AIX操作系统安全配置规范.doc

资源描述

AIX安全配置程序 1账号认证编号：安全要求-设备-通用-配置-1 要求容应删除或锁定与设备运行、维护等工作无关的账号。系统存在不可删除的置账号，包括root,bin等。操作指南 1、参考配置操作删除用户：#rmuser –p username; 锁定用户： 1)修改/etc/shadow文件，用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#chuser account_locked=TRUE username#passwd -l username 只有具备超级用户权限的使用者方可使用，#chuser account_locked=TRUE username#passwd -l username锁定用户,用#chuser account_locked=FALSEusername#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd 检测方法 1、判定条件被删除或锁定的账号无法登录成功； 2、检测操作使用删除或锁定的与工作无关的账号登录系统； 3、补充说明需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd 编号：安全要求-设备-通用-配置-2 要求容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南参考配置操作编辑/etc/security/user，加上：如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 2、补充操作说明检测方法 1、判定条件 root远程登录不成功，提示“Not on system console”；普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录；普通用户从远程使用telnet登录； root从远程使用ssh登录；普通用户从远程使用ssh登录； 3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 2密码策略编号：安全要求-设备-通用-配置-3 要求容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南 1、参考配置操作 chsec -f /etc/security/user -s default -aminlen=8 chsec -f /etc/security/user -s default -a minalpha=1 chsec -f /etc/security/user -s default -a mindiff=1 chsec -f /etc/security/user -s default -a minother=1 chsec –f /etc/security/user –s default -a pwdwarntime=5 minlen=8 #密码长度最少8位 minalpha=1 #包含的字母最少1个 mindiff=1 #包含的唯一字符最少1个 minother=1#包含的非字母最少1个 pwdwarntime=5 #系统在密码过期前5天发出修改密码的警告信息给用户 2、补充操作说明检测方法 1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置； 2、检测操作 1、检查口令强度配置选项是否可以进行如下配置： i. 配置口令的最小长度； ii. 将口令配置为强口令。 2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以与长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。编号：安全要求-设备-通用-配置-4 要求容对于采用静态口令认证技术的设备，口令的生存期不长于12周（84天）。操作指南 1、参考配置操作方法一： chsec -f /etc/security/user -s default -ahistexpire=12 方法二：用vi或其他文本编辑工具修改chsec -f /etc/security/user文件如下值： histexpire=13 histexpire=13 #密码可重复使用的星期为12周（84天） 2、补充操作说明检测方法 1、判定条件密码过期后登录不成功； 2、检测操作使用超过84天的口令登录会提示密码过期；编号：安全要求-设备-通用-配置-5 要求容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近3次（含3次）已使用的口令。操作指南 1、参考配置操作方法一： chsec -f /etc/security/user -s default -a histsize=3 方法二：用vi或其他文本编辑工具修改chsec -f /etc/security/user文件如下值： histsize=3 histexpire=3 #可允许的密码重复次数检测方法 1、判定条件设置密码不成功 2、检测操作 cat /etc/security/user，设置如下 histsize=3 3、补充说明默认没有histsize的标记，即不记录以前的密码。编号：安全要求-设备-通用-配置-6 要求容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过5次（不含5次），锁定该用户使用的账号。操作指南 1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定： chsec -f /etc/security/user -s default -a loginretries=5 2、补充操作说明检测方法 1、判定条件被锁定，不再提示让再次登录； 2、检测操作创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登录5次以上（不含5次）； 3审核授权策略编号：安全要求-设备-通用-配置-7 (1) 设置全局审核事件配置/etc/security/audit/config文件，审核特权和应用管理员登录、注销，用户增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_JobAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER_Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2) 审核系统安全文件修改配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号：安全要求-设备-通用-配置-8 要求容在设备权限配置能力，根据用户的业务需要，配置其所需的最小权限。操作指南 1、参考配置操作通过chmod命令对目录的权限进行实际设置。