aix系統(tǒng)安全加固參考信息講課講稿

1、Good is good, but better carries it.精益求精，善益求善。aix系統(tǒng)安全加固參考信息Linux系統(tǒng)安全加固參考信息目錄TOCo1-3hzuHYPERLINKl_Toc3346038741操作系統(tǒng)安全-身份鑒別PAGEREF_Toc334603874h4HYPERLINKl_Toc3346038751.1對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別PAGEREF_Toc334603875h4HYPERLINKl_Toc3346038761.2最小密碼長(zhǎng)度PAGEREF_Toc334603876h4HYPERLINKl_Toc3346038771.3密碼復(fù)雜度PAGER

2、EF_Toc334603877h4HYPERLINKl_Toc3346038781.4密碼字典PAGEREF_Toc334603878h5HYPERLINKl_Toc3346038791.5系統(tǒng)密碼使用時(shí)間PAGEREF_Toc334603879h5HYPERLINKl_Toc3346038801.6對(duì)失敗登錄的次數(shù)進(jìn)行限制PAGEREF_Toc334603880h5HYPERLINKl_Toc3346038811.7密碼重復(fù)使用次數(shù)設(shè)置PAGEREF_Toc334603881h5HYPERLINKl_Toc3346038821.8SSH服務(wù)IP，端口，協(xié)議，允許密碼錯(cuò)誤的次數(shù)，網(wǎng)絡(luò)中允許打開(kāi)

3、的會(huì)話數(shù)PAGEREF_Toc334603882h6HYPERLINKl_Toc3346038831.9root賬號(hào)遠(yuǎn)程登錄設(shè)置PAGEREF_Toc334603883h6HYPERLINKl_Toc3346038841.10防止任何人使用su命令連接root用戶PAGEREF_Toc334603884h7HYPERLINKl_Toc3346038851.11系統(tǒng)Banner設(shè)置PAGEREF_Toc334603885h7HYPERLINKl_Toc3346038862操作系統(tǒng)安全-訪問(wèn)控制PAGEREF_Toc334603886h7HYPERLINKl_Toc3346038872.1修改帳戶

4、口令，更改默認(rèn)帳戶的訪問(wèn)權(quán)限PAGEREF_Toc334603887h7HYPERLINKl_Toc3346038882.2刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在PAGEREF_Toc334603888h8HYPERLINKl_Toc3346038892.3限制超級(jí)管理員遠(yuǎn)程登錄PAGEREF_Toc334603889h8HYPERLINKl_Toc3346038903操作系統(tǒng)安全-入侵防范PAGEREF_Toc334603890h9HYPERLINKl_Toc3346038913.1僅安裝需要的應(yīng)用程序，關(guān)閉不需要的服務(wù)和端口PAGEREF_Toc334603891h9HYPERLINK

5、l_Toc3346038923.2關(guān)閉不必要的服務(wù)PAGEREF_Toc334603892h9HYPERLINKl_Toc3346038933.3網(wǎng)絡(luò)訪問(wèn)控制策略PAGEREF_Toc334603893h9HYPERLINKl_Toc3346038944操作系統(tǒng)安全-資源控制PAGEREF_Toc334603894h10HYPERLINKl_Toc3346038954.1根據(jù)安全策略設(shè)置登錄終端的空閑超時(shí)斷開(kāi)會(huì)話或鎖定PAGEREF_Toc334603895h10HYPERLINKl_Toc3346038964.2文件創(chuàng)建初始權(quán)限PAGEREF_Toc334603896h10HYPERLINK

6、l_Toc3346038974.3設(shè)置合適的歷史命令數(shù)量PAGEREF_Toc334603897h10HYPERLINKl_Toc3346038984.4系統(tǒng)磁盤剩余空間充分滿足近期的業(yè)務(wù)需求PAGEREF_Toc334603898h10HYPERLINKl_Toc3346038994.5檢查并記錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率PAGEREF_Toc334603899h11HYPERLINKl_Toc3346039005操作系統(tǒng)安全日志PAGEREF_Toc334603900h11HYPERLINKl_Toc3346039015.1日志功能開(kāi)啟PAGEREF_Toc334603901h11

