资源描述
AIX加固操作手册
编号
加固项
备注
1.1
禁用以下服务:
kshell(kerbores协议的shell服务) klogin(kerbores协议的login服务) exec(提供rexec远程执行命令服务) echo(字符回显测试服务)
discard(丢弃字符测试服务) chargen(发送字符测试服务) daytime(时间同步服务)
time(时间同步服务)
ntalk(基于字符的聊天服务服务) rstatd(服务器内核信息查询) rusersd(用户信息查询服务) rwalld(用户信息通告服务) sprayd(系统性能信息查询服务) pcnfsd(非UNIX客户机打印缓冲服务)
加固步骤:
1. 编辑/etc/inetd.conf文件
2. 注释以下单词开头的行:
kshell
klogin
exec
echo
discard
chargen
daytime
time
ntalk
rstatd
rusersd
rwalld
sprayd
pcnfsd服务
3. 重启服务
refresh -s inetd
回退步骤:
1. 编辑/etc/inetd.conf文件
2. 取消注释以下单词开头的行:
kshell
klogin
exec
echo
discard
chargen
daytime
time
ntalk
rstatd
ruserd
rwalld
sprayd
pcnfsd
3. 重启服务
refresh -s inetd
1.2
禁用以下服务:
sendmail(邮件服务)
routed(基于rip的路由服务) gated(多种路由协议的路由服务) named(DNS服务)
timed(时间同步服务)
rwhod(用户信息服务)
lpd(打印服务)
ndpd-router(路由服务)
ndpd-host(路由服务)
piobe(打印服务)
httpdlite(man文档查询)
writesrv(用户聊天服务)服务
加固步骤:
禁用以下服务,以sendmail服务为例:sendmail
routed
gated
named
timed
rwhod
lpd,
ndpd-router
ndpd-host
1.检查服务开启情况
lssrc -a
2. 停止sendmail服务
stopsrc -s sendmail
3. 禁止sendmail自启动
chrctcp -d sendmail
禁用以下服务,以piobe为例
piobe
httplite
writesrv服务
1. 停止piobe服务
stopsrc -s piobe
2. 禁止piobe服务自启动
编辑/etc/inittab,在piobe开头的行前增加分号
回退步骤:
启用以下服务,以sendmail服务为例:sendmail
routed
gated
named
timed
rwhod
lpd,
ndpd-router
ndpd-host
1. 启动sendmail服务
startsrc -s sendmail
2. 设置sendmail服务自启动
chrctcp -a sendmail
启用以下服务,以piobe为例
piobe
httplite
writesrv
1. 启动piobe服务
startsrc -s piobe
2. 允许piobe服务自启动
编辑/etc/inittab,取消piobe行的注释(分号)
1.3
加强snmp community复杂度
加固步骤:
1. 编辑/etc/snmpd.conf
2. 如果community string为public,则修改public为cpic
3. 重启snmpd服务
refresh -s snmpd
回退步骤:
1. 编辑/etc/snmpd.conf
2. 修改cpic为public
3. 重启snmpd服务
refresh -s snmpd
1.4
禁止syslog接收网络日志
加固步骤:
1.设置syslogd参数
chssys -s syslogd –a “-r”
2. 重启syslogd服务
stopsrc -s syslogd
startsrc -s syslogd
回退步骤:
操作如下:
1.设置syslogd参数
chssys -s syslogd –a “”
2. 重启syslogd服务
stopsrc –s syslogd
startsrc -s syslogd
1.5
设置所有人可写目录的sticky位
加固步骤:
find / -type d \( -perm -0002 -a ! -perm -1000 \) -print -exec chmod +t {} \;find / -xdev -type d \( -perm -0002 -a ! -perm -1000 \) –print –exec chmod +t {} \;
回退步骤:
如果某个用户test需要写test1拥有的文件file1,file1所在目录为dir1,修改如下:
chmod -t dir1
1.6
规范基于rhosts认证的信任关系
1. 查找/etc/hosts.equiv与~/.rhosts文件,~/.rhosts查找方法如下:
find / -name ‘.rhosts’ -print
2. 如果/etc/hosts.equiv或~/.rhosts文件中存在+号,与系统管理员确认信任关系后删除”+”号,重新设置详细的信任关系
1.7
禁止系统用户使用ftp服务
1.编辑或创建/etc/ftpusers
2. 每个系统帐号一行,系统帐号如下:
daemon bin sys adm uucp guest nobody lpd lp invscout invscout ipsec nuucp
1.8
限制cron的使用
编辑或创建/var/adm/cron/cron.allow文件, 增加如下行:
每行都为/var/spool/cron/crontabs目录中一个文件名
1.9
禁止系统帐号登陆
1.编辑/etc/passwd
2. 设置系统帐号的登录shell为空,系统帐号如下:
daemon bin sys adm uucp guest nobody lpd lp invscout invscout ipsec nuucp
1.10
设置密码策略
注意:设置密码最小长度会影响以前密码不符合长度的用户,这步应由系统管理员导出系统帐号,跟应用相关人员确认,如果不符合需先修改密码后再做这一步
加固步骤:
1. 设置密码最小长度8
chsec -f /etc/security/user -s default -a minlen=8
回退步骤:
如果需要设置密码最小长度为6,如下
chsec -f /etc/security/user -s default -a minlen=6
1.11
确保系统的超级用户都是合法的
1. 编辑/etc/passwd
2. 如果存在其他uid为0的非root用户,确保其是合法的
1.12
限制root用户远程登录
加固步骤:
chuser rlogin=false root
回退步骤:
chuser rlogin=true root
第7页 共7页
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
