AIX操作系统安全配置规范

AIX安全配置程序1 账号认证编号：安全要求-设备-通用-配置-1编号：安全要求-设备-通用-配置-22密码策略编号：安全要求-设备-通用-配置-3编号：安全要求-设备-通用-配置-4编号：安全要求-设备-通用-配置-5编号：安全要求-设备-通用-配置-63审核授权策略编号：安全要求-设备-通用-配置-7(1)设置全局审核事件配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。

classes:custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime(2)审核系统安全文件修改配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。

/etc/security/environ:w = "S_ENVIRON_WRITE"/etc/security/group:w = "S_GROUP_WRITE"/etc/security/limits:w = "S_LIMITS_WRITE"/etc/security/login.cfg:w = "S_LOGIN_WRITE"/etc/security/passwd:r = "S_PASSWD_READ"w = "S_PASSWD_WRITE"/etc/security/user:w = "S_USER_WRITE"/etc/security/audit/config:w = "AUD_CONFIG_WR"编号：安全要求-设备-通用-配置-8编号：安全要求-设备-AIX-配置-94日志配置策略本部分对AIX操作系统设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。

AIX系统安全配置指南1. 远程访问控制 ........................................................................... - 2 -1.1.登陆限制 .......................................................................... - 2 -1.2.登陆屏幕欢迎词 .............................................................. - 2 -1.3.离开时锁定 ...................................................................... - 3 -1.4.强制自动注销 .................................................................. - 3 -2. 用户帐户安全 ........................................................................... - 4 -2.1. Root 帐户......................................................................... - 4 -2.2. 禁用直接 root 用户登录................................................ -4 -2.3. 用户帐户控制 .................................................................. - 5 -2.4. 禁用不需要的默认帐户 .................................................. - 6 -3. 密码安全 ................................................................................... - 7 -3.1. 设置强密码 ...................................................................... - 7 -3.2.设置密码策略 .................................................................. - 7 -4. AIX系统日常检查 ................................................................... - 9 -1. 远程访问控制1.1. 登陆限制要防止潜在黑客较难通过猜测密码来攻击系统，请在/etc/security/login.cfg 文件中设置登陆控制： 属性 用于PtYs(网络) 用于TTYs 建议值注释Sad_enabled Y Y false 很少需要“安全注意键”。

操作系统安装规范中国外汇交易中心工程运行部修订记录目录修订记录 (2)安全要求核对表 (4)1.适用环境 (6)2.安装选项 (6)3.软件安装清单 (7)3.1.系统自带 (7)3.2.扩展 (7)4.用户和组 (9)4.1.组 (9)4.2.用户 (9)5.存储和文件系统 (10)5.1.rootvg的配置 (10)5.2.vg的缺省配置参数 (10)5.3.rootvg中的文件系统 (10)6.系统补丁 (12)6.1.iFix IV07564 (12)6.2.eFix IZ96883 (12)7.系统环境设置 (12)7.1.Shell (12)7.2.内核 (13)7.3.limit配置 (13)7.4.root用户 (14)7.4.1.主目录 (14)7.4.2.profile文件 (14)7.5.NTP (15)6.5 sysdump (15)6.6 存储相关参数 (15)8.系统安全设置 (17)8.1.登录控制策略（/etc/security/login.cfg） (17)8.2.禁用和清理帐户 (17)8.3.用户设置(/etc/security/user) (17)8.4.主机信任安全 (18)8.5.SSH安装和配置 (18)8.6.网络安全参数 (19)8.7.资源控制（/etc/security/limits） (19)8.8.主机日志审计（生产环境） (19)8.9.停止以下服务 (19)8.10.更改SNMP服务community name (20)8.11.数据库账号管理 (21)8.12.网络参数 (21)安全要求核对表1.适用环境操作系统：AIX操作系统位数：64位以AIX 6.1为例，操作系统版本需遵循最新的《版本规划》，具体配置可根据实际情况调整并作记录。

