐户密码被暴力破解的成功率和潜在的风险系统当前状态运行 lsuser username 命令

9、，查看帐户属性和当前状态，并记录。实施步骤参考配置操作：查看帐户帐户属性：#lsuser username设置密码最短长度为 8 位：#chuser minlen=8 username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态。判断依据运行 lsuser uasename 命令，查看帐户属性中密码的最短长度策略是否符合 8 位。如不符合，则进行设置。实施风险低重要等级备注 1.2.2 AIX-01-02-02编号 AIX-01-02-02名称缺省密码复杂度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，包括数字、小写字母、大写字

10、母和特殊符号 4 类中至少 2 类问题影响增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险系统当前状态运行 lsuser username 命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuser username设置口令中最少包含 4 个字母字符的数量：#chuser minalpha=4 username设置口令中最少包含 1 个非字母数字字符数量：#chuser minother=1 username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据运行 lsuser uasename 命令，查看帐户属性中口令是否符

11、合包含最少 4 个字母字符以及是否包含最少 1 个非字母数字字符。如不符合，则进行设置。实施风险低重要等级备注 1.2.3 AIX-01-02-03编号 AIX-01-02-03名称缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备，帐户口令的生存期不长于 90 天，减少口令安全隐患问题影响容易造成密码被非法利用，并且难以管理系统当前状态运行 lsuser username 命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuser username设置口令最长有效期为 12 周（84 天）：#chuser maxage=12 userna

12、me回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据运行 lsuser uasename 命令，查看帐户属性中口令的最长有效期是否小于 90 天。如未设置或大于 90 天，则进行设置。实施风险低重要等级备注 1.2.4 AIX-01-02-04编号 AIX-01-02-04名称密码重复使用限制实施目的对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近 5次（含 5 次）内已使用的口令问题影响造成系统帐户密码破解的几率增加以及存在潜在的安全风险系统当前状态运行 lsuser username 命令，查看帐户属性和当前状态，并记录实施步骤参考

13、配置操作：查看帐户帐户属性：#lsuser username设置同一口令与前面 5 个口令不能重复：#chuser histsize=5 username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态。判断依据运行 lsuser uasename 命令，查看帐户属性中是否设置了同一口令与前面 5 个口令不能重复的策略。如未设置或大于 5 个，则进行设置。实施风险低重要等级备注 1.2.5 AIX-01-02-05编号 AIX-01-02-05名称密码重试限制实施目的对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过 6 次（不含 6 次），锁定该用户

14、使用的账号。问题影响增加系统帐户密码被暴力破解的风险系统当前状态运行 lsuser username 命令，查看帐户属性和当前状态，并记录实施步骤参考配置操作：查看帐户帐户属性：#lsuser username设置 6 次登陆失败后帐户锁定阀值：#chuser loginretries=6 username回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据运行 lsuser uasename 命令，查看帐户属性中是否设置了 6 次登陆失败后帐户锁定阀值的策略。如未设置或大于 6 次，则进行设置。实施风险中重要等级备注 1.3 授权1.3.1 AIX-01-03

15、-01编号 AIX-01-03-01名称设置关键目录的权限实施目的在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响增加系统关键目录容易被攻击者非法访问的风险系统当前状态查看/usr/bin、/sbin、/etc 目录，并记录关键目录的权限实施步骤 1、参考配置操作通过 chmod 命令对目录的权限进行实际设置。2、补充操作说明文件或目录属主属组权限/etc/passwd root security -rw-r-r-/etc/group root security -rw-r-r-/etc/filesystem root system -rw-rw-r-/e

16、tc/hosts root system -rw-rw-r-/etc/inittab root system -rw-/etc/security/faildlogin root system -rw-r-r-回退方案通过 chmod 命令还原目录权限到加固前状态判断依据 AIX 系统，/usr/bin、/bin、/sbin 目录为可执行文件目录，/etc 目录为系统配置目录，包括帐户文件，系统配置，网络配置文件等，这些目录和文件相对重要。确认这些配置文件的权限设置是否安全。实施风险高重要等级备注 1.3.2 AIX-01-03-02编号 AIX-01-03-02名称修改 umask 值

