AIX访问控制安全策略.docxVIP

AIX访问控制安全策略

参考配置操作：

1）在官网下载Openssl和OPenSSH软件。

2）上传文件

将openssh_5.2p1_aix61.tar.Z用ftp传到/tmp/openssh目录下

将openssl.103.tar.Z用ftp传到/tmp/openssl目录下

3）解压文件

#cd/tmp/openssh/

#uncompressopenssh_5.2p1_aix61.tar.Z

#tar-xvfopenssh_5.2p1_aix61.tar

#cd/tmp/openssl/

#uncompressopenssl.103.tar.Z

#tar-xvfopenssl.103.tar

4）安装openssl

进入openssl目录

#cd/tmp/openssl

开始安装

#smittyinstall

顺序选择InstallandUpdateSoftware-InstallSoftware

INPUTdevice/directoryforsoftware[/tmp/openssl]输入openssl目录.

选中SOFTWAREtoinstall[_all_latest]行，按F4，选择openssl.license，回车

选中ACCEPTnewlicenseagreements?行，按Teb键，选择[yes]

回车，执行安装

Command:OK表示安装完成。

5）安装openssh

进入openssh目录

#cd/tmp/openssh

删除目录下openssh_5.2p1_aix61.tar包

#rm-rfopenssh_5.2p1_aix61.tar

开始安装

#smittyinstall

顺序选择InstallandUpdateSoftware-InstallSoftware

INPUTdevice/directoryforsoftware[/tmp/openssh]输入openssl目录.

选中SOFTWAREtoinstall[_all_latest]行，按F4，选择查看可安装的选项，F3返回

选中ACCEPTnewlicenseagreements?行，按Teb键，选择[yes]

回车，执行安装

Command:OK表示安装完成。

6)安装完成后SSH服务会自动启动，确认：

#lssrc-ssshd

7）禁用telnet服务

#stopsrc-ttelnet

8）查看telnet服务状态

#lssrc-ttelnet

9）禁止telnet开机启动

#vi/etc/inetd.conf

在telnetstreamtcp6nowaitroot/usr/sbin/telnetdtelnetd-a前加“#”

注：开启telnet服务命令为startsrc-ttelnet

openssh官方网站：/

openssl官方网站：/

访问控制

修改UMASK值

参考配置操作：

1）编辑/etc/security/user文件，设置umask值：

#vi/etc/security/user

umask=027#缺省文件权限为750

资源控制

设定管理登陆地址

参考配置操作：

1）检查系统中是否安装了IPSec的软件包

#lslpp-l|grepipsec

.ipsec.keymgt

.ipsec.rte

.ipsec.websm

.ipsec.keymgt

.ipsec.rte

.ipsec.websm

2）检查Ipsec策略

#lsfilt-s-v4-O检查ipsec策略

有三条默认策略，若无多余策略可进行下一步。若存在多余策略，按以下方式删除多余策略。

#smittytcpip

ConfigureIPSecurity(IPv4)-AdvancedIPSecurityConfiguration-

ConfigureIPSecurityFilterRules-DeleteIPSecurityFilterRules

选中某一策略，回车策略将被删除。

3）启动IPsec

#smittytcpip

ConfigureIPSecurity(IPv4)-Start/StopIPSecurity-StartIPSecurity-StartIPSecurit[NowandAfterReboot]

4）配置策略

对于IP地址是52的AIX服务器，我们希望只有来自于12的终端才可以通过SSH访问它，拒绝来自其他网段的SSH请求。

在aix操作系统中SS