AIX主机操作系统加固规范

a i x系统安全加固参考信息Linux系统安全加固参考信息目录1操作系统安全-身份鉴别 (5)1.1对登录操作系统的用户进行身份标识和鉴别 (5)1.2最小密码长度 (5)1.3密码复杂度 (5)1.4密码字典 (6)1.5系统密码使用时间 (6)1.6对失败登录的次数进行限制 (6)1.7密码重复使用次数设置 (6)1.8SSH服务IP，端口，协议，允许密码错误的次数，网络中允许打开的会话数 (6)1.9root账号远程登录设置 (7)1.10防止任何人使用su命令连接root用户 (7)1.11系统Banner设置 (7)2操作系统安全-访问控制 (8)2.1修改帐户口令，更改默认帐户的访问权限 (8)2.2删除多余的、过期的帐户，避免共享帐户的存在 (8)2.3限制超级管理员远程登录 (9)3操作系统安全-入侵防范 (9)3.1仅安装需要的应用程序，关闭不需要的服务和端口 (9)3.2关闭不必要的服务 (10)3.3网络访问控制策略 (10)4操作系统安全-资源控制 (10)4.1根据安全策略设置登录终端的空闲超时断开会话或锁定 (10)4.2文件创建初始权限 (10)4.3设置合适的历史命令数量 (11)4.4系统磁盘剩余空间充分满足近期的业务需求 (11)4.5检查并记录操作系统的分区情况和文件系统利用率 (11)5操作系统安全—日志 (11)5.1日志功能开启 (11)5.2失败登录日志监控 (12)5.3syslog日志等级的安全配置 (12)5.4安全审计策略 (12)5.5系统日志记录 (12)5.6启用记录cron行为日志功能和cron/at的使用情况 (13)6操作系统安全-系统安全 (13)6.1补丁管理 (13)6.2检查并记录系统开启的网络端口 (14)6.3关闭无效服务和启动项 (14)6.4仅允许特定IP允许访问服务 (15)7操作系统安全---其它服务安全 (15)7.1FTP配置文件 (15)7.2R族文件 (15)7.3NFS文件系统配置情况检查 (16)7.4FTP用户及服务安全 (16)1操作系统安全-身份鉴别1.1对登录操作系统的用户进行身份标识和鉴别1.2最小密码长度1.3密码复杂度1.4密码字典1.5系统密码使用时间1.6对失败登录的次数进行限制1.7密码重复使用次数设置1.8SSH服务IP，端口，协议，允许密码错误的次数，网络中允许打开的会话数1.9root账号远程登录设置1.10防止任何人使用su命令连接root用户1.11系统Banner设置2操作系统安全-访问控制2.1修改帐户口令，更改默认帐户的访问权限2.2删除多余的、过期的帐户，避免共享帐户的存在2.3限制超级管理员远程登录3操作系统安全-入侵防范3.1仅安装需要的应用程序，关闭不需要的服务和端口3.2关闭不必要的服务3.3网络访问控制策略4操作系统安全-资源控制4.1根据安全策略设置登录终端的空闲超时断开会话或锁定4.2文件创建初始权限4.3设置合适的历史命令数量4.4系统磁盘剩余空间充分满足近期的业务需求4.5检查并记录操作系统的分区情况和文件系统利用率5操作系统安全—日志5.1日志功能开启5.2失败登录日志监控5.3syslog日志等级的安全配置5.4安全审计策略5.5系统日志记录5.6启用记录cron行为日志功能和cron/at的使用情况6操作系统安全-系统安全6.1补丁管理6.2检查并记录系统开启的网络端口6.3关闭无效服务和启动项6.4仅允许特定IP允许访问服务7操作系统安全---其它服务安全7.1FTP配置文件7.2R族文件7.3NFS文件系统配置情况检查7.4FTP用户及服务安全。

