金蝶EAS Cloud 操作系统_AIX主机操作系统加固规范V0.3.doc

AIX主机操作系统加固规范2024年9月目录1账号管理、认证授权............................................................................................11.1账号................................................................................................................11.1.1SHG-AIX-01-01-01........................................................................................11.1.2SHG-AIX-01-01-02........................................................................................21.1.3SHG-AIX-01-01-03........................................................................................31.1.4SHG-AIX-01-01-04........................................................................................41.1.5SHG-AIX-01-01-05........................................................................................51.2口令................................................................................................................61.2.1SHG-AIX-01-02-01........................................................................................61.2.2SHG-AIX-01-02-02........................................................................................71.2.3SHG-AIX-01-02-03........................................................................................81.2.4SHG-AIX-01-02-04........................................................................................81.2.5SHG-AIX-01-02-05........................................................................................91.3授权................................................................................................................101.3.1SHG-AIX-01-03-01........................................................................................101.3.2SHG-AIX-01-03-02........................................................................................111.3.3SHG-AIX-01-03-03........................................................................................121.3.4SHG-AIX-01-03-04........................................................................................131.3.5SHG-AIX-01-03-05........................................................................................142日志配置................................................................................................................152.1.1SHG-AIX-02-01-01........................................................................................152.1.2SHG-AIX-02-01-02........................................................................................162.1.3SHG-AIX-02-01-03........................................................................................172.1.4SHG-AIX-02-01-04........................................................................................183通信协议................................................................................................................193.1IP协议安全....................................................................................................193.1.1SHG-AIX-03-01-01........................................................................................193.1.2SHG-AIX-03-01-02........................................