2.安装选项使用缺省值3.软件安装清单3.1.系统自带3.2.扩展4.用户和组4.1.组根据配置数据“服务器用户和组”，创建以下几类组：1.操作人员组: support2.系统管理和维护组: duty，rtbridge,itmsuptmkgroup -'A' id='2011' rtbridgemkgroup -'A' id='2004' itmsupt3.数据库和中间件组：oracle,oper,dba,db2grp1,mkgroup -'A' id='3001' oraclemkgroup -'A' id='3002' opermkgroup -'A' id='3003' dba4.2.用户根据配置数据“服务器用户和组”，创建以下几类用户1.“场务值班”用户: support2.“系统组”用户：rtbridge,个人用户举例：mkuser -a pgrp= rtbridge groups=rtbridge home=/home/rtbridge shell=/usr/bin/ksh id=2011 rtbridge3.“数据库和中间件”用户：4.“应用”用户：5.“监控、备份等管理系统的帐户”: itmsuptmkuser -a pgrp=itmsupt groups= itmsupt home=/home/itmsupt id=2004 itmsupt5.存储和文件系统5.1.rootvg的配置rootvg中应包含两块pvrootvg中的逻辑卷，如存储设备不能提供底层镜像，都应配置成MIRROR方式5.2.vg的缺省配置参数如果业务系统没有特殊要求，使用如下配置：5.3.rootvg中的文件系统注：Owner和Mod为空，则不用进行设置6.系统补丁6.1.iFix IV07564AIX 5300-12-03（仅针对该版本，AIX 5300-12-04已修复）存在一个bug，会导致javacore dump无法正常生成，修复该问题需要打iFix IV07564。

中国移动A I X操作系统安全配置规范S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o nU s e d i n C h i n a M o b i l e版本号：1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第四层：技术规范·AIX操作系统类】·【第2501号】2008-5-15发布2008-05-15实施中国移动通信集团公司发布目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明 (1)1.3外部引用说明 (3)1.4术语和定义 (3)1.5符号和缩略语 (3)2AIX设备安全配置要求 (3)2.1账号管理、认证授权 (3)2.1.1账号 (3)2.1.2口令 (6)2.1.3授权 (8)2.2日志配置要求 (10)2.3IP协议安全配置要求 (13)2.3.1IP协议安全 (13)2.3.2路由协议安全 (14)2.4设备其他安全配置要求 (15)2.4.1屏幕保护 (15)2.4.2文件系统及访问权限 (16)2.4.3补丁管理 (16)2.4.4服务 (17)2.4.5启动项 (19)前言本标准由中国移动通信有限公司网络部提出并归口。

本标准由标准提出并归口部门负责解释。

本标准起草单位：中国移动通信有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：中国移动集团浙江公司徐良1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。

本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。

1.2 内部适用性说明本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的AIX操作系统安全配置要求。

以下分项列出本规范对《通用规范》设备配置要求的修订情况：安全要求-设备-AIX-配置-4-可选安全要求-设备-AIX-配置-5-可选安全要求-设备-AIX-配置-6安全要求-设备-AIX-配置-12-可选安全要求-设备-AIX-配置-13-可选安全要求-设备-AIX-配置-18-可选安全要求-设备-AIX-配置-19-可选安全要求-设备-AIX-配置-21-可选安全要求-设备-AIX-配置-22-可选安全要求-设备- AIX -配置-23-可选安全要求-设备- AIX -配置-24-可选安全要求-设备- AIX -配置-27-可选安全要求-设备- AIX -配置- 28-可选安全要求-设备- AIX -配置-30-可选安全要求-设备- AIX -配置-31-可选安全要求-设备- AIX -配置-32-可选安全要求-设备- AIX -配置-33安全要求-设备- AIX -配置-34-可选安全要求-设备- AIX -配置-35-可选安全要求-设备- AIX -配置-36-可选安全要求-设备- AIX -配置-PZ -37本规范还针对直接引用《通用规范》的配置要求，给出了在AIX操作系统上的具体配置方法和检测方法。

AIX操作系统安全配置手册许新新2011-6-8 版本号：目录1. 引言.................................................. 错误!未定义书签。