AIX主机操作系统安全加固操作规范2013年6月目录1文档使用说明 (4)1.1适用范围 (4)1.2适用人员 (4)2账号管理、认证授权 (4)2.1账号 (4)2.1.1AIX-01-01-01 (4)2.1.2AIX-01-01-02 (5)2.1.3AIX-01-01-03 (6)2.1.4AIX-01-01-04 (7)2.1.5AIX-01-01-05 (8)2.2口令 (9)2.2.1AIX-01-02-01 (9)2.2.2AIX-01-02-02 (10)2.2.3AIX-01-02-03 (11)2.2.4AIX-01-02-04 (12)2.2.5AIX-01-02-05 (13)2.3授权 (14)2.3.1AIX-01-03-01 (14)2.3.2AIX-01-03-02 (15)2.3.3AIX-01-03-03 (16)2.3.4AIX-01-03-04 (17)2.3.5AIX-01-03-05 (18)3日志配置 (19)3.1.1AIX-02-01-01 (19)3.1.2AIX-02-01-02 (20)3.1.3AIX-02-01-03 (21)3.1.4AIX-02-01-04 (22)4通信协议 (23)4.1IP协议安全 (23)4.1.1AIX-03-01-01 (23)4.1.2AIX-03-01-02 (24)4.2路由协议安全 (25)4.2.1AIX-03-02-01 (25)5补丁管理 (27)5.1.1AIX-04-01-01 (27)6服务进程和启动 (29)6.1.1AIX-05-01-01 (29)6.1.2AIX-05-01-02 (31)7设备其他安全要求 (34)7.1登陆超时策略 (34)7.1.1AIX-06-01-01 (34)7.2系统B ANNER设置 (35)7.2.1AIX-06-02-01 (35)7.3内核调整 (35)7.3.1AIX-06-03-01 (35)8端口分类说明 (36)8.1端口分类 (36)8.2端口及服务 (37)1文档使用说明1.1适用范围本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。

主机加固技术标准Securing a host environment is crucial in ensuring the confidentiality, integrity, and availability of information stored on a computer system. Host hardening techniques help organizations protect their infrastructure from potential cyber threats and unauthorized access. By implementing a set of security measures and controls, organizations can reduce the risk of security breaches and data breaches.主机加固是保护计算机系统上存储的信息的机密性、完整性和可用性的关键措施。

主机加固技术有助于组织保护基础设施免受潜在的网络威胁和未经授权的访问。

通过实施一套安全措施和控制措施，组织可以降低安全漏洞和数据泄露的风险。

Host hardening involves configuring a host operating system, applications, and services to reduce security vulnerabilities and potential attack surfaces. This process typically includes disabling unnecessary services, applying security patches, and configuring access controls. By following host hardening best practices,organizations can improve their overall security posture and mitigate the risk of cyber attacks.主机加固涉及配置主机操作系统、应用程序和服务，以减少安全漏洞和潜在的攻击面。

1IBM AIX系统1.1 系统维护升级加固1．下载系统推荐维护包¾在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(Maintenance Levels，简称ML) 由从AIX 4.3 的基准文件集更新后的一系列文件集组成。

每个文件集的更新都是累计的，即它包含了AIX 4.3发布以来的所有那个文件集的补丁，并替换了所有以前的更新。

维护包(ML)的命名规则是4位的 VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。

可以通过安装ML来升级操作系统的改进版号modification，例如，从4.3.0.0升级到4.3.3.0。

¾推荐维护包(Recommended Maintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过较多实测过的更新的文件集组成。

通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。

推荐维护包(RM)的命名规则是4位的 VRMF，再加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance如 4330-01 是 4330 的第1个推荐维护包(RM)。

可以用以下的命令来判定是否4330-01已经安装在系统里，oslevel将仍然显示4.3.3.0,表示系统的ML仍是4330：instfix -ik 4330-01_AIX_ML我们可以通过该网站（）下载ML或RM，并通过gzip解压缩，然后按照如下提示的详细信息进行安装。

2．解压缩推荐维护包我们建议将推荐维护包解压缩至/usr/sys/inst.imagescd /tmp/mlgzip -d *.tar.gzcd /usr/sys/inst.imagesfind /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3．用df检查系统硬盘空间大小，确保/，/usr，/var，/tmp等目录有足够的空间。

中国移动A I X操作系统安全配置规范S p e c i f i c a t i o n f o r A I X O S C o n f i g u r a t i o nU s e d i n C h i n a M o b i l e版本号：1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第四层：技术规范·AIX操作系统类】·【第2501号】2008-5-15发布2008-05-15实施中国移动通信集团公司发布目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明 (1)1.3外部引用说明 (3)1.4术语和定义 (3)1.5符号和缩略语 (3)2AIX设备安全配置要求 (3)2.1账号管理、认证授权 (3)2.1.1账号 (3)2.1.2口令 (6)2.1.3授权 (8)2.2日志配置要求 (10)2.3IP协议安全配置要求 (13)2.3.1IP协议安全 (13)2.3.2路由协议安全 (14)2.4设备其他安全配置要求 (15)2.4.1屏幕保护 (15)2.4.2文件系统及访问权限 (16)2.4.3补丁管理 (16)2.4.4服务 (17)2.4.5启动项 (19)前言本标准由中国移动通信有限公司网络部提出并归口。