17、实施目的控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响增加攻击者非法访问目录的风险系统当前状态查看/etc/security/user 文件的配置，并记录实施步骤 1、参考配置操作设置 umask 为 027：#vi /etc/security/user在 default 小节，设置 umask 为 027回退方案修改/etc/security/user 文件到加固前状态判断依据查看/etc/security/user 文件中的 default 小节是否设置 umask

18、为 027实施风险高重要等级备注 1.3.3 AIX-01-03-03编号 AIX-01-03-03名称 FTP 用户及服务安全实施目的设置系统中的帐户是否可以通过 ftp 登陆操作问题影响增加攻击者利用系统帐户非法通过 FTP 登陆操作和非法访问目录的安全风险系统当前状态查看/etc/ftpusers 文件，并记录实施步骤参考配置操作：根据系统管理员提供允许 ftp 登陆操作的系统帐户列表，并与系统中当前的允许 ftp 登陆操作的用户相比对。设置是否允许系统帐户通过 ftp 方式登陆：#vi /etc/ftpusers注：默认情况下，该文件不存在。将所有的系统用户和其他希望被禁止

19、 ftp 登录的用户添加到该文件中(每行一个用户名) 。注：在无特殊需求的情况下，以下列表中的用户名是不允许 ftp 登陆操作的：root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help 等回退方案修改/etc/ftpusers 文件设置到系统加固前状态判断依据根据系统管理员提供的允许 ftp 登陆操作的系统帐户，查看/etc/ftpusers 文件，与其相比对，是否与系统管理员所提供的帐户列表相一致。如果发现与列表中不对应的帐户则建议设置成禁止通过 ftp 登陆操作。实施风险高重要等级备注 1.3.4 AIX-01-03-04编号 AIX-0

20、1-03-04名称设置目录权限实施目的设置目录权限，防止非法访问目录。问题影响增加攻击者非法访问系统目录的安全风险系统当前状态查看重要文件和目录权限：ls l 并记录。实施步骤 1、参考配置操作查看重要文件和目录权限：ls l更改权限：对于重要目录，建议执行如下类似操作：例如：#chmod -R 750 /etc/init.d/*这样只有 root 可以读、写和执行这个目录下的脚本回退方案使用 chmod 命令还原被修改权限的目录判断依据查看重要文件和目录权限：ls l查看重要文件和目录下的文件权限设置是否为 750 以下实施风险高重要等级备注 1.3.5 AIX-01-03-

21、05编号 AIX-01-03-05名称设置 ftp 目录权限实施目的限制 ftp 用户登陆后在自己当前目录下活动，防止非法访问目录。问题影响增加系统帐户被利用后越权使用的安全风险系统当前状态查看/etc/vsftpd/vsftpd.conf 文件并记录当前的配置实施步骤参考配置操作：限制 ftp 用户登陆后在自己当前目录下活动：#vi /etc/vsftpd/vsftpd.conflocal_root=锁定目录路径chroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_list#vi vsftpd.chroot_listus

22、ername（锁定用户名）回退方案还原/etc/vsftpd/vsftpd.conf 文件配置到加固前的状态判断依据查看/etc/vsftpd/vsftpd.conf 文件中的配置，查看是否已设置限制 ftp 用户登陆后在自己当前目录下活动。如未配置则应按要求设置。实施风险中重要等级备注 2 日志配置要求2.1.1 AIX-02-01-01编号 AIX-02-01-01名称启用日志记录功能实施目的设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。问题影响无法对用户的登陆进行日志记录，增加潜在的安

23、全风险系统当前状态查看/etc/syslog.conf 文件中的配置并记录实施步骤参考配置操作：syslog 的配置主要通过/etc/syslog.conf 配置，日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(hostname)。startsrc -s syslogd 启动 syslog 服务stopsrc-s syslogd 停止 syslog 服务回退方案修改/etc/syslog.conf 文件设置到系统加固前状态判断依据查看系统进程中是否存在 syslogd 守护进程。查看/etc/syslog.conf 文件中的配置是否启动 sysl

