AIX系統(tǒng)安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2009年3月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"適用版本 1\o"CurrentDocument"實施 1\o"CurrentDocument"例外條款 1\o"CurrentDocument"第2章 賬號管理認(rèn)證授權(quán) 2\o"CurrentDocument"賬號 2\o"CurrentDocument"用戶帳號設(shè)置 2.\o"CurrentDocument"用戶組設(shè)置 2.\o"CurrentDocument"用戶口令設(shè)置 3.\o"CurrentDocument"Root用戶遠(yuǎn)程登錄限制 3.\o"CurrentDocument"系統(tǒng)用戶登錄限制 4.\o"CurrentDocument"口令 4\o"CurrentDocument"口令生存期安全要求 4.\o"CurrentDocument"口令歷史安全要求 4.\o"CurrentDocument"用戶口令鎖定策略 5.\o"CurrentDocument"用戶訪問權(quán)限安全要求 5.\o"CurrentDocument"用戶FTP訪問的安全要求 6\o"CurrentDocument"第3章網(wǎng)絡(luò)與服務(wù) 7\o"CurrentDocument"服務(wù) 7\o"CurrentDocument"遠(yuǎn)程維護(hù)安全要求 7.\o"CurrentDocument"網(wǎng)絡(luò) 7\o"CurrentDocument"ICMP重定向安全要求 7.\o"CurrentDocument"第4章日志審計 8\o"CurrentDocument"日志 8\o"CurrentDocument"添加認(rèn)證日志 8.\o"CurrentDocument"審計 8\o"CurrentDocument"安全事件審計 8.\o"CurrentDocument"第5章設(shè)備其他安全配置要求 10\o"CurrentDocument"設(shè)備 10\o"CurrentDocument"屏幕保護(hù) 10\o"CurrentDocument"緩沖區(qū) 10\o"CurrentDocument"緩沖區(qū)溢出 10\o"CurrentDocument"第6章評審與修訂 12第1章概述目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的AIX操作系統(tǒng)的主機應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行AIX操作系統(tǒng)的安全合規(guī)性檢查和配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動總部和各省公司信息化部門維護(hù)管理的AIX服務(wù)器系統(tǒng)。適用版本AIX系列服務(wù)器;實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。第2章賬號管理認(rèn)證授權(quán)2.1賬號2.1.1用戶帳號設(shè)置安全基線項目名稱操作系統(tǒng)AIX用戶賬戶安全基線要求項安全基線編號SBL-AIX-02-01-01安全基線項說明用戶帳號設(shè)置。檢測操作步驟1、執(zhí)行：Isuser-ahomeALL2、執(zhí)行：Is-l/etc/passwd基線符合性判定依據(jù)需 要 鎖 定 的 用 戶：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd備注2.1.2用戶組設(shè)置安全基線項目名稱操作系統(tǒng)AIX用戶組安全基線要求項安全基線編號SBL-AIX-02-01-02安全基線項說明用戶組設(shè)置。檢測操作步驟1、執(zhí)行：more/etc/group2、執(zhí)行：ls-l/etc/group基線符合性判定依據(jù)不要存在無用的用戶組：uucpprintq備注

用戶口令設(shè)置安全基線項目名稱操作系統(tǒng)AIX用戶口令安全基線要求項安全基線編號SBL-AIX-02-01-03安全基線項說明用戶口令設(shè)置。對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少6位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類檢測操作步驟1、執(zhí)行：more/etc/security/user，檢查maxage/minlen/minage/pwdwarntime參數(shù)2、執(zhí)行：pwdck-nALL,檢查是否存在空口令賬號基線符合性判定依據(jù)不能存在簡單密碼；創(chuàng)建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于6位的口令，查看系統(tǒng)是否對口令強度要求進(jìn)行提示；輸入帶有特殊符號的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。備注Root用戶遠(yuǎn)程登錄限制安全基線項目名稱操作系統(tǒng)AIX遠(yuǎn)程登錄安全基線要求項安全基線編號SBL-AIX-02-01-04安全基線項說明Root用戶遠(yuǎn)程登錄限制。檢測操作步驟1、執(zhí)行：more/etc/security/user,檢查在root項目中是否有下列行:rlogin=falselogin=truesu=truesugroup=system基線符合性判定依據(jù)禁止root用戶直接登錄系統(tǒng)可以增加系統(tǒng)入侵的難度備注

