系统安全配置技术规范—AIX
版本 | V0.9 |
日期 | 2013-06-03 |
文档编号 | |
文档发布 | |
文档说明
(一)变更信息
版本号 | 变更日期 | 变更者 | 变更理由/变更内容 | 备注 |
| telnet远程登录配置 | ||||
(二)文档审核人
姓名 | 职位 | 签名 | 日期 |
1适用范围
如无特殊说明,本规范所有配置项适用于AIX操作系统 6.x系列或以上版本。其中有“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未涉及“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。
2帐号管理与授权
2.1【基本】按照用户角分配不同权限的帐号
配置项描述 | 按照用户角分配不同的权限,实现用户权限最小化,防止用户的不当操作。 |
检查方法 | 1、执行: #more /etc/passwd 查看系统中存在的用户,确认每个帐户的home路径及启动shell; 2、与管理员确认需要锁定的帐户 |
操作步骤 | 1、执行备份: #cp –p /etc/passwd /etc/passwd_bak 2、修改帐户,保存退出 |
回退操作 | 执行: #cp /etc/passwd_bak /etc/passwd |
风险说明 | 低风险,更改用户权限可能导致某些应用无法正常运行。 |
2.2【基本】删除或锁定无用帐户
配置项描述 | 删除或锁定无用帐户,防止利用过期帐户的攻击 |
检查方法 | 1、执行: #more /etc/passwd 管理员查看是否存在无用帐户 2、对无用帐户可以锁定 3、关注日常无用帐户是否被置密码,检查etc/passwd的标志是否为!,如果是*,则需要删除密码标志位,或锁定帐户 |
操作步骤 | 1、执行备份: #cp –p /etc/passwd /etc/passwd_bak 2、锁定无用帐户: #chuser account_locked=true username |
回退操作 | 执行: #cp /etc/passwd_bak /etc/passwd #chuser account_locked=false username |
风险说明 | 低风险,被锁定的帐户无法登录系统,可能导致某些应用无法正常运行。 |
2.3【基本】禁止超级管理员帐户远程登录
配置项描述 | 禁止超级管理员帐户远程登录,超级管理员远程操作系统存在较大风险。 |
检查方法 | 执行:#more /etc/security/user 检查在root项目中是否有下列行: rlogin=false login=true su=true sugroup=system 检查SSH #more /etc/ssh/sshd_config 检查下列行设置是否为no并且该行未被注释: PermitRootLogin (禁止超级管理员运程登录的正确设置为:PermitRootLogin no) |
操作步骤 | 1、执行备份: #cp –p /etc/security/user /etc/security/user_bak #cp –p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak 2、禁止root用户远程登录系统: #chuser rlogin=false login=true su=true sugroups=system root(原) 3、禁止root用户远程ssh登录系统: #vi /etc/ssh/sshd_config 修改PermitRootLogin设置为no并保证该行未被注释,保存退出 4、重新启动ssh服务: #stopsrc –s sshd #startsrc –s sshd |
回退操作 | 执行: # cp –p /etc/security/user_bak /etc/security/user #cp /etc/ssh/sshd_config_bak /etc/ssh/sshd_config |
风险说明 | 低风险 改变维护人员操作习惯,必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限,需要重启服务,可能带来新的威胁。 另外sshd禁止root登录通常不会提示root被禁止远程登录,而是口令错误,因此,这种设置有可能会触发达到最大登录次数后锁定root帐户的风险,建议如果有阻止root远程登录,同时要将root的loginretries设为0或较大的值,防止root被锁住。 |
2.4【基本】将用户帐号分配到相应的帐户组
配置项描述 | 建立多帐户组,将用户帐号分配到相应的帐户组,为不同组的用户分配不同权限,细化权限管理。 |
检查方法 | 1、执行: #more /etc/group 查看每个组中的用户或每个用户属于那个组 2、确认需要修改用户组的用户 |
操作步骤 | 1、执行备份: #cp –p /etc/group /etc/group_bak 2、修改用户所属组: # usermod –g group username |
回退操作 | 执行: #cp /etc/group_bak /etc/group |
风险说明 | 低风险,修改用户所属组可能导致某些应用无法正常运行。 |
2.5【基本】设置口令策略满足复杂度要求
配置项描述 | 设置口令策略满足复杂度要求和口令生存周期,至少要求自然人使用的帐号满足此要求,确保足够的口令强度。 |
检查方法 | 1、执行: #more /etc/security/user 检查minage,、maxage、maxexpired、minalpha、minother、minlen、mindiff、maxrepewts、histexpire、histsize、pwdwarntime参数 |
操作步骤 | 1、执行备份: #cp –p /etc/security/user /etc/security/user_bak 2、修改策略设置: 推荐值 默认值 最大值 Minage 0 0 52 maxage 13 (5 weeks for root user) 0 52 minalpha 2 0 8 minother 1 0 8 minlen 6 (8 for root user) 0 8 mindiff 3 0 8 histsize 5 0 50 pwdwarntime 28 0 0 修改各参数的值,保存退出 |
回退操作 | 执行: #cp /etc/security/user_bak /etc/security/user |
风险说明 | 中风险,可能导致非root用户修改自己的密码时多次不成功。 |
2.6【基本】检查口令生存周期要求
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论