24、og 服务。如系统中不存在 syslogd 守护进程或在配置文件中发现 syslog 服务未启动，则应按要求进行配置。实施风险低重要等级备注 2.1.2 AIX-02-01-02编号 AIX-02-01-02名称 syslog 日志等级的安全配置实施目的 syslog 提供日常维护日志外，还提供系统登陆，攻击尝试等安全性的日志信息，帮助管理员进行审计和追踪。问题影响无法对用户的操作进行日志记录，增加潜在的安全风险系统当前状态查看/etc/syslog.conf 文件配置并记录实施步骤参考配置操作：syslog 配置文件要求：修改文件安全设置/etc/syslog.conf 配置文件

25、中包含一下日志记录：*.err /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth,authpriv.info /var/adm/authlog回退方案修改/etc/syslog.conf 文件配置到系统加固前的状态判断依据查看 /etc/syslog.conf 文件中的配置是否符合以上安全设置。如不合符则建议应按要求进行设置。实施风险高重要等级备注 2.1.3 AIX-02-01-05编号 AIX-02-01-05名称启用记录 su 日志功能实施目的记录系统中 su 操作的日志问题影响无法记录

26、 su 指令的用户切换操作，增加潜在的安全风险系统当前状态查看/etc/syslog.conf 文件配置，并记录实施步骤参考配置操作：设置/etc/syslog.conf 文件，并启动 su 日志记录。注：在 AIX 系统中，su 日志记录默认是开启的。查看/var/adm/sulog ，用户使用 su 命令的日志。可根据需要保留 60 天中有用的内容，其余删除。文件记录以下信息：日期、时间、系统名称以及登录名。/var/adm/sulog 文件也记录登录尝试是否成功： +（加号）表示登录成功，-（减号）表示登录失败。回退方案修改/etc/syslog.conf 文件设置到系统加固前状态

27、判断依据查看/etc/syslog.conf 文件中是否配置了 su 日志记录查看/var/adm/sulog 文件，是否存在 su 命令使用记录实施风险低重要等级备注 2.1.4 AIX-02-01-06编号 AIX-02-01-06名称启用记录 cron 行为日志功能和 cron/at 的使用情况实施目的对所有的 cron 行为以及使用情况进行审计和查看问题影响无法记录和查看 cron 服务（计划任务），存在潜在安全风险系统当前状态查看/var/spool/cron/目录下的文件配置，并记录实施步骤参考配置操作：cron/At 的相关文件主要有以下几个：/var/spoo

28、l/cron/crontabs 存放 cron 任务的目录/var/spool/cron/cron.allow 允许使用 crontab 命令的用户/var/spool/cron/cron.deny 不允许使用 crontab 命令的用户/var/spool/cron/atjobs 存放 at 任务的目录/var/spool/cron/at.allow 允许使用 at 的用户/var/spool/cron/at.deny 不允许使用 at 的用户使用 crontab 和 at 命令可以分别对 cron 和 at 任务进行控制。#crontab -l 查看当前的 cron 任务#at -l 查看

29、当前的 at 任务回退方案修改/var/spool/cron/目录下的文件设置到系统加固前状态判断依据查看/var/spool/cron/ 目录下的文件配置是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。实施风险低重要等级备注 3 通信协议安全配置要求3.1 IP 协议安全3.1.1 AIX-03-01-01编号 AIX-03-01-01名称使用 ssh 加密传输实施目的提高远程管理安全性问题影响使用非加密通信，内容易被非法监听，存在潜在安全风险系统当前状态运行 ps -ef|grep ssh，查看状态，并记录。实施步骤参考配置操作：如果系统中没有安装 SSH

