AIX操作系统安全配置基线V1.0.docVIP

第 PAGE 21 页 共 NUMPAGES 26 页 AIX操作系统安全配置基线  目 录 TOC \o 1-3 \h \z \u 第1章 概述 5 1.1 目的 5 1.2 适用范围 5 第2章 帐户管理及认证授权 5 2.1 帐户安全 5 2.1.1 锁定无关帐号 5 2.2 口令要求 6 2.2.1 用户口令强度要求 6 2.2.2 口令生存期安全要求 7 2.2.3 口令历史安全要求 8 2.2.4 用户口令锁定策略 8 2.3 认证授权 9 2.3.1 用户访问权限安全要求 9 2.3.2 用户缺省访问权限要求 10 第3章 日志审计 11 3.1 添加认证日志 11 3.2 安全事件审计 12 3.3 内核级审计 12 3.4 系统信息日志要求 13 3.5 重要日志保存要求 14 第4章 服务安全 15 4.1 系统开放的端口及服务安全要求 15 4.2 远程维护安全要求 16 4.3 Bash安全漏洞安全要求 17 4.4 “心脏滴血”漏洞安全要求 18 4.5 NFS服务安全 18 4.6 SYN-flood防护安全 20 4.7 配置NTP安全要求 20 第5章 共享安全 21 5.1 超时退出 21 5.2 重要文件及目录安全 22 第6章 安全防护 23 6.1 远程管理地址安全要求 23 6.2 缓冲区溢出 24 6.3 ICMP重定向保护要求 25 6.4 不允许被SMURF广播攻击要求 26 6.5 禁止其他机器修改网络掩码要求 26 第7章 补丁管理 27 7.1 补丁安装 27 第1章 概述 目的 本基线依据AIX操作系统安全配置规范要求，旨在指导主机操作系统管理人员或安全检查人员进行主机操作系统的安全配置，提高主机操作系统的安全防护能力。 适用范围 本基线适用于所使用的AIX5.3、AIX6.1、AIX7.1操作系统。 本基线的使用者包括服务器系统管理员、应用管理员、网络安全管理员。 帐户管理及认证授权 帐户安全 锁定无关帐号 安全基线 项目名称 AIX锁定无关帐户安全基线要求项 安全基线编号 AIX服务器操作系统安全配置技术要求-1 安全基线项说明 设置需要锁定用户帐号。 检测操作步骤 使用命令#lsuser -a login rlogin user user包括Daemon、bin、sys、adm、uucp、nobody、ldp 基线符合性 判定依据 使用命令#lsuser -a login rlogin user后，应对应输出为： user login=false rlogin=false 加固方案 锁定Daemon、bin、sys、adm、uucp、nobody、ldp帐户 #chuser login=false rlogin=false daemon #chuser login=false rlogin=false bin #chuser login=false rlogin=false sys #chuser login=false rlogin=false adm #chuser login=false rlogin=false uucp #chuser login=false rlogin=false nobody #chuser login=false rlogin=false lpd 风险等级 高 备注 需与系统管理员确认帐户使用情况。 口令要求 用户口令强度要求 安全基线 项目名称 AIX用户口令强度安全基线要求项 安全基线编号 AIX服务器操作系统安全配置技术要求-2 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 检测操作步骤 查看/etc/security/user配置文件 #lssec -f /etc/security/user -s default -a minlen #lssec -f /etc/security/user -s default -a minalpha #lssec -f /etc/security/user -s default -a mindiff #lssec -f /etc/security/user -s default -a minother 查看命令对应输出是否满足以下各项复杂度参数 基线符合性 判定依据 查看命令对应输出是否满足以下各项复杂度参数： minlen=8 #密码长度最少