7、HYPERLINKl_Toc3346039025.2失敗登錄日志監(jiān)控PAGEREF_Toc334603902h11HYPERLINKl_Toc3346039035.3syslog日志等級(jí)的安全配置PAGEREF_Toc334603903h12HYPERLINKl_Toc3346039045.4安全審計(jì)策略PAGEREF_Toc334603904h12HYPERLINKl_Toc3346039055.5系統(tǒng)日志記錄PAGEREF_Toc334603905h12HYPERLINKl_Toc3346039065.6啟用記錄cron行為日志功能和cron/at的使用情況PAGEREF_Toc33460

8、3906h13HYPERLINKl_Toc3346039076操作系統(tǒng)安全-系統(tǒng)安全PAGEREF_Toc334603907h13HYPERLINKl_Toc3346039086.1補(bǔ)丁管理PAGEREF_Toc334603908h13HYPERLINKl_Toc3346039096.2檢查并記錄系統(tǒng)開(kāi)啟的網(wǎng)絡(luò)端口PAGEREF_Toc334603909h14HYPERLINKl_Toc3346039106.3關(guān)閉無(wú)效服務(wù)和啟動(dòng)項(xiàng)PAGEREF_Toc334603910h14HYPERLINKl_Toc3346039116.4僅允許特定IP允許訪問(wèn)服務(wù)PAGEREF_Toc334603911h

9、15HYPERLINKl_Toc3346039127操作系統(tǒng)安全其它服務(wù)安全PAGEREF_Toc334603912h15HYPERLINKl_Toc3346039137.1FTP配置文件PAGEREF_Toc334603913h15HYPERLINKl_Toc3346039147.2R族文件PAGEREF_Toc334603914h16HYPERLINKl_Toc3346039157.3NFS文件系統(tǒng)配置情況檢查PAGEREF_Toc334603915h16HYPERLINKl_Toc3346039167.4FTP用戶及服務(wù)安全PAGEREF_Toc334603916h16操作系統(tǒng)安全-身份

10、鑒別對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別要求需對(duì)所有的帳號(hào)設(shè)置密碼，要求在登陸系統(tǒng)時(shí)必須輸入口令進(jìn)行身份驗(yàn)證。解決方法對(duì)于當(dāng)前用戶使用命令“passwd”進(jìn)行密碼設(shè)置；對(duì)于其他用戶則使用root權(quán)限登錄后，使用命令“passwd”進(jìn)行密碼設(shè)置。備注最小密碼長(zhǎng)度要求密碼長(zhǎng)度、使用密碼字典解決方法vi/etc/security/userminlen=8/定義口令的最小長(zhǎng)度，注意口令的最小長(zhǎng)度由minlen和minalpha+minother中較大的一個(gè)值來(lái)決定。minalpha+minother不應(yīng)該大于8，如果大于8則minother會(huì)變?yōu)?-minalpha。（minalpha=4/定義在口

11、令中最少的字母的數(shù)量，默認(rèn)是0，范圍是：0到8minother=0/定義在口令中最少的非字母的數(shù)量，默認(rèn)是0，范圍是：0到8）備注密碼復(fù)雜度要求密碼復(fù)雜度解決方法vi/etc/security/user密碼復(fù)雜程度要求包含數(shù)字和字母/etc/security/userMinalpha4/定義在口令中最少的字母的數(shù)量，默認(rèn)是0，范圍是：0到8Minother4/定義在口令中最少的非字母的數(shù)量，默認(rèn)是0，范圍是：0到8備注密碼字典要求使用密碼字典檢查新密碼解決方法使用/etc/security/userDictionlist/usr/share/dict/words備注系統(tǒng)密碼使用時(shí)間要求密碼使用

