AIX安全配置基线.docVIP

AIX 系统安全配置基线 中国移动通信有限公司 管理信息系统部 2009年 3月  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 账号管理认证授权 2 2.1 账号 2 2.1.1用户帐号设置 2 2.1.2用户组设置 2 2.1.3用户口令设置 3 2.1.4Root用户远程登录限制 3 2.1.5系统用户登录限制 4 2.2 口令 4 2.2.1口令生存期安全要求 4 2.2.2口令历史安全要求 4 2.2.3用户口令锁定策略 5 2.2.4用户访问权限安全要求 5 2.2.5用户FTP访问的安全要求 6 第3章 网络与服务 7 3.1 服务 7 3.1.1远程维护安全要求 7 3.2 网络 7 3.2.1 ICMP重定向安全要求 7 第4章 日志审计 8 4.1 日志 8 4.1.1添加认证日志 8 4.2 审计 8 4.2.1安全事件审计 8 第5章 设备其他安全配置要求 10 5.1 设备 10 5.1.1屏幕保护 10 5.2 缓冲区 10 5.2.1缓冲区溢出 10 第6章 评审与修订 12 概述 目的 本文档规定了 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行 操作系统的安全。本的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本适用的范围包括：的 服务器系统。实施本的解释权和修改权属于，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交进行审批备案。  账号 2.1.1用户帐号设置 安全基线项目名称 操作系统AIX用户账户安全基线要求项 安全基线编号 SBL-AIX-02-01-01 安全基线项说明 用户帐号设置。 检测操作步骤 1、执行：lsuser –a home ALL 2、执行：ls –l /etc/passwd 基线符合性判定依据 需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd 备注 2.1.2用户组设置 安全基线项目名称 操作系统AIX用户组安全基线要求项 安全基线编号 SBL-AIX-02-01-02 安全基线项说明 用户组设置。 检测操作步骤 1、执行：more /etc/group 2、执行：ls -l /etc/group 基线符合性判定依据 不要存在无用的用户组：uucp printq 备注 2.1.3用户口令设置 安全基线项目名称 操作系统AIX用户口令安全基线要求项 安全基线编号 SBL-AIX-02-01-03 安全基线项说明 用户口令设置。对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类 检测操作步骤 1、执行：more /etc/security/user ，检查maxage/minlen/minage/pwdwarntime参数 2、执行：pwdck –n ALL, 检查是否存在空口令账号 基线符合性判定依据 不能存在简单密码； 创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置。 备注 2.1.4Root用户远程登录限制 安全基线项目名称 操作系统AIX远程登录安全基线要求项 安全基线编号 SBL-AIX-02-01-04 安全基线项说明 Root用户远程登录限制。 检测操作步骤 1、执行：more /etc/security/user ，检查在root项目中是否有下列行: rlogin=false login=true su=true sugroup=system 基线符合性判定依据 禁止root用户直接登录系统可以增加系统入侵的难度 备注 2.1.5系统用户登录限制 安全基线项目名称 操作系统AIX用户登录安全基线要求项 安全基线编号 SBL-AIX-02-01-05 安全基线项说明 系统用户登录限制。 检测操作步骤 1、执行：more /etc/security/user ，检查在daemon bin sys adm uucp nuu