AIX安全加固操作手册
AIX系统安全配置手册资料
AIX系统安全配置1 身分识别1.1 账户设定只有特定的授权帐户可用来增加用户及群组,此为AIX默认值且不应被更改;一般帐户不应该有多余的管理权限,此为AIX默认值且不该被更改;只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。
以用来防止非法存取系统,或集中攻击有特别权限的帐户,此为AIX默认值且不该被更改;只有特定的授权帐户可用来检查使用者状态。
为防止入侵者存取非公开系统资料,用户状态资料仅可由特定帐户取得。
这一点在AIX仅部份可行,因为如果使用者锁定,则其它使用者无法看到此使用者,但却可使用 who 命令来检查登陆的帐户;只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。
以用来防止非法存取系统,或集中攻击有特别权限的群组,此为AIX默认值且不该被更改;只有特定的授权帐户可用来更改授权帐户数目。
太多的用户同时使用某应用系统可能影响系统稳定性,此为AIX默认值且不该被更改;系统管理员群组的人员不可存取所有资源,管理群组的人员应只能存取工作上所需用的资源。
存取所有资源不应被允许,此为AIX默认值且不该被更改;一般用户不可存取特定系统文件及命令。
系统命令及程序只能被特定帐户使用,一般用户不可存取此类功能。
应通过权限控制管理来进行限制,此为AIX默认值且不该被更改;权限的控制管理应在文件产生时即被设置,仅有文件的产生者能读取、写入、执行或删除此文件,使用者的 umask设定为仅允许文件产生者存取 (例外:root 用户可存取系统所有文件)。
Umask的设定控制了文件除了删除外的权限,删除的权限则根据文件所在目录的权限位来决定;最少权限机制应被应用,以确保应用程序以最少权限执行,所有应用程序的授权应保持最低权限;只有特别的授权帐户可安装软件或加入新设备到系统中,并安装安全的更新修正程序,此为AIX默认值且不该被更改;存取系统资源取决于使用者及群组的身份,使用者的权限可能多于其群组的权限;1.2 推荐用户属性推荐以下属性:每个用户应有一个不与其它用户共享的用户标识。
aix安全加固方案
1IBM AIX系统1.1 系统维护升级加固1.下载系统推荐维护包¾在AIX操作系统中,补丁修正软件包分为维护包和推荐维护包:维护包(Maintenance Levels,简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。
每个文件集的更新都是累计的,即它包含了AIX 4.3发布以来的所有那个文件集的补丁,并替换了所有以前的更新。
维护包(ML)的命名规则是4位的 VRMF:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。
可以通过安装ML来升级操作系统的改进版号modification,例如,从4.3.0.0升级到4.3.3.0。
¾推荐维护包(Recommended Maintenance,简称RM)是由一系列适用于最新的ML的文件集组成的软件包,它由一系列经过较多实测过的更新的文件集组成。
通过安装RM,可以使你的系统拥有较新的文件集,但它不能升级系统版本。
推荐维护包(RM)的命名规则是4位的 VRMF,再加两位数字后缀:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance如 4330-01 是 4330 的第1个推荐维护包(RM)。
可以用以下的命令来判定是否4330-01已经安装在系统里,oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330:instfix -ik 4330-01_AIX_ML我们可以通过该网站()下载ML或RM,并通过gzip解压缩,然后按照如下提示的详细信息进行安装。
2.解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3.用df检查系统硬盘空间大小,确保/,/usr,/var,/tmp等目录有足够的空间。
信息安全手册之系统加固指南
信息安全手册之系统加固指南操作系统加固标准操作环境允许用户设置、配置和维护自己的工作站或服务器可能会创建一个不一致的环境,其中特定的工作站或服务器比其他工作站或服务器更容易受到攻击。
这种类型的环境可以很容易地让对手在网络上获得最初的立足点。
标准操作环境(SOE)是操作系统和应用程序的标准化实施,旨在确保一致且安全的基线。
当国有企业从服务提供商等第三方获得时,应考虑网络供应链风险,例如意外或故意包含恶意内容或配置。
为了减少此类事件的可能性,组织不仅应该从可信来源获取其国有企业,而且还应该在使用前对其进行扫描,以确保其完整性。
