AIX 系统基线安全加固操作
目录
账号管理 ELK-AIX-01-01-01
口令 ELK-AIX-01-02-01
授权 ELK-AIX-01-03-01
通信协议 IP协议安全 ELK-AIX-03-01-01
ELK-AIX-03-02-01 路由协议安全
补丁管理 ELK-AIX-04-01-01
服务进程和启动 ELK-AIX-05-01-01
设备其他安全要求 登陆超时策略 ELK-AIX-06-01-01
系统Banner设置 ELK-AIX-06-02-01
内核调整 ELK-AIX-06-03-01
本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共27项。对系统的安全配置审计、加固操作起到指导性作用。
账号管理 ELK-AIX-01-01-01
| 编号 | ELK-AIX-01-01-01 |
| 名称 | 为不同的管理员分配不同的账号 |
| 实施目的 | 根据不同类型用途设置不同的帐户账号,提高系统安全。 |
| 问题影响 | 账号混淆,权限不明确,存在用户越权使用的可能。 |
| 系统当前状态 | 查看/etc/passwd中记录的系统当前用户列表 |
| 实施步骤 | 参考配置操作: 为用户创建账号: #mkuser username #passwd username 列出用户属性: #lsuser username 更改用户属性: #chuser attribute=value username |
| 回退方案 | 删除新增加的帐户:#rmuser username |
| 判断依据 | 标记用户用途,定期建立用户列表,比较是否有非法用户 |
| 实施风险 | 高 |
| 重要等级 | ★★★ |
| 备注 |
ELK-AIX-01-01-02
| 编号 | ELK-AIX-01-01-02 |
| 名称 | 配置帐户锁定策略 |
| 实施目的 | 锁定不必要的帐户,提高系统安全。 |
| 问题影响 | 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。 |
| 系统当前状态 | 查看/etc/passwd中记录的系统当前用户列表 |
| 实施步骤 | 参考配置操作: 系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。 如要锁定user1用户,则采用的命令如下: #chuser account_locked=true user1 |
| 回退方案 | 如对user1用户解除锁定,则采用的命令如下: #chuser account_locked=false user1 |
| 判断依据 | 系统管理员出示业务所需帐户列表。 查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。 |
| 实施风险 | 高 |
| 重要等级 | ★★★ |
| 备注 |
| 编号 | ELK-AIX-01-01-03 |
| 名称 | 限制超级管理员远程登录 |
| 实施目的 | 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。 |
| 问题影响 | 如允许root远程直接登陆,则系统将面临潜在的安全风险 |
| 系统当前状态 | 执行lsuser -a rlogin root命令,查看root的rlogin属性并记录 |
| 实施步骤 | 参考配置操作: 查看root的rlogin属性: #lsuser -a rlogin root 禁止root远程登陆: #chuser rlogin=false root |
| 回退方案 | 还原root可以远程登陆,执行如下命令: #chuser rlogin=true root |
| 判断依据 | 执行#lsuser –a rlogin root命令,查看root的rlogin属性,root是否可以远程登陆,如显示可以,则禁止。 |
| 实施风险 | 高 |
| 重要等级 | ★★★ |
| 备注 |
ELK-AIX-01-01-04
| 编号 | ELK-AIX-01-01-04 |
| 名称 | 对系统账号进行登录限制 |
| 实施目的 | 对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用 |
| 问题影响 | 可能利用系统进程默认账号登陆,账号越权使用 |
| 系统当前状态 | 查看/etc/security/passwd中各账号状态并记录 |
| 实施步骤 | 参考配置操作: 系统管理员出示业务所需登陆主机的帐户列表,根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。 禁止账号交互式登录: #chuser account_locked=true username 删除账号: #rmuser username 补充操作说明: 建议禁止交互登录的系统账号有: daemon,bin,sys,adm,uucp,guest,nobody,lp,help等 |
| 回退方案 | 还原被禁止登陆的帐户: #chuser account_locked=false username 注:对删除帐户的操作无法回退 |
