《2022年AIX操作系统安全配置规范 .pdf》由会员分享,可在线阅读,更多相关《2022年AIX操作系统安全配置规范 .pdf(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、AIX 安全配置程序名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 19 页 -1账号认证编号:安全要求-设备-通用-配置-1 要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号,包括root,bin 等。操作指南1、参考配置操作删除用户:#rmuser p username;锁定用户:1)修改/etc/shadow 文件,用户名后加*LK*2)将/etc/passwd 文件中的shell 域设置成/bin/false 3)#chuseraccount_locked=TRUE username 只有具备超级用户权限的使用者方可使用,#chusera
2、ccount_locked=TRUE username 锁定用户,用#chuseraccount_locked=FALSEusername 解锁后原有密码失效,登录需输入新密码,修改/etc/shadow 能保留原有密码。2、补充操作说明需要锁定的用户:deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd 检测方法1、判定条件被删除或锁定的账号无法登录成功;2、检测操作使用删除或锁定的与工作无关的账号登录系统;3、补充说明需要锁定的用户:deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobo
3、dy,lpd,sshd 编号:安全要求-设备-通用-配置-2 要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。操作指南1、参考配置操作编辑/etc/security/user,加上:如果限制root 从远程 ssh登录,修改/etc/ssh/sshd_config 文件,将名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 19 页 -PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd服务。2、补充操作说明检测方法1、判定条件root 远程登录
4、不成功,提示 Not on system console;普通用户可以登录成功,而且可以切换到root 用户;2、检测操作root 从远程使用telnet 登录;普通用户从远程使用telnet 登录;root 从远程使用ssh登录;普通用户从远程使用ssh登录;3、补充说明限制 root 从远程 ssh登录,修改/etc/ssh/sshd_config 文件,将PermitRootLogin yes 改为 PermitRootLogin no,重启 sshd服务。2密码策略编号:安全要求-设备-通用-配置-3 要求内容对于采用静态口令认证技术的设备,口令长度至少8 位,并包括数字、小写字母、大
5、写字母和特殊符号4 类中至少2 类。操作指南1、参考配置操作chsec-f/etc/security/user-s default-aminlen=8 chsec-f/etc/security/user-s default-aminalpha=1 chsec-f/etc/security/user-s default-a mindiff=1 chsec-f/etc/security/user-s default-a minother=1 chsec f/etc/security/user s default-a pwdwarntime=5 minlen=8#密码长度最少8 位minalpha=
6、1#包含的字母最少1 个mindiff=1#包含的唯一字符最少1 个minother=1#包含的非字母最少1 个pwdwarntime=5#系统在密码过期前5 天发出修改密码的警告信息给用户2、补充操作说明名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 19 页 -检测方法1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作1、检查口令强度配置选项是否可以进行如下配置:i.配置口令的最小长度;ii.将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8 位的口令,查看
7、系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。编号:安全要求-设备-通用-配置-4 要求内容对于采用静态口令认证技术的设备,帐户口令的生存期不长于12周(84 天)。操作指南1、参考配置操作方法一:chsec-f/etc/security/user-s default-ahistexpire=12 方法二:用 vi 或其他文本编辑工具修改chsec-f/etc/security/user 文件如下值:histexpire=13 histexpire=13#密码可重复使用的星期为12 周(84 天)2、补充操作说明检测方法1、判定条件密码过期
8、后登录不成功;2、检测操作使用超过84 天的帐户口令登录会提示密码过期;编号:安全要求-设备-通用-配置-5 要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近3 次(含 3 次)内已使用的口令。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 19 页 -操作指南1、参考配置操作方法一:chsec-f/etc/security/user-s default-a histsize=3 方法二:用 vi 或其他文本编辑工具修改chsec-f/etc/security/user 文件如下值:histsize=3 histexpire=3#可允许的密码重复次数检测