本标准由标准提出并归口部门负责解释。

本标准起草单位：中国移动通信有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：中国移动集团浙江公司徐良1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。

本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。

1.2 内部适用性说明本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的AIX操作系统安全配置要求。

以下分项列出本规范对《通用规范》设备配置要求的修订情况：安全要求-设备-AIX-配置-4-可选安全要求-设备-AIX-配置-5-可选安全要求-设备-AIX-配置-6安全要求-设备-AIX-配置-12-可选安全要求-设备-AIX-配置-13-可选安全要求-设备-AIX-配置-18-可选安全要求-设备-AIX-配置-19-可选安全要求-设备-AIX-配置-21-可选安全要求-设备-AIX-配置-22-可选安全要求-设备- AIX -配置-23-可选安全要求-设备- AIX -配置-24-可选安全要求-设备- AIX -配置-27-可选安全要求-设备- AIX -配置- 28-可选安全要求-设备- AIX -配置-30-可选安全要求-设备- AIX -配置-31-可选安全要求-设备- AIX -配置-32-可选安全要求-设备- AIX -配置-33安全要求-设备- AIX -配置-34-可选安全要求-设备- AIX -配置-35-可选安全要求-设备- AIX -配置-36-可选安全要求-设备- AIX -配置-PZ -37本规范还针对直接引用《通用规范》的配置要求，给出了在AIX操作系统上的具体配置方法和检测方法。

AIX系统安全加固（一）限制密码重试次数，超过限制次数后锁定用户作者：xunzhao【转载时请以超链接形式标明文章出处和作者信息】链接：/post/40016/488626加强系统安全，其中一大要务就是保护好系统用户的密码安全，本文通过设置用户最大允许尝试密码次数为3，如果用户尝试密码错误次数超过3次后，该账户将被锁定，用户无法登录系统，除非管理员的介入，否则即使用户再输出正确的密码也无法登录系统，而是只得到系统提示的“3004-303 There have been too many unsuccessful login attempts; please see the system administrator.”，这样可以保护系统账号避免攻击者通过穷举法猜测密码。

具体步骤如下：smit user ->Change / Show Characteristics of a User ->Change / Show Characteristics of a UserType or select values in entry fields.Press Enter AFTER making all desired changes.[TOP] [Entry Fields]* User NAME testUser ID [216] #ADMINISTRATIVE USER? false +Primary GROUP [staff] +Group SET [staff] +ADMINISTRATIVE GROUPS [] +ROLES [] +Another user can SU TO USER? true +SU GROUPS [ALL] +HOME directory [/home/test]Initial PROGRAM [/usr/bin/ksh]User INFORMATION []EXPIRATION date (MMDDhhmmyy) [0]Is this user ACCOUNT LOCKED? false +User can LOGIN? true +User can LOGIN REMOTELY(rsh,tn,rlogin)? true +Allowed LOGIN TIMES []Number of FAILED LOGINS before [3] #user account is locked通过smit工具设置完成后，查看/etc/security/user显示如下，daily:admin = falseloginretries = 3#loginretries = 3 就表示允许用户有3次的失败登录尝试以test用户尝试5次错误密码后，第六次输入正确的密码，但依然无法登录系统，系统提示因尝试了太多次登录失败，请联系系统管理员。