| 判断依据 | 系统管理员出示业务所需登陆主机的帐户列表。 查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外,其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-AIX-01-01-05 |
| 名称 | 为空口令用户设置密码 |
| 实施目的 | 禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统。 |
| 问题影响 | 系统中的帐户存在被非法利用的风险 |
| 系统当前状态 | 查看/etc/passwd中的内容并记录 |
| 实施步骤 | 参考配置操作: 用root用户登陆AIX系统,执行passwd命令,给空口令的帐户增加密码。 如采用和执行如下命令: #passwd username password |
| 回退方案 | Root身份设置用户口令,取消口令 如做了口令策略则失败 |
| 判断依据 | 登陆系统判断,查看/etc/passwd中的内容,从而判断系统中是否存在空口令的帐户。如发现存在,则建议为该帐户设置密码。 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
口令 ELK-AIX-01-02-01
| 编号 | ELK-AIX-01-02-01 |
| 名称 | 缺省密码长度限制 |
| 实施目的 | 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少6位。且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方式。 |
| 问题影响 | 增加系统的帐户密码被暴力破解的成功率和潜在的风险 |
| 系统当前状态 | 运行lsuser username命令,查看帐户属性和当前状态,并记录。 cat /etc/security/user | grep “minlen =” |
| 实施步骤 | 参考配置操作: vi /etc/security/user minlen = 8 |
| 回退方案 | 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。 |
| 判断依据 | 运行lsuser uasename命令,查看帐户属性中密码的最短长度策略是否符合8位。如不符合,则进行设置。 cat /etc/security/user |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
ELK-AIX-01-02-02
| 编号 | ELK-AIX-01-02-02 |
| 名称 | 缺省密码复杂度限制 |
| 实施目的 | 防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,包括数字、小写字母、大写字母和特殊符号4类中至少2类 |
| 问题影响 | 增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险 |
| 系统当前状态 | 运行lsuser username命令,查看帐户属性和当前状态,并记录 cat /etc/security/user | grep “minalpha =” cat /etc/security/user | grep “minother =” |
| 实施步骤 | 参考配置操作: vi /etc/security/user minalpha = 4 minother = 1 |
| 回退方案 | 根据在加固前所记录的帐户属性,修改设置到系统加固前状态 |
| 判断依据 | 运行lsuser uasename命令,查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合,则进行设置。 cat /etc/security/user | grep “minalpha =” cat /etc/security/user | grep “minother =” |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
ELK-AIX-01-02-03
| 编号 | ELK-AIX-01-02-03 |
| 名称 | 缺省密码生存周期限制 |
| 实施目的 | 对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患 |
| 问题影响 | 容易造成密码被非法利用,并且难以管理 |
| 系统当前状态 | 运行lsuser username命令,查看帐户属性和当前状态,并记录 cat /etc/security/user | grep “maxage =” |
| 实施步骤 | 参考配置操作: vi /etc/security/user maxage = 13 |
| 回退方案 | 根据在加固前所记录的帐户属性,修改设置到系统加固前状态 |
| 判断依据 | 运行lsuser uasename命令,查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天,则进行设置。 cat /etc/security/user | grep “maxage =” |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