由于操作环境的配置会随着时间的推移而自然而变化(例如,应用补丁,更改配置以及添加或删除应用程序),因此必须至少每年审查和更新一次SOE,以确保保持更新的基线。
SOE用于工作站和服务器。
第三方提供的 SOE 在使用之前会扫描恶意内容和配置。
国有企业至少每年进行一次审查和更新。
操作系统版本和版本较新版本的操作系统通常会在安全功能方面比旧版本有所改进。
这可能会使攻击者更难以为他们发现的安全漏洞创建可靠的漏洞。
使用较旧的操作系统版本,特别是那些不再受供应商支持的操作系统,使组织暴露于开发技术,这些技术后来在较新版本中得到了缓解。
x64(64位)版本的 Microsoft Windows 包括 x86(32 位)版本所缺乏的其他安全功能。
使用x86(32 位)版本的Microsoft Windows 会使组织暴露于 x64(64 位)版本的MicrosoftWindows 所缓解的利用技术。
请注意,对于仅实施基本八个成熟度模型中的第二个成熟度的组织,安全控制 1407 不适用。
最新版本或先前版本的操作系统用于工作站、服务器和网络设备。
在开发 MicrosoftWindows SOE 时,将使用 64 位版本的操作系统。
操作系统配置当操作系统以默认状态部署时,很容易导致不安全的操作环境,允许对手在网络上获得初始立足点。
AIX操作系统安全配置要求及操作指南
AIX操作系统安全配置要求及操作指南
一、AIX操作系统安全配置要求
1.分级访问控制:要实施分级访问控制机制,明确管理者和普通用户
的访问等级,并分配不同的权限,使不同的用户层次由不同的权限控制。
2. 加强密码的安全策略:要加强密码的安全策略,包括定期更改密码,禁止使用过于简单的密码,不要在没有严格安全限制的情况下使用
root 权限。
3. 运行级别:禁止用户以root 身份登录系统,只有当用户需要以root 身份执行一些操作时,才能以root 身份登录,否则以普通用户身
份登录。
4.防火墙:根据网络的具体情况,采用专用防火墙或者网络模式的防
火墙,控制和限制外部计算机的访问权限。
5. 禁止外部访问:禁止外部访问系统,如FTP,telnet,外部的terminal访问等,除非有必要。
启用SSL/TLS 加密 socket 服务,防止
攻击者窃取数据。
6.定期备份:定期对重要的数据进行备份,以便在发生意外时及时进
行恢复。
7.实施流量监测:实施流量监测,实时检测系统中的网络流量和活动,以便及时捕获非法活动。
AIX安全加固
AIX安全加固■文档编号■密级■版本编号■日期目录AIX安全加固 (1)一.系统信息 (2)二.账号 (2)2.1禁用无用账号 (2)2.2添加口令策略 (2)2.3禁止ROOT远程登录 (3)2.4限制FTP登录 (3)三.服务 (4)3.1关闭不必要的INETD服务 (4)3.2关闭其他不必要的服务 (4)3.3检查SSH服务 (5)3.4关闭NFS服务 (5)3.5检查.RHOSTS和/ETC/HOSTS.EQUIV文件 (6)3.6检查TCP W RAPPER.......................................................................... E RROR!B OOKMARK NOT DEFINED.四.网络参数 (6)五.文件系统 (7)5.1设置UMASK值 (7)5.2设置登录超时 (7)六.日志 (8)6.1系统日志 ....................................................................................... E RROR!B OOKMARK NOT DEFINED.6.2错误日志 ....................................................................................... E RROR!B OOKMARK NOT DEFINED.6.3SU日志........................................................................................... E RROR!B OOKMARK NOT DEFINED.6.4SYSLOGD日志................................................................................... E RROR!B OOKMARK NOT DEFINED.6.5CRON日志 (8)一. 系统信息二. 账号2.1 禁用无用账号2.2 添加口令策略2.3 禁止root远程登录2.4 限制FTP登录三. 服务3.1 关闭不必要的inetd服务3.2 关闭其他不必要的服务3.3 检查SSH服务3.4 关闭NFS服务3.5 检查.rhosts和/etc/hosts.equiv文件四. 网络参数五. 文件系统5.1 设置UMASK值5.2 设置登录超时六. 日志6.1 日志设置。