30、，则首先需要正确安装 openssh 后才能够应用 SSH。安装步骤举例说明：在将 OpenSSL 下载到 AIX Version 5.3 计算机的本地目录（本示例中为 /tmp）之后，可以通过运行下面的命令来安装它：#geninstall -d/tmp R:openssl-0.9.6m可以使用下面两种方法中的任何一种来安装 OpenSSH：smitty-Software Installation and Maintenance-Install and Update Software-Install Software或者#geninstall -I“Y“ -d/dev/cd0 I:openss

31、h.base使用下面的命令启动 SSH 服务器：#startsrc -g ssh使用下面的命令来确认已正确地启动了 SSH 服务器：#ps -ef|grep ssh回退方案卸载 SSH、或者停止 SSH 服务判断依据运行 ps -ef|grep ssh，查看系统进程中是否存在 SSH 进程，如不存在，则建议应按照要求安装和配置好 SSH 服务。实施风险高重要等级备注 3.1.2 AIX-03-01-02编号 AIX-03-01-02名称限制管理员登陆 IP实施目的对于通过 IP 协议进行远程维护的设备，设备应对允许登陆到该设备的 IP 地址范围进行设定。提高远程维护安全性。问题影响

32、没有访问控制，系统可能被非法登陆或使用，从而存在潜在的安全风险。系统当前状态查看/etc/hosts.equiv 文件配置并记录实施步骤参考配置操作：建议采用如下安全配置操作：修改文件安全设置操作说明/etc/hosts.equiv（全局配置文件）/.rhosts（单独用户的配置文件）限定信任的主机、账号不能有单行的“+“或“+ +“的配置信息编辑/etc/host.equiv 文件或者/.rhosts 文件，只增加必须的帐户和主机，删除不必要的信任主机设置。更改/etc/hosts.equiv 文件的属性，只允许 root 可读写。回退方案修改/etc/hosts.equiv

33、文件的配置到加固之前的状态判断依据查看/etc/hosts.equiv 文件的配置是否按照以上要求进行了设置，如未设置则建议应按照要求进行设置。实施风险高重要等级备注 3.2 路由协议安全3.2.1 AIX-03-02-01编号 AIX-03-02-01名称禁止 ICMP 重定向和关闭数据包转发实施目的禁止系统发送 ICMP 重定向包，关闭数据包转发，提高系统、网络的安全性问题影响主机可能存在会被非法改变路由的安全风险系统当前状态 AIX 系统网络参数可以通过 no 命令进行配置，执行 no a，显示所有网络参数并记录实施步骤参考配置操作：建议采用如下设置进行安全配置：AIX

34、系统网络参数可以通过 no 命令进行配置，比较重要的网络参数有：icmpaddressmask=0 忽略 ICMP 地址掩码请求ipforwarding=0 不进行 IP 包转发ipignoreredirects=1 忽略 ICMP 重定向包ipsendredirects=0 不发送 ICMP 重定向包ipsrcrouteforward=0 不转发源路由包ipsrcrouterecv=0 不接收源路由包ipsrcroutesend=0 不发送源路由包no -a 显示当前配置的网络参数no -o icmpaddressmask=0 忽略 ICMP 地址掩码请求配置方式：no -o ipignor

35、eredirects=1no -o ipsendredirects=0no o ipsrcrouteforward=0no o ipsrcroutesend=0no o clean_partial_conns=1no o directed_broadcast=0以及：策略默认设置安全设置忽略 ICMP 重定向包 ipignoreredirects=0 ipignoreredirects=1不发送 ICMP 重定向包 ipsendredirects=1 ipsendredirects=0不转发源路由包 ipsrcrouteforward=1 ipsrcrouteforward=0不发送源路由

36、包 ipsrcroutesend=1 ipsrcroutesend=0防御 SYN-FLOOD clean_partial_conns=0 clean_partial_conns=1防御 SMURF 攻击 directed_broadcast=1 directed_broadcast=0在/etc/ 文件重添加以下命令：/usr/sbin/no -o icmpaddressmask=0/usr/sbin/no -o ipforwarding=0/usr/sbin/no -o ipignoreredirects=1/usr/sbin/no -o ipsendredirects=0/usr/sbi