ELK-AIX-01-02-04
| 编号 | ELK-AIX-01-02-04 |
| 名称 | 密码重复使用限制 |
| 实施目的 | 对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令 |
| 问题影响 | 造成系统帐户密码破解的几率增加以及存在潜在的安全风险 |
| 系统当前状态 | 运行lsuser username命令,查看帐户属性和当前状态,并记录 cat /etc/security/user | grep “histsize =” |
| 实施步骤 | 参考配置操作: vi /etc/security/user histsize = 5 |
| 回退方案 | 根据在加固前所记录的帐户属性,修改设置到系统加固前状态。 |
| 判断依据 | 运行lsuser uasename命令,查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个,则进行设置。 cat /etc/security/user | grep “histsize =” |
| 实施风险 | 低 |
| 重要等级 | ★ |
| 备注 |
ELK-AIX-01-02-05
| 编号 | ELK-AIX-01-02-05 |
| 名称 | 密码重试限制 |
| 实施目的 | 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。 |
| 问题影响 | 增加系统帐户密码被暴力破解的风险 |
| 系统当前状态 | 运行lsuser username命令,查看帐户属性和当前状态,并记录 cat /etc/security/user | grep “loginretries =” |
| 实施步骤 | 参考配置操作: vi /etc/security/user loginretries = 6 |
| 回退方案 | 根据在加固前所记录的帐户属性,修改设置到系统加固前状态 |
| 判断依据 | 运行lsuser uasename命令,查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次,则进行设置。 cat /etc/security/user | grep “loginretries =” |
| 实施风险 | 中 |
| 重要等级 | ★ |
| 备注 |
授权 ELK-AIX-01-03-01
| 编号 | ELK-AIX-01-03-01 | ||||||||||||||||||||||||||||
| 名称 | 设置关键目录的权限 | ||||||||||||||||||||||||||||
| 实施目的 | 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 | ||||||||||||||||||||||||||||
| 问题影响 | 增加系统关键目录容易被攻击者非法访问的风险 | ||||||||||||||||||||||||||||
| 系统当前状态 | 查看/usr/bin、/sbin、/etc目录,并记录关键目录的权限 | ||||||||||||||||||||||||||||
| 实施步骤 | 1、参考配置操作 通过chmod命令对目录的权限进行实际设置。 2、补充操作说明
| ||||||||||||||||||||||||||||
| 回退方案 | 通过chmod命令还原目录权限到加固前状态 | ||||||||||||||||||||||||||||
| 判断依据 | AIX系统,/usr/bin、/bin、/sbin目录为可执行文件目录,/etc目录为系统配置目录,包括帐户文件,系统配置,网络配置文件等,这些目录和文件相对重要。确认这些配置文件的权限设置是否安全。 | ||||||||||||||||||||||||||||
| 实施风险 | 高 | ||||||||||||||||||||||||||||
| 重要等级 | ★★★ | ||||||||||||||||||||||||||||
| 备注 |
ELK-AIX-01-03-02
| 编号 | ELK-AIX-01-03-02 |
| 名称 | 修改umask值 |
| 实施目的 | 控制用户缺省访问权限,当在创建新文件或目录时,屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 |
| 问题影响 | 增加攻击者非法访问目录的风险 |
| 系统当前状态 | 查看/etc/security/user文件的配置,并记录 |
| 实施步骤 | 1、参考配置操作 设置umask为027: #vi /etc/security/user 在default小节,设置umask为027 |
| 回退方案 | 修改/etc/security/user文件到加固前状态 |
| 判断依据 | 查看/etc/security/user文件中的default小节是否设置umask为027 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