2. 用户管理.............................................. 错误!未定义书签。

用户账号安全设置.................................... 错误!未定义书签。

删除一个用户账号.................................... 错误!未定义书签。

禁止root用户直接登录............................... 错误!未定义书签。

用户登录审计........................................ 错误!未定义书签。

密码规则设置........................................ 错误!未定义书签。

文件和目录的默认访问权限............................ 错误!未定义书签。

用户错误登录次数过多导致账号被锁定.................. 错误!未定义书签。

查看密码的上次修改时间.............................. 错误!未定义书签。

chpasswd和pwdadmin命令的使用...................... 错误!未定义书签。

3. 网络安全.............................................. 错误!未定义书签。

安装SSH文件集并设置................................ 错误!未定义书签。

TELNET和SSH的安全性比较........................... 错误!未定义书签。

禁止TELNET、FTP、RLOGIN等网络服务.................. 错误!未定义书签。

AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制：要实施分级访问控制机制，明确管理者和普通用户
的访问等级，并分配不同的权限，使不同的用户层次由不同的权限控制。

2. 加强密码的安全策略：要加强密码的安全策略，包括定期更改密码，禁止使用过于简单的密码，不要在没有严格安全限制的情况下使用
root 权限。

3. 运行级别：禁止用户以root 身份登录系统，只有当用户需要以root 身份执行一些操作时，才能以root 身份登录，否则以普通用户身
份登录。

4.防火墙：根据网络的具体情况，采用专用防火墙或者网络模式的防
火墙，控制和限制外部计算机的访问权限。

5. 禁止外部访问：禁止外部访问系统，如FTP，telnet，外部的terminal访问等，除非有必要。

启用SSL/TLS 加密 socket 服务，防止
攻击者窃取数据。

6.定期备份：定期对重要的数据进行备份，以便在发生意外时及时进
行恢复。

7.实施流量监测：实施流量监测，实时检测系统中的网络流量和活动，以便及时捕获非法活动。

AIX系统安全配置1 身分识别1.1 账户设定1.2 推荐用户属性6.1.3用户帐户控制6.1.4登录用户标识1.5 使用访问控制表增强用户安全性1.6 停用无用的账户(Unnecessary Accounts)2 身分验证2.1 设定BIOS通行码2.2 设定账户密码2.3 使用 /etc/passwd 文件2.4 使用 /etc/passwd 文件和网络环境2.5 隐藏用户名和密码2.6 设置推荐的密码选项2.7 扩展密码限制3 访问控制3.1 保护使用者环境设定(User Configurations)3.2 使用 Noshell设置登录控制3.4 更改登录屏幕的欢迎消息3.5 更改公共桌面环境的登录屏幕3.6 设置系统缺省登录参数3.7 保护无人照管终端3.8 强制自动注销3.9 限制Root只可从控制台存取3.10 保护SUID 程序3.11 限制性的Restricted Shell3.12 检查World Writable Files3.13 使用 TCP Wrappers 限制存取4 数据保护4.1 完整性检测(Integrity Checking)4.2 使用MD5 Checksum 检查一致性5 安全事件记录5.1 加强系统日志5.2 系统错误日志工具(Systems Error Log)5.3 检查Cron 文件5.4 清除文件及目录6 网络服务设定1 防止IP 转送及主机欺骗(Host Spoofing)2 设定闲置(Inactive)的Time-out值3 关闭不必要的服务3.1 系统起动命令集(Startup-Script)3.2 /etc/inittab3.3 /etc/inetd.conf3.4 /etc/rc.nfs3.5 /etc/rc.tcpip3.6 停用TFTP3.7 停用Finger3.8 停用'r' 相关的命令服务3.9 执行securetcpip4 X-windows4.1 除去 /etc/rc.dt 文件4.2 阻止远程 X 服务器的未经授权的监视4.3 禁用和启用访问控制4.4 禁用运行 xhost 命令的用户许可权5 SNMP 服务6 Sendmail 的配置设定7 安装 SSH Secure Shell7.1 OpenSSH 编译的配置。

AIX7.1操作系统安装配置规范文档信息项目名称：AIX7.1操作系统安装配置规范文档版本号：1.0文档作者：环境保障二处生成日期：2015年7月文档审核者：环境保障二处审核日期：文档维护记录版本号维护日期作者/维护人描述1.0 2015-7-7 环境保障二处根据中心内部相关处室讨论意见及部门会商意见修订，形成正式文档2015年7月信息科技部适用范围本安装配置规范适用于AIX V7.1版。

除条文中特别规定适用范围的，本安装配置规范条文适用于总分行的生产、研发和测试等环境。

鉴于AIX7.1操作系统小版本在不断变化中，且还分为express、standard、enterprise三个版本，本文档根据standard版安装过程截取步骤及截图，若安装其他版本操作系统，文档中所涉及的步骤或截图可能与实际环境有所差异，请注意结合实际情况做出判断。