AIX安全加固■文档编号■密级■版本编号■日期目录AIX安全加固 (1)一.系统信息 (2)二.账号 (2)2.1禁用无用账号 (2)2.2添加口令策略 (2)2.3禁止ROOT远程登录 (3)2.4限制FTP登录 (3)三.服务 (4)3.1关闭不必要的INETD服务 (4)3.2关闭其他不必要的服务 (4)3.3检查SSH服务 (5)3.4关闭NFS服务 (5)3.5检查.RHOSTS和/ETC/HOSTS.EQUIV文件 (6)3.6检查TCP W RAPPER.......................................................................... E RROR!B OOKMARK NOT DEFINED.四.网络参数 (6)五.文件系统 (7)5.1设置UMASK值 (7)5.2设置登录超时 (7)六.日志 (8)6.1系统日志 ....................................................................................... E RROR!B OOKMARK NOT DEFINED.6.2错误日志 ....................................................................................... E RROR!B OOKMARK NOT DEFINED.6.3SU日志........................................................................................... E RROR!B OOKMARK NOT DEFINED.6.4SYSLOGD日志................................................................................... E RROR!B OOKMARK NOT DEFINED.6.5CRON日志 (8)一. 系统信息二. 账号2.1 禁用无用账号2.2 添加口令策略2.3 禁止root远程登录2.4 限制FTP登录三. 服务3.1 关闭不必要的inetd服务3.2 关闭其他不必要的服务3.3 检查SSH服务3.4 关闭NFS服务3.5 检查.rhosts和/etc/hosts.equiv文件四. 网络参数五. 文件系统5.1 设置UMASK值5.2 设置登录超时六. 日志6.1 日志设置。

运维安全加固方案2安全加固内容安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。

2.1 基线加固2.1.1 主机加固针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。

Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。

Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。

AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。

2.1.2数据库加固针对不同数据库类型的数据库如Oracle、SQL Server MysQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。

加固方法包括：对数据库安全策略、服务等进行安全加固；加强对敏感存储过程的管理，尤其是能执行操作系统命令的存储过程。

Oracle 数据库安全加固内容：账号、口令、授权、日志审计、远程操作连接。

Linux版MySQL数据库安全加固内容：认证授权（以非root用户启动MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。

Windows 版MySQL 安全加固内容：认证授权（以普通用户权限运行MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。

AIX系统加固一、系统保护升级加固1．下载系统推荐保护包在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(Maintenance Levels，简称ML) 由从AIX 的基准文件集更新后的一系列文件集组成。

每个文件集的更新都是累计的，即它包含了AIX 发布以来的所有那个文件集的补丁，并替换了所有以前的更新。

维护包(ML)的命名规则是4位的 VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。

可以通过安装ML来升级操作系统的改进版号modification，例如，从4.3.0.0升级到。

推荐维护包(Recommended Maintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过教多实测过的更新的文件集组成。

通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。

推荐保护包(RM)的命名规那么是4位的 VRMF,在加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包Recommended Maintenance如 4330-01 是 4330 的第1个推荐维护包(RM)。

可以用以下的命令来判定是否4330-01已经安装在系统里，oslevel将仍然显示表示系统的ML仍是4330：instfix -ik 4330-01_AIX_ML我们可以通过该网站（2．解紧缩推荐保护包我们建议将推荐维护包解压缩至/usr/sys/cd /tmp/mlgzip -d *.cd /usr/sys/find /tmp/ml -name \*.tar -exec tar -xvf {} \;rm –rf /tmp/ml3．用df检查系统硬盘空间大小，确保/，/usr，/var，/tmp等目录有足够的空间4．用如下指令检查当前已安装的程序和升级：lppchk –vlppchk -c5．若是有可能，从头成立新的启动引导镜像，并从头启动系统hosboot –ad /dev/ipldeviceshutdown –r6．依照一下步骤确信安装空间以root身份运行smitty update_all在“INPUT device / directory for software”中输入ML升级包的具体位置设定“Preview only？”选项为“yes”设定“COMMIT software updates?”选项为“no”设定“SAVE replaced files?”选项为“yes”预览安装结束后查阅smit的输出纪录7．安装推荐补丁包以root身份运行smitty update_all在“INPUT device / directory for software”中输入ML升级包的具体位置设定“COMMIT software updates?”选项为“no”设定“SAVE replaced files?”选项为“yes”安装结束后查阅smit的输出纪录8．从头启动系统shutdown －r注：目前最新推荐维护包是4330-09_AIX_ML二、安装系统安全补丁加固查询APAR Database数据库( ) 来取得必要的系统平安补丁信息。

华为技术服务河南移动wapgw系统IBM AIX主机安全加固日常维护指导华为技术有限公司二〇一四年四月商业机密版权声明©2008 华为技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。

作者信息修订记录目录1、安全加固后维护变化 (5)1.1、FTP文件传输 (5)1.2、日常维护登录帐号、口令策略 (5)1.3、FTP访问限制................................................................................ 错误！未定义书签。