补充操作说明 chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod -R go-w,o-r /etc/security /etc/passwd 所有用户都可读，root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 必须所有用户都可读，root用户可写 –rw-r—r— 使用如下命令设置： chmod 644 /etc/passwd chmod 644 /etc/group 如果是有写权限，就需移去组与其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w,o-r /etc 检测方法 1、判定条件 1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行； 2、记录能够配置的权限选项容； 3、所配置的权限规则应能够正确应用，即用户无法访问授权围之外的系统资源，而可以访问授权围之的系统资源。 2、检测操作 1、利用管理员账号登录系统，并创建2个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以与可访问系统资源和命令的选项； 3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以与可用命令等方面予以体现； 4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的容和不允许访问的容，查看权限配置策略是否生效。 3、补充说明编号：安全要求-设备-AIX-配置-9 要求容控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户与别的组的用户修改该用户的文件或更高限制。操作指南参考配置操作 A.设置所有存在账户的权限： lsuser -a home ALL | awk '{print $1}' | while read user; do chuser umask=0277 $user done vi /etc/default/login在末尾增加umask 027 B.设置默认的profile，用编辑器打开文件/etc/security/user，找到umask这行，修改如下： Umask=0277 2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。检测方法 1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉； 2、检测操作查看新建的文件或目录的权限，操作举例如下： #ls -l dir ; #查看目录dir的权限 #cat /etc/default/login 查看是否有umask 027容 3、补充说明 umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。 umask的计算： umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。 4日志配置策略本部分对AIX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。编号：安全要求-设备-通用-配置-10 要求容设备应配置日志功能，对用户登录进行记录，记录容包括用户登录使用的账号，登录是否成功，登录时间，以与远程登录时，用户使用的IP地址。操作指南 1、参考配置操作修改配置文件vi /etc/syslog.conf，加上这几行： auth.info\t\t/var/adm/authlog *.info;auth.none\t\t/var/adm/syslog\n" 建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 配置日志文件权限，如下命令： chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 重新启动syslog服务，依次执行下列命令： stopsrc -s syslogd startsrc -s syslogd AIX系统默认不捕获登录信息到syslogd，以上配置增加了验证信息发送到/var/adm/authlog和/var/adm/syslog，并设置了权限为其他用户和组禁止读写日志文件。 2、补充操作说明检测方法 1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址。 2、检测操作 cat /var/adm/authlog cat /var/adm/syslog 3、补充说明编号：安全要求-设备-通用-配置-11 要求容设备应配置日志功能，记录对与设备相关的安全事件。操作指南 1、参考配置操作修改配置文件vi /etc/syslog.conf，配置如下类似语句： *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件。 2、补充操作说明编号：安全要求-设备-AIX-配置-12 要求容启用核级审核操作指南 1、参考配置操作开始审计用如下命令： #audit on 下一次系统启动自动执行审计用如下命令： mkitab -i cron "audit:2:once:/usr/sbin/audit start 2>&1 > /dev/console" telinit q echo "audit shutdown" >> /usr/sbin/shutdown 2、补充操作说明审计能跟踪和记录系统发生的活动，一个组或一个用户的行为。详细请参考如下文件的第二个章节.redbooks.ibm./redbooks/pdfs/sg246020.pdf 检测方法判定条件能设定审核的容并分析查看检测操作设定审核条件后用命令可查看： audit start 3、补充说明 5.5 IP协议安全策略编号：安全要求-设备-通用-配置-13 要求容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。操作指南 1、参考配置操作把如下shell保存后，运行，会修改ssh的安全设置项： unalias cp rm mv case `find /usr /etc -type f | grep -c ssh_config$` in 0) echo "Cannot find ssh_config" ;; 1) DIR=`find /usr /etc -type f 2>/dev/null | \ grep ssh_config$ | sed -e "s:/ssh_config::"` cd $DIR cp ssh_config ssh_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; { print }' ssh_config.tmp > ssh_config if [ "`grep -El ^Protocol ssh_config`" = "" ]; then echo 'Protocol 2' >> ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ;; *) echo "You have multiple sshd_config files. Resolve" echo "before continuing." ;; esac #也可以手动编辑 