目录适用范围 (1)一、硬件配置要求(生产环境必须满足，研发测试环境供参考) (3)二、操作系统安装过程 (3)(一)准备工作 (3)(二)安装过程 (3)(三)其他软件包的安装 (20)三、操作系统的配置步骤 (21)(一)修改时区 (21)(二)修正操作系统时间 (22)(三)修改ROOT用户的密码 (23)(四)修改机器名 (23)(五)修改操作系统属性参数 (24)(六)设置系统DUMP (25)(七)VG创建及配置 (27)(八)修改系统交换空间 (31)(九)激活串口 (32)(十)修改IP地址和路由设置 (33)(十一)建立逻辑卷WORKLV (35)(十二)创建文件系统 (36)(十三)系统内核参数调优 (38)(十四)系统资源参数调整 (38)(十五)配置安全连接软件SSH (39)(十六)部署NTP服务(生产环境必须设置，研发测试环境供参考) (40)(十七)部署生产系统操作系统自动备份脚本(生产环境必须设置，研发测试环境供参考) 40四、操作系统的安全设置步骤 (41)(一)关闭所有不必要的系统服务进程 (41)(二)设置登录超时时间 (44)(三)限制用户使用SU (44)(四)操作系统用户帐户设置规范如下： (44)(五)用户密码策略设置(生产环境必须设置，研发测试环境供参考) (45)(六)系统安全其他方面的设置步骤 (47)五、双网卡配置与监控部署 (48)(一)小型机双网卡配置(生产环境必须设置，研发测试环境供参考) (48)(二)部署生产系统综合管理脚本(生产环境必须设置，研发测试环境供参考) (49)(三)部署系统集中监控平台T IVOLI监控代理(生产环境必须设置，研发测试环境供参考)50一、硬件配置要求(生产环境必须满足，研发测试环境供参考)AIX操作系统适用于IBM 小型机和刀片式基于Power系列芯片开发的机型，相应的硬件要求建议如下：➢双电源模块冗余配置（拷机过程中需进行电源冗余测试工作）。

AIX操作系统安装配置规范目录AIX操作系统安装配置规范 (1)1 系统安装配置标准 (4)2 安装配置指南 (6)2.1 操作系统安装 (6)2.2 语言包安装 (9)2.3 软件包安装 (10)2.4 补丁安装 (15)2.5 系统配置 (17)2.5.1 时区时间配置 (17)2.5.2 系统参数设置 (17)2.5.3 设置dump大小 (19)2.5.4 修改磁盘定额 (19)2.5.5 rootvg镜像 (19)2.5.6 配置TCP/IP (20)2.5.7 修改用户限制 (20)2.5.8 调整Paging Space (20)2.5.9 启动异步IO (21)2.5.10 修改系统引导映像、顺序 (22)2.5.11 syncd daemon的数据刷新频率 (22)1系统安装配置标准更改操作系统参数Maximum number ofPROCESSES allowedper userHIGH water markLOW water mark设置每个用户支持的最大进程数：chdev –l sys0 –amaxuproc=1024设置High water mark：chdev –l sys0 –a maxpout=33设置Low water mark：chdev –l sys0 –a minpout=24有HA测试需求的环境调整High water mark、Low watermark这两个值，其他无需执行设置dump大小为系统估计值和物理内存的三分之一值的较大者系统估计值：sysdumpdev -esmitty extendlv修改lg_dumplv的大小lsvg –l rootvgprtconf查看物理内存大小smitty mklvcopy 复制lg-dumplv调整PagingSpace大小如果内存>8G，则Paging Space大小和内存一样大如果内存<=8G ，则Paging Space大小是内存的1.5倍lsps –a 查看当前页面空间的大小lsvg rootvg查看smitty chps调整用户限制default： fsize=-1cpu=-1nofiles=-1vi /etc/security/limits将default段中3个值改为-1default： fsize=-1cpu=-1nofiles=-1配置TCP/IP根据实际情况进行配置smitty mktcpip适当增大rootvg的文件系统/usr为10G，/softinstall为5G，其他rootvg文件系统为1Gchfs –a size=10G /usr文件系统路径smitty jfs2 创建文件/softinstallmount /softinstall 挂载rootvg镜像确保rootvg中有两块内置磁盘，且互为镜像smitty extendvgextend rootvg hdisk1将hdisk1添加到rootvgsmitty mirrorvgbosboot –a 写入ha不选2安装配置指南2.1操作系统安装将AIX系统光盘放进主机的cdrom中，启动主机，选1进入到SMS Menu，选择从光盘引导启动。