ELK-AIX-01-03-03
| 编号 | ELK-AIX-01-03-03 |
| 名称 | FTP用户及服务安全 |
| 实施目的 | 设置系统中的帐户是否可以通过ftp登陆操作 |
| 问题影响 | 增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问目录的安全风险 |
| 系统当前状态 | 查看/etc/ftpusers文件,并记录 |
| 实施步骤 | 参考配置操作: 根据系统管理员提供允许ftp登陆操作的系统帐户列表,并与系统中当前的允许ftp登陆操作的用户相比对。 设置是否允许系统帐户通过ftp方式登陆: #vi /etc/ftpusers 注:默认情况下,该文件不存在。 将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中(每行一个用户名)。 注:在无特殊需求的情况下,以下列表中的用户名是不允许ftp登陆操作的: root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help等 |
| 回退方案 | 修改/etc/ftpusers文件设置到系统加固前状态 |
| 判断依据 | 根据系统管理员提供的允许ftp登陆操作的系统帐户,查看/etc/ftpusers文件,与其相比对,是否与系统管理员所提供的帐户列表相一致。如果发现与列表中不对应的帐户则建议设置成禁止通过ftp登陆操作。 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
ELK-AIX-01-03-04
| 编号 | ELK-AIX-01-03-04 |
| 名称 | 设置目录权限 |
| 实施目的 | 设置目录权限,防止非法访问目录。 |
| 问题影响 | 增加攻击者非法访问系统目录的安全风险 |
| 系统当前状态 | 查看重要文件和目录权限:ls –l并记录。 |
| 实施步骤 | 1、参考配置操作 查看重要文件和目录权限:ls –l 更改权限: 对于重要目录,建议执行如下类似操作: 例如: #chmod -R 750 /etc/init.d/* 这样只有root可以读、写和执行这个目录下的脚本 |
| 回退方案 | 使用chmod命令还原被修改权限的目录 |
| 判断依据 | 查看重要文件和目录权限:ls –l 查看重要文件和目录下的文件权限设置是否为750以下 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
ELK-AIX-01-03-05
| 编号 | ELK-AIX-01-03-05 |
| 名称 | 设置ftp目录权限 |
| 实施目的 | 限制ftp用户登陆后在自己当前目录下活动,防止非法访问目录。 |
| 问题影响 | 增加系统帐户被利用后越权使用的安全风险 |
| 系统当前状态 | 查看/etc/vsftpd/vsftpd.conf文件并记录当前的配置 |
| 实施步骤 | 参考配置操作: 限制ftp用户登陆后在自己当前目录下活动: #vi /etc/vsftpd/vsftpd.conf local_root=锁定目录路径 chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list #vi vsftpd.chroot_list username(锁定用户名) |
| 回退方案 | 还原/etc/vsftpd/vsftpd.conf文件配置到加固前的状态 |
| 判断依据 | 查看/etc/vsftpd/vsftpd.conf文件中的配置,查看是否已设置限制ftp用户登陆后在自己当前目录下活动。如未配置则应按要求设置。 |
| 实施风险 | 中 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-AIX-02-01-01 |
| 名称 | 启用日志记录功能 |
| 实施目的 | 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。 |
| 问题影响 | 无法对用户的登陆进行日志记录,增加潜在的安全风险 |
| 系统当前状态 | 查看/etc/syslog.conf文件中的配置并记录 |
| 实施步骤 | 参考配置操作: syslog的配置主要通过/etc/syslog.conf配置,日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(@hostname)。 startsrc -s syslogd 启动syslog服务 stopsrc-s syslogd 停止syslog服务 |
| 回退方案 | 修改/etc/syslog.conf文件设置到系统加固前状态 |
| 判断依据 | 查看系统进程中是否存在syslogd守护进程。 查看/etc/syslog.conf文件中的配置是否启动syslog服务。 如系统中不存在syslogd守护进程或在配置文件中发现syslog服务未启动,则应按要求进行配置。 |
| 实施风险 | 低 |
| 重要等级 | ★★★ |
| 备注 |
ELK-AIX-02-01-02
| 编号 | ELK-AIX-02-01-02 | ||||
