AIX系統(tǒng)安全加固手冊(cè)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 信息安全加固手冊(cè)AIX系統(tǒng)目 錄1 端口與服務(wù)1.1 相關(guān)端口對(duì)應(yīng)服務(wù)禁止風(fēng)險(xiǎn)描述21, 23 , 25, 111, 513 , 514 , 515, 540 , 80 ，6112， 161 , 7, 37 , 110 相關(guān)rpc等服務(wù)禁止風(fēng)險(xiǎn)等級(jí)l 風(fēng)險(xiǎn)高加固建議判斷上述系統(tǒng)默認(rèn)服務(wù)在本系統(tǒng)是否需要應(yīng)用來(lái)決定關(guān)閉或者替換升級(jí)加固的風(fēng)險(xiǎn)/影響 有些業(yè)務(wù)服務(wù)可能需要以上某些系統(tǒng)服務(wù)，關(guān)閉服務(wù)將造成某些系統(tǒng)維護(hù)方式或者業(yè)務(wù)服務(wù)不正常，相關(guān)系統(tǒng)默認(rèn)服務(wù)（ftp, rsh, kshell, rlogin, krlogin, rexec, comsat, uucp, fing

2、er, tftp, talk,ntalk, echo, discard, chargen, daytime, time及rpc小服務(wù)），具體說(shuō)明如下：Rsh,rlogin,rexec - R遠(yuǎn)程登錄系列服務(wù),容易被竊聽(tīng)Finger -允許遠(yuǎn)程查詢登陸用戶信息Time - 網(wǎng)絡(luò)時(shí)間服務(wù)，允許遠(yuǎn)程察看系統(tǒng)時(shí)間Echo - 網(wǎng)絡(luò)測(cè)試服務(wù)，回顯字符串, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，否則禁用Discard - 網(wǎng)絡(luò)測(cè)試服務(wù)，丟棄輸入, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，否則禁用Daytime - 網(wǎng)絡(luò)測(cè)試服務(wù)，顯示時(shí)間, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，

3、否則禁用Chargen - 網(wǎng)絡(luò)測(cè)試服務(wù)，回應(yīng)隨機(jī)字符串, 為“拒絕服務(wù)”攻擊提供機(jī)會(huì), 除非正在測(cè)試網(wǎng)絡(luò)，否則禁用comsat -通知接收的電子郵件，以 root 用戶身份運(yùn)行，因此涉及安全性, 很少需要的,禁用klogin - Kerberos 登錄，如果您的站點(diǎn)使用 Kerberos 認(rèn)證則啟用kshell - Kerberos shell，如果您的站點(diǎn)使用 Kerberos 認(rèn)證則啟用ntalk - 允許用戶相互交談，以 root 用戶身份運(yùn)行，除非絕對(duì)需要，否則禁用talk - 在網(wǎng)上兩個(gè)用戶間建立分區(qū)屏幕，不是必需服務(wù)，與 talk 命令一起使用，在端口 517 提供 UDP 服務(wù)

4、ntalk - new talktftp - 以 root 用戶身份運(yùn)行并且可能危及安全uucp - 除非有使用 UUCP 的應(yīng)用程序，否則禁用dtspc - CDE 子過(guò)程控制，不用圖形管理的話禁用加固風(fēng)險(xiǎn)規(guī)避方法根據(jù)主機(jī)的業(yè)務(wù)需求，關(guān)閉對(duì)應(yīng)服務(wù)端口，事先將原配置文件做備份加固成果關(guān)閉不用的端口可以避免非法用戶利用這些端口入侵系統(tǒng)，通過(guò)升級(jí)服務(wù)來(lái)減少可被利用的漏洞。加固具體方法編輯或注釋inetd.conf 中所對(duì)應(yīng)服務(wù)的啟動(dòng)腳本和啟動(dòng)語(yǔ)句來(lái)禁止上述服務(wù)。 有些服務(wù)可能以cron定時(shí)啟動(dòng) 請(qǐng)檢查cron定時(shí)腳本。XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修

5、改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）1.2 系統(tǒng)相關(guān)服務(wù)默認(rèn)banner消息禁止風(fēng)險(xiǎn)描述系統(tǒng)相關(guān)服務(wù)如ftpd, telnetd, sendmail 等默認(rèn)banner消息禁止， 風(fēng)險(xiǎn)等級(jí)l 風(fēng)險(xiǎn)中加固建議修改可判斷系統(tǒng)版本輸出消息的服務(wù)banner加固的風(fēng)險(xiǎn)/影響 連接或使用上述服務(wù)將不會(huì)返回上述服務(wù)版本加固風(fēng)險(xiǎn)規(guī)避方法加固成果避免通過(guò)banner信息泄露系統(tǒng)敏感信息加固具體方法修改/etc/motd文件修改/etc/ftpmotd文件 檢查/etc/security/login.cfg 文件中察看herald是否有設(shè)置XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意

