AIX访问控制安全策略
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、AIX服务器
1<身份鉴别>
1.1配置密码策略
参考配置操作:
当前系统管理员密码为弱密码,建议其更换强密码,编辑/etc/security/user 设置以下参考数值设定:
#vi/etc/security/user
minalpha=1口令必须包含1个字母
minother=2口令必须包含2个非字母字符
minlen=8口令不得少于8个字符
maxage=4口令可使用周期(4周)
maxexpired=1达到使用周期后1周内必须更改口令pwdwarntime=7在达到使用周期前7天提示修改口令histsize=5不能使用上5次用过的口令
1.2启用登录失败处理功能
参考配置操作:
编辑/etc/security/user文件,并修改以下内容:
loginretries=3口令重试3次后锁定
解锁方法:
以user用户为例,执行命令:
#lsuser user检查unsuccessful_login_count参数(登录失败次数)
#chuser unsuccessful_login_count=0user重置user用户登录失败次数
1.3远程访问加密措施
参考配置操作:
1)在官网下载Openssl和OPenSSH软件。
2)上传文件
将openssh_5.2p1_aix61.tar.Z用ftp传到/tmp/openssh目录下
将openssl.0.9.8.1103.tar.Z用ftp传到/tmp/openssl目录下3)解压文件
#cd/tmp/openssh/
#uncompress openssh_5.2p1_aix61.tar.Z
#tar-xvf openssh_5.2p1_aix61.tar
#cd/tmp/openssl/
#uncompress openssl.0.9.8.1103.tar.Z
#tar-xvf openssl.0.9.8.1103.tar
4)安装openssl
进入openssl目录
#cd/tmp/openssl
开始安装
#smitty install
顺序选择Install and Update Software->Install Software
INPUT device/directory for software[/tmp/openssl]输入openssl目录.
选中SOFTWARE to install[_all_latest]行,按F4,选择openssl.license,回车
选中ACCEPT new license agreements?行,按Teb键,选择[yes]
回车,执行安装
Command:OK表示安装完成。
5)安装openssh
进入openssh目录
#cd/tmp/openssh
删除目录下openssh_5.2p1_aix61.tar包
#rm-rf openssh_5.2p1_aix61.tar
开始安装
#smitty install
顺序选择Install and Update Software->Install Software
INPUT device/directory for software[/tmp/openssh]输入openssl目录.
选中SOFTWARE to install[_all_latest]行,按F4,选择查看可安装的选项,F3返回
选中ACCEPT new license agreements?行,按Teb键,选择[yes]
回车,执行安装
Command:OK表示安装完成。
6)安装完成后SSH服务会自动启动,确认:
#lssrc-s sshd
7)禁用telnet服务
#stopsrc-t telnet
8)查看telnet服务状态
#lssrc-t telnet
9)禁止telnet开机启动
#vi/etc/inetd.conf
在telnet stream tcp6nowait root/usr/sbin/telnetd telnetd-a前加“#”
注:开启telnet服务命令为startsrc-t telnet
openssh官方网站:/
openssl官方网站:https:///
2<访问控制>
2.1修改UMASK值
参考配置操作:
1)编辑/etc/security/user文件,设置umask值:
#vi/etc/security/user
umask=027#缺省文件权限为750
3<资源控制>
3.1设定管理登陆地址
参考配置操作:
1)检查系统中是否安装了IPSec的软件包
#lslpp-l|grep ipsec
.ipsec.keymgt
.ipsec.rte
.ipsec.websm
.ipsec.keymgt
.ipsec.rte
.ipsec.websm
2)检查Ipsec策略
#lsfilt-s-v4-O检查ipsec策略
有三条默认策略,若无多余策略可进行下一步。若存在多余策略,按以下方式删除多余策略。
#smitty tcpip
Configure IP Security(IPv4)->Advanced IP Security Configuration->
Configure IP Security Filter Rules->Delete IP Security Filter Rules
选中某一策略,回车策略将被删除。
3)启动IPsec
#smitty tcpip
Configure IP Security(IPv4)->Start/Stop IP Security->Start IP Security->Start IP Securit[Now and After Reboot]
4)配置策略
对于IP地址是10.19.0.252的AIX服务器,我们希望只有来自于10.19.6.212的终端才可以通过SSH访问它,拒绝来自其他网段的SSH请求。
在aix操作系统中SSH缺省使用的端口号是22,所以在10.19.6.212服务器上需要设置以下2条过滤规则,一条是permit规则,一条是deny规则。
注意:permit规则要在deny规则之前。
genfilt-v4-a'P'-s'10.19.6.212'-m'255.255.255.255'-d'10.19.0.252' -M'255.255.255.0'-g'y'-c'all'-o'any'-p'0'-O'eq'-P'22'-r'B'-w'B'-l'N'-t'0' -i'all'