系統(tǒng)用戶登錄限制安全基線項目名稱操作系統(tǒng)AIX用戶登錄安全基線要求項安全基線編號SBL-AIX-02-01-05安全基線項說明系統(tǒng)用戶登錄限制。檢測操作步驟1、執(zhí)行：more/etc/security/user，檢查在daemonbinsysadmuucpnuucpprintqguestnobodylpdsshd項目中是否有下列行：rlogin=falselogin=false基線符合性判定依據(jù)系統(tǒng)賬號僅被守護(hù)進(jìn)程和服務(wù)使用，不應(yīng)直接由用戶登錄系統(tǒng)。如果系統(tǒng)沒有應(yīng)用這些守護(hù)進(jìn)程或服務(wù)，建議刪除這些賬號。備注2.2口令口令生存期安全要求安全基線項目名稱操作系統(tǒng)AIX口令生存期安全基線要求項安全基線編號SBL-AIX-02-02-01安全基線項說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的生存期不長于90天。檢測操作步驟1、執(zhí)行：more/etc/security/user，檢查histexpire基線符合性判定依據(jù)Histexpire小于等于13備注安全基線項目名稱操作系統(tǒng)AIX口令生存期安全基線要求項安全基線項目名稱操作系統(tǒng)AIX口令生存期安全基線要求項安全基線項操作系統(tǒng)AIX口令生存期安全基線要求項目名稱

安全基線編號SBL-AIX-02-02-02安全基線項說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。檢測操作步驟1、執(zhí)行：more/etc/security/user，檢查histsize基線符合性判定依據(jù)Histsize大于等于5備注用戶口令鎖定策略安全基線項目名稱操作系統(tǒng)AIX口令鎖定安全基線要求項安全基線編號SBL-AIX-02-02-03安全基線項說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次（不含6次），鎖定該用戶使用的賬號。檢測操作步驟1、執(zhí)行：more/etc/security/user，檢查retries基線符合性判定依據(jù)retries=6備注用戶訪問權(quán)限安全要求安全基線項目名稱操作系統(tǒng)AIX用戶訪問權(quán)限安全基線要求項安全基線編號SBL-AIX-02-02-04安全基線項說明控制用戶缺省訪問權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。檢測操作步驟1、執(zhí)行：more/etc/default/login，檢查umask基線符合性判定依據(jù)umask027

備注用戶FTP訪問的安全要求安全基線項目名稱操作系統(tǒng)AIX用戶FTP訪問安全基線要求項安全基線編號SBL-AIX-02-02-05安全基線項說明控制FTP進(jìn)程缺省訪問權(quán)限，當(dāng)通過FTP服務(wù)創(chuàng)建新文件或目錄時應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。檢測操作步驟1、執(zhí)行：more/etc/ftpaccess，檢查restricted-uid2、執(zhí)行：more/etc/ftpusers基線符合性判定依據(jù)ftpaccess中應(yīng)有類似一行restricted-uid*（限制所有）；ftpusers列表里邊的用戶名應(yīng)包括：rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4備注第3章網(wǎng)絡(luò)與服務(wù)服務(wù)遠(yuǎn)程維護(hù)安全要求安全基線項目名稱操作系統(tǒng)AIX遠(yuǎn)程維護(hù)安全基線要求項安全基線編號SBL-AIX-03-01-01安全基線項說明對于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，并安全配置SSHD的設(shè)置。檢測操作步驟1、執(zhí)行：ps-elf|grepssh2、執(zhí)行：ps-elf|greptelnet基線符合性判定依據(jù)ssh啟用，telnet禁用備注網(wǎng)絡(luò)ICMP重定向安全要求安全基線項目名稱操作系統(tǒng)AIXICMP重定向安全基線要求項安全基線編號SBL-AIX-03-02-01安全基線項說明主機系統(tǒng)應(yīng)該禁止ICMP重定向，采用靜態(tài)路由。檢測操作步驟在/etc/rc2.d/S??inet搜索在/etc/rc2.d/S69inet中搜索基線符合性判定依據(jù)要求ip_send_redirects=0要求ip6_send_redirects=0備注

第4章日志審計4.1日志4.1.1添加認(rèn)證日志安全基線項目名稱操作系統(tǒng)AIX認(rèn)證日志安全基線要求項安全基線編號SBL-AIX-04-01-01安全基線項說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址檢測操作步驟1、執(zhí)行：cat/etc/syslog.conf，檢查類似配置：/var/adm/authlog*.info;auth.none/var/adm/syslog\n"2、檢測操作cat/var/adm/authlogcat/var/adm/syslog基線符合性判定依據(jù)列出用戶賬號、登錄是否成功、登錄時間、遠(yuǎn)程登錄時的IP地址。備注4.2審計安全事件審計安全基線項目名稱操作系統(tǒng)AIX安全事件審計安全基線要求項安全基線編號SBL-AIX-04-02-01安全基線項說明設(shè)備應(yīng)配置日志功能，記錄對與設(shè)備相關(guān)的安全事件。檢測操作步1、執(zhí)行：cat