12、時(shí)間解決方法密碼定期更改間隔設(shè)置為12周或更短/etc/security/userMaxage=12備注對(duì)失敗登錄的次數(shù)進(jìn)行限制要求對(duì)失敗登錄的次數(shù)進(jìn)行限制解決方法允許的失敗登陸次數(shù)設(shè)置為5次或5次以下/etc/security/userLoginretries=5備注密碼重復(fù)使用次數(shù)設(shè)置要求密碼重復(fù)使用次數(shù)設(shè)置為至少8次解決方法/etc/security/userhistsize=8備注SSH服務(wù)IP，端口，協(xié)議，允許密碼錯(cuò)誤的次數(shù)，網(wǎng)絡(luò)中允許打開(kāi)的會(huì)話數(shù)要求SSH服務(wù)IP，端口，協(xié)議，最大允許認(rèn)證次數(shù)，網(wǎng)絡(luò)中允許打開(kāi)的會(huì)話數(shù)解決方法cat/etc/ssh/sshd_configPort22

13、/SSH服務(wù)端端口為22ListenAddress/SSH服務(wù)端監(jiān)聽(tīng)地址為SyslogFacilityAUTHPRIV/系統(tǒng)登錄功能有加密LoginGraceTime0/限制用戶必須在指定的時(shí)間內(nèi)認(rèn)證成功，0表示不限制，2m為兩個(gè)月內(nèi)。MaxAuthTries6/指定每個(gè)連接最大允許的認(rèn)證次數(shù)，默認(rèn)值是6。如果失敗認(rèn)證的次數(shù)超過(guò)這個(gè)數(shù)值的一半，連接將被強(qiáng)制斷開(kāi)，且會(huì)生成額外的失敗日志消息。MaxSessions10/指定每個(gè)網(wǎng)絡(luò)連接允許打開(kāi)會(huì)話的最大數(shù)目，默認(rèn)10MaxStarups10/最大允許保持多少個(gè)未認(rèn)證的連接，默認(rèn)10。達(dá)到限制后，將不再接受新連接，除非先前的連接認(rèn)證成功或超過(guò)Log

14、inGraceTime的限制。備注修改完成后，重啟ssh服務(wù)servicesshdrestart備注root賬號(hào)遠(yuǎn)程登錄設(shè)置要求不允許root直接登錄及相關(guān)配置解決方法使用命令“vi/etc/ssh/sshd_config”編輯配置文件#cat/etc/ssh/sshd_configPermitRootLoginyes/是否允許root登錄。PasswordAuthenticationyes/密碼是否有認(rèn)證選yes有ChallengeResponseAuthenticationno/攻擊響應(yīng)認(rèn)證否GSSAPIAuthenticationyes/通用安全服務(wù)應(yīng)用程序接口認(rèn)證是UsePAMno/如

15、果啟用了PAM，那么必須使用root才能運(yùn)行sshd。設(shè)置“PermitRootLogin”的值為no備注修改完成后，重啟ssh服務(wù)servicesshdrestart防止任何人使用su命令連接root用戶要求不想任何人都可以用“su”命令成為root或只讓某些用戶有權(quán)使用“su”命令解決方法備注系統(tǒng)Banner設(shè)置要求通過(guò)修改系統(tǒng)banner，避免泄漏操作系統(tǒng)名稱，版本號(hào)，主機(jī)名稱等，并且給出登陸告警信息解決方法設(shè)置系統(tǒng)Banner的操作如下：在/etc/security/login.cfg文件中，在default小節(jié)增加：herald=ATTENTION:Youhaveloggedonto