................................................203.2路由协议安全................................................................................................213.2.1SHG-AIX-03-02-01........................................................................................214补丁管理................................................................................................................244.1.1SHG-AIX-04-01-01........................................................................................245服务进程和启动....................................................................................................255.1.1SHG-AIX-05-01-01........................................................................................255.1.2SHG-AIX-05-01-02........................................................................................276设备其他安全要求................................................................................................316.1登陆超时策略................................................................................................316.1.1SHG-AIX-06-01-01........................................................................................316.2系统BANNER设置........................................................................................326.2.1SHG-AIX-06-02-01........................................................................................326.3内核调整........................................................................................................336.3.1SHG-AIX-06-03-01........................................................................................337附录：AIX可被利用的漏洞（截止2009-3-8）................................................34本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。对系统的安全配置审计、加固操作起到指导性作用。11账号管理、认证授权账号管理、认证授权1.11.1账号账号1.1.11.1.1SHG-AIX-01-01-01SHG-AIX-01-01-01编号SHG-AIX-01-01-01名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作：为用户创建账号：#mkuserusername#passwdusername列出用户属性：#lsuserusername更改用户属性：#chuserattribute=valueusername回退方案删除新增加的帐户：#rmuserusername判断依据标记用户用途，定期建立用户列表，比较是否有非法用户实施风险高重要等级★★★备注1.1.21.1.2SHG-AIX-01-01-02SHG-AIX-01-01-02编号SHG-AIX-01-01-02名称配置帐户锁定策略实施目的锁定不必要的帐户，提高系统安全。问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险，容易被攻击者利用。系统当前状态查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作：系统管理员出示业务所需帐户列表，根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定user1用户，则采用的命令如下：#chuseraccount_locked=trueuser1回退方案如对user1用户解除锁定，则采用的命令如下：#chuseraccount_locked=falseuser1判断依据系统管理员出示业务所需帐户列表。查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外，其他的帐户建议根据实际情况锁定或删除。实施风险高重要等级★★★备注1.1.31.1.3SHG-AIX-01-01-0SHG-AIX-01-01-033编号SHG-AIX-01-01-03名称限制超级管理员远程登录实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。问题影响如允许root远程直接登陆，则系统将面临潜在的安全风险系统当前状态执行lsuser-arloginroot命令，查看root的rlogin属性并记录实施步骤参考配置操作：查看root的rlogin属性：#lsuser-arloginroot禁止root远程登陆：#chuserrlogin=falseroot回退方案还原root可以远程登陆，执行如下命令：#chuserrlogin=trueroot判断依据执行#lsuser–arloginroot命令，查看root的rlogin属性，root是否可以远程登陆，如显示可以，则禁止。实施风险高重要等级★★★备注1.1.41.1.4SHG-AIX-01-01-0SHG-AIX-01-01-044编号SHG-AIX-01-01-04名称对系统账号进行登录限制实施目的对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用问题影响可能利用系统进程默认账号登陆，账号越权使用系统当前状态查看/etc/security/passwd中各账号状态并记录实施步骤参考配置操作：系统管理员出示业务所需登陆主机的帐户列表，根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。