6、見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）1.3 nfs服務(wù)關(guān)閉風(fēng)險(xiǎn)描述查看nfs服務(wù)是否啟用，避免利用nfs服務(wù)漏洞入侵系統(tǒng)風(fēng)險(xiǎn)等級(jí)l 風(fēng)險(xiǎn)中加固建議若使用nfs share file服務(wù) ，則判斷該服務(wù)目前輸出的export file list列表中的nfs文件系統(tǒng)掛載權(quán)限和允許掛載該文件系統(tǒng)的地址是否是erverone 等加固的風(fēng)險(xiǎn)/影響 該服務(wù)加固后將造成某些無(wú)授權(quán)的ip地址掛載該系統(tǒng)nfs文件系統(tǒng)失敗加固風(fēng)險(xiǎn)規(guī)避方法事先將原配置文件做備份加固成果能避免非法用戶掛載nfs文件系統(tǒng)，增強(qiáng)系統(tǒng)安全性加固具體方法若不使用nfs服務(wù)，則從系統(tǒng)當(dāng)

7、前啟動(dòng)等級(jí)中啟動(dòng)腳本移除，若使用該服務(wù)則應(yīng)用share 命令對(duì)指定文件系統(tǒng)做限制ip掛載地址以及掛載權(quán)限參數(shù)限制。注釋/etc/inittab文件中關(guān)于nfs的行XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）1.4 圖形管理服務(wù)關(guān)閉風(fēng)險(xiǎn)描述檢查圖形管理界面是否開(kāi)啟，避免利用該服務(wù)漏洞入侵系統(tǒng)風(fēng)險(xiǎn)等級(jí)l 風(fēng)險(xiǎn)中加固建議若不使用圖形管理，將圖形管理關(guān)閉加固的風(fēng)險(xiǎn)/影響 無(wú)法進(jìn)行圖形方式管理加固風(fēng)險(xiǎn)規(guī)避方法事先將原配置文件做備份加固成果能避免非法用戶利用圖形管理服務(wù)的漏洞加固具體方法修改/etc/initt

8、ab文件，將dt，dt_nogb注釋XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）1.5 FTP服務(wù)登入權(quán)限風(fēng)險(xiǎn)描述設(shè)定/etc/ftpusers文件以及權(quán)限風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)中加固建議將不需要使用ftpd服務(wù)的用戶加入ftpusers文件，來(lái)保證ftp服務(wù)安全性,確保該文件屬性為644來(lái)保證文件層安全加固的風(fēng)險(xiǎn)/影響 可能影響某些使用該帳號(hào)ftp登陸的備份，操作，日志記錄等腳本加固成果能防止非授權(quán)用戶登入FTP加固具體方法編輯/etc/ftpd/ftpusers或/etc/ftpusers文件加入不允許f

9、tp登陸的用戶XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）廠商意見(jiàn)廠商維護(hù)人員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）1.6 禁止rlogin服務(wù)風(fēng)險(xiǎn)描述基于pam動(dòng)態(tài)驗(yàn)證庫(kù)驗(yàn)證機(jī)制的.rhosts文件和rlogin服務(wù)風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)高加固建議.rhosts文件信任機(jī)制是一種極其不安全的用戶登陸信任機(jī)制，建議若不使用rlogin服務(wù)則在/etc/inetd.conf禁止， 加固的風(fēng)險(xiǎn)/影響 造成某些使用.rhosts驗(yàn)證機(jī)制的的服務(wù)

10、 如cluster等服務(wù)無(wú)法正常使用加固風(fēng)險(xiǎn)規(guī)避方法事先將原配置文件（/etc/inetd.conf）做備份加固成果避免非法用戶利用rlogin入侵系統(tǒng)加固具體方法若仍使用.rhosts文件的信任機(jī)制 則因該查找當(dāng)前系統(tǒng)所用用戶$HOME變量下是否存在.rhosts文件，確定其文件屬性為600，文件內(nèi)容為指定的信任主機(jī)若不使用.rhosts文件信任關(guān)系則編輯/etc/inetd.conf 將rlogin行注釋并刪除所有.rhosts文件XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）1.7 Cron服務(wù)