| 名称 | syslog日志等级的安全配置 | ||||
| 实施目的 | syslog提供日常维护日志外,还提供系统登陆,攻击尝试等安全性的日志信息,帮助管理员进行审计和追踪。 | ||||
| 问题影响 | 无法对用户的操作进行日志记录,增加潜在的安全风险 | ||||
| 系统当前状态 | 查看/etc/syslog.conf文件配置并记录 | ||||
| 实施步骤 | 参考配置操作: syslog配置文件要求:
| ||||
| 回退方案 | 修改/etc/syslog.conf文件配置到系统加固前的状态 | ||||
| 判断依据 | 查看/etc/syslog.conf文件中的配置是否符合以上安全设置。如不合符则建议应按要求进行设置。 | ||||
| 实施风险 | 高 | ||||
| 重要等级 | ★ | ||||
| 备注 |
ELK-AIX-02-01-03
| 编号 | ELK-AIX-02-01-03 |
| 名称 | 启用记录su日志功能 |
| 实施目的 | 记录系统中su操作的日志 |
| 问题影响 | 无法记录su指令的用户切换操作,增加潜在的安全风险 |
| 系统当前状态 | 查看/etc/syslog.conf文件配置,并记录 |
| 实施步骤 | 参考配置操作: 设置/etc/syslog.conf文件,并启动su日志记录。 注:在AIX系统中,su日志记录默认是开启的。 查看/var/adm/sulog,用户使用su命令的日志。可根据需要保留60天中有用的内容,其余删除。 文件记录以下信息:日期、时间、系统名称以及登录名。 /var/adm/sulog文件也记录登录尝试是否成功:+(加号)表示登录成功,-(减号)表示登录失败。 |
| 回退方案 | 修改/etc/syslog.conf文件设置到系统加固前状态 |
| 判断依据 | 查看/etc/syslog.conf文件中是否配置了su日志记录 查看/var/adm/sulog文件,是否存在su命令使用记录 |
| 实施风险 | 低 |
| 重要等级 | ★ |
| 备注 |
ELK-AIX-02-01-04
| 编号 | ELK-AIX-02-01-04 |
| 名称 | 启用记录cron行为日志功能和cron/at的使用情况 |
| 实施目的 | 对所有的cron行为以及使用情况进行审计和查看 |
| 问题影响 | 无法记录和查看cron服务(计划任务),存在潜在安全风险 |
| 系统当前状态 | 查看/var/spool/cron/目录下的文件配置,并记录 |
| 实施步骤 | 参考配置操作: cron/At的相关文件主要有以下几个: /var/spool/cron/crontabs 存放cron任务的目录 /var/spool/cron/cron.allow 允许使用crontab命令的用户 /var/spool/cron/cron.deny 不允许使用crontab命令的用户 /var/spool/cron/atjobs 存放at任务的目录 /var/spool/cron/at.allow 允许使用at的用户 /var/spool/cron/at.deny 不允许使用at的用户 使用crontab和at命令可以分别对cron和at任务进行控制。 #crontab -l 查看当前的cron任务 #at -l 查看当前的at任务 |
| 回退方案 | 修改/var/spool/cron/目录下的文件设置到系统加固前状态 |
| 判断依据 | 查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。 |
| 实施风险 | 低 |
| 重要等级 | ★ |
| 备注 |
通信协议 IP协议安全 ELK-AIX-03-01-01
| 编号 | ELK-AIX-03-01-01 |
| 名称 | 使用ssh加密传输 |
| 实施目的 | 提高远程管理安全性 |
| 问题影响 | 使用非加密通信,内容易被非法监听,存在潜在安全风险 |
| 系统当前状态 | 运行ps -ef|grep ssh,查看状态,并记录。 |
| 实施步骤 | 参考配置操作: 如果系统中没有安装SSH,则首先需要正确安装openssh后才能够应用SSH。 安装步骤举例说明: 在将 OpenSSL 下载到 AIX Version 5.3 计算机的本地目录(本示例中为 /tmp)之后,可以通过运行下面的命令来安装它: #geninstall -d/tmp R:openssl-0.9.6m 可以使用下面两种方法中的任何一种来安装 OpenSSH: smitty->Software Installation and Maintenance->Install and Update Software->Install Software 或者 #geninstall -I"Y" -d/dev/cd0 I:openssh.base 使用下面的命令启动 SSH 服务器: #startsrc -g ssh 使用下面的命令来确认已正确地启动了 SSH 服务器: #ps -ef|grep ssh |
| 回退方案 | 卸载SSH、或者停止SSH服务 |
| 判断依据 | 运行ps -ef|grep ssh,查看系统进程中是否存在SSH进程,如不存在,则建议应按照要求安装和配置好SSH服务。 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