16、asecuredserver.Allaccesseslogged.nnlogin:備注操作系統(tǒng)安全-訪問(wèn)控制修改帳戶口令，更改默認(rèn)帳戶的訪問(wèn)權(quán)限要求嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令解決方法使用命令cat/etc/password文件來(lái)查看默認(rèn)賬戶，并使用命令“cat/etc/shadow”查看文件中的口令是否為默認(rèn)口令。使用root賬戶進(jìn)行登錄，使用命令“passwdusernamepassword”來(lái)修改用戶的口令。對(duì)于無(wú)法重命名的系統(tǒng)默認(rèn)帳號(hào)，為增強(qiáng)主機(jī)系統(tǒng)的安全性，建議使用命令“smituser”，將與業(yè)務(wù)無(wú)關(guān)的系統(tǒng)默認(rèn)用戶進(jìn)行鎖定；備注此操作具有一

17、定的危險(xiǎn)性，需要與管理員確認(rèn)此項(xiàng)操作不會(huì)影響到業(yè)務(wù)系統(tǒng)的登錄，以免影響正常業(yè)務(wù)應(yīng)用。刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在要求刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在解決方法方法一：可使用命令“smituser”，將多余的、過(guò)期的帳戶，共享帳戶等系統(tǒng)默認(rèn)用戶進(jìn)行鎖定；使用命令“smituser”解鎖不必要的賬號(hào)使用命令“smituser”刪除多余、過(guò)期的賬號(hào)方法二：vi/etc/security/user相關(guān)用戶account_locked=true備注此操作具有一定的危險(xiǎn)性，需要與管理員確認(rèn)此項(xiàng)操作不會(huì)影響到業(yè)務(wù)系統(tǒng)的登錄，以免影響正常業(yè)務(wù)應(yīng)用。限制超級(jí)管理員遠(yuǎn)程登錄要求限制具備超級(jí)管

18、理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬。解決方法系統(tǒng)當(dāng)前狀態(tài)：執(zhí)行l(wèi)suser-arloginroot命令，查看root的rlogin屬性并記錄實(shí)施步驟：參考配置操作：（1）、查看root的rlogin屬性：#lsuser-arloginroot（2）、禁止root遠(yuǎn)程登陸：#chuserrlogin=falseroot備注還原root可以遠(yuǎn)程登陸，執(zhí)行如下命令：#chuserrlogin=trueroot操作系統(tǒng)安全-入侵防范僅安裝需要的應(yīng)用程序，關(guān)閉不需要的服務(wù)和端口要求1.詢問(wèn)相關(guān)維護(hù)人員，主機(jī)系統(tǒng)是除裝有正常業(yè)務(wù)應(yīng)用所需要

19、的程序外，是否還安裝有與業(yè)務(wù)應(yīng)用無(wú)關(guān)的其它程序；2.詢問(wèn)相關(guān)維護(hù)人員并獲取授權(quán)安裝軟件清單文檔，查看當(dāng)前操作系統(tǒng)中是否安裝有非清單內(nèi)的應(yīng)用軟件。3.詢問(wèn)相關(guān)維護(hù)人員，是否關(guān)閉了除正常業(yè)務(wù)應(yīng)用之外的所有服務(wù)與端口，具體檢查方法：使用命令“netstatan”查看開(kāi)放的端口；解決方法使用命令“netstatan”查看開(kāi)放的端口；備注關(guān)閉不必要的服務(wù)要求關(guān)閉不必要的服務(wù)解決方法（9）要開(kāi)啟審計(jì)服務(wù)auditd備注網(wǎng)絡(luò)訪問(wèn)控制策略要求1.訪談系統(tǒng)管理員，是否制定了嚴(yán)格的訪問(wèn)控制策略，包括是否限制登錄用戶，對(duì)遠(yuǎn)程登錄的IP是否有限制，采用哪種遠(yuǎn)程登錄方式等。解決方法查看hosts.allow、hosts