11、內(nèi)容以及服務(wù)日志審核批風(fēng)險(xiǎn)描述Cron服務(wù)內(nèi)容以及服務(wù)日志審核批風(fēng)險(xiǎn)等級(jí)l 風(fēng)險(xiǎn)中加固建議若不使用cron服務(wù)，則關(guān)閉該服務(wù)，若使用該服務(wù)則因該保證/var/spool/cron/crontab下的各個(gè)用戶文件權(quán)限為600,并檢查各個(gè)用戶服務(wù)內(nèi)容中是否有包括用戶和密碼明文使用的備份，傳輸，任務(wù)腳本。加固的風(fēng)險(xiǎn)/影響 可能造成管理上的一些不便加固風(fēng)險(xiǎn)規(guī)避方法事先將原配置文件（/var/spool/cron/crontabs/下文件）做備份加固成果消除cron服務(wù)腳本中使用用戶名和密碼明文帶來(lái)的隱患加固具體方法Chmod 600 /var/spool/cron/crontabs/*XXX公司意見(jiàn)X

12、XX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）1.8 Syslog服務(wù)屬性風(fēng)險(xiǎn)描述修改系統(tǒng)Syslog文件記錄及其屬性 風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)低加固建議改變/etc/syslog.conf中默認(rèn)的/var/adm日志路徑將能更好的保護(hù)系統(tǒng)日志不受破壞，確定文件屬性為 400來(lái)保證其安全性加固的風(fēng)險(xiǎn)/影響 日志的存放路徑變更加固風(fēng)險(xiǎn)規(guī)避方法加固成果阻止普通用戶獲取系統(tǒng)日志信息，增強(qiáng)系統(tǒng)安全性加固具體方法修改/etc/syslog.conf文件，將日志記錄路徑修改為其他路徑或其他主機(jī)地址,chmod 400修改該文件屬性XXX公司

13、意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）2 系統(tǒng)網(wǎng)絡(luò)參數(shù)類(lèi)2.1 Suid/sgid文件風(fēng)險(xiǎn)描述去掉文件不必要的Suid/sgid屬性風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)高加固建議對(duì)系統(tǒng)不必要的suid為root文件，去掉其suid屬性來(lái)防止文件層，如heap,stack,formatstring等一類(lèi)的提升權(quán)限攻擊加固的風(fēng)險(xiǎn)/影響 可能造成某些使用該suid文件來(lái)運(yùn)行的服務(wù)或進(jìn)程無(wú)法以root權(quán)限進(jìn)程來(lái)執(zhí)行加固風(fēng)險(xiǎn)規(guī)避方法事先將原文件權(quán)限記錄加固成果避免通過(guò)不必要的suid文件獲得root權(quán)限，增強(qiáng)系統(tǒng)安全性加固具體方法Chm

14、od s filename去掉不需要suid屬性文件的suid屬性先運(yùn)行以下命令查找find / -type f -perm -4001 -user 0 （先運(yùn)行此兩個(gè)命令來(lái)查找filename）find / -type f perm -2001 group 0 login passwd mount (不能更改)XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）2.2 Umask權(quán)限設(shè)置風(fēng)險(xiǎn)描述Umask權(quán)限設(shè)置風(fēng)險(xiǎn)等級(jí)l 風(fēng)險(xiǎn)中加固建議修改umask文件權(quán)限為027來(lái)修改文件默認(rèn)建立的屬性來(lái)增強(qiáng)系統(tǒng)安全

15、性加固的風(fēng)險(xiǎn)/影響 用戶建立文件的默認(rèn)屬性為640加固風(fēng)險(xiǎn)規(guī)避方法加固成果加固后，用戶建立文件的默認(rèn)屬性都640，增強(qiáng)文件的安全性加固具體方法修改或加入/etc/profile中的umask值為022或027XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）2.3 系統(tǒng)核心網(wǎng)絡(luò)參數(shù)安全性增強(qiáng)風(fēng)險(xiǎn)描述系統(tǒng)核心網(wǎng)絡(luò)參數(shù)安全性增強(qiáng)風(fēng)險(xiǎn)等級(jí)l 風(fēng)險(xiǎn)高加固建議設(shè)置系統(tǒng)核心網(wǎng)絡(luò)參數(shù)將造成某些特殊的網(wǎng)絡(luò)攻擊比較難以實(shí)現(xiàn)加固的風(fēng)險(xiǎn)/影響 可能造成網(wǎng)絡(luò)ip socket部分功能無(wú)法正常使用，網(wǎng)絡(luò)負(fù)荷可能提高%2-%8之間加

