AIX、Linux操作系统及应用系统的安全策略设置.doc

安 全 知 识 普 及 读 物 目录 一、 AIX操作系统密码设置策略。 3 二、 LINUX操作系安全设置策略。 4 (一) 概述 4 (二) 用户管理 4 1. 删除系统特殊的的用户帐号和组帐号 4 2. 用户密码设置 5 3. 修改自动注销帐号时间： 5 4. 给系统的用户名密码存放文件加锁： 6 (三) 服务管理 6 1. 关闭系统不使用的服务 6 2. 给系统服务端口列表文件加锁 7 3. 修改ssh服务的root登录权限 8 (四) 系统文件权限 8 1. 修改init目录文件执行权限 8 2. 修改部分系统文件的SUID和SGID的权限 8 3. 修改系统引导文件 9 三、 应用系统密码策略设置建议 9 安全知识普及读物（一） ——AIX、Linux操作系统及应用系统的安全策略设置 AIX操作系统密码设置策略。 由于我们大量使用了以AIX为操作系统的服务器，所以本文首先结合实际介绍此类操作系统需要注意的一些设置，相应设置文件为/etc/security/user。 参数名称 建议值 系统锁定前允许连续登录失败的次数 小于等于3 不可重复使用旧密码的周期 按《成都市商业银行信息系统用户及密码管理办法》中的密码管理要求执行。 不可重复使用旧密码的数量 大于等于8 密码最长有效期 小于等于12周 密码中字母字符的最小数量和密码中非字母字符的最小数量的总合 大于等于6 密码的最短长度 大于等于8 新密码中未被旧密码使用的字符最小数量 大于等于3 同一密码中相同字符可以出现的最大次数 小于等于6 密码字典设置 在密码字典中定义常见或易被猜测获取的密码，同时限定用户设定密码时不得与密码字典中预定义的密码相同。 root用户的本地（login）和远程登陆（rlogin）设置 禁用root用户的login 和rlogin的功能，使得用户必须先执行 su (切换用户) 才有权限访问 root。 LINUX操作系安全设置策略。 概述 对于开放式的操作系统---Linux，系统的安全设定包括系统服务最小化、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经常性的安全检查等。这里我们主要介绍用户设置、如何开放服务、系统优化等方面的安全配置，以到达使Linux服务器更安全、稳定的目的。 ? 用户管理 在Linux系统中，用户帐号是用户的身份标志，它由用户名和用户口令组成。系统将输入的用户名存放在/etc/passwd文件中，而将输入的口令以加密的形式存放在/etc/shadow文件中。在正常情况下，这些口令和其他信息由操作系统保护，能够对其进行访问的只能是超级用户(root)和操作系统的一些应用程序。但是如果配置不当或在一些系统运行出错的情况下，这些信息就可以被普通用户得到。进而，不怀好意的用户就可以使用一类被称为“口令破解”的工具去得到加密前的口令。 删除系统特殊的的用户帐号和组帐号 userdel username userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher 以上所删除的用户为系统默认创建，但是在常用服务器中基本不使用的一些帐号，这些帐号常被黑客利用。 groupdel username groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip 同样，以上删除的是系统安装时默认创建的一些组帐号，删除它们就减少了受攻击的机会。 用户密码设置 安装linux时默认的密码最小长度是5个字节，但这并不够，要把它设为8个字节。修改最短密码长度需要编辑login.defs文件（vi /etc/login.defs） PASS_MAX_DAYS 99999 密码设置最长有效期（默认值） PASS_MIN_DAYS 0 密码设置最短有效期 PASS_MIN_LEN 5 设置密码最小长度 PASS_WARN_AGE 7 提前多少天警告用户密码即将过期。 修改自动注销帐号时间： 在Linux系统中root账户是具有最高特权的，如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编辑你的profile文件（vi /etc/profile）,在HISTSIZE=后面加入下面这行： 　　T