1.4、登录超时180秒 (6)1.5、TELNET服务关闭操作方法 (7)1.6、目录权限加固后的业务操作 (7)1.7、HACMP启动脚本 (8)2、日常安全维护监控 (8)2.1、系统异常资源占用监控 (8)2.2、系统异常事件检查 (8)2.3、系统安全日志检查 (9)1、安全加固后维护变化文档使用说明：进行主机安全加固后，日常维护方式和操作会有所改变，主要从以下几个方面注意。

1.1、FTP文件传输本次加固实施，IBM AIX主机保留了系统的ftp服务，而且保留开放root ftp登录。

不允许ftp登陆的账号：daemon/bin/sys/adm/lp/uucp/nuucp/listen/nobody/noaccess/nobody4。

IBM AIX主机ftp 服务。

如需开启ftp服务，请参照以下步骤启动ftp服务。

1、以root账户登录2、vi /etc/inetd.conf#ftp stream tcp6 nowait root /usr/sbin/ftpd ftpdtelnet stream tcp6 nowait root /usr/sbin/telnetd telnetd –a移除ftp行前面的#号。

文档编号：AIX系统安全配置手册2006年5月声明：本文档是启明星辰信息技术有限公司安全评估服务项目提交文档的一部分，文档的所有权归启明星辰公司所有，任何对本文档的修改、发布、传播等行为都需要获得启明星辰公司的授权，明星辰公司保留对违反以上声明的组织或个人追究责任，诉诸法律的权力。

启直至文档信息文档名称保密级别制作人参与制作人文档版本编号制作日期V1.0复审人适用范围分发控制复审日期本文档为启明星辰信息技术有限公司(以下简称启明星辰)安全评估服务项目中所制作的项目文档，供相关项目人员参考。

编号123版本控制读者文档权限与文档的主要关系项目组成员使用本规定项目的负责人，负责本文档的批准程序时间2006-5-12版本V1.0说明修改人陈波AIX系统安全加固手册1.系统维护升级加固1．下载系统推荐维护包➢在AIX操作系统中，补丁修正软件包分为维护包和推荐维护包：维护包(Maintenance Levels，简称ML)由从AIX4.3的基准文件集更新后的一系列文件集组成。

每个文件集的更新都是累计的，即它包含了AIX4.3发布以来的所有那个文件集的补丁，并替换了所有以前的更新。

维护包(ML)的命名规则是4位的VRMF：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fix可以用oslevel来判定当前系统中的维护包版本。

可以通过安装ML来升级操作系统的改进版号modification，例如，从4.3.0.0升级到4.3.3.0。

➢推荐维护包(R ecommended Maintenance，简称RM)是由一系列适用于最新的ML的文件集组成的软件包，它由一系列经过较多实测过的更新的文件集组成。

通过安装RM，可以使你的系统拥有较新的文件集，但它不能升级系统版本。

推荐维护包(RM)的命名规则是4位的VRMF，再加两位数字后缀：V-操作系统版本号versionR-发行版号releaseM-改进版号modificationF-修正版号fixRM-推荐维护包R eco mmend ed Maintenance如4330-01是4330的第1个推荐维护包(RM)。

一、总则为了加强公司信息系统的安全管理，提高信息系统的安全防护能力，保障公司业务正常开展，特制定本管理制度。

本制度适用于公司所有主机系统，包括但不限于服务器、工作站、网络设备等。

二、组织与职责1. 公司信息安全管理委员会负责本制度的管理和监督，组织相关部门制定实施细则。

2. 信息安全管理部门负责制定主机加固安全策略，组织实施主机加固工作，并对主机加固效果进行评估。

3. 各部门负责人对本部门的主机系统安全负责，确保本部门主机系统符合本制度要求。

4. 所有员工应遵守本制度，配合信息安全管理部门开展主机加固工作。

三、主机加固原则1. 防御性原则：以预防为主，及时发现并消除安全隐患。

2. 安全性原则：确保主机系统安全可靠，防止数据泄露、篡改和破坏。

3. 有效性原则：主机加固措施应具备可操作性和有效性，能够适应业务发展需求。

4. 可持续性原则：主机加固工作应持续进行，不断优化和提升安全防护能力。

四、主机加固内容1. 操作系统加固：包括但不限于以下内容：（1）关闭不必要的服务和端口；（2）禁用或删除默认账户；（3）设置强密码策略；（4）启用账户锁定策略；（5）安装操作系统补丁。