20、.deny是否對(duì)某些服務(wù)，某些IP進(jìn)行了限制。#cathosts.allowSshd:210.13.218.*:allow/表示允許210ip段連接shhd服務(wù)#cathosts.denySshd:all:deny/表示拒絕所有sshd遠(yuǎn)程連接當(dāng)hosts.allow與hosts.deny相沖突時(shí)以hosts.allow為準(zhǔn)。備注操作系統(tǒng)安全-資源控制根據(jù)安全策略設(shè)置登錄終端的空閑超時(shí)斷開(kāi)會(huì)話或鎖定要求根據(jù)安全策略設(shè)置登錄終端的空閑超時(shí)斷開(kāi)會(huì)話或鎖定解決方法可使用命令“cat/etc/profile|grepTMOUT”查看超時(shí)的時(shí)間設(shè)置。使用命令“vi/etc/profile”修改配置文件，

21、添加行“TMOUT=180”，單位為秒，即超時(shí)時(shí)間為3分鐘。備注超時(shí)時(shí)間的設(shè)置需要與應(yīng)用管理員進(jìn)行確認(rèn)，以免影響正常業(yè)務(wù)應(yīng)用。文件創(chuàng)建初始權(quán)限要求文件創(chuàng)建初始權(quán)限解決方法vi/etc/security/user設(shè)置umask值umask077#適用root用戶，其它用戶不可讀umask022#適用非root用戶，其它用戶可讀不可寫備注設(shè)置合適的歷史命令數(shù)量要求設(shè)置合適的歷史命令數(shù)量解決方法編輯“/etc/profile”文件，確保HISTFILESIZE和HISTSIZE都設(shè)成了一個(gè)比較小的值。HISTSIZE=80HISTFILESIZE=80備注系統(tǒng)磁盤剩余空間充分滿足近期的業(yè)務(wù)需求要求1

22、.檢查用戶是否建立有服務(wù)器備份存儲(chǔ)及介質(zhì)空間管理制度文檔，檢查其中是否對(duì)主機(jī)系統(tǒng)的磁盤空間的大小做出明確的要求；2.檢查主機(jī)系統(tǒng)的磁盤空間，查看各個(gè)分區(qū)是否有充足的剩余磁盤空間來(lái)滿足近期的業(yè)務(wù)需求。使用命令“dfhl”命令來(lái)查看當(dāng)前磁盤占用空間情況解決方法建議如下：1.建立服務(wù)器備份存儲(chǔ)及介質(zhì)空間管理制度文檔，并在其中對(duì)程序及重要數(shù)據(jù)的備份、對(duì)主機(jī)系統(tǒng)的磁盤空間的大小等項(xiàng)目做出明確的要求；2.管理員定期檢查所有主機(jī)系統(tǒng)的磁盤占用空間及其它資源占用情況，如果發(fā)現(xiàn)磁盤空間不夠，由相關(guān)技術(shù)人員提出申請(qǐng)，進(jìn)行磁盤空間的擴(kuò)充。備注檢查并記錄操作系統(tǒng)的分區(qū)情況和文件系統(tǒng)利用率要求檢查并記錄操作系統(tǒng)的分區(qū)情

23、況和文件系統(tǒng)利用率解決方法dfh可以查看相關(guān)信息：Filesystemsizeusedavailuse%mountedon文件系統(tǒng)大小已用可用使用率掛載點(diǎn)當(dāng)使用率過(guò)高時(shí)要注意了！備注操作系統(tǒng)安全日志日志功能開(kāi)啟要求啟用日志記錄功能解決方法syslog的配置主要通過(guò)/etc/syslog.conf配置，日志信息可以記錄在本地的文件當(dāng)中(如/var/adm/messages)或遠(yuǎn)程的主機(jī)上(hostname)。startsrc-ssyslogd啟動(dòng)syslog服務(wù)stopsrc-ssyslogd停止syslog服務(wù)備注失敗登錄日志監(jiān)控要求通過(guò)系統(tǒng)日志的方式記錄失敗的登錄嘗試解決方法系統(tǒng)記錄失敗的用