37、n/no -o ipsrcrouteforward=0/usr/sbin/no -o ipsrcrouterecv=0/usr/sbin/no -o ipsrcroutesend=0回退方案删除在/etc/ 文件中添加的命令，并使用命令恢复到加固之前的状态判断依据执行 no a 命令或查看/etc/ 文件中是否按照以上命令进行了安全配置，如未设置，则建议应按照要求进行安全配置。实施风险高重要等级备注 4 补丁管理4.1.1 AIX-04-01-01编号 AIX-04-01-01名称系统补丁安装标准实施目的应根据需要及时进行补丁装载。注意：补丁更新要慎重，可能出现硬件不兼容，或者影响

38、当前的应用系统，安装补丁之前要经过测试和验证。问题影响系统存在严重的安全漏洞，存在被攻击者利用的安全风险系统当前状态执行 oslevel r 命令或 instfix -i|grep ML 命令，查看补丁当前安装的状况和版本实施步骤参考配置操作：使用 instfix aik 命令来完成补丁的安装操作。注意：1、在 AIX 系统中涉及安全的补丁包有以下几种：? 推荐维护包（Recommended Maintenance Packages）: 由一系列最新的文件集组成的软件包，包含了特定的操作系统（如 AIX 5.2）发布以来的所有文件集的补丁。? 关键补丁 Critical fixes(cf

39、ix)：自推荐维护包之后，修补关键性漏洞的补丁。? 紧急补丁 Emergency fixes(efix): 自推荐维护包之后，修补紧急安全漏洞的补丁。2、补丁安装原则：? 在新装和重新安装系统后，必须安装最新的推荐维护包，以及该最新推荐维护包以来的所有单独的 cfix 和 efix。? 日常维护中如果厂家推出新的 RM、cfix、efix 则按照原补丁维护管理规定进行补丁安装。回退方案根据在加固前执行的 oslevel r 命令或 instfix -i|grep ML 命令，查看补丁当前安装的状况和版本的记录，删除或卸载相应的补丁恢复成加固前的状态。判断依据执行 oslevel r 命令或

40、 instfix -i|grep ML 命令，查看补丁当前安装的状况和版本是否与 IBM 最新发布的官方补丁相一致。如不一致，则应根据实际情况和业务需要进行补丁的安装操作。实施风险高重要等级备注 5 服务进程和启动5.1.1 AIX-05-01-01编号 AIX-05-01-01名称关闭无效服务和启动项实施目的关闭无效的服务和启动项，提高系统性能，增加系统安全性问题影响不用的服务和启动项可能会带来很多安全隐患，容易被攻击者利用，从而存在潜在的安全风险系统当前状态查看/etc/inittab、/etc/rc.tcpip 和/etc/rc.nfs 等文件并记录当前配置；查看/etc/i

41、netd.conf 文件并记录当前的配置实施步骤参考配置操作：系统管理员提供与业务和应用系统相关的服务和启动项列表。一、rc.dAIX 系统中的服务主要在/etc/inittab 文件和/etc/rc.*（包括 rc.tcpip，rc.nfs）等文件中启动，事实上，/etc /rc.*系列文件主要也是由/etc/inittab 启动。同时，AIX 中所有启动的服务（至少与业务相关的）都可以同过 SRC（System Resource Manager）进行管理。可以有三种方式查看系统服务的启动情况：1、使用 vi 查看/etc/inittab、/etc/rc.tcpip 和/etc/rc.nf

42、s 等文件；2、使用 lssrc 和 lsitab 命令；3、通过 smit 查看和更改。注：SRC 本身通过/etc/inittab 文件启动。lssrc -a 列出所有 SRC 管理的服务的状态lsitab -a 列出所有由/etc/inittab 启动的信息，和 cat /etc/inittab 基本相同，除了没有注释。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。二、inetd.conf由 INETD 启动的服务在文件/etc/inetd.conf 定义（inetd 本身在 /

