2022年AIX系统安全检查方案 .pdf-淘文阁

资源描述

《2022年AIX系统安全检查方案 .pdf》由会员分享，可在线阅读，更多相关《2022年AIX系统安全检查方案 .pdf（12页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、内部公开，未经允许，不得外传第 1 页，共 12 页技术文件技术文件名称：AIX 系统安全检查方案技术文件编号：版本： V1.0文件质量等级：共 12 页(包括封面 )拟制审核会签标准化批准名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 12 页 - - - - - - - - - 内部公开，未经允许，不得外传第 2 页，共 12 页修改记录文件编号版本号拟制人 / 修改人拟制 /修改日期更改理由主要更改内容（写要点即可）1.0 2009/06/30 无无1.0.1 20

2、09/08/14 添加内容ZTE-AIX-SH03-06/ZTE-AIX-SM01-02配置项添加说明1.1.0 2009/08/17 删除内容删除ZTE-AIX-SH03-05和 ZTE-AIX-SH03-06中ACL 检查注 1：每次更改归档文件（指归档到事业部或公司档案室的文件）时，需填写此表。注 2：文件第一次归档时， “更改理由” 、 “主要更改内容”栏写“无”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 12 页 - - - - - - - - - 内部公

3、开，未经允许，不得外传第 3 页，共 12 页AIX 操作系统安全检查方案目录(包括封面 ) . 1修改记录 . 21 概述 . 5内部适用性说明. 5外部引用说明. 5术语和定义 . 5符号和缩略语. 52 AIX 安全检查操作指导. 62.1 ZTE-AIX-S01检查帐号安全 . 62.1.1 ZTE-AIX-SH01-01检查系统帐号安全性 . 62.1.2 ZTE-AIX-SM01-02检查 root 远程登录配置 . 62.1.3 ZTE-AIX-SM01-03检查口令复杂度，加密和密码历史配置. 62.1.4 ZTE-AIX-SL01-04检查口令生存期配置. 72.2 ZTE-

4、AIX-S02检查登录会话环境 . 72.2.1 ZTE-AIX-SL02-01检查字符登录会话超时5 分钟自动退出. 72.2.2 ZTE-AIX-SL02-02检查图形登录会话超时5 分钟自动退出. 72.2.3 ZTE-AIX-SM02-03检查用户环境变量. 72.3 ZTE-AIX-S03检查主机软件/网络服务 . 82.3.1 ZTE-AIX-SH03-01检查 ftp 登录用户限制. 82.3.2 ZTE-AIX-SM03-02 检查 ftp 用户活动目录限制 . 82.3.3 ZTE-AIX-SL03-03检查匿名ftp 用户限制 . 82.3.4 ZTE-AIX-SM03-0

5、4检查 GUI 配置 . 82.3.5 ZTE-AIX-SH03-05检查 TELNET 服务配置 . 92.3.6 ZTE-AIX-SH03-06检查 SSH 服务配置 . 92.3.7 ZTE-AIX-SM03-07检查服务配置. 92.3.8 ZTE-AIX-SM03-08检查 SNMP 服务配置 . 92.3.9 ZTE-AIX-SL03-09检查 NTP 服务器或客户端配置 . 92.3.10 ZTE-AIX-SM03-10检查信任主机配置. 10 2.3.11 ZTE-AIX-SM03-11检查 ftp 初始化文件配置. 10 2.4 ZTE-AIX-S04检查日志记录配置 . 1

6、0 2.4.1 ZTE-AIX-SL04-01检查登录日志配置. 10 2.4.2 ZTE-AIX-SL04-02检查事件日志配置. 10 2.4.3 ZTE-AIX-SL04-03检查远程日志服务器配置. 10 2.4.4 ZTE-AIX-SL04-04检查 cron 日志配置 . 11 2.4.5 ZTE-AIX-SL04-05检查是否启用内核级审核. 11 2.5 ZTE-AIX-S05检查文件权限 . 11 2.5.1 ZTE-AIX-SM05-01检查重要系统文件权限. 11 2.6 ZTE-AIX-S06检查系统补丁安装情况. 11 2.6.1 ZTE-AIX-SH06-01检查操

7、作系统补丁版本 . 11 2.7 ZTE-AIX-S07检查网络协议安全配置. 12 2.7.1 ZTE-AIX-SL07-01检查 IP 协议配置 . 12 2.8 ZTE-AIX-S08检查杂项 . 12 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 12 页 - - - - - - - - - 内部公开，未经允许，不得外传第 4 页，共 12 页2.8.1 ZTE-AIX-SL08-01禁止产生Core 文件配置 . 12 名师资料总结 - - -精品资料欢迎下载