禁止账号交互式登录：#chuseraccount_locked=trueusername删除账号：#rmuserusername补充操作说明：建议禁止交互登录的系统账号有：daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案还原被禁止登陆的帐户：#chuseraccount_locked=falseusername注：对删除帐户的操作无法回退判断依据系统管理员出示业务所需登陆主机的帐户列表。查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外，其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。实施风险高重要等级★备注1.1.51.1.5SHG-AIX-01-01-05SHG-AIX-01-01-05编号SHG-AIX-01-01-05名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响系统中的帐户存在被非法利用的风险系统当前状态查看/etc/passwd中的内容并记录实施步骤参考配置操作：用root用户登陆AIX系统，执行passwd命令，给空口令的帐户增加密码。如采用和执行如下命令：#passwdusernamepassword回退方案Root身份设置用户口令，取消口令如做了口令策略则失败判断依据登陆系统判断，查看/etc/passwd中的内容，从而判断系统中是否存在空口令的帐户。如发现存在，则建议为该帐户设置密码。实施风险高重要等级★备注1.21.2口令口令1.2.11.2.1SHG-AIX-01-02-0SHG-AIX-01-02-011编号SHG-AIX-01-02-01名称缺省密码长度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位。且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。问题影响增加系统的帐户密码被暴力破解的成功率和潜在的风险系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录。cat/etc/security/user|grep“minlen=”实施步骤参考配置操作：vi/etc/security/userminlen=8回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态。判断依据运行lsuseruasename命令，查看帐户属性中密码的最短长度策略是否符合8位。如不符合，则进行设置。cat/etc/security/user实施风险低重要等级★★★备注1.2.21.2.2SHG-AIX-01-02-0SHG-AIX-01-02-022编号SHG-AIX-01-02-02名称缺省密码复杂度限制实施目的防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类问题影响增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录cat/etc/security/user|grep“minalpha=”cat/etc/security/user|grep“minother=”实施步骤参考配置操作：vi/etc/security/userminalpha=4minother=1回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据运行lsuseruasename命令，查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合，则进行设置。cat/etc/security/user|grep“minalpha=”cat/etc/security/user|grep“minother=”实施风险低重要等级★★★备注1.2.31.2.3SHG-AIX-01-02-0SHG-AIX-01-02-033编号SHG-AIX-01-02-03名称缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患问题影响容易造成密码被非法利用，并且难以管理系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录cat/etc/security/user|grep“maxage=”实施步骤参考配置操作：vi/etc/security/usermaxage=13回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据运行lsuseruasename命令，查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天，则进行设置。cat/etc/security/user|grep“maxage=”实施风险低重要等级★★★备注1.2.41.2.4SHG-AIX-01-02-0SHG-AIX-01-02-044编号SHG-AIX-01-02-04名称密码重复使用限制实施目的对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令问题影响造成系统帐户密码破解的几率增加以及存在潜在的安全风险系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录cat/etc/security/user|grep“histsize=”实施步骤参考配置操作：vi/etc/security/userhistsize=5回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态。判断依据运行lsuseruasename命令，查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个，则进行设置。cat/etc/security/user|grep“histsize=”实施风险低重要等级★备注1.2.51.2.5SHG-AIX-01-02-0SHG-AIX-01-02-055编号SHG-AIX-01-02-05名称密码重试限制实施目的对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。问题影响增加系统帐户密码被暴力破解的风险系统当前状态运行lsuserusername命令，查看帐户属性和当前状态，并记录cat/etc/security/user|grep“loginretries=”实施步骤参考配置操作：vi/etc/security/userloginretries=6回退方案根据在加固前所记录的帐户属性，修改设置到系统加固前状态判断依据运行lsuseruasename命令，查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次，则进行设置。