AIX安全配置基線_第1頁
AIX安全配置基線_第2頁
AIX安全配置基線_第3頁
AIX安全配置基線_第4頁
AIX安全配置基線_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

AIX系統(tǒng)安全配置基線中國移動(dòng)通信有限公司管理信息系統(tǒng)部2009年3月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月備注:1.若此文檔需要日后更新,請(qǐng)創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1\o"CurrentDocument"目的 1\o"CurrentDocument"適用范圍 1\o"CurrentDocument"適用版本 1\o"CurrentDocument"實(shí)施 1\o"CurrentDocument"例外條款 1\o"CurrentDocument"第2章 賬號(hào)管理認(rèn)證授權(quán) 2\o"CurrentDocument"賬號(hào) 2\o"CurrentDocument"用戶帳號(hào)設(shè)置 2.\o"CurrentDocument"用戶組設(shè)置 2.\o"CurrentDocument"用戶口令設(shè)置 3.\o"CurrentDocument"Root用戶遠(yuǎn)程登錄限制 3.\o"CurrentDocument"系統(tǒng)用戶登錄限制 4.\o"CurrentDocument"口令 4\o"CurrentDocument"口令生存期安全要求 4.\o"CurrentDocument"口令歷史安全要求 4.\o"CurrentDocument"用戶口令鎖定策略 5.\o"CurrentDocument"用戶訪問權(quán)限安全要求 5.\o"CurrentDocument"用戶FTP訪問的安全要求 6\o"CurrentDocument"第3章網(wǎng)絡(luò)與服務(wù) 7\o"CurrentDocument"服務(wù) 7\o"CurrentDocument"遠(yuǎn)程維護(hù)安全要求 7.\o"CurrentDocument"網(wǎng)絡(luò) 7\o"CurrentDocument"ICMP重定向安全要求 7.\o"CurrentDocument"第4章日志審計(jì) 8\o"CurrentDocument"日志 8\o"CurrentDocument"添加認(rèn)證日志 8.\o"CurrentDocument"審計(jì) 8\o"CurrentDocument"安全事件審計(jì) 8.\o"CurrentDocument"第5章設(shè)備其他安全配置要求 10\o"CurrentDocument"設(shè)備 10\o"CurrentDocument"屏幕保護(hù) 10\o"CurrentDocument"緩沖區(qū) 10\o"CurrentDocument"緩沖區(qū)溢出 10\o"CurrentDocument"第6章評(píng)審與修訂 12第1章概述目的本文檔規(guī)定了中國移動(dòng)通信有限公司管理信息系統(tǒng)部門所維護(hù)管理的AIX操作系統(tǒng)的主機(jī)應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn),本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行AIX操作系統(tǒng)的安全合規(guī)性檢查和配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括:服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括:中國移動(dòng)總部和各省公司信息化部門維護(hù)管理的AIX服務(wù)器系統(tǒng)。適用版本AIX系列服務(wù)器;實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動(dòng)集團(tuán)管理信息系統(tǒng)部,在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議,應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款,申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件,說明業(yè)務(wù)需求和原因,送交中國移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。第2章賬號(hào)管理認(rèn)證授權(quán)2.1賬號(hào)2.1.1用戶帳號(hào)設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶賬戶安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-01安全基線項(xiàng)說明用戶帳號(hào)設(shè)置。檢測(cè)操作步驟1、執(zhí)行:Isuser-ahomeALL2、執(zhí)行:Is-l/etc/passwd基線符合性判定依據(jù)需 要 鎖 定 的 用 戶:deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd備注2.1.2用戶組設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶組安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-02安全基線項(xiàng)說明用戶組設(shè)置。檢測(cè)操作步驟1、執(zhí)行:more/etc/group2、執(zhí)行:ls-l/etc/group基線符合性判定依據(jù)不要存在無用的用戶組:uucpprintq備注

用戶口令設(shè)置安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶口令安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-03安全基線項(xiàng)說明用戶口令設(shè)置。對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令長度至少6位,并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類檢測(cè)操作步驟1、執(zhí)行:more/etc/security/user,檢查maxage/minlen/minage/pwdwarntime參數(shù)2、執(zhí)行:pwdck-nALL,檢查是否存在空口令賬號(hào)基線符合性判定依據(jù)不能存在簡單密碼;創(chuàng)建一個(gè)普通賬號(hào),為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于6位的口令,查看系統(tǒng)是否對(duì)口令強(qiáng)度要求進(jìn)行提示;輸入帶有特殊符號(hào)的復(fù)雜口令、普通復(fù)雜口令,查看系統(tǒng)是否可以成功設(shè)置。備注Root用戶遠(yuǎn)程登錄限制安全基線項(xiàng)目名稱操作系統(tǒng)AIX遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-04安全基線項(xiàng)說明Root用戶遠(yuǎn)程登錄限制。檢測(cè)操作步驟1、執(zhí)行:more/etc/security/user,檢查在root項(xiàng)目中是否有下列行:rlogin=falselogin=truesu=truesugroup=system基線符合性判定依據(jù)禁止root用戶直接登錄系統(tǒng)可以增加系統(tǒng)入侵的難度備注

