資源描述:
《AIX安全配置規(guī)范》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、AIX操作系統(tǒng)安全配置規(guī)范2011年3月第1章概述1.1適用范圍適用于中國(guó)電信使用AIX操作系統(tǒng)的設(shè)備。本規(guī)范明確了安全配置的基本要求,可作為編制設(shè)備入網(wǎng)測(cè)試、安全驗(yàn)收、安全檢查規(guī)范等文檔的參考。由于版本不同,配置操作有所不同,本規(guī)范以AIX5.X為例,給出參考配置操作。第2章安全配置要求2.1賬號(hào)編號(hào):1要求內(nèi)容應(yīng)按照不同的用戶(hù)分配不同的賬號(hào)。操作指南1、參考配置操作為用戶(hù)創(chuàng)建賬號(hào):#useraddusername#創(chuàng)建賬號(hào)#passwdusername#設(shè)置密碼修改權(quán)限:#chmod750directory#其中750為設(shè)置的權(quán)限,可根據(jù)實(shí)際情
2、況設(shè)置相應(yīng)的權(quán)限,directory是要更改權(quán)限的目錄)使用該命令為不同的用戶(hù)分配不同的賬號(hào),設(shè)置不同的口令及權(quán)限信息等。2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件能夠登錄成功并且可以進(jìn)行常用操作;2、檢測(cè)操作使用不同的賬號(hào)進(jìn)行登錄并進(jìn)行一些常用操作;3、補(bǔ)充說(shuō)明編號(hào):2要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。操作指南1、參考配置操作刪除用戶(hù):#userdelusername;鎖定用戶(hù):1)修改/etc/shadow文件,用戶(hù)名后加*LK*2)將/etc/passwd文件中的shell域設(shè)置成/bin/false3)#passwd-luse
3、rname只有具備超級(jí)用戶(hù)權(quán)限的使用者方可使用,#passwd-lusername鎖定用戶(hù),用#passwd–dusername解鎖后原有密碼失效,登錄需輸入新密碼,修改/etc/shadow能保留原有密碼。2、補(bǔ)充操作說(shuō)明需要鎖定的用戶(hù):listen,gdm,webservd,nobody,nobody4、noaccess。檢測(cè)方法1、判定條件被刪除或鎖定的賬號(hào)無(wú)法登錄成功;2、檢測(cè)操作使用刪除或鎖定的與工作無(wú)關(guān)的賬號(hào)登錄系統(tǒng);3、補(bǔ)充說(shuō)明需要鎖定的用戶(hù):listen,gdm,webservd,nobody,nobody4、noaccess。解鎖
4、時(shí)間:15分鐘編號(hào):3要求內(nèi)容限制具備超級(jí)管理員權(quán)限的用戶(hù)遠(yuǎn)程登錄。需要遠(yuǎn)程執(zhí)行管理員權(quán)限操作,應(yīng)先以普通權(quán)限用戶(hù)遠(yuǎn)程登錄后,再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。操作指南1、參考配置操作編輯/etc/security/user,加上:在root項(xiàng)上輸入false作為rlogin的值此項(xiàng)只能限制root用戶(hù)遠(yuǎn)程使用telnet登錄。用ssh登錄,修改此項(xiàng)不會(huì)看到效果的2、補(bǔ)充操作說(shuō)明如果限制root從遠(yuǎn)程ssh登錄,修改/etc/ssh/sshd_config文件,將PermitRootLoginyes改為PermitRootLoginno,重
5、啟sshd服務(wù)。檢測(cè)方法1、判定條件root遠(yuǎn)程登錄不成功,提示“沒(méi)有權(quán)限”;普通用戶(hù)可以登錄成功,而且可以切換到root用戶(hù);2、檢測(cè)操作root從遠(yuǎn)程使用telnet登錄;普通用戶(hù)從遠(yuǎn)程使用telnet登錄;root從遠(yuǎn)程使用ssh登錄;普通用戶(hù)從遠(yuǎn)程使用ssh登錄;3、補(bǔ)充說(shuō)明限制root從遠(yuǎn)程ssh登錄,修改/etc/ssh/sshd_config文件,將PermitRootLoginyes改為PermitRootLoginno,重啟sshd服務(wù)。編號(hào):4要求內(nèi)容對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備,設(shè)備應(yīng)配置使用SSH等加密協(xié)議,并安全配置
6、SSHD的設(shè)置。操作指南1、參考配置操作把如下shell保存后,運(yùn)行,會(huì)修改ssh的安全設(shè)置項(xiàng):unaliascprmmv
case`find/usr/etc-typef
7、grep-cssh_config$`in
0)echo"Cannotfindssh_config"
;;
1)DIR=`find/usr/etc-typef2>/dev/null
8、
grepssh_config$
9、sed-e"s:/ssh_config::"`
cd$DIR
cpssh_configssh_config.tmp
awk'/^#?*Protocol/{print"
10、Protocol2";next};
{print}'ssh_config.tmp>ssh_config
if["`grep-El^Protocolssh_config`"=""];then
echo'Protocol2'>>ssh_config
fi
rmssh_config.tmp
chmod600ssh_config
;;
*)echo"Youhavemultiplesshd_configfiles.Resolve"
echo"beforecontinuing."
;;
esac
#也可以手動(dòng)編輯ssh_config,在"Host*"后輸入"P
11、rotocol2",
cd$DIR
cpsshd_configsshd_config.tmp
awk'/^#?*Prot