系统安全配置技术规范—AIX文档说明（一）变更信息（二）文档审核人目录1适用范围5 2帐号管理与授权52.1【基本】按照用户角色分配不同权限的帐号52.2【基本】删除或锁定无用帐户52.3【基本】禁止超级管理员帐户远程登录62.4【基本】将用户帐号分配到相应的帐户组72.5【基本】设置口令策略满足复杂度要求72.6【基本】检查是否存在空口令帐号错误!未定义书签。

2.7【基本】检查口令生存周期要求82.8【基本】检查口令重复次数限制82.9连续认证失败次数92.10设置文件权限92.11删除除ROOT外的UID为0的用户102.12系统UMASK设置102.13只允许ROOT用户使用AT/ CRON11 3日志配置要求123.1【基本】对用户登录认证进行记录123.2【基本】设置日志服务器123.3【基本】按帐号分配日志文件读取、修改和删除权限133.4配置日志记录与设备相关的安全事件133.5系统应用/服务LOG配置14 4IP协议安全要求154.1【基本】使用SSH远程登录154.2隐藏SSH的BANNER信息154.3远程登录的IP地址范围设定154.4禁止ICMP重定向164.5关闭数据包转发17 5服务配置要求175.1【基本】关闭不必要的服务175.2【基本】应按帐户精确设置FTP的权限185.3【基本】更新系统补丁185.4设置NTP服务器错误!未定义书签。

5.5设置连接超时自动登出19 6其它配置要求206.1为目录设置粘性位206.2查找未授权的SUID/SGID可执行文件206.3查找没有所有者的文件和目录216.4设置图形界面超时10分钟自动锁屏错误!未定义书签。

6.5设置登录时显示的警告信息216.6禁止X S ERVER监听6000/TCP端口216.7防止堆栈缓冲溢出221适用范围如无特殊说明，本规范所有配置项适用于AIX操作系统6.x系列或以上版本。

其中有“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未涉及“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。

艾克斯系统安全组态基准线中国移动沟通有限公司管理信息系统部2009年3月备注：1.如果该文档将来需要更新，请创建它填写版本控制表单，否则删除版本控制表单。

项目记录第1章总览 .................................................................................................................................... 1个1.1目的 .................................................................................................................................... 1个1.2适用范围 ............................................................................................................................ 1个1.3适用版本 ............................................................................................................................ 1个1.4实行 .................................................................................................................................... 1个1.5例外条款 ............................................................................................................................ 1个第2章帐户管理身份验证和授权 (2)2.1账号 (2)2.1.1用户帐号设置 (2)2.1.2用户组设置 (2)2.1.3用户密码设置 (3)2.1.4根用户远程登录限制 (3)2.1.5系统用户登录限制 (4)2.2密码 (4)2.2.1密码有效期安全要求 (4)2.2.2密码历史记录安全要求 (4)2.2.3用户密码锁定策略 (5)2.2.4用户访问权限安全要求 (5)2.2.5用户的FTP访问的安全性要求 (6)第3章网络与服务 (7)3.1服务 (7)3.1.1远程维护安全要求 (7)3.2互联网 (7)3.2.1 ICMP重定向安全要求 (7)第四章日志审核 (8)4.1日志记录 (8)4.1.1添加身份验证日志 (8)4.2审计 (8)4.2.1安全事件审核 (8)第五章设备的其他安全配置要求 (10)5.1设备 (10)5.1.1屏幕保护膜 (10)5.2缓冲 (10)5.2.1缓冲区溢出 (10)第六章审查和修订 (12)第1章总览1.1 目的这个文件已规定中国移动通信有限公司管理信息系统由部门维护艾克斯操作系统主机应遵循的操作系统安全设置标准。