9、方法1、判定条件设置密码不成功2、检测操作cat/etc/security/user,设置如下histsize=3 3、补充说明默认没有histsize 的标记,即不记录以前的密码。编号:安全要求-设备-通用-配置-6要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 5 次(不含 5 次),锁定该用户使用的账号。操作指南1、参考配置操作指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:chsec-f/etc/security/user-s default-a loginretries=5 2、补充操作说明检测方法1、判定条件帐户被锁定,不再提示让再次登录
10、;2、检测操作创建一个普通账号,为其配置相应的口令;并用新建的账号通过错误的口令进行系统登录5 次以上(不含5 次);3审核授权策略编号:安全要求-设备-通用-配置-7(1)设置全局审核事件名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 19 页 -配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP 连接等事件。classes:custom=USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,
11、USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_JobAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER_Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_Change,PROC_kill,PROC_Reboot,FS_Mount,FS_
12、Umount,PROC_Settimer,PROC_Adjtime(2)审核系统安全文件修改配置/etc/security/audit/objects 文件,审核如下系统安全相关文件的修改。/etc/security/environ:w=S_ENVIRON_WRITE/etc/security/group:w=S_GROUP_WRITE/etc/security/limits:w=S_LIMITS_WRITE/etc/security/login.cfg:w=S_LOGIN_WRITE/etc/security/passwd:r=S_PASSWD_READ w=S_PASSWD_WRITE/e
13、tc/security/user:w=S_USER_WRITE/etc/security/audit/config:w=AUD_CONFIG_WR 编号:安全要求-设备-通用-配置-8 要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。操作指南1、参考配置操作通过 chmod 命令对目录的权限进行实际设置。2、补充操作说明chmod 644/etc/passwd/etc/group chmod 750/etc/security chmod-R go-w,o-r/etc/security 名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 19 页 -/etc/p
14、asswd 所有用户都可读,root 用户可写 rw-r r/etc/shadow 只有 root 可读 r-/etc/group 必须所有用户都可读,root 用户可写 rw-r r使用如下命令设置:chmod 644/etc/passwd chmod 644/etc/group 如果是有写权限,就需移去组及其它用户对/etc 的写权限(特殊情况除外)执行命令#chmod-R go-w,o-r/etc 检测方法1、判定条件1、设备系统能够提供用户权限的配置选项,并记录对用户进行权限配置是否必须在用户创建时进行;2、记录能够配置的权限选项内容;3、所配置的权限规则应能够正确应用,即用户无法访问
15、授权范围之外的系统资源,而可以访问授权范围之内的系统资源。2、检测操作1、利用管理员账号登录系统,并创建2 个不同的用户;2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项;3、为两个用户分别配置不同的权限,2 个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现;4、分别利用2 个新建的账号访问设备系统,并分别尝试访问允许访问的内容和不允许访问的内容,查看权限配置策略是否生效。3、补充说明编号:安全要求-设备-AIX-配置-9 要求内容控制用户缺省访问权限,当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其
16、它用户及别的组的用户修改该用户的文件或更高限制。操作指南1、参考配置操作A.设置所有存在账户的权限:名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 19 页 -lsuser-a home ALL|awk print$1|while read user;do chuserumask=027$user done vi/etc/default/login 在末尾增加umask 027 B.设置默认的profile,用编辑器打开文件/etc/security/user,找到umask 这行,修改如下:Umask=027 2、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umas
17、k,可以在需要的时候通过命令行设置,或者在用户的shell 启动文件中配置。检测方法1、判定条件权限设置符合实际需要;不应有的访问允许权限被屏蔽掉;2、检测操作查看新建的文件或目录的权限,操作举例如下:#ls-l dir;#查看目录dir 的权限#cat/etc/default/login 查看是否有umask 027 内容3、补充说明umask 的默认设置一般为022,这给新创建的文件默认权限755(777-022=755),这会给文件所有者读、写权限,但只给组成员和其他用户读权限。umask 的计算:umask 是使用八进制数据代码设置的,对于目录,该值等于八进制数据代码777 减去需要的