16、固風(fēng)險(xiǎn)規(guī)避方法加固成果增加某些網(wǎng)絡(luò)攻擊的難度，增強(qiáng)系統(tǒng)安全性加固具體方法修改以下參數(shù)no o ipforwarding=0 #禁止ip源路由包轉(zhuǎn)發(fā) no o ipsrcrouteforward=0 #禁止轉(zhuǎn)發(fā)原路由包 XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：l 同意l 需要修改（描述修改的意見(jiàn)）l 不同意（描述不同意的原因）l 簽名（簽字確認(rèn)）3 用戶管理、訪問(wèn)控制、審計(jì)功能類(lèi)3.1 防止root從遠(yuǎn)程登錄風(fēng)險(xiǎn)描述阻止root從遠(yuǎn)程登錄風(fēng)險(xiǎn)等級(jí)l 風(fēng)險(xiǎn)高加固建議防止root直接從remote設(shè)備來(lái)登陸系統(tǒng)，來(lái)增強(qiáng)系統(tǒng)安全性。加固的風(fēng)險(xiǎn)/影響 Root將不能遠(yuǎn)程直接登陸系統(tǒng)，但可以以

17、普通用戶登陸系統(tǒng)來(lái)su到root加固風(fēng)險(xiǎn)規(guī)避方法事先將原配置文件做備份加固成果遠(yuǎn)程只能采取以普通用戶登陸系統(tǒng)來(lái)su到root，能增強(qiáng)系統(tǒng)安全性，減少被入侵的可能加固具體方法修改/etc/security/user文件 ，將root段的rlogin修改為flaseXXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：同意需要修改（描述修改的意見(jiàn)）不同意（描述不同意的原因）簽名（簽字確認(rèn)）3.2 減少登錄會(huì)話時(shí)間風(fēng)險(xiǎn)描述減少用戶登錄會(huì)話時(shí)間風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)中加固建議減少用戶登錄會(huì)話超時(shí)時(shí)間來(lái)保證用戶登陸進(jìn)程長(zhǎng)期在系統(tǒng)有效存在加固的風(fēng)險(xiǎn)/影響 將縮小系統(tǒng)用戶登陸超時(shí)時(shí)間加固風(fēng)險(xiǎn)規(guī)避方法事先將原配置文件做備

18、份加固成果通過(guò)減少用戶登錄超時(shí)判定時(shí)間來(lái)增強(qiáng)系統(tǒng)安全性，減少忘記登出用戶被非法利用的可能性加固具體方法增加或修改( /etc/profile, /etc/environment, /etc/security/.profile )文件中如下行TMOUT=600 ; TIMEOUT=600 ; export TMOUT TIMEOUTXXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：同意需要修改（描述修改的意見(jiàn)）不同意（描述不同意的原因）簽名（簽字確認(rèn)）3.3 系統(tǒng)口令強(qiáng)壯度與策略風(fēng)險(xiǎn)描述增強(qiáng)其口令策略，默認(rèn)長(zhǎng)度值，復(fù)雜程度，口令使用周期來(lái)增強(qiáng)系統(tǒng)安全風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)中加固建議修改系統(tǒng)用戶passw

19、d強(qiáng)度來(lái)增強(qiáng)系統(tǒng)安全性加固的風(fēng)險(xiǎn)/影響 可能造成某些其他系統(tǒng)來(lái)使用弱口令登陸本系統(tǒng)用戶來(lái)做同步備份或操作的腳本失效加固風(fēng)險(xiǎn)規(guī)避方法事先將原配置文件做備份加固成果增強(qiáng)用戶密碼的強(qiáng)度，大大降低用戶密碼被猜解的可能性加固具體方法加固具體方法:修改/etc/security/user文件，按需要的口令策略設(shè)置或加入如下參數(shù)minlen =8XXX公司意見(jiàn)XXX公司管理員對(duì)本條風(fēng)險(xiǎn)加固的意見(jiàn)：同意需要修改（描述修改的意見(jiàn)）不同意（描述不同意的原因）簽名（簽字確認(rèn)）3.4 Root用戶歷史操作記錄風(fēng)險(xiǎn)描述記錄root用戶的shell鍵值 可能造成安全隱患，泄漏敏感信息風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)低加固建議不記錄root的操作記錄或記錄很少條記錄加固的風(fēng)險(xiǎn)/影響 Root用戶的操作記錄減少加固風(fēng)險(xiǎn)規(guī)避方法事先將原配置文件做備份加固成果避免通過(guò)歷史記錄獲得一些敏感信息，增強(qiáng)系統(tǒng)安全性加固具體方法對(duì)于root可設(shè)置其$HOME目錄變量下.profile文件屬性，確認(rèn)hi