ELK-AIX-03-01-02
| 编号 | ELK-AIX-03-01-02 | ||||||
| 名称 | 限制管理员登陆IP | ||||||
| 实施目的 | 对于通过IP协议进行远程维护的设备,设备应对允许登陆到该设备的IP地址范围进行设定。提高远程维护安全性。 | ||||||
| 问题影响 | 没有访问控制,系统可能被非法登陆或使用,从而存在潜在的安全风险。 | ||||||
| 系统当前状态 | 查看/etc/hosts.equiv文件配置并记录 | ||||||
| 实施步骤 | 参考配置操作: 建议采用如下安全配置操作:
| ||||||
| 回退方案 | 修改/etc/hosts.equiv文件的配置到加固之前的状态 | ||||||
| 判断依据 | 查看/etc/hosts.equiv文件的配置是否按照以上要求进行了设置,如未设置则建议应按照要求进行设置。 | ||||||
| 实施风险 | 高 | ||||||
| 重要等级 | ★ | ||||||
| 备注 |
ELK-AIX-03-02-01 路由协议安全
| 编号 | ELK-AIX-03-02-01 | |||||||||||||||||||||
| 名称 | 禁止ICMP重定向和关闭数据包转发 | |||||||||||||||||||||
| 实施目的 | 禁止系统发送ICMP重定向包,关闭数据包转发,提高系统、网络的安全性 | |||||||||||||||||||||
| 问题影响 | 主机可能存在会被非法改变路由的安全风险 | |||||||||||||||||||||
| 系统当前状态 | AIX系统网络参数可以通过no命令进行配置,执行no –a,显示所有网络参数并记录 | |||||||||||||||||||||
| 实施步骤 | 参考配置操作: 建议采用如下设置进行安全配置: AIX系统网络参数可以通过no命令进行配置,比较重要的网络参数有: icmpaddressmask=0 忽略ICMP地址掩码请求 ipforwarding=0 不进行IP包转发 ipignoreredirects=1 忽略ICMP重定向包 ipsendredirects=0 不发送ICMP重定向包 ipsrcrouteforward=0 不转发源路由包 ipsrcrouterecv=0 不接收源路由包 ipsrcroutesend=0 不发送源路由包 no -a 显示当前配置的网络参数 no -o icmpaddressmask=0 忽略ICMP地址掩码请求 配置方式: no -o ipignoreredirects=1 no -o ipsendredirects=0 no –o ipsrcrouteforward=0 no –o ipsrcroutesend=0 no –o clean_partial_conns=1 no –o directed_broadcast=0 以及:
在/etc/rc.net文件重添加以下命令: /usr/sbin/no -o icmpaddressmask=0 /usr/sbin/no -o ipforwarding=0 /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendredirects=0 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 | |||||||||||||||||||||
| 回退方案 | 删除在/etc/rc.net文件中添加的命令,并使用命令恢复到加固之前的状态 | |||||||||||||||||||||
| 判断依据 | 执行no –a命令或查看/etc/rc.net文件中是否按照以上命令进行了安全配置,如未设置,则建议应按照要求进行安全配置。 | |||||||||||||||||||||
| 实施风险 | 高 | |||||||||||||||||||||
| 重要等级 | ★ | |||||||||||||||||||||
| 备注 |
补丁管理 ELK-AIX-04-01-01
| 编号 | ELK-AIX-04-01-01 |
| 名称 | 系统补丁安装 |
| 实施目的 | 应根据需要及时进行补丁装载。注意:补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。 |
| 问题影响 | 系统存在严重的安全漏洞,存在被攻击者利用的安全风险 |
| 系统当前状态 | 执行oslevel –r命令或instfix -i|grep ML命令,查看补丁当前安装的状况和版本 |
| 实施步骤 | 参考配置操作: 使用instfix –aik命令来完成补丁的安装操作。 注意: 1、在AIX系统中涉及安全的补丁包有以下几种:
2、补丁安装原则:
|
| 回退方案 | 根据在加固前执行的oslevel –r命令或instfix -i|grep ML命令,查看补丁当前安装的状况和版本的记录,删除或卸载相应的补丁恢复成加固前的状态。 |
| 判断依据 | 执行oslevel –r命令或instfix -i|grep ML命令,查看补丁当前安装的状况和版本是否与IBM最新发布的官方补丁相一致。如不一致,则应根据实际情况和业务需要进行补丁的安装操作。 |
