AIX安全加固操作手册

AIX安全加固操作手册

作为宽带智能网中的Appserver，在完成AIX操作系统上智能网系统的安装和配置以后（除系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵，系统加固的具体步骤如下：

一、系统推荐补丁升级加固

1．检查是否打上了AIX操作系统要求补丁（433要求10以上；5.1要求5以上；5.2要求使用IBM最新发布的补丁）

检查补丁版本命令：oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号)

2．如果未安装补丁，使用如下方式安装补丁

1)将补丁盘放入光驱、以root执行：mount /cdrom

2)执行：smitty update_all （选择/dev/cd0为安装介质）

注意选择安装选项中：

COMMIT software updates? no

SA VE replaced files? yes

安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown –Fr 重起系统

二、AIX系统配置安全加固

1.编辑/etc/inetd.conf文件，关闭所有服务。

将inetd.conf文件中的内容清空

> /etc/inetd.conf

refresh –s inetd

2.编辑/etc/rc.tcpip文件，关闭除以下服务外的所有服务：

portmap

syslog

inetd

sendmail

snmpd

如关闭dpid2，则只要注销以下行：(前面加#号即可)

#start /usr/sbin/dpid2 "$src_running"

再使用：

stopsrc –s XXX来停止这些已经启动的服务

3./etc/inittab中关闭

用:注释服务，不是‘#’

piobe Printer IO BackEnd

qdaemon Printer Queueing Daemon

writesrv write server

httpdlite docsearch Web Server

imnss docsearch imnss Daemon

imqss docsearch imqss daemon

4.删除一些无用的用户

rmuser -p uucp;rmuser -p nuucp

5.手工编辑/etc/security/user 控制用户登录限制、缺省文件创建权限限制

default默认设置不允许su\login\rlogin，将三项设置依次设置为false即可，其余缺省；缺省umask设置为027；设置各用户设置密码的最小长度为8；

放开root、(sybase或oracle)、zxin10用户的su权限；放开(sybase或oracle)、zxin10用户的rlogin权限；设置root的umask为077

default:

login=false

su=false

rlogin=false

umask=027

minlen=8

...

root:

su=true

umask=077

...

zxin10:

su=true

rlogin=true

...

oracle:

su=true

rlogin=true

＃pwdck -y ALL修复同步口令文件

6.更改login默认策略（/etc/security/login.cfg）

default:

logindelay=2

logindisable=3

logininterval=60（logininterval秒内产生logindisable次无效登录，即锁定port）loginreenable=5（loginreenable分钟后解除锁定）

7.编辑/etc/profile，添加下列行：

TMOUT=3600

TIMEOUT=3600

export TMOUT TIMEOUT

8.加固系统TCP/IP配置

编辑文件，添加：

/usr/sbin/no -o clean_partial_conns=1

/usr/sbin/no -o arpt_killc=20

/usr/sbin/no -o icmpaddressmask=0

/usr/sbin/no -o directed_broadcast=0

/usr/sbin/no -o ipsrcroutesend=0

/usr/sbin/no -o ipsrcrouteforward=0

/usr/sbin/no -o ip6srcrouteforward =0

/usr/sbin/no -o ipignoreredirects=1

/usr/sbin/no -o ipsendredirects=0

9.使用以下方法使尝试登录失败记录有效

修改/etc/syslog.conf文件增加日志审计内容:

*.crit /var/log/loginlog

创建loginlog，记录失败登陆

＃touch /var/log/loginlog

＃chmod 600 /var/log/loginlog

＃chgrp sys /var/log/loginlog

＃refresh –s syslogd

10.删除不需要的crons

cd /var/spool/cron/crontabs

rm -r sys

rm -r adm

rm -r uucp

三、安装ssh服务端和客户端

ａ）安装ssh服务端（AIX上）

在AIX 4.3.3和5.1系统上安装OpenSSH

内容

这篇文档介绍了在AIX 4.3.3和5.1系统上安装openSSH的步骤

提要

正文（一）在AIX 4.3.3系统上安装OpenSSH

在AIX 4.3.3系统里，openSSH是用RPM格式的安装包来安装的，而在5.1和5.2的系统里是用installp格式的安装包来安装的。在4.3.3系统上安装有如下三个步骤：

1.安装首要必备的文件集；

2.下载rpm格式的安装包；

3.安装openSSH必需的rpm安装包。

1.安装首要必备的文件集