cat/etc/security/user|grep“loginretries=”实施风险中重要等级★备注1.31.3授权授权1.3.11.3.1SHG-AIX-01-03-0SHG-AIX-01-03-011编号SHG-AIX-01-03-01名称设置关键目录的权限实施目的在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响增加系统关键目录容易被攻击者非法访问的风险系统当前状态查看/usr/bin、/sbin、/etc目录，并记录关键目录的权限实施步骤1、参考配置操作通过chmod命令对目录的权限进行实际设置。2、补充操作说明文件或目录属主属组权限/etc/passwdrootsecurity-rw-r--r--/etc/grouprootsecurity-rw-r--r--/etc/filesystemrootsystem-rw-rw-r--/etc/hostsrootsystem-rw-rw-r--/etc/inittabrootsystem-rw-------/etc/security/faildloginrootsystem-rw-r--r--回退方案通过chmod命令还原目录权限到加固前状态判断依据AIX系统，/usr/bin、/bin、/sbin目录为可执行文件目录，/etc目录为系统配置目录，包括帐户文件，系统配置，网络配置文件等，这些目录和文件相对重要。确认这些配置文件的权限设置是否安全。实施风险高重要等级★★★备注1.3.21.3.2SHG-AIX-01-03-0SHG-AIX-01-03-022编号SHG-AIX-01-03-02名称修改umask值实施目的控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响增加攻击者非法访问目录的风险系统当前状态查看/etc/security/user文件的配置，并记录实施步骤1、参考配置操作设置umask为027：#vi/etc/security/user在default小节，设置umask为027回退方案修改/etc/security/user文件到加固前状态判断依据查看/etc/security/user文件中的default小节是否设置umask为027实施风险高重要等级★备注1.3.31.3.3SHG-AIX-01-03-0SHG-AIX-01-03-033编号SHG-AIX-01-03-03名称FTP用户及服务安全实施目的设置系统中的帐户是否可以通过ftp登陆操作问题影响增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问目录的安全风险系统当前状态查看/etc/ftpusers文件，并记录实施步骤参考配置操作：根据系统管理员提供允许ftp登陆操作的系统帐户列表，并与系统中当前的允许ftp登陆操作的用户相比对。设置是否允许系统帐户通过ftp方式登陆：#vi/etc/ftpusers注：默认情况下，该文件不存在。将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中(每行一个用户名)。注：在无特殊需求的情况下，以下列表中的用户名是不允许ftp登陆操作的：root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案修改/etc/ftpusers文件设置到系统加固前状态判断依据根据系统管理员提供的允许ftp登陆操作的系统帐户，查看/etc/ftpusers文件，与其相比对，是否与系统管理员所提供的帐户列表相一致。如果发现与列表中不对应的帐户则建议设置成禁止通过ftp登陆操作。实施风险高重要等级★备注1.3.41.3.4SHG-AIX-01-03-04SHG-AIX-01-03-04编号SHG-AIX-01-03-04名称设置目录权限实施目的设置目录权限，防止非法访问目录。问题影响增加攻击者非法访问系统目录的安全风险系统当前状态查看重要文件和目录权限：ls–l并记录。实施步骤1、参考配置操作查看重要文件和目录权限：ls–l更改权限：对于重要目录，建议执行如下类似操作：例如：#chmod-R750/etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本回退方案使用chmod命令还原被修改权限的目录判断依据查看重要文件和目录权限：ls–l查看重要文件和目录下的文件权限设置是否为750以下实施风险高重要等级★备注1.3.51.3.5SHG-AIX-01-03-05SHG-AIX-01-03-05编号SHG-AIX-01-03-05名称设置ftp目录权限实施目的限制ftp用户登陆后在自己当前目录下活动，防止非法访问目录。问题影响增加系统帐户被利用后越权使用的安全风险系统当前状态查看/etc/vsftpd/vsftpd.conf文件并记录当前的配置实施步骤参考配置操作：限制ftp用户登陆后在自己当前目录下活动：#vi/etc/vsftpd/vsftpd.conflocal_root=锁定目录路径chroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_list#vivsftpd.chroot_listusername（锁定用户名）回退方案还原/etc/vsftpd/vsftpd.conf文件配置到加固前的状态判断依据查看/etc/vsftpd/vsftpd.conf文件中的配置，查看是否已设置限制ftp用户登陆后在自己当前目录下活动。如未配置则应按要求设置。实施风险中重要等级★备注22日志配置日志配置2.1.12.1.1SHG-AIX-02-01-0SHG-AIX-02-01-011编号SHG-AIX-02-01-01名称启用日志记录功能实施目的设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。问题影响无法对用户的登陆进行日志记录，增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件中的配置并记录实施步骤参考配置操作：syslog的配置主要通过/etc/syslog.conf配置，日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(@hostname)。startsrc-ssyslogd启动syslog服务stopsrc-ssyslogd停止syslog服务回退方案修改/etc/syslog.conf文件设置到系统加固前状态判断依据查看系统进程中是否存在syslogd守护进程。查看/etc/syslog.conf文件中的配置是否启动syslog服务。如系统中不存在syslogd守护进程或在配置文件中发现syslog服务未启动，则应按要求进行配置。实施风险低重要等级★★★备注2.1.22.1.2SHG-AIX-02-01-0SHG-AIX-02-01-022编号SHG-AIX-02-01-02名称syslog日志等级的安全配置实施目的syslog提供日常维护日志外，还提供系统登陆，攻击尝试等安全性的日志信息，帮助管理员进行审计和追踪。