| 实施风险 | 高 |
| 重要等级 | ★★ |
| 备注 |
服务进程和启动 ELK-AIX-05-01-01
| 编号 | ELK-AIX-05-01-01 |
| 名称 | 关闭无效服务和启动项 |
| 实施目的 | 关闭无效的服务和启动项,提高系统性能,增加系统安全性 |
| 问题影响 | 不用的服务和启动项可能会带来很多安全隐患,容易被攻击者利用,从而存在潜在的安全风险 |
| 系统当前状态 | 查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置;查看/etc/inetd.conf文件并记录当前的配置 |
| 实施步骤 | 参考配置操作: 系统管理员提供与业务和应用系统相关的服务和启动项列表。 一、rc.d AIX系统中的服务主要在/etc/inittab文件和/etc/rc.*(包括rc.tcpip,rc.nfs)等文件中启动,事实上,/etc/rc.*系列文件主要也是由/etc/inittab启动。同时,AIX中所有启动的服务(至少与业务相关的)都可以同过SRC(System Resource Manager)进行管理。可以有三种方式查看系统服务的启动情况: 1、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件; 2、使用lssrc和lsitab命令; 3、通过smit查看和更改。 注:SRC本身通过/etc/inittab文件启动。 lssrc -a 列出所有SRC管理的服务的状态 lsitab -a 列出所有由/etc/inittab启动的信息,和cat /etc/inittab基本相同,除了没有注释。 根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比,如果发现与业务应用无关的服务,或不必要的服务和启动项,则关闭掉或禁用;也可以对服务做适当配置。 二、inetd.conf 由INETD启动的服务在文件/etc/inetd.conf定义(inetd本身在/etc/rc.tcpip中由SRC启动),因此查看INETD启动的服务的情况有两种方法: 1、使用vi查看/etc/inetd.conf中没有注释的行; 2、使用lssrc命令。 lssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态; refresh -s inetd 更改/etc/inetd.conf文件后重启inetd。 建议关闭由inetd启动的所有服务;如果有管理上的需要,可以打开telnetd、ftpd、rlogind、rshd等服务。 启动或停止inetd启动的服务(例如ftpd): 1、使用vi编辑/etc/inetd.conf,去掉注释(启动)或注释掉(停止)ftpd所在的行; 2、重启inetd:refresh -s inetd。 根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比,如果发现与业务应用无关的服务,或不必要的服务和启动项,则关闭掉或禁用;也可以对服务做适当配置。 |
| 回退方案 | 还原/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置到加固前的状态 还原/etc/inetd.conf文件的配置到加固前的状态 |
| 判断依据 | 根据系统管理员提供的业务应用相关的服务与启动项列表, 查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置是否按照要求进行了安全配置。 查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。 如发现以上两个文件中的配置不符合要求,则建议应按照以上要求的操作对系统进行加固,关闭无效服务和启动项。 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |
| 编号 | ELK-AIX-05-01-02 | |||||||||||||||||||||||||||||||||||||||||||||||||
| 名称 | 系统网络与服务安全配置标准 | |||||||||||||||||||||||||||||||||||||||||||||||||
| 实施目的 | 关闭无效的服务和启动项,提高系统性能,增加系统安全性 | |||||||||||||||||||||||||||||||||||||||||||||||||
| 问题影响 | 不用的服务和启动项可能会带来很多安全隐患,容易被攻击者利用,从而存在潜在的安全风险 | |||||||||||||||||||||||||||||||||||||||||||||||||
| 系统当前状态 | 查看/etc/inittab文件并记录当前配置; 查看/etc/rc.*(包括rc.tcpip,rc.nfs等文件)文件并记录当前配置; 查看/etc/inetd.conf文件并记录当前的配置。 | |||||||||||||||||||||||||||||||||||||||||||||||||