8、 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 12 页 - - - - - - - - - 内部公开，未经允许，不得外传第 5 页，共 12 页AIX 操作系统基本检查方案1 概述内部适用性说明本方案是在业务研究院网络安全规范中各项要求的基础上，提出AIX操作系统安全检查方案。外部引用说明中国移动设备通用安全功能和配置规范中国移动操作系统安全功能规范AIX 系统基本检查方案术语和定义符号和缩略语缩写英文描述中文描述本文件中的字体标识如下：蓝色斜体在具体执行时需要替换的内容检查 /加固项编码意义如下：公司名称

9、-操作系统 -条目性质风险级别数字编号 -小项数字编号条目性质中： S 意为检查； E 意为加固风险级别中： H 意为高风险； M 意为中等风险； L 意为低风险，风险级别仅存于具体条目中名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 12 页 - - - - - - - - - 内部公开，未经允许，不得外传第 6 页，共 12 页2 AIX 安全检查操作指导2.1 ZTE-AIX-S01检查帐号安全2.1.1 ZTE-AIX-SH01-01检查系统帐号安全性#cat /

10、etc/passwd 检查如下内容（强密码部分单独检查）：帐号名用户 ID 是否为 0 是否已锁定默认 shell 是否强密码需要记录的内容：用户 ID 为 0 的所有帐号，默认有shell 并未锁定的帐号2.1.2 ZTE-AIX-SM01-02检查 root 远程登录配置操作期望输出是否满足# lsuser -a rlogin root root rlogin=false #grep PermitRootLogin /etc/ssh/sshd_config PermitRootLogin no 说明：如果未找到/etc/ssh/sshd_config 文件，说明ssh未安装，不满足安全配置

11、2.1.3 ZTE-AIX-SM01-03检查口令复杂度，加密和密码历史配置操作期望输出是否满足#lssec -f /etc/security/user -s default -a minlen default minlen=8 #lssec -f /etc/security/user -s default -a minalpha default minalpha=1 #lssec -f /etc/security/user -s default a mindiff default mindiff=1 #lssec -f /etc/security/user -s default minoth

12、er=1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 12 页 - - - - - - - - - 内部公开，未经允许，不得外传第 7 页，共 12 页default a minother #lssec -f /etc/security/user -s default a histsize default histsize=5 2.1.4 ZTE-AIX-SL01-04检查口令生存期配置操作期望输出是否满足#lssec -f /etc/security/user -s

13、 default a pwdwarntime default pwdwarntime=5 #lssec -f /etc/security/user -s default a histexpire default histexpire=13 2.2 ZTE-AIX-S02检查登录会话环境2.2.1 ZTE-AIX-SL02-01检查字符登录会话超时5 分钟自动退出操作期望输出是否满足#grep TMOUT /etc/profile TMOUT=300 ; export TMOUT 2.2.2 ZTE-AIX-SL02-02检查图形登录会话超时5 分钟自动退出操作期望输出是否满足#grep Tim

14、eout /usr/dt/config/*/sys.resources 输出中包含如下内容：dtsession*saverTimeout: 5 dtsession*lockTimeout: 5 2.2.3 ZTE-AIX-SM02-03检查用户环境变量操作期望输出是否满足#lssec -f /etc/security/user -s default a umask default umask=027 lsuser -a home ALL | awk print 所有用户的umask 值均为名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -

15、- - 名师精心整理 - - - - - - - 第 7 页，共 12 页 - - - - - - - - - 内部公开，未经允许，不得外传第 8 页，共 12 页$1 | while read user; do lsuser -a umask $user done umask=27 使用每个可以登录的帐号登录系统后，执行：#set | grep PATH 检查 PATH 变量中，是否定义了当前目录：“ .”无 PATH 变量包含当前目录（ “.” ）2.3 ZTE-AIX-S03检查主机软件 /网络服务2.3.1 ZTE-AIX-SH03-01检查 ftp 登录用户限制操作期望输出是否满足#

16、cat /etc/ftpusers 输出包含除允许ftp 登录的用户之外的其他所有用户2.3.2 ZTE-AIX-SM03-02 检查 ftp 用户活动目录限制操作期望输出是否满足#cat /etc/ftpaccess 输出中包含如下内容：restricted-uid * chmod no guest,anonymous delete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous 2.3.3 ZTE-AIX-SL03-03检查匿名 ftp 用户限制操作期望

17、输出是否满足FTP 登录被检查服务器，确认是否可以匿名访问不能匿名访问2.3.4 ZTE-AIX-SM03-04检查 GUI 配置操作期望输出是否满足#ps elf | grep dtlogin 无/usr/dt/bin/dtlogin 进程名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 12 页 - - - - - - - - - 内部公开，未经允许，不得外传第 9 页，共 12 页2.3.5 ZTE-AIX-SH03-05检查 TELNET服务配置操作期望输出是否满足