系統(tǒng)用戶登錄限制安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-01-05安全基線項(xiàng)說明系統(tǒng)用戶登錄限制。檢測(cè)操作步驟1、執(zhí)行:more/etc/security/user,檢查在daemonbinsysadmuucpnuucpprintqguestnobodylpdsshd項(xiàng)目中是否有下列行:rlogin=falselogin=false基線符合性判定依據(jù)系統(tǒng)賬號(hào)僅被守護(hù)進(jìn)程和服務(wù)使用,不應(yīng)直接由用戶登錄系統(tǒng)。如果系統(tǒng)沒有應(yīng)用這些守護(hù)進(jìn)程或服務(wù),建議刪除這些賬號(hào)。備注2.2口令口令生存期安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIX口令生存期安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-02-01安全基線項(xiàng)說明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,帳戶口令的生存期不長于90天。檢測(cè)操作步驟1、執(zhí)行:more/etc/security/user,檢查histexpire基線符合性判定依據(jù)Histexpire小于等于13備注安全基線項(xiàng)目名稱操作系統(tǒng)AIX口令生存期安全基線要求項(xiàng)安全基線項(xiàng)目名稱操作系統(tǒng)AIX口令生存期安全基線要求項(xiàng)安全基線項(xiàng)操作系統(tǒng)AIX口令生存期安全基線要求項(xiàng)目名稱

安全基線編號(hào)SBL-AIX-02-02-02安全基線項(xiàng)說明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,應(yīng)配置設(shè)備,使用戶不能重復(fù)使用最近5次(含5次)內(nèi)已使用的口令。檢測(cè)操作步驟1、執(zhí)行:more/etc/security/user,檢查histsize基線符合性判定依據(jù)Histsize大于等于5備注用戶口令鎖定策略安全基線項(xiàng)目名稱操作系統(tǒng)AIX口令鎖定安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-02-03安全基線項(xiàng)說明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過6次(不含6次),鎖定該用戶使用的賬號(hào)。檢測(cè)操作步驟1、執(zhí)行:more/etc/security/user,檢查retries基線符合性判定依據(jù)retries=6備注用戶訪問權(quán)限安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶訪問權(quán)限安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-02-04安全基線項(xiàng)說明控制用戶缺省訪問權(quán)限,當(dāng)在創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。檢測(cè)操作步驟1、執(zhí)行:more/etc/default/login,檢查umask基線符合性判定依據(jù)umask027

備注用戶FTP訪問的安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIX用戶FTP訪問安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-02-02-05安全基線項(xiàng)說明控制FTP進(jìn)程缺省訪問權(quán)限,當(dāng)通過FTP服務(wù)創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。檢測(cè)操作步驟1、執(zhí)行:more/etc/ftpaccess,檢查restricted-uid2、執(zhí)行:more/etc/ftpusers基線符合性判定依據(jù)ftpaccess中應(yīng)有類似一行restricted-uid*(限制所有);ftpusers列表里邊的用戶名應(yīng)包括:rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4備注第3章網(wǎng)絡(luò)與服務(wù)服務(wù)遠(yuǎn)程維護(hù)安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIX遠(yuǎn)程維護(hù)安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-03-01-01安全基線項(xiàng)說明對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備,設(shè)備應(yīng)配置使用SSH等加密協(xié)議,并安全配置SSHD的設(shè)置。檢測(cè)操作步驟1、執(zhí)行:ps-elf|grepssh2、執(zhí)行:ps-elf|greptelnet基線符合性判定依據(jù)ssh啟用,telnet禁用備注網(wǎng)絡(luò)ICMP重定向安全要求安全基線項(xiàng)目名稱操作系統(tǒng)AIXICMP重定向安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-03-02-01安全基線項(xiàng)說明主機(jī)系統(tǒng)應(yīng)該禁止ICMP重定向,采用靜態(tài)路由。檢測(cè)操作步驟在/etc/rc2.d/S??inet搜索在/etc/rc2.d/S69inet中搜索基線符合性判定依據(jù)要求ip_send_redirects=0要求ip6_send_redirects=0備注

第4章日志審計(jì)4.1日志4.1.1添加認(rèn)證日志安全基線項(xiàng)目名稱操作系統(tǒng)AIX認(rèn)證日志安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-04-01-01安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能,對(duì)用戶登錄進(jìn)行記錄,記錄內(nèi)容包括用戶登錄使用的賬號(hào),登錄是否成功,登錄時(shí)間,以及遠(yuǎn)程登錄時(shí),用戶使用的IP地址檢測(cè)操作步驟1、執(zhí)行:cat/etc/syslog.conf,檢查類似配置:/var/adm/authlog*.info;auth.none/var/adm/syslog\n"2、檢測(cè)操作cat/var/adm/authlogcat/var/adm/syslog基線符合性判定依據(jù)列出用戶賬號(hào)、登錄是否成功、登錄時(shí)間、遠(yuǎn)程登錄時(shí)的IP地址。備注4.2審計(jì)安全事件審計(jì)安全基線項(xiàng)目名稱操作系統(tǒng)AIX安全事件審計(jì)安全基線要求項(xiàng)安全基線編號(hào)SBL-AIX-04-02-01安全基線項(xiàng)說明設(shè)備應(yīng)配置日志功能,記錄對(duì)與設(shè)備相關(guān)的安全事件。檢測(cè)操作步1、執(zhí)行:cat

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論