18、默认权限对应的八进制数据代码值;对于文件,该值等于八进制数据代码666 减去需要的默认权限对应的八进制数据代码值。4日志配置策略本部分对 AIX 操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 19 页 -分析工具,发现安全隐患。如出现大量违反ACL 规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化
19、。编号:安全要求-设备-通用-配置-10 要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的 IP 地址。操作指南1、参考配置操作修改配置文件vi/etc/syslog.conf,加上这几行:auth.infott/var/adm/authlog*.info;auth.nonett/var/adm/syslogn 建立日志文件,如下命令:touch/var/adm/authlog/var/adm/syslog chownroot:system/var/adm/authlog 配置日志文件权限,如下命令:chmod
20、600/var/adm/authlog chmod 640/var/adm/syslog 重新启动syslog 服务,依次执行下列命令:stopsrc-s syslogd startsrc-s syslogd AIX 系统默认不捕获登录信息到syslogd,以上配置增加了验证信息发送到/var/adm/authlog 和/var/adm/syslog,并设置了权限为其他用户和组禁止读写日志文件。2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP 地址。2、检测操作cat/var/adm/authlog cat/var/adm/syslog 3、补充说明编
21、号:安全要求-设备-通用-配置-11 名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 19 页 -要求内容设备应配置日志功能,记录对与设备相关的安全事件。操作指南1、参考配置操作修改配置文件vi/etc/syslog.conf,配置如下类似语句:*.err;kern.debug;daemon.notice;/var/adm/messages 定义为需要保存的设备相关安全事件。2、补充操作说明编号:安全要求-设备-AIX-配置-12 要求内容启用内核级审核操作指南1、参考配置操作开始审计用如下命令:#audit on 下一次系统启动自动执行审计用如下命令:mkitab-icron
22、audit:2:once:/usr/sbin/audit start 2&1 /dev/console telinit q echo audit shutdown /usr/sbin/shutdown 2、补充操作说明审计能跟踪和记录系统发生的活动,一个组或一个用户的行为。详细请参考如下文件的第二个章节http:/ start 3、补充说明5.5 IP协议安全策略编号:安全要求-设备-通用-配置-13 名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 19 页 -要求内容对于使用IP 协议进行远程维护的设备,设备应配置使用SSH 等加密协议,并安全配置SSHD 的设置。操作指南1
23、、参考配置操作把如下 shell 保存后,运行,会修改ssh的安全设置项:unaliascprm mv case find/usr/etc-type f|grep-c ssh_config$in 0)echo Cannot find ssh_config;1)DIR=find/usr/etc-type f 2/dev/null|grepssh_config$|sed-e s:/ssh_config:cd$DIR cpssh_configssh_config.tmp awk/#?*Protocol/print Protocol 2;next;print ssh_config.tmpssh_con
24、fig if grep-El Protocol ssh_config=;then echo Protocol 2 ssh_config fi rmssh_config.tmp chmod 600 ssh_config;*)echo You have multiple sshd_config files.Resolve echo before continuing.;esac#也可以手动编辑ssh_config,在Host*后输入Protocol 2,cd$DIR cpsshd_configsshd_config.tmp awk/#?*Protocol/print Protocol 2;next
25、;/#?*X11Forwarding/print X11Forwarding yes;next;/#?*IgnoreRhosts/print IgnoreRhosts yes;next;/#?*RhostsAuthentication/print RhostsAuthentication no;next;名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 19 页 -/#?*RhostsRSAAuthentication/print RhostsRSAAuthentication no;next;/#?*HostbasedAuthentication/print Hostbased
26、Authentication no;next;/#?*PermitRootLogin/print PermitRootLogin no;next;/#?*PermitEmptyPasswords/print PermitEmptyPasswords no;next;/#?*Banner/print Banner/etc/motd;next;print sshd_config.tmpsshd_config rmsshd_config.tmp chmod 600 sshd_config Protocol 2#使用 ssh2版本X11Forwarding yes#允许窗口图形传输使用ssh加密Ign