AIX操作系统安全配置手册
AIX操作系统安全配置手册许新新***************.com2011-6-8 版本号:V1.0目录1. 引言 (2)2. 用户管理 (2)2.1 用户账号安全设置 (2)2.2 删除一个用户账号 (3)2.3 禁止root用户直接登录 (4)2.4 用户登录审计 (4)2.5 密码规则设置 (6)2.6 文件和目录的默认访问权限 (6)2.7 用户错误登录次数过多导致账号被锁定 (7)2.8 查看密码的上次修改时间 (7)2.9 chpasswd和pwdadmin命令的使用 (8)3. 网络安全 (9)3.1 安装SSH文件集并设置 (9)3.2 TELNET和SSH的安全性比较 (10)3.3 禁止TELNET、FTP、RLOGIN等网络服务 (11)3.4 限制某些用户FTP登录 (12)3.5 设置目录的FTP访问权限 (12)3.6 将用户FTP访问限定在自己的$HOME目录 (15)3.7 实现基于IP地址的访问控制 (15)3.8 查看当前的TCPIP网络连接 (18)4. 系统安全管理 (19)4.1 设置用户终端长时间不操作后自动退出 (19)4.2 设置NTP网络时钟协议 (20)4.3 停止NFS服务 (22)4.4 设置用户limits参数 (23)4.5 wtmp文件的使用 (24)1. 引言AIX作为IBM Power系列开放平台服务器的专用操作系统,属于UNIX操作系统的一个商业版本。
作为企业级服务器的操作平台,安全性是AIX必备的一个重要特性。
由于我们的小型机上往往运行着客户的核心生产业务,因此对于系统的安全设置往往会有着严格的要求。
2. 用户管理AIX是一个多用户操作系统,多个用户要在同一个系统环境中协同工作,用户访问权限的设置、用户作业的相互隔离、用户系统资源的限制,都是AIX操作系统不可或缺的功能。
2.1 用户账号安全设置为了保证整个操作系统的安全,每个用户账号必须满足如下安全设置要求:(1)每个系统管理员应该设置单独的账号,不允许多个管理员共用一个账号;(2)root用户不允许直接登录,必须通过其他用户登录后,通过su命令获得root用户权限;(3)禁用或者删除不使用的系统账号;(4)设置必要的密码规则。
AIX 操作系统安全配置要求及操作指南
补丁
1
应根据需要及时进行补丁装 载。对服务器系统应先进行 兼容性测试。
1
设备应配置日志功能,对用 户登录进行记录,记录内容 包括用户登录使用的账号, 登录是否成功,登录时间, 以及远程登录时,用户使用 的IP 地址。
日志
2(可选)
启用记录cron行为日志功能 和cron/at的使用情况
3
设备应配置权限,控制对日 志文件读取、修改和删除等 操作。
1、参考配置操作 修改配置文件 vi /etc/syslog.conf,加上这几行: \t\t/var/adm/authlog *.info;auth.none\t\t/var/adm/syslog\n" 建立日志文件,如下命令: touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 重新启动 syslog 服务,依次执行下列命令: stopsrc -s syslogd startsrc -s syslogd AIX 系统默认不捕获登录信息到syslogd,以上配置增加了验证信 息发送到/var/adm/authlog 和/var/adm/syslog 2、补充操作说明 1、参考配置操作 cron/At的相关文件主要有以下几个: /var/spool/cron/crontabs 存放cron任务的目录 /var/spool/cron/cron.allow 允许使用crontab命令的用户 /var/spool/cron/cron.deny 不允许使用crontab命令的用户 /var/spool/cron/atjobs 存放at任务的目录 /var/spool/cron/at.allow 允许使用at的用户 /var/spool/cron/at.deny 不允许使用at的用户 使用crontab和at命令可以分别对cron和at任务进行控制。 #crontab -l 查看当前的cron任务 #at -l 查看当前的at 任务
AIX安全加固操作步骤
IBM AIX系统1系统维护升级加固1.下载系统推荐维护包在AIX操作系统中,补丁修正软件包分为维护包和推荐维护包:维护包(Maintenance Levels,简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。
每个文件集的更新都是累计的,即它包含了AIX 4.3发布以来的所有那个文件集的补丁,并替换了所有以前的更新。