24、戶登錄/etc/security/failedloginWho/etc/security/failedlogin查看備注syslog日志等級(jí)的安全配置要求syslog日志等級(jí)的安全配置解決方法syslog配置文件要求：修改文件安全設(shè)置/etc/syslog.conf配置文件中包含一下日志記錄：*.err/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/critlogauth,/var/adm/authlog備注安全審計(jì)策略要求安全審計(jì)策略解決方法方法：查看系統(tǒng)日志配置，執(zhí)行：#cat/etc/syslog.conf查看syslogd的

25、配置，并確認(rèn)日志文件是否存在*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages/系統(tǒng)日志默認(rèn)存放在/var/log/messagescron.*/var/log/cron/cron日志默認(rèn)存放在/var/log/cronauthpriv.*/var/log/secure/安全日志默認(rèn)存放在/var/log/secure備注系統(tǒng)日志記錄要求查年系統(tǒng)日志記錄解決方法執(zhí)行：cat/etc/log/secure/記錄pop3,telnet,ssh,ftp登陸信息的文件lastR/查看前50次登陸系統(tǒng)用戶的信息cat/e

26、tc/log/messages/查看系統(tǒng)發(fā)生的錯(cuò)誤信息（包括登陸信息）備注啟用記錄cron行為日志功能和cron/at的使用情況要求啟用記錄cron行為日志功能和cron/at的使用情況解決方法cron/At的相關(guān)文件主要有以下幾個(gè)：/var/spool/cron/crontabs存放cron任務(wù)的目錄/var/spool/cron/cron.allow允許使用crontab命令的用戶/var/spool/cron/cron.deny不允許使用crontab命令的用戶/var/spool/cron/atjobs存放at任務(wù)的目錄/var/spool/cron/at.allow允許使用at的用戶

27、/var/spool/cron/at.deny不允許使用at的用戶使用crontab和at命令可以分別對(duì)cron和at任務(wù)進(jìn)行控制。#crontab-l查看當(dāng)前的cron任務(wù)#at-l查看當(dāng)前的at任務(wù)備注操作系統(tǒng)安全-系統(tǒng)安全補(bǔ)丁管理要求系統(tǒng)補(bǔ)丁安裝標(biāo)準(zhǔn)解決方法執(zhí)行oslevelr命令或instfix-i|grepML命令，查看補(bǔ)丁當(dāng)前安裝的狀況和版本。使用instfixaik命令來(lái)完成補(bǔ)丁的安裝操作。注意：（1）、在AIX系統(tǒng)中涉及安全的補(bǔ)丁包有以下幾種：推薦維護(hù)包（RecommendedMaintenancePackages）:由一系列最新的文件集組成的軟件包，包含了特定的操作系統(tǒng)（如A

28、IX5.2）發(fā)布以來(lái)的所有文件集的補(bǔ)丁。關(guān)鍵補(bǔ)丁Criticalfixes(cfix)：自推薦維護(hù)包之后，修補(bǔ)關(guān)鍵性漏洞的補(bǔ)丁。緊急補(bǔ)丁Emergencyfixes(efix):自推薦維護(hù)包之后，修補(bǔ)緊急安全漏洞的補(bǔ)丁。（2）、補(bǔ)丁安裝原則：在新裝和重新安裝系統(tǒng)后，必須安裝最新的推薦維護(hù)包，以及該最新推薦維護(hù)包以來(lái)的所有單獨(dú)的cfix和efix。日常維護(hù)中如果廠家推出新的RM、cfix、efix則按照原補(bǔ)丁維護(hù)管理規(guī)定進(jìn)行補(bǔ)丁安裝。備注應(yīng)根據(jù)需要及時(shí)進(jìn)行補(bǔ)丁裝載。注意：補(bǔ)丁更新要慎重，可能出現(xiàn)硬件不兼容，或者影響當(dāng)前的應(yīng)用系統(tǒng)，安裝補(bǔ)丁之前要經(jīng)過(guò)測(cè)試和驗(yàn)證。檢查并記錄系統(tǒng)開(kāi)啟的網(wǎng)絡(luò)端口要求檢查