AIX安全配置基线
AIX 系统安全配置基线
第1章帐号管理认证授权
1.1 帐号
2.1.1用户帐号设置*
2.1.2用户组设置*
2.1.3 Root用户远程登录限制
2.1.4系统用户登录限制*
2.1.5帐号用户共享限制*
2.1.6删除系统无关帐号*
2.1.7限制具备超级管理员权限的用户远程登录2.1.8多帐户组管理*
2.1.9系统帐号登陆限制*
1.2 口令
2.2.1口令生存期安全要求
2.2.2口令历史安全要求
2.2.3用户口令锁定策略*
2.2.4用户访问权限安全要求
2.2.5用户FTP访问的安全要求*
2.2.6用户口令强度要求
2.2.7用户缺省访问权限要求*
第2章网络与服务
2.1 服务
3.1.1远程维护安全要求
2.2 IP协议安全要求
3.2.1 ICMP重定向安全要求
3.2.2 系统开放的端口及服务安全要求*
3.2. 3 远程管理地址安全要求* 3.2.4 非路由设备转发限制* 第3章日志审计
3.1 日志
4.1.1添加认证日志*
3.2 审计
4.2.1安全事件审计
4.2.2系统信息日志要求*
4.2.3重点日志保存要求*。

AIX系统安全配置基线AIX是IBM公司推出的一款UNIX操作系统，常用于企业级服务器和工作站。

为了确保系统的安全稳定运行，需要进行合理的安全配置。

下面是关于AIX系统安全配置的基线建议。

1. 硬件和系统环境安全- 定期检查服务器硬件并确保没有损坏或异常- 设置密码保护BIOS和引导设备- 控制机房的物理访问权限- 定期清理服务器内部和外部的灰尘，并确保服务器通风良好2. 用户账户安全- 禁止使用默认账户和密码- 最小化系统管理员账户的数量- 启用密码复杂性策略，要求密码包括大小写字母、数字和特殊字符- 定期审计和删除未使用的账户3. 文件系统和文件权限设置- 使用ACL（访问控制列表）来更细粒度地控制文件和目录的权限- 定期审计系统文件和目录的权限设置- 设置敏感文件和目录的访问监控4. 网络安全- 使用防火墙和网络隔离来保护系统免受外部攻击- 定期更新操作系统和网络设备的补丁- 禁止不必要的网络服务和端口5. 日志和监控- 启用系统日志和监控，并定期审计日志内容- 配置入侵检测系统和安全监控系统- 对系统异常行为进行实时响应和处理6. 使用安全加密通信- 对远程访问和数据传输使用SSL/TLS协议- 配置安全的VPN来保护远程访问综上所述，AIX系统安全配置基线是确保系统安全稳定地运行的关键。

通过合理的安全配置，可以降低系统被攻击的风险，保护企业的重要数据和业务运行。

同时，定期审计和更新安全配置也是必不可少的。

希望以上建议对您进行AIX系统安全配置提供帮助。

AIX操作系统是一种UNIX操作系统，通常用于企业级服务器和工作站。

它提供了一些强大的功能和性能，但是也需要进行严格的安全配置和管理，以确保系统的安全性。

本文将继续讨论AIX系统安全配置的相关内容，并详细阐述如何执行这些配置。

7. 安全更新和漏洞管理- 定期更新操作系统和安装补丁，以修复已知的漏洞和安全问题- 使用安全更新工具来自动化漏洞管理和补丁安装- 及时关注厂商发布的安全公告和漏洞通告，并采取相应的措施8. 加密和认证- 使用安全的加密算法保护数据，如AES、RSA等- 采用双因素认证来增强用户身份验证的安全性- 配置安全的SSH协议以实现加密的远程访问9. 安全审计和合规性- 使用安全审计工具来监控用户的操作行为，并记录系统级事件- 遵循合规性标准，如PCI DSS、ISO 27001等，对系统进行合规性审计- 对系统的安全配置和操作进行定期评估和测试，以确保安全性10. 系统备份和恢复- 建立系统备份和恢复的策略，确保系统可以在遭受攻击或硬件故障时快速恢复- 对备份数据进行加密和保护，以防止数据泄露和篡改- 进行恢复测试，确保备份数据的可靠性和完整性11. 终端安全- 确保终端设备的安全性，包括台式机、笔记本、移动设备等- 对终端设备进行加密和远程锁定- 安装终端安全软件，如防病毒、防恶意软件等，进行实时监控和保护12. 灾难恢复和紧急响应- 制定灾难恢复计划和紧急响应计划，以应对系统遭受自然灾害、攻击或人为错误- 执行定期的灾难恢复演练和紧急响应演练，以验证计划的有效性- 建立紧急响应小组，进行系统事件的及时响应和处置以上是AIX系统安全配置基线的相关内容，从硬件安全到灾难恢复，都需要综合考虑来确保系统的安全性和稳定性。