18、#lssrc -t telnet 无 telnet 服务输出2.3.6 ZTE-AIX-SH03-06检查 SSH 服务配置操作期望输出是否满足检查 ssh是否已经启动：#lssrc s sshd ssh服务 status为 active 说明：如果相关命令提示：0513-085 The sshd Subsystem is not on file. 说明 ssh服务未安装，不满足需求2.3.7 ZTE-AIX-SM03-07检查服务配置# lssrc a 输出内容请复制至右侧#grep v # /etc/inetd.conf 输出内容请复制至右侧2.3.8 ZTE-AIX-SM03-08检查

19、SNMP 服务配置操作期望输出是否满足#grep public /etc/snmpd.conf 输出不包含如下内容：community public 2.3.9 ZTE-AIX-SL03-09检查 NTP 服务器或客户端配置操作期望输出是否满足检查文件 /etc/ntp.conf 是否存在文件存在#lssrc -t xntpd xntpd 服务 status为 active 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 12 页 - - - - - - - - - 内部

20、公开，未经允许，不得外传第 10 页，共 12 页2.3.10ZTE-AIX-SM03-10检查信任主机配置操作期望输出是否满足检查文件 /etc/hosts.equiv 是否存在（内容为空，可认为不存在）文件不存在#检查用户主目录下（包括/root）是否存在如下文件：.rhosts （如果文件内容为空，可认为不存在）文件不存在2.3.11ZTE-AIX-SM03-11检查 ftp 初始化文件配置操作期望输出是否满足检查用户主目录下（包括/root）是否存在如下文件：.netrc （如果文件内容为空，可认为不存在）文件不存在2.4 ZTE-AIX-S04检查日志记录配置2.4.1 ZTE-

21、AIX-SL04-01检查登录日志配置操作期望输出是否满足检查/var/adm/authlog和/var/adm/syslog 是否存在文件存在2.4.2 ZTE-AIX-SL04-02检查事件日志配置操作期望输出是否满足#grep /var/adm/messages /etc/syslog.conf 输出为（含有）：*.err;kern.debug;daemon.notice; /var/adm/messages 2.4.3 ZTE-AIX-SL04-03检查远程日志服务器配置操作期望输出是否满足#grep /etc/syslog.conf 输出中，后面的主机名或ip 地址不是为本机名师

22、资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 12 页 - - - - - - - - - 内部公开，未经允许，不得外传第 11 页，共 12 页2.4.4 ZTE-AIX-SL04-04检查 cron 日志配置操作期望输出是否满足#grep logfile=/var/adm/cron/log /etc/cronlog.conf 输出中，后面的主机名或ip 地址不是为本机本加固项仅对AIX 5300-04 或更高版本有效2.4.5 ZTE-AIX-SL04-05检查是否

23、启用内核级审核操作期望输出是否满足#audit query 输出中，包含：auditing on 2.5 ZTE-AIX-S05检查文件权限2.5.1 ZTE-AIX-SM05-01检查重要系统文件权限操作期望输出是否满足操作 1：#ls l /etc/security 操作 2：#ls l /etc/group 操作 3：#ls l /etc/security/audit 操作 4：#ls l /etc/passwd 权限部分输出如下：操作 1：权限 750，属主：root:security 操作 2：权限 644，属主：root:security 操作 3：权限 750，属主： roo

24、t:audit 操作 4：权限 644，属主：root:security 2.6 ZTE-AIX-S06检查系统补丁安装情况2.6.1 ZTE-AIX-SH06-01检查操作系统补丁版本#oslevel -r 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 12 页 - - - - - - - - - 内部公开，未经允许，不得外传第 12 页，共 12 页2.7 ZTE-AIX-S07检查网络协议安全配置2.7.1 ZTE-AIX-SL07-01检查 IP 协议配置操

26、rcrouteforward Ipsrcrouteforward = 0 # no -a | grep ipsrcrouterecv ipsrcrouterecv = 0 # no -a | grep ipsrcroutesend ipsrcroutesend = 0 # no -a | grep nonlocsrcroute nonlocsrcroute = 0 2.8 ZTE-AIX-S08检查杂项2.8.1 ZTE-AIX-SL08-01禁止产生 Core 文件配置操作期望输出是否满足#grep core /etc/security/limits 输出中包含：core 0 core_hard = 0 #grep ulimit -c 0 /etc/profile ulimit -c 0 #lsattr -Elsys0 | grep full fullcore false Enable full CORE dump True 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 12 页 - - - - - - - - -

展开阅读全文