维护包(ML)的命名规则是4位的VRMF:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。
可以通过安装ML来升级操作系统的改进版号modification,例如,从4.3.0.0升级到4.3.3.0。
推荐维护包(Recommended Maintenance,简称RM)是由一系列适用于最新的ML的文件集组成的软件包,它由一系列经过较多实测过的更新的文件集组成。
通过安装RM,可以使你的系统拥有较新的文件集,但它不能升级系统版本。
推荐维护包(RM)的命名规则是4位的VRMF,再加两位数字后缀:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance如4330-01 是4330 的第1个推荐维护包(RM)。
可以用以下的命令来判定是否4330-01已经安装在系统里,oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330:instfix -ik 4330-01_AIX_ML我们可以通过该网站()下载ML或RM,并通过gzip解压缩,然后按照如下提示的详细信息进行安装。
2.解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3.用df检查系统硬盘空间大小,确保/,/usr,/var,/tmp等目录有足够的空间。
某系统集成工程公司AIX系统安全加固手册(PDF 37页)
AIX 系统安全加固手册沈阳东软系统集成工程有限公司 技术支持部2011年 5月目 录概述 (5)1.1 目的 (5)1.2 适用范围 (5)1.3 适用版本 (5)账号管理认证授权 (6)1.4 账号 (6)2.1.1用户帐号创建 (6)2.1.2删除或锁定账号 (6)2.1.3限制具备超级管理员权限的用户远程登录 (7)2.1.4 对系统账号进行登录限制 (8)2.1.5建立多帐户组,将用户账号分配到相应的帐户组 (8)1.5 口令 (9)2.2.1 采用静态口令认证技术 (9)2.2.2 帐户口令的生存期 (10)2.2.3 用户不能重复使用最近 5次 (11)2.2.4连续认证失败次数超过 6 次锁定该用户使用的账号。
(11)1.6 授权 (12)2.3.1根据用户的业务需要,配置其所需的最小权限。
(12)2.3.2防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制.132.3.3文件系统及访问权限 (14)2.3.4 控制FTP进程缺省访问权限 (15)控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
(15)2.3.5 FTP服务器应该限制 ftp 可以使用的目录范围 (16)日志配置要求 (17)1.7 设备应配置日志功能对用户登录进行记录 (17)1.8 记录对与设备相关的安全事件 (18)1.9 配置远程日志功能 (18)1.10 启用系统记账 (19)1.11 启用内核级审核 (20)IP协议安全配置要求 (21)1.12 IP 协议安全 (21)1.13 开放的IP服务端口和设备内部进程的对应表 (23)1.14 对允许登陆到该设备的 IP地址范围进行设定。
(24)1.15 禁止 ICMP 重定向,采用静态路由。
(25)1.16 关闭数据包转发功能。
(26)设备其他安全配置要求 (27)1.17 屏幕保护 (27)1.18 定时自动屏幕锁定 (28)1.19 物理端口设置 (28)1.20 补丁管理 (29)1.21 服务 (30)5.5.1不在列表的服务需关闭。
河南移动IBM AIX主机安全加固日常维护指导_wangxiong
华为技术服务河南移动wapgw系统IBM AIX主机安全加固日常维护指导华为技术有限公司二〇一四年四月商业机密版权声明©2008 华为技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。
作者信息修订记录目录1、安全加固后维护变化 (5)1.1、FTP文件传输 (5)1.2、日常维护登录帐号、口令策略 (5)1.3、FTP访问限制................................................................................ 错误!未定义书签。
1.4、登录超时180秒 (6)1.5、TELNET服务关闭操作方法 (7)1.6、目录权限加固后的业务操作 (7)1.7、HACMP启动脚本 (8)2、日常安全维护监控 (8)2.1、系统异常资源占用监控 (8)2.2、系统异常事件检查 (8)2.3、系统安全日志检查 (9)1、安全加固后维护变化文档使用说明:进行主机安全加固后,日常维护方式和操作会有所改变,主要从以下几个方面注意。