ssh_config，在 "Host *"后输入 "Protocol 2"， cd $DIR cp sshd_config sshd_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; /^#? *X11Forwarding/ \ { print "X11Forwarding yes"; next }; /^#? *IgnoreRhosts/ \ { print "IgnoreRhosts yes"; next }; /^#? *RhostsAuthentication/ \ { print " RhostsAuthentication no"; next }; /^#? *RhostsRSAAuthentication/ \ { print "RhostsRSAAuthentication no"; next }; /^#? *HostbasedAuthentication/ \ { print "HostbasedAuthentication no"; next }; /^#? *PermitRootLogin/ \ { print "PermitRootLogin no"; next }; /^#? *PermitEmptyPasswords/ \ { print "PermitEmptyPasswords no"; next }; /^#? *Banner/ \ { print "Banner /etc/motd"; next }; {print}' sshd_config.tmp > sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用ssh2版本 X11Forwarding yes #允许窗口图形传输使用ssh加密 IgnoreRhosts yes#完全禁止SSHD使用.rhosts文件 RhostsAuthentication no #不设置使用基于rhosts的安全验证 RhostsRSAAuthentication no #不设置使用RSA算法的基于rhosts的安全验证 HostbasedAuthentication no #不允许基于主机白方式认证 PermitRootLogin no #不允许root登录 PermitEmptyPasswords no #不允许空密码 Banner /etc/motd #设置ssh登录时显示的banner 2、补充操作说明查看SSH服务状态： # ps –elf|grep ssh 检测方法判定条件 # ps –elf|grep ssh 是否有ssh进程存在 2、检测操作查看SSH服务状态： # ps –elf|grep sshlssrc –s sshd 查看telnet服务状态： # ps –elf|grep telnetlssrc –t telnet 6路由协议安全策略编号：安全要求-设备-AIX-配置-14 要求容主机系统应该禁止ICMP重定向，采用静态路由。操作指南参考配置操作 A.把以下网络参数保持到一个文本里： cat <<EOF > /etc/-tune #!/bin/ksh # 优化参数，抵制 SYN-flood 攻击 /usr/sbin/no -o clean_partial_conns=1 # 不允许被SMURF广播攻击 /usr/sbin/no -o directed_broadcast=0 # 不允许其他机器重新设置此机网络掩码 /usr/sbin/no -o icmpaddressmask=0 # 忽略ICMP重定向报文并不发送它们. /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendredirects=0 # 拒绝任何源路由报文 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o nonlocsrcroute=0 EOF B.赋予执行权限 chmod +x /etc/-tune C.将新的记录添加到/etc/inittab中，并告知init命令在启动rctcpip之后执行/etc/-tune mkitab -i rctcpip "rcnettune:2:wait:/etc/-tune > \ /dev/console 2>&1" 2、补充操作说明 /usr/sbin/no命令是管理网络调整参数的 mkitab命令是在/etc/inittab添加启动记录的检测方法 1、判定条件在/etc/rc2.d/S??inet搜索看是否有ndd -set /dev/ip ip_send_redirects=0容 /etc/rc2.d/S69inet中包含的是 ndd -set /dev/ip ip6_send_redirects=0 2、检测操作查看当前的路由信息： #netstat -rn 3、补充说明编号：安全要求-设备-AIX-配置-15 要求容对于不做路由功能的系统，应该关闭数据包转发功能。操作指南参考配置操作恶意用户可以使用IP重定向来修改远程主机中的路由表，因此发送和接受重定向信息报都要关闭： /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendredirects=0 通过源路由，攻击者可以尝试到达部IP地址，因此不接受源路由信息包可以防止部网络被探测： /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o nonlocsrcroute=0 调整广播Echo响应以防止Smurf攻击，不响应直接广播： /usr/sbin/no -o directed_broadcast=0 vi /etc/init.d/inetinit IP Forwarding (IP转发) a. 关闭IP转发 /usr/sbin/no -o ipsrcrouteforward=0/usr/sbin/no -o ipsrcrouterecv=0/usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o nonlocsrcroute=0 b. 严格限定多主宿主机,如果是多宿主机，还可以加上更严格的限定防止ip spoof的攻击 ndd -set /dev/ip ip_strict_dst_multihoming 1 c. 转发包广播由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭这一特性 ndd -set /dev/ip ip_forward_directed_broadcasts 0 路由： a. 关闭转发源路由包 ndd -set /dev/ip ip_forward_src_routed 0 2、补充操作说明注意：启动过程中IP转发功能关闭前AIX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。对于AIX 2.4(或者更低版本)，在/etc/init.d/inetinit文件的最后增加一行　　ndd -set /dev/ip ip_forwarding 0 对于AIX 2.5(或者更高版本),在/etc目录下创建一个叫notrouter的空文件， touch /etc/notrouter 检测方法 1、判定条件 2、检测操作查看/etc/init.d/inetinit文件 cat /etc/init.d/inetinit 3、补充说明注意：启动过程中IP转发功能关闭前AIX主机依旧可以在多块网卡之间进行IP转发,存在小小的潜在安全隐患。 