| 实施步骤 | 参考配置操作: 系统管理员提供与业务和应用系统相关的服务和启动项列表。 AIX系统中涉及服务的配置和启动信息的,主要在以下几个文件: /etc/inittab文件 /etc/rc.*(包括rc.tcpip,rc.nfs等文件)。 由INETD启动的服务在文件/etc/inetd.conf定义(inetd本身在/etc/rc.tcpip中由SRC启动)。 本部分的安全基线主要通过修改这些文件中的内容进行配置。 根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比,如果发现与业务应用无关的服务,或不必要的服务和启动项,则关闭掉或禁用;也可以对服务做适当配置。 建议按照下表进行安全配置:
| |||||||||||||||||||||||||||||||||||||||||||||||||
| 回退方案 | 还原/etc/inittab文件配置到加固以前的状态; 还原/etc/rc.*(包括rc.tcpip,rc.nfs等文件)文件配置到加固以前的状态; 还原/etc/inetd.conf文件配置到加固以前的状态。 | |||||||||||||||||||||||||||||||||||||||||||||||||
| 判断依据 | 根据系统管理员提供的业务应用相关的服务与启动项列表, 查看/etc/inittab文件的配置是否按照要求进行了安全配置。 查看/etc/rc.*(包括rc.tcpip,rc.nfs等文件)文件的配置是否按照要求进行了安全配置。 查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。 如发现以上三个文件中的配置不符合要求,则建议应按照以上要求的操作对系统进行加固,配置系统网络与服务安全标准。 | |||||||||||||||||||||||||||||||||||||||||||||||||
| 实施风险 | 高 | |||||||||||||||||||||||||||||||||||||||||||||||||
| 重要等级 | ★ | |||||||||||||||||||||||||||||||||||||||||||||||||
| 备注 |
设备其他安全要求 登陆超时策略 ELK-AIX-06-01-01
| 编号 | ELK-AIX-06-01-01 |
| 名称 | 设置登录超时策略 |
| 实施目的 | 对于具备字符交互界面的设备,应配置定时帐户自动登出。 |
| 问题影响 | 管理员忘记退出被非法利用,增加潜在风险 |
| 系统当前状态 | 查看/etc/security/.profile文件的配置状态,并记录。 |
| 实施步骤 | 参考配置操作: 设置登陆超时时间为300秒,修改/etc/security/.profile文件,增加一行: TMOUT=300;TIMEOUT=300;export readonly TMOUT TIMEOUT |
| 回退方案 | 修改/etc/security/.profile文件的配置到加固之前的状态 |
| 判断依据 | 查看/etc/security/.profile文件中的配置,是否存在登陆超时时间的设置。如未设置,则建议应按照要求进行配置。 |
| 实施风险 | 中 |
| 重要等级 | ★ |
| 备注 |
系统Banner设置 ELK-AIX-06-02-01
| 编号 | ELK-AIX-06-02-01 |
| 名称 | 系统Banner设置 |
| 实施目的 | 通过修改系统banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息 |
| 问题影响 | 存在潜在的安全风险,攻击者容易获取系统的基本信息 |
| 系统当前状态 | 查看/etc/motd文件并记录当前的配置 |
| 实施步骤 | 参考配置操作: 设置系统Banner的操作如下: 修改 /etc/motd 文件 |
| 回退方案 | 还原/etc/motd文件的配置到加固前的状态 |
| 判断依据 | 查看/etc/motd文件中的配置是否按照以上要求进行了配置,如未配置,则建议应根据要求进行配置。 |
| 实施风险 | 低 |
| 重要等级 | ★★ |
| 备注 |
内核调整 ELK-AIX-06-03-01
| 编号 | ELK-AIX-06-03-01 |
| 名称 | 系统内核参数配置,禁止core dump |
| 实施目的 | 禁止core dump |
| 问题影响 | 存在潜在的安全风险 |
| 系统当前状态 | 查看/etc/security/limits文件并记录当前的配置 |
| 实施步骤 | 参考配置操作: 禁止core dump的配置: 编辑 /etc/security/limits 改变core值 core 0 加入如下行: core_hard = 0 执行下列命令: echo "ulimit -c 0" >> /etc/profile chdev -l sys0 -a fullcore=false |
| 回退方案 | 还原/etc/security/limits文件的配置到加固前的状态 |
| 判断依据 | 查看/etc/security/limits文件中的配置是否按照以上要求进行了配置,如未配置,则建议应根据要求进行配置。 |
| 实施风险 | 高 |
| 重要等级 | ★ |
| 备注 |