1.1、FTP文件传输本次加固实施,IBM AIX主机保留了系统的ftp服务,而且保留开放root ftp登录。
不允许ftp登陆的账号:daemon/bin/sys/adm/lp/uucp/nuucp/listen/nobody/noaccess/nobody4。
IBM AIX主机ftp 服务。
如需开启ftp服务,请参照以下步骤启动ftp服务。
1、以root账户登录2、vi /etc/inetd.conf#ftp stream tcp6 nowait root /usr/sbin/ftpd ftpdtelnet stream tcp6 nowait root /usr/sbin/telnetd telnetd –a移除ftp行前面的#号。
AIX安全配置手册
文档编号:AIX系统安全配置手册2006年5月声明:本文档是启明星辰信息技术有限公司安全评估服务项目提交文档的一部分,文档的所有权归启明星辰公司所有,任何对本文档的修改、发布、传播等行为都需要获得启明星辰公司的授权,明星辰公司保留对违反以上声明的组织或个人追究责任,诉诸法律的权力。
启直至文档信息文档名称保密级别制作人参与制作人文档版本编号制作日期V1.0复审人适用范围分发控制复审日期本文档为启明星辰信息技术有限公司(以下简称启明星辰)安全评估服务项目中所制作的项目文档,供相关项目人员参考。
编号123版本控制读者文档权限与文档的主要关系项目组成员使用本规定项目的负责人,负责本文档的批准程序时间2006-5-12版本V1.0说明修改人陈波AIX系统安全加固手册1.系统维护升级加固1.下载系统推荐维护包➢在AIX操作系统中,补丁修正软件包分为维护包和推荐维护包:维护包(Maintenance Levels,简称ML)由从AIX4.3的基准文件集更新后的一系列文件集组成。
每个文件集的更新都是累计的,即它包含了AIX4.3发布以来的所有那个文件集的补丁,并替换了所有以前的更新。
维护包(ML)的命名规则是4位的VRMF:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。
可以通过安装ML来升级操作系统的改进版号modification,例如,从4.3.0.0升级到4.3.3.0。
➢推荐维护包(R ecommended Maintenance,简称RM)是由一系列适用于最新的ML的文件集组成的软件包,它由一系列经过较多实测过的更新的文件集组成。
通过安装RM,可以使你的系统拥有较新的文件集,但它不能升级系统版本。
推荐维护包(RM)的命名规则是4位的VRMF,再加两位数字后缀:V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包R eco mmend ed Maintenance如4330-01是4330的第1个推荐维护包(RM)。
aix系统安全加固参考信息
aix系统安全加固参考信息Linux系统安全加固参考信息目录1操作系统安全-身份鉴别 (4)1.1对登录操作系统的用户进行身份标识和鉴别 (4)1.2最小密码长度 (4)1.3密码复杂度 (4)1.4密码字典 (5)1.5系统密码使用时间 (5)1.6对失败登录的次数进行限制 (5)1.7密码重复使用次数设置 (5)1.8SSH服务IP,端口,协议,允许密码错误的次数,网络中允许打开的会话数 (6)1.9root账号远程登录设置 (6)1.10防止任何人使用su命令连接root用户 (7)1.11系统Banner设置 (7)2操作系统安全-访问控制 (7)2.1修改帐户口令,更改默认帐户的访问权限 (7)2.2删除多余的、过期的帐户,避免共享帐户的存在 (8)2.3限制超级管理员远程登录 (8)3操作系统安全-入侵防范 (9)3.1仅安装需要的应用程序,关闭不需要的服务和端口 (9)3.3网络访问控制策略 (9)4操作系统安全-资源控制 (10)4.1根据安全策略设置登录终端的空闲超时断开会话或锁定 (10)4.2文件创建初始权限 (10)4.3设置合适的历史命令数量 (10)4.4系统磁盘剩余空间充分满足近期的业务需求 (11)4.5检查并记录操作系统的分区情况和文件系统利用率 (11) 5操作系统安全—日志 (11)5.1日志功能开启 (11)5.2失败登录日志监控 (12)5.3syslog日志等级的安全配置 (12)5.4安全审计策略 (12)5.5系统日志记录 (13)5.6启用记录cron行为日志功能和cron/at的使用情况 (13) 6操作系统安全-系统安全 (13)6.1补丁管理 (13)6.2检查并记录系统开启的网络端口 (14)6.3关闭无效服务和启动项 (14)6.4仅允许特定IP允许访问服务 (15)7操作系统安全---其它服务安全 (15)7.1FTP配置文件 (15)7.3NFS文件系统配置情况检查 (16)7.4FTP用户及服务安全 (16)1操作系统安全-身份鉴别1.1对登录操作系统的用户进行身份标识和鉴别1.2最小密码长度1.3密码复杂度1.4密码字典1.5系统密码使用时间1.6对失败登录的次数进行限制1.7密码重复使用次数设置1.8SSH服务IP,端口,协议,允许密码错误的次数,网络中允许打开的会话数1.9root账号远程登录设置1.10防止任何人使用su命令连接root用户1.11系统Banner设置2操作系统安全-访问控制2.1修改帐户口令,更改默认帐户的访问权限2.2删除多余的、过期的帐户,避免共享帐户的存在2.3限制超级管理员远程登录3操作系统安全-入侵防范3.1仅安装需要的应用程序,关闭不需要的服务和端口3.2关闭不必要的服务3.3网络访问控制策略4操作系统安全-资源控制4.1根据安全策略设置登录终端的空闲超时断开会话或锁定4.2文件创建初始权限4.3设置合适的历史命令数量4.4系统磁盘剩余空间充分满足近期的业务需求4.5检查并记录操作系统的分区情况和文件系统利用率5操作系统安全—日志5.1日志功能开启5.2失败登录日志监控5.3syslog日志等级的安全配置5.4安全审计策略5.5系统日志记录5.6启用记录cron行为日志功能和cron/at的使用情况6操作系统安全-系统安全6.1补丁管理6.2检查并记录系统开启的网络端口6.3关闭无效服务和启动项6.4仅允许特定IP允许访问服务7操作系统安全---其它服务安全7.1FTP配置文件7.2R族文件7.3NFS文件系统配置情况检查7.4FTP用户及服务安全。
AIX系统安全加固
加强系统安全,其中一大要务就是保护好系统用户的密码安全,本文通过设置用户最大允许尝试密码次数为3,如果用户尝试密码错误次数超过3次后,该账户将被锁定,用户无法登录系统,除非管理员的介入,否则即使用户再输出正确的密码也无法登录系统,而是只得到系统提示的“3004-303 There have been too many unsuccessful login attempts; please see the system administrator.”,这样可以保护系统账号避免攻击者通过穷举法猜测密码。
具体步骤如下:smit user ->Change / Show Characteristics of a User ->通过smit工具设置完成后,查看/etc/security/user显示如下,daily:admin = falseloginretries = 3#loginretries = 3 就表示允许用户有3次的失败登录尝试以test用户尝试5次错误密码后,第六次输入正确的密码,但依然无法登录系统,系统提示因尝试了太多次登录失败,请联系系统管理员。
login:testdaily's Password:3004-007 You entered an invalid login name or password.login: testdaily's Password:3004-303 There have been too many unsuccessful login attempts; please see the system administrator.以root身份登陆系统,查看/etc/security/lastlog中关于test用户的信息如下:test:time_last_login = 1249055415tty_last_login = /dev/pts/15host_last_login = 58.22.58.129unsuccessful_login_count = 5time_last_unsuccessful_login = 1249057164tty_last_unsuccessful_login = /dev/pts/22host_last_unsuccessful_login = 58.22.58.129记录显示test用户一共有尝试了5次登录失败,包括最后一次成功登陆的、尝试失败的时间、IP等详细记录。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AIX安全加固操作手册作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下:一、系统推荐补丁升级加固1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁)检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号)2.如果未安装补丁,使用如下方式安装补丁1)将补丁盘放入光驱、以root执行:mount /cdrom2)执行:smitty update_all (选择/dev/cd0为安装介质)注意选择安装选项中:COMMIT software updates? noSA VE replaced files? yes安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown –Fr 重起系统二、AIX系统配置安全加固1.编辑/etc/inetd.conf文件,关闭所有服务。