29、并記錄系統(tǒng)開(kāi)啟的網(wǎng)絡(luò)端口解決方法netstatantp(查看開(kāi)啟的tcp端口)netstatanup（查看開(kāi)啟的udp端口）其中：Proto顯示連接使用的協(xié)議LocalAddress查看本地地址及端口備注關(guān)閉無(wú)效服務(wù)和啟動(dòng)項(xiàng)要求關(guān)閉無(wú)效服務(wù)和啟動(dòng)項(xiàng)解決方法查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并記錄當(dāng)前配置；查看/etc/inetd.conf文件并記錄當(dāng)前的配置（一）、rc.dAIX系統(tǒng)中的服務(wù)主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中啟動(dòng)，事實(shí)上，/etc/rc.*系列文件主要也是由/e

30、tc/inittab啟動(dòng)。同時(shí)，AIX中所有啟動(dòng)的服務(wù)（至少與業(yè)務(wù)相關(guān)的）都可以同過(guò)SRC（SystemResourceManager）進(jìn)行管理?？梢杂腥N方式查看系統(tǒng)服務(wù)的啟動(dòng)情況：（1）、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件；（2）、使用lssrc和lsitab命令；（3）、通過(guò)smit查看和更改。注：SRC本身通過(guò)/etc/inittab文件啟動(dòng)。lssrc-a列出所有SRC管理的服務(wù)的狀態(tài)lsitab-a列出所有由/etc/inittab啟動(dòng)的信息，和cat/etc/inittab基本相同，除了沒(méi)有注釋。根據(jù)管理員所提供的服務(wù)列

31、表與當(dāng)前系統(tǒng)中所啟動(dòng)的服務(wù)列表相對(duì)比，如果發(fā)現(xiàn)與業(yè)務(wù)應(yīng)用無(wú)關(guān)的服務(wù)，或不必要的服務(wù)和啟動(dòng)項(xiàng)，則關(guān)閉掉或禁用；也可以對(duì)服務(wù)做適當(dāng)配置。（二）、inetd.conf由INETD啟動(dòng)的服務(wù)在文件/etc/inetd.conf定義（inetd本身在/etc/rc.tcpip中由SRC啟動(dòng)），因此查看INETD啟動(dòng)的服務(wù)的情況有兩種方法：（1）、使用vi查看/etc/inetd.conf中沒(méi)有注釋的行；（2）、使用lssrc命令。lssrc-l-sinetd查看inetd的狀態(tài)以及由INETD啟動(dòng)的服務(wù)的狀態(tài)；refresh-sinetd更改/etc/inetd.conf文件后重啟inetd。建議關(guān)閉由inetd啟動(dòng)的所有服務(wù)；如果有管理上的需要，可以打開(kāi)telnetd、ftpd、rlogind、rshd等服務(wù)。啟動(dòng)或停止inetd啟動(dòng)的服務(wù)（例如ftpd）：（1）、使用vi編輯/etc/inetd.conf，去掉注釋（啟動(dòng)）或注釋掉（停止）ftpd所在的行；（2）、重啟inetd：refresh-sinetd。根據(jù)管理員所提供的服務(wù)列表與當(dāng)前系統(tǒng)中所啟動(dòng)的服務(wù)列表相對(duì)比，如果發(fā)現(xiàn)與業(yè)務(wù)應(yīng)用無(wú)關(guān)的服務(wù)，或不必要的服務(wù)和啟動(dòng)項(xiàng)，則關(guān)閉掉或禁用；也可以對(duì)服務(wù)做適當(dāng)配置。備注僅允許特定IP允許訪問(wèn)服務(wù)要求僅允許特定IP允許訪問(wèn)服務(wù)解決方法查看hosts.allow