27、oreRhosts yes#完全禁止 SSHD 使用.rhosts 文件RhostsAuthentication no#不设置使用基于rhosts 的安全验证RhostsRSAAuthentication no#不 设置使用 RSA 算法的基于rhosts 的安全验证HostbasedAuthentication no#不允许基于主机白名单方式认证PermitRootLogin no#不允许 root 登录PermitEmptyPasswords no#不允许空密码Banner/etc/motd#设置 ssh登录时显示的banner 2、补充操作说明查看 SSH 服务状态:#ps elf|gr
28、epssh 检测方法1、判定条件#ps elf|grepssh 是否有 ssh进程存在2、检测操作查看 SSH 服务状态:#lssrc s sshd 查看 telnet 服务状态:#lssrc t telnet名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页,共 19 页 -6路由协议安全策略编号:安全要求-设备-AIX-配置-14要求内容主机系统应该禁止ICMP 重定向,采用静态路由。操作指南1、参考配置操作A.把以下网络参数保持到一个文本里:cat /etc/-tune#!/bin/ksh#优化参数,抵制SYN-flood 攻击/usr/sbin/no-o clean_parti
29、al_conns=1#不允许被SMURF 广播攻击/usr/sbin/no-o directed_broadcast=0#不允许其他机器重新设置此机网络掩码/usr/sbin/no-o icmpaddressmask=0#忽略 ICMP 重定向报文并不发送它们./usr/sbin/no-o ipignoreredirects=1/usr/sbin/no-o ipsendredirects=0#拒绝任何源路由报文/usr/sbin/no-o ipsrcrouteforward=0/usr/sbin/no-o ipsrcrouterecv=0/usr/sbin/no-o ipsrcroutesen
30、d=0/usr/sbin/no-o nonlocsrcroute=0 EOF B.赋予执行权限chmod+x/etc/-tune C.将新的记录添加到/etc/inittab 中,并告知init 命令在启动rctcpip之后执行/etc/-tune mkitab-irctcpip rcnettune:2:wait:/etc/-tune /dev/console 2&1 2、补充操作说明/usr/sbin/no 命令是管理网络调整参数的mkitab 命令是在/etc/inittab 添加启动记录的检测方法1、判定条件名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页,共 19 页 -在/
31、etc/rc2.d/S?inet搜索看是否有ndd-set/dev/ipip_send_redirects=0内容/etc/rc2.d/S69inet中包含的是ndd-set/dev/ip ip6_send_redirects=0 2、检测操作查看当前的路由信息:#netstat-rn 3、补充说明编号:安全要求-设备-AIX-配置-15 要求内容对于不做路由功能的系统,应该关闭数据包转发功能。操作指南1、参考配置操作恶意用户可以使用IP 重定向来修改远程主机中的路由表,因此发送和接受重定向信息报都要关闭:/usr/sbin/no-o ipignoreredirects=1/usr/sbin/
32、no-o ipsendredirects=0 通过源路由,攻击者可以尝试到达内部IP 地址,因此不接受源路由信息包可以防止内部网络被探测:/usr/sbin/no-o ipsrcroutesend=0/usr/sbin/no-o ipsrcrouteforward=0/usr/sbin/no-o ipsrcrouterecv=0/usr/sbin/no-o nonlocsrcroute=0 调整广播Echo 响应以防止Smurf 攻击,不响应直接广播:/usr/sbin/no-o directed_broadcast=0 2、补充操作说明注意:启动过程中IP 转发功能关闭前AIX 主机依旧可以
33、在多块网卡之间进行IP 转发,存在小小的潜在安全隐患。对于 AIX 2.4(或者更低版本),在/etc/init.d/inetinit文件的最后增加一行ndd-set/dev/ipip_forwarding 0 对于 AIX 2.5(或者更高版本),在/etc 目录下创建一个叫notrouter 的名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页,共 19 页 -空文件,touch/etc/notrouter 检测方法1、判定条件2、检测操作查看/etc/init.d/inetinit文件cat/etc/init.d/inetinit 3、补充说明注意:启动过程中IP 转发功能关闭前
34、AIX 主机依旧可以在多块网卡之间进行IP 转发,存在小小的潜在安全隐患。7服务与启动项策略编号:安全要求-设备-AIX-配置-16 要求内容列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。操作指南1、参考配置操作查看所有开启的服务:#ps e-f 方法一:手动方式操作在inetd.conf中关闭不用的服务首先复制/etc/inet/inetd.conf。#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.backup 然后用 vi编辑器编辑inetd.conf文件,对于需要注释掉的服务在相应行开头标记#字符,重启 inetd服务,即可。
35、重新启用该服务,使用命令:refresh s inetd 方法二:自动方式操作for SVC in ftp telnet shell kshell login klogin exec echo discard chargen daytime time ttdbserverdtspc;do echo Disabling$SVC TCP chsubserver-d-v$SVC-p tcp done 名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页,共 19 页 -for SVC in ntalkrstatdrusersdrwalldspraydpcnfsd echo discard ch