43、etc/rc.tcpip 中由 SRC 启动），因此查看 INETD 启动的服务的情况有两种方法：1、使用 vi 查看/etc/inetd.conf 中没有注释的行；2、使用 lssrc 命令。lssrc -l -s inetd 查看 inetd 的状态以及由 INETD 启动的服务的状态；refresh -s inetd 更改/etc/inetd.conf 文件后重启 inetd。建议关闭由 inetd 启动的所有服务；如果有管理上的需要，可以打开telnetd、 ftpd、rlogind、rshd 等服务。启动或停止 inetd 启动的服务（例如 ftpd）：1、使用 vi 编辑/etc

44、/inetd.conf ，去掉注释（启动）或注释掉（停止）ftpd 所在的行；2、重启 inetd： refresh -s inetd。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。回退方案还原/etc/inittab、 /etc/rc.tcpip 和/etc/rc.nfs 等文件的配置到加固前的状态还原/etc/inetd.conf 文件的配置到加固前的状态判断依据根据系统管理员提供的业务应用相关的服务与启动项列表，查看/etc/inittab、/etc/rc.tcpip 和/e

45、tc/rc.nfs 等文件的配置是否按照要求进行了安全配置。查看/etc/inetd.conf 文件的配置是否按照要求进行了安全配置。如发现以上两个文件中的配置不符合要求，则建议应按照以上要求的操作对系统进行加固，关闭无效服务和启动项。实施风险高重要等级备注 5.1.2 AIX-05-01-02编号 AIX-05-01-02名称系统网络与服务安全配置标准实施目的关闭无效的服务和启动项，提高系统性能，增加系统安全性问题影响不用的服务和启动项可能会带来很多安全隐患，容易被攻击者利用，从而存在潜在的安全风险系统当前状态查看/etc/inittab 文件并记录当前配置；查看/etc/rc.

46、*（包括 rc.tcpip，rc.nfs 等文件）文件并记录当前配置；查看/etc/inetd.conf 文件并记录当前的配置。实施步骤参考配置操作：系统管理员提供与业务和应用系统相关的服务和启动项列表。AIX 系统中涉及服务的配置和启动信息的，主要在以下几个文件：/etc/inittab 文件/etc/rc.*（包括 rc.tcpip，rc.nfs 等文件）。由 INETD 启动的服务在文件/etc/inetd.conf 定义（inetd 本身在 /etc/rc.tcpip 中由 SRC 启动）。本部分的安全基线主要通过修改这些文件中的内容进行配置。根据管理员所提供的服务列表与当前系统

47、中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。建议按照下表进行安全配置：操作的文件要求禁用的服务设置方式操作说明/etc/inittab piobe 注释掉该行( 在该服务所在行加上冒号”:”) 查看由/etc/inittab 文件启动的表项:lsitab -a对/etc/inittab 进行编辑,注释掉启动项更改完配置后停止该服务。（参考 stopsrc 命令）qdaemon writesrv imqss imnss httpdlite rcnfs uprintfd dt /etc/rc.tcpip route

48、d 注释掉该行 (在该服务所在行加上冒号”) 查看由/etc/rc.tcpip文件启动的表项:lssrc g tcpip对/etc/irc.tcpip 进行编辑,注释掉启动项更改完配置后停止该服务。（参考 stopsrc 命令）Gated Dhcpcd Dhcpsd Dhcprd autoconf6 ndpd-host ndpd-router Lpd Timed Xntpd Rwhod dpid2 Aixmibd Hostmibd Mrouted Portmap 对于 nfs、snmp、dns、sendmail 服务，应该先关闭；需要的时候，再开放，并且对服务做适当配置。执行以下命令：lssrc s 名称startsrc s 名称stopsrc s 名称/etc/inetd.conf 原则上关闭由 inetd 启动的所有服务所有服务全部注释掉 lssrc -l -s inetd 查看 inetd 的状态以及

展开阅读全文