将inetd.conf文件中的内容清空> /etc/inetd.confrefresh –s inetd2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务:portmapsysloginetdsendmailsnmpd如关闭dpid2,则只要注销以下行:(前面加#号即可)#start /usr/sbin/dpid2 "$src_running"再使用:stopsrc –s XXX来停止这些已经启动的服务3./etc/inittab中关闭用:注释服务,不是‘#’piobe Printer IO BackEndqdaemon Printer Queueing Daemonwritesrv write serverhttpdlite docsearch Web Serverimnss docsearch imnss Daemonimqss docsearch imqss daemon4.删除一些无用的用户rmuser -p uucp;rmuser -p nuucp5.手工编辑/etc/security/user 控制用户登录限制、缺省文件创建权限限制default默认设置不允许su\login\rlogin,将三项设置依次设置为false即可,其余缺省;缺省umask设置为027;设置各用户设置密码的最小长度为8;放开root、(sybase或oracle)、zxin10用户的su权限;放开(sybase或oracle)、zxin10用户的rlogin权限;设置root的umask为077default:login=falsesu=falserlogin=falseumask=027minlen=8...root:su=trueumask=077...zxin10:su=truerlogin=true...oracle:su=truerlogin=true#pwdck -y ALL修复同步口令文件6.更改login默认策略(/etc/security/login.cfg)default:logindelay=2logindisable=3logininterval=60(logininterval秒内产生logindisable次无效登录,即锁定port)loginreenable=5(loginreenable分钟后解除锁定)7.编辑/etc/profile,添加下列行:TMOUT=3600TIMEOUT=3600export TMOUT TIMEOUT8.加固系统TCP/IP配置编辑文件,添加:/usr/sbin/no -o clean_partial_conns=1/usr/sbin/no -o arpt_killc=20/usr/sbin/no -o icmpaddressmask=0/usr/sbin/no -o directed_broadcast=0/usr/sbin/no -o ipsrcroutesend=0/usr/sbin/no -o ipsrcrouteforward=0/usr/sbin/no -o ip6srcrouteforward =0/usr/sbin/no -o ipignoreredirects=1/usr/sbin/no -o ipsendredirects=09.使用以下方法使尝试登录失败记录有效修改/etc/syslog.conf文件增加日志审计内容:*.crit /var/log/loginlog创建loginlog,记录失败登陆#touch /var/log/loginlog#chmod 600 /var/log/loginlog#chgrp sys /var/log/loginlog#refresh –s syslogd10.删除不需要的cronscd /var/spool/cron/crontabsrm -r sysrm -r admrm -r uucp三、安装ssh服务端和客户端a)安装ssh服务端(AIX上)在AIX 4.3.3和5.1系统上安装OpenSSH内容这篇文档介绍了在AIX 4.3.3和5.1系统上安装openSSH的步骤提要正文(一)在AIX 4.3.3系统上安装OpenSSH在AIX 4.3.3系统里,openSSH是用RPM格式的安装包来安装的,而在5.1和5.2的系统里是用installp格式的安装包来安装的。
在4.3.3系统上安装有如下三个步骤:1.安装首要必备的文件集;2.下载rpm格式的安装包;3.安装openSSH必需的rpm安装包。