2. 应用软件加固：包括但不限于以下内容：（1）禁用不必要的服务和端口；（2）安装应用程序补丁；（3）设置强密码策略；（4）启用应用程序白名单。

3. 数据库加固：包括但不限于以下内容：（1）设置数据库访问权限；（2）启用数据库加密；（3）安装数据库补丁。

4. 防火墙加固：包括但不限于以下内容：（1）设置防火墙策略；（2）关闭不必要的服务和端口；（3）启用入侵检测系统。

五、主机加固实施与评估1. 信息安全管理部门应根据本制度制定主机加固实施计划，并组织实施。

2. 主机加固实施过程中，应确保不影响业务正常运行。

3. 主机加固完成后，信息安全管理部门应组织相关部门进行安全评估，确保主机系统符合安全要求。

4. 定期对主机加固效果进行评估，根据评估结果优化主机加固策略。

aix系统安全加固参考信息Linux系统安全加固参考信息目录1操作系统安全-身份鉴别 (4)1.1对登录操作系统的用户进行身份标识和鉴别 (4)1.2最小密码长度 (4)1.3密码复杂度 (4)1.4密码字典 (5)1.5系统密码使用时间 (5)1.6对失败登录的次数进行限制 (5)1.7密码重复使用次数设置 (5)1.8SSH服务IP，端口，协议，允许密码错误的次数，网络中允许打开的会话数 (6)1.9root账号远程登录设置 (6)1.10防止任何人使用su命令连接root用户 (7)1.11系统Banner设置 (7)2操作系统安全-访问控制 (7)2.1修改帐户口令，更改默认帐户的访问权限 (7)2.2删除多余的、过期的帐户，避免共享帐户的存在 (8)2.3限制超级管理员远程登录 (8)3操作系统安全-入侵防范 (9)3.1仅安装需要的应用程序，关闭不需要的服务和端口 (9)3.3网络访问控制策略 (9)4操作系统安全-资源控制 (10)4.1根据安全策略设置登录终端的空闲超时断开会话或锁定 (10)4.2文件创建初始权限 (10)4.3设置合适的历史命令数量 (10)4.4系统磁盘剩余空间充分满足近期的业务需求 (11)4.5检查并记录操作系统的分区情况和文件系统利用率 (11) 5操作系统安全—日志 (11)5.1日志功能开启 (11)5.2失败登录日志监控 (12)5.3syslog日志等级的安全配置 (12)5.4安全审计策略 (12)5.5系统日志记录 (13)5.6启用记录cron行为日志功能和cron/at的使用情况 (13) 6操作系统安全-系统安全 (13)6.1补丁管理 (13)6.2检查并记录系统开启的网络端口 (14)6.3关闭无效服务和启动项 (14)6.4仅允许特定IP允许访问服务 (15)7操作系统安全---其它服务安全 (15)7.1FTP配置文件 (15)7.3NFS文件系统配置情况检查 (16)7.4FTP用户及服务安全 (16)1操作系统安全-身份鉴别1.1对登录操作系统的用户进行身份标识和鉴别1.2最小密码长度1.3密码复杂度1.4密码字典1.5系统密码使用时间1.6对失败登录的次数进行限制1.7密码重复使用次数设置1.8SSH服务IP，端口，协议，允许密码错误的次数，网络中允许打开的会话数1.9root账号远程登录设置1.10防止任何人使用su命令连接root用户1.11系统Banner设置2操作系统安全-访问控制2.1修改帐户口令，更改默认帐户的访问权限2.2删除多余的、过期的帐户，避免共享帐户的存在2.3限制超级管理员远程登录3操作系统安全-入侵防范3.1仅安装需要的应用程序，关闭不需要的服务和端口3.2关闭不必要的服务3.3网络访问控制策略4操作系统安全-资源控制4.1根据安全策略设置登录终端的空闲超时断开会话或锁定4.2文件创建初始权限4.3设置合适的历史命令数量4.4系统磁盘剩余空间充分满足近期的业务需求4.5检查并记录操作系统的分区情况和文件系统利用率5操作系统安全—日志5.1日志功能开启5.2失败登录日志监控5.3syslog日志等级的安全配置5.4安全审计策略5.5系统日志记录5.6启用记录cron行为日志功能和cron/at的使用情况6操作系统安全-系统安全6.1补丁管理6.2检查并记录系统开启的网络端口6.3关闭无效服务和启动项6.4仅允许特定IP允许访问服务7操作系统安全---其它服务安全7.1FTP配置文件7.2R族文件7.3NFS文件系统配置情况检查7.4FTP用户及服务安全。