AIX 操作系统详细配置步骤1）设置系统时区（非夏令时制、北京时区）和时间。

设置系统时区：“smitty chtz ”。

（如果在“安装助手阶段”配置过时区，这一步可以忽略）可以忽略）设置系统时间：“smitty date ”。

注意：在设置系统时间前必须确保时区设置正确，时区正确与否可用命令“echo $TZ ”查看（在时区不正确的情况下，设置时间是徒劳的）。

设置完时区后必须重启系统才能生效。

重启后可用命令“echo $TZ ”查看时区，正确的时区显示是BEIST-8。

然后再对系统时间作调整。

系统时间可用命令“date ”查看。

”查看。

2) 修改操作系统参数需要修改的操作系统参数包括支持的用户最大进程数、High water mark 、Low water mark 。

设置支持的用户最大进程数：“chdev chdev ––l sys0 l sys0 ––a maxuproc=2048” 设置High water mark ：“chdev chdev ––l sys0 l sys0 ––a maxpout=8193” (对于Power5以前的旧机器,建议设置为513,对于连接7133 SSA 的阵列,一定要设置为33)设置Low water mark ：“chdev chdev ––l sys0 l sys0 ––a minpout=4096” (对于Power5以前的旧机器,建议设置为256,对于连接7133 SSA 的阵列,一定要设置为24)验证方法：验证方法：验证支持的用户最大进程数：“lsattr lsattr ––El sys0 |grep maxuproc ” 显示结果应该为：显示结果应该为：maxuproc2048 Maximum number of PROCESSES allowed per user True验证High water mark 值：“lsattr lsattr ––El sys0 |grep maxpout ” 显示结果应该为：显示结果应该为：maxpout8193 HIGH water mark for pending write I/Os per file True 验证Low water mark 值：“lsattr lsattr ––El sys0 |grep minpout ”显示结果应该为：显示结果应该为：minpout4096 LOW water mark for pending write I/Os per file True3) 设置Dump 设备参数dump lv 初始大小调整原则：规定初始大小为内存大小的三分之一。

UNIX系统安全加固实施细则：1日志记录选择不合理或系统日志数据不完整设置审计，在/etc/syslog.conf文件中增加下列四行内容： /var/adm/croerr.log /var/adm/auth.loguser. warning /var/adm/user.log /var/adm/kern.log2日志记录备份建议使用磁带机定期做系统差分备份。

由系统管理员定期完成。

#mksysb3系统开启了与业务无关的服务关闭不需要的服务：#vi /etc/inetd.conf在文件中找到相关服务名称，将其注释即可。

更改后需要刷新：#refresh –s inetd。

4系统开启了与业务无关的端口关闭服务即关闭了端口，故只需找到无关服务即可。

5账户策略配置不当在/etc/security/user中修改maxrepeat=3、minlen=6；在/etc/security/login.cfg中修改maxlogin=5；6定时任务在/etc/crontab文件中注释掉不需要的定时任务。

7系统未限制能够su为root的用户在/etc/security/user中修改default中su=false；在需要保留su功能的相应账户名下添加su=ture。

8系统未开启超时自动注销功能在/etc/profile、/etc/enviroment、/etc/security/.profile文件中添加下列三行内容：TMOUT=600TIMEOUT=600export TMOUT TIMEOUT9远程管理方式配置不当关闭ftp 和telnet进程。

#vi /etc/inetd.conf。

安装SSH工具。

10操作系统存在弱口令账号建议使用长密码，包含数字，字母和符号的密码。

11访问旗标泄漏系统信息1在/etc/security/login.cfg中修改head项旗标内容。

/etc/motd中添加旗标内容。

12系统R族文件配置不合理13系统允许root用户远程登录要禁止远程登录root用户，需要编辑/etc/security/user，在root项中选定false为rlogin的值。