1.安装首要必备的文件集在安装rpm格式的安装包之前需要安装文件集rpm.rte和perl.rte,rpm.rte文件集能够通过以下途径获得:Linux Toolbox CD 光盘或者Linux Toolbox 站点:/servers/aix/products/aixos/linux/download.html这些文件集可以通过smitty installp 命令来安装2.下载rpm格式的安装包rpm格式的安装包能够从以下网址下载:/servers/aix/products/aixos/linux/download.html在这个网页上,prngd程序(Psuedo Random Number Generator Daemon)和zlib压缩和解压缩库能被下载,它们是安装openssl rpm安装包所首要必需的,他们各自对应的文件集为:prngd-0.9.23-2.aix4.3.ppc.rpm和zlib-1.aix4.3..ppc.rpm。
在分类内容下载区域的右上方点击AIX TOOLbox Cryptographic Content,如果你不是一个已注册的用户,你应该先注册你自己。
然后点击在面板底部出现的Accept License按钮并开始下载openssl和openssh rpm安装包:openssl-0.9e-2.aix4.3.ppc.rpmopenssl-devel-0.9.6e-2.aix4.3.ppc.rpmopenssl-doc-0.9.6e-2.aix4.3.ppc.rpmopenssh-3.4p1-4.aix4.3.ppc.rpmopenssh-server-3.4p1-4.aix4.3.ppc.rpmopenssh-clients-3.4p1-4.aix4.3.ppc.rpm3.安装openSSH必需的rpm安装包把上一步下载的rpm文件包放到一个目录下面,并在此当前目录下运行如下命令进行安装:# rpm -i zlib-1.1.4-1.aix4.3.ppc.rpm# rpm -i prngd-0.9.23-2.aix4.3.ppc.rpm# rpm -i openssl-0.9e-2.aix4.3.ppc.rpm# rpm -i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm# rpm -i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm# rpm -i openssh-3.4p1-4.aix4.3.ppc.rpm# rpm -i openssh-server-3.4p1-4.aix4.3.ppc.rpm# rpm -i openssh-clients-3.4p1-4.aix4.3.ppc.rpm有时在安装openssl文件包时会得到error: failed dependencies错误,如果出现这种错误请运行如下命令:# rpm -i --nodeps openssl-0.9.6e-2.aix4.3.ppc.rpm下面的命令能用来更新AIX-rpm:# /usr/sbin/updtvpkgprngd必须在openssl和openssh安装之前安装,并且openssl又是安装openssh rpm 文件包所首要必需的。
文件集openssl-devel-0.9.6e-2.aix4.3.ppc.rpm 和openssl-doc-0.9.6e-2.aix4.3.ppc.rpm 不是安装openSSH所必需的。
想验证一下这些文件包是否被安装,请运行如下命令:# rpm -qa | egrep '(openssl|openssh|prng)'-->zlib-1.1.4-1prngd-0.9.23-2openssl-0.9.6e-2openssl-devel-0.9.6e-2openssl-doc-0.9.6e-2openssh-3.4p1-4openssh-server-3.4p1-4openssh-clients-3.4p1-4这些文件包被装在/opt/freeware目录下,并且建立了一些连接在/usr/bin或者/usr/sbin目录里,如下所示:# ls -l /usr/bin/sshlrwxrwxrwx --1 root --system -----26 Oct 17 08:07 /usr/bin/ssh ->------------------------------------------------../../opt/freeware/bin/ssh# ls -l /usr/sbin/sshdlrwxrwxrwx ----1 root ----system ----28 Oct 17 08:06 /usr/sbin/sshd-> ../../opt/freeware/sbin/sshd(二)在AIX 5.1系统上安装OpenSSH在5.1系统里,openssh本身的安装包是installp格式,但是所有的首要必备文件包(包括openssl)只能用rpm -i命令来安装(用与4.3.3一样的rpm文件包)。