7服务与启动项策略编号：安全要求-设备-AIX-配置-16 要求容列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。操作指南参考配置操作查看所有开启的服务： #ps –e -f 方法一：手动方式操作在inetd.conf中关闭不用的服务首先复制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务,即可。重新启用该服务，使用命令： refresh –s inetd 方法二：自动方式操作 A.把以下复制到文本里： for SVC in ftp telnet shell kshell login klogin exec \ echo discard chargen daytime time ttdbserver dtspc; do echo "Disabling $SVC TCP" chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd \ echo discard chargen daytime time cmsd; do echo "Disabling $SVC UDP" chsubserver -d -v $SVC -p udp done refresh -s inetd B.执行命令： #sh dis_server.sh 2、补充操作说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。 Tcp服务如下： ftp telnet shell kshell login klogin exec UDP服务如下： ntalk rstatd rusersd rwalld sprayd pcnfsd 注意：改变了“inetd.conf”文件之后，需要重新启动inetd。对必须提供的服务采用tcpwapper来保护并且为了防止服务取消后断线，一定要启用SSHD服务，用以登录操作和文件传输。检测方法 1、判定条件所需的服务都列出来；没有不必要的服务； 2、检测操作查看所有开启的服务:cat /etc/inet/inetd.conf,cat /etc/inet/services 3、补充说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务。 Tcp服务如下： ftp telnet shell kshell login klogin exec UDP服务如下： ntalk rstatd rusersd rwalld sprayd pcnfsd 注意：改变了“inetd.conf”文件之后，需要重新启动inetd。对必须提供的服务采用tcpwapper来保护编号：安全要求-设备-AIX-配置-17 要求容 NFS服务：如果没有必要，需要停止NFS服务；如果需要NFS服务，需要限制能够访问NFS服务的IP围。操作指南参考配置操作根据本机角色挑选下面的之一执行： A.禁止NFS服务端命令 [ ` 2>&1 | \ grep -c "not installed"` -eq 0 ] && \ /usr/lib/instl/sm_inst installp_cmd -u \ -f'.nis.server' B.禁止nfs客户端命令： [ ` 2>&1 | \ grep -c "not installed"` -eq 0 ] && \ /usr/lib/instl/sm_inst installp_cmd -u \ -f'.nis.client' 限制能够访问NFS服务的IP围：编辑文件：vi /etc/hosts.allow 增加一行:nfs: 允许访问的IP 2、补充操作说明需要判断本机的NFS角色是否服务端或客户端检测方法 1、判定条件 NFS状态显示为：disabled；或者只有规定的IP围可以访问NFS服务； 2、检测操作查看nfs进程： #ps –elf|grep nfs 查看NFS服务端是否安装，如没安装返回 not installed # 查看NFS客户端是否安装，如没安装返回 not installed # 若需要NFS服务，查看能够访问NFS服务的IP围：查看文件：cat /etc/hosts.allow 3、补充说明编号：安全要求-设备-AIX-配置-18 要求容列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。Zi 操作指南 1、参考配置操作 A.关闭sendmail服务： stopsrc -s sendmail chrctcp -d sendmail cd /var/spool/cron/crontabs crontab -l > root.tmp if [ `grep -c "sendmail -q" root.tmp` -eq 0 ]; then echo "0 * * * * /usr/sbin/sendmail -q" >> root.tmp crontab root.tmp fi rm -f root.tmpB.关闭NFS服务 [ -f /etc/exports ] && rm -f /etc/exports C.关闭NFS客户端 rmnfs –B D.关闭GUI登录界面 chmod ug-s /usr/dt/bin/dtaction \ /usr/dt/bin/dtappgather /usr/dt/bin/dtprintinfo /usr/dt/bin/dtsession /usr/dt/bin/dtconfig -d E.关闭不经常使用的服务for SVC in routed gated named timed rwhod mrouted \ snmpd hostmibd dpid2 lpd portmap autoconf6 \ ndpd-router ndpd-host; do echo "Turning off $SVC" stopsrc -s $SVC chrctcp -d $SVC done for SVC in piobe i4ls dlite pmd writesrv; do echo "Turning off $SVC" stopsrc -s $SVC rmitab $SVC done 2、补充操作说明需根据每台机器的角色，选取必须的服务，其余的可关闭，以上的语句需要适量修改，不要照搬运行。检测方法 1、判定条件所列进程和服务都是必需的； 2、检测操作用ps –e -f检查是否还有无关进程启动。 5.8其他安全策略编号：安全要求-设备-通用-配置-19 要求容对于具备字符交互界面的设备，应配置定时自动登出。操作指南 1、参考配置操作可以在下列文件中用文本编辑工具增加一行配置： /etc/profile, /etc/environment /etc/security/.profile 增加如下行： TMOUT=300 ; TIMEOUT=300 ; export readonly TMOUT TIMEOUT 改变这项设置后，重新登录才能有效

展开阅读全文