36、argen daytime time cmsd;do echo Disabling$SVC UDP chsubserver-d-v$SVC-p udp done 2、补充操作说明在/etc/inetd.conf 文件中禁止下列不必要的基本网络服务。Tcp服务如下:ftp telnet shell kshell login klogin exec UDP服务如下:ntalkrstatdrusersdrwalldspraydpcnfsd 注意:改变了 inetd.conf文件之后,需要重新启动inetd。对必须提供的服务采用tcpwapper来保护并且为了防止服务取消后断线,一定要启用SSHD服务
37、,用以登录操作和文件传输。检测方法1、判定条件所需的服务都列出来;没有不必要的服务;2、检测操作查看所有开启的服务:cat/etc/inet/inetd.conf,cat/etc/inet/services 3、补充说明在/etc/inetd.conf 文件中禁止下列不必要的基本网络服务。Tcp服务如下:ftp telnet shell kshell login klogin exec UDP服务如下:ntalkrstatdrusersdrwalldspraydpcnfsd 注意:改变了 inetd.conf文件之后,需要重新启动inetd。对必须提供的服务采用tcpwapper来保护编号:安
38、全要求-设备-AIX-配置-17 要求内容NFS 服务:如果没有必要,需要停止NFS 服务;如果需要NFS服务,需要限制能够访问NFS 服务的 IP 范围。操作指南1、参考配置操作名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页,共 19 页 -根据本机角色挑选下面的之一执行:A.禁止 NFS 服务端命令 lslpp-L .nis.server 2&1|grep-c not installed-eq 0&/usr/lib/instl/sm_instinstallp_cmd-u -.nis.server B.禁止 nfs 客户端命令:lslpp-L .nis.client 2&1|gr
39、ep-c not installed-eq 0&/usr/lib/instl/sm_instinstallp_cmd-u -.nis.client 限制能够访问NFS 服务的 IP 范围:编辑文件:vi/etc/hosts.allow 增加一行:nfs:允许访问的IP2、补充操作说明需要判断本机的NFS 角色是否服务端或客户端检测方法1、判定条件NFS 状态显示为:disabled;或者只有规定的IP 范围可以访问NFS 服务;2、检测操作查看 nfs 进程:#ps elf|grepnfs 查看 NFS 服务端是否安装,如没安装返回not installed#lslpp-L .nis.serv
40、er 查看 NFS 客户端是否安装,如没安装返回not installed#lslpp-L .nis.client 若需要 NFS 服务,查看能够访问NFS 服务的 IP 范围:查看文件:cat/etc/hosts.allow 3、补充说明编号:安全要求-设备-AIX-配置-18 名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页,共 19 页 -要求内容列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。Zi 操作指南1、参考配置操作A.关闭 sendmail 服务:stopsrc-s sendmail chrctcp-d sendmail cd/var/spool/cron
41、/crontabs crontab-l root.tmp if grep-c sendmail-q root.tmp-eq 0;then echo 0*/usr/sbin/sendmail-q root.tmp crontabroot.tmp fi rm-f root.tmp B.关闭 NFS 服务-f/etc/exports&rm-f/etc/exports C.关闭 NFS 客户端rmnfs B D.关闭 GUI 登录界面chmodug-s/usr/dt/bin/dtaction /usr/dt/bin/dtappgather/usr/dt/bin/dtprintinfo/usr/dt/b
42、in/dtsession/usr/dt/bin/dtconfig-d E.关闭不经常使用的服务for SVC in routed gated named timed rwhodmrouted snmpdhostmibd dpid2 lpdportmap autoconf6 ndpd-router ndpd-host;do echo Turning off$SVC stopsrc-s$SVC chrctcp-d$SVC done for SVC in piobe i4ls httpdlitepmdwritesrv;do echo Turning off$SVC stopsrc-s$SVC rmi
43、tab$SVC done 名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页,共 19 页 -2、补充操作说明需根据每台机器的角色,选取必须的服务,其余的可关闭,以上的语句需要适量修改,不要照搬运行。检测方法1、判定条件所列进程和服务都是必需的;2、检测操作用 ps e-f 检查是否还有无关进程启动。5.8其他安全策略编号:安全要求-设备-通用-配置-19 要求内容对于具备字符交互界面的设备,应配置定时帐户自动登出。操作指南1、参考配置操作可以在下列文件中用文本编辑工具增加一行配置:/etc/profile,/etc/environment/etc/security/.profile 增加如下行:TMOUT=300;TIMEOUT=300;export readonly TMOUT TIMEOUT 改变这项设置后,重新登录才能有效。检测方法1、判定条件若在设定时间内没有操作动作,能够自动退出,即为符合;2、检测操作命令:cat/etc/profile|grepTMOUT cat/etc/environment|grep TMOUT cat/etc/security/.profile|grep TMOUT 如果没显示则不符合配置要求3、补充说明名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页,共 19 页 -