问题影响无法对用户的操作进行日志记录，增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件配置并记录实施步骤参考配置操作：syslog配置文件要求：修改文件安全设置/etc/syslog.conf配置文件中包含一下日志记录：*.err/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/critlogauth,authpriv.info/var/adm/authlog回退方案修改/etc/syslog.conf文件配置到系统加固前的状态判断依据查看/etc/syslog.conf文件中的配置是否符合以上安全设置。如不合符则建议应按要求进行设置。实施风险高重要等级★备注2.1.32.1.3SHG-AIX-02-01-03SHG-AIX-02-01-03编号SHG-AIX-02-01-03名称启用记录su日志功能实施目的记录系统中su操作的日志问题影响无法记录su指令的用户切换操作，增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件配置，并记录实施步骤参考配置操作：设置/etc/syslog.conf文件，并启动su日志记录。注：在AIX系统中，su日志记录默认是开启的。查看/var/adm/sulog，用户使用su命令的日志。可根据需要保留60天中有用的内容，其余删除。文件记录以下信息：日期、时间、系统名称以及登录名。/var/adm/sulog文件也记录登录尝试是否成功：+（加号）表示登录成功，-（减号）表示登录失败。回退方案修改/etc/syslog.conf文件设置到系统加固前状态判断依据查看/etc/syslog.conf文件中是否配置了su日志记录查看/var/adm/sulog文件，是否存在su命令使用记录实施风险低重要等级★备注2.1.42.1.4SHG-AIX-02-01-04SHG-AIX-02-01-04编号SHG-AIX-02-01-04名称启用记录cron行为日志功能和cron/at的使用情况实施目的对所有的cron行为以及使用情况进行审计和查看问题影响无法记录和查看cron服务（计划任务），存在潜在安全风险系统当前状态查看/var/spool/cron/目录下的文件配置，并记录实施步骤参考配置操作：cron/At的相关文件主要有以下几个：/var/spool/cron/crontabs存放cron任务的目录/var/spool/cron/cron.allow允许使用crontab命令的用户/var/spool/cron/cron.deny不允许使用crontab命令的用户/var/spool/cron/atjobs存放at任务的目录/var/spool/cron/at.allow允许使用at的用户/var/spool/cron/at.deny不允许使用at的用户使用crontab和at命令可以分别对cron和at任务进行控制。#crontab-l查看当前的cron任务#at-l查看当前的at任务回退方案修改/var/spool/cron/目录下的文件设置到系统加固前状态判断依据查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。实施风险低重要等级★备注33通信协议通信协议3.13.1IPIP协议安全协议安全3.1.13.1.1SHG-AIX-03-01-0SHG-AIX-03-01-011编号SHG-AIX-03-01-01名称使用ssh加密传输实施目的提高远程管理安全性问题影响使用非加密通信，内容易被非法监听，存在潜在安全风险系统当前状态运行ps-ef|grepssh，查看状态，并记录。实施步骤参考配置操作：如果系统中没有安装SSH，则首先需要正确安装openssh后才能够应用SSH。安装步骤举例说明：在将OpenSSL下载到AIXVersion5.3计算机的本地目录（本示例中为/tmp）之后，可以通过运行下面的命令来安装它：#geninstall-d/tmpR:openssl-0.9.6m可以使用下面两种方法中的任何一种来安装OpenSSH：smitty->SoftwareInstallationandMaintenance->InstallandUpdateSoftware->InstallSoftware或者#geninstall-I"Y"-d/dev/cd0I:openssh.base使用下面的命令启动SSH服务器：#startsrc-gssh使用下面的命令来确认已正确地启动了SSH服务器：#ps-ef|grepssh回退方案卸载SSH、或者停止SSH服务判断依据运行ps-ef|grepssh，查看系统进程中是否存在SSH进程，如不存在，则建议应按照要求安装和配置好SSH服务。实施风险高重要等级★备注3.1.23.1.2SHG-AIX-03-01-0SHG-AIX-03-01-022编号SHG-AIX-03-01-02名称限制管理员登陆IP实施目的对于通过IP协议进行远程维护的设备，设备应对允许登陆到该设备的IP地址范围进行设定。提高远程维护安全性。问题影响没有访问控制，系统可能被非法登陆或使用，从而存在潜在的安全风险。系统当前状态查看/etc/hosts.equiv文件配置并记录实施步骤参考配置操作：建议采用如下安全配置操作：修改文件安全设置操作说明/etc/hosts.equiv（全局配置文件）~/.rhosts（单独用户的配置文件）限定信任的主机、账号不能有单行的"+"或"++"的配置信息编辑/etc/host.equiv文件或者~/.rhosts文件，只增加必须的帐户和主机，删除不必要的信任主机设置。更改/etc/hosts.equiv文件的属性，只允许root可读写。回退方案修改/etc/hosts.equiv文件的配置到加固之前的状态判断依据查看/etc/hosts.equiv文件的配置是否按照以上要求进行了设置，如未设置则建议应按照要求进行设置。实施风险高重要等级★备注3.23.2路由协议安全路由协议安全3.2.13.2.1SHG-AIX-03-02-0SHG-AIX-03-02-011编号SHG-AIX-03-02-01名称禁止ICMP重定向和关闭数据包转发实施目的禁止系统发送ICMP重定向包，关闭数据包转发，提高系统、网络的安全性问题影响主机可能存在会被非法改变路由的安全风险系统当前状态AIX系统网络参数可以通过no命令进行配置，执行no–a，显示所有网络参数并记录实施步骤参考配置操作：建议采用如下设置进行安全配置：AIX系统网络参数可以通过no命令进行配置，比较重要的网络参数有：icmpaddressmask=0忽略ICMP地址掩码请求ipforwarding=0不进行IP包转发ipignoreredirects=1忽略ICMP重定向包ipsendredirects=0不发送ICMP重定向包ipsrcrouteforward=0不转发源路由包ipsrcrouterecv=0不接收源路由包ipsrcroutesend=0不发送源路由包no-a显示当前配置的网络参数no-oicmpaddressmask=0忽略ICMP地址掩码请求配置方式：no-oipignoreredirects=1no-oipsendredirects=0no–oipsrcrouteforward=0no–oipsrcroutesend=0no–oclean_partial_conns=1no–odirected_broadcast=0以及：策略默认设置安全设置忽略ICMP重定向包ipignoreredirects=0ipignoreredirects=1不发送ICMP重定向包ipsendredirects=1ipsendredirects=0不转发源路由包ipsrcrouteforward=1ipsrcrouteforward=0不发送源路ipsrcroutesend=1ipsrcroutesend=0由包防御SYN-FLOODclean_partial_conns=0clean_partial_conns=1防御SMURF攻击directed_broadcast=1directed_broadcast=0在/etc/rc.net文件重添加以下命令：/usr/sbin/no-oicmpaddressmask=0/usr/sbin/no-oipforwarding=0/usr/sbin/no-oipignoreredirects=1/usr/sbin/no-oipsendredirects=0/usr/sbin/no-oipsrcrouteforward=0/usr/sbin/no-oipsrcrouterecv=0/usr/sbin/no-oipsrcroutesend=0回退方案删除在/etc/rc.net文件中添加的命令，并使用命令恢复到加固之前的状态判断依据执行no–a命令或查看/etc/rc.net文件中是否按照以上命令进行了安全配置，如未设置，则建议应按照要求进行安全配置。实施风险高重要等级★备注44补丁管理补丁管理4.1.14.1.1SHG-AIX-04-01-01SHG-AIX-04-01-01编号SHG-AIX-04-01-01名称系统补丁安装实施目的应根据需要及时进行补丁装载。注意：补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。问题影响系统存在严重的安全漏洞，存在被攻击者利用的安全风险系统当前状态执行oslevel–r命令或instfix-i|grepML命令，查看补丁当前安装的状况和版本实施步骤参考配置操作：使用instfix–aik命令来完成补丁的安装操作。注意：1、在AIX系统中涉及安全的补丁包有以下几种：推荐维护包（RecommendedMaintenancePackages）:由一系列最新的文件集组成的软件包，包含了特定的操作系统（如AIX5.2）发布以来的所有文件集的补丁。关键补丁Criticalfixes(cfix)：自推荐维护包之后，修补关键性漏洞的补丁。紧急补丁Emergencyfixes(efix):自推荐维护包之后，修补紧急安全漏洞的补丁。2、补丁安装原则：在新装和重新安装系统后，必须安装最新的推荐维护包，以及该最新推荐维护包以来的所有单独的cfix和efix。日常维护中如果厂家推出新的RM、cfix、efix则按照原补丁维护管理规定进行补丁安装。回退方案根据在加固前执行的oslevel–r命令或instfix-i|grepML命令，查看补丁当前安装的状况和版本的记录，删除或卸载相应的补丁恢复成加固前的状态。判断依据执行oslevel–r命令或instfix-i|grepML命令，查看补丁当前安装的状况和版本是否与IBM最新发布的官方补丁相一致。如不一致，则应根据实际情况和业务需要进行补丁的安装操作。实施风险高重要等级★★备注55服务进程和启动服务进程和启动5.1.15.1.1SHG-AIX-05-01-0SHG-AIX-05-01-011编号SHG-AIX-05-01-01名称关闭无效服务和启动项实施目的关闭无效的服务和启动项，提高系统性能，增加系统安全性问题影响不用的服务和启动项可能会带来很多安全隐患，容易被攻击者利用，从而存在潜在的安全风险系统当前状态查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置；查看/etc/inetd.conf文件并记录当前的配置实施步骤参考配置操作：系统管理员提供与业务和应用系统相关的服务和启动项列表。一、rc.dAIX系统中的服务主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中启动，事实上，/etc/rc.*系列文件主要也是由/etc/inittab启动。同时，AIX中所有启动的服务（至少与业务相关的）都可以同过SRC（SystemResourceManager）进行管理。可以有三种方式查看系统服务的启动情况：1、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件；2、使用lssrc和lsitab命令；3、通过smit查看和更改。注：SRC本身通过/etc/inittab文件启动。lssrc-a列出所有SRC管理的服务的状态lsitab-a列出所有由/etc/inittab启动的信息，和cat/etc/inittab基本相同，除了没有注释。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。二、inetd.conf由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC启动），因此查看INETD启动的服务的情况有两种方法：1、使用vi查看/etc/inetd.conf中没有注释的行；2、使用lssrc命令。lssrc-l-sinetd查看inetd的状态以及由INETD启动的服务的状态；refresh-sinetd更改/etc/inetd.conf文件后重启inetd。建议关闭由inetd启动的所有服务；如果有管理上的需要，可以打开telnetd、ftpd、rlogind、rshd等服务。启动或停止inetd启动的服务（例如ftpd）：1、使用vi编辑/etc/inetd.conf，去掉注释（启动）或注释掉（停止）ftpd所在的行；2、重启inetd：refresh-sinetd。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。回退方案还原/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置到加固前的状态还原/etc/inetd.conf文件的配置到加固前的状态判断依据根据系统管理员提供的业务应用相关的服务与启动项列表，查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置是否按照要求进行了安全配置。查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。如发现以上两个文件中的配置不符合要求，则建议应按照以上要求的操作对系统进行加固，关闭无效服务和启动项。实施风险高重要等级★备注5.1.25.1.2SHG-AIX-05-01-02SHG-AIX-05-01-02编号SHG-AIX-05-01-02名称系统网络与服务安全配置标准实施目的关闭无效的服务和启动项，提高系统性能，增加系统安全性问题影响不用的服务和启动项可能会带来很多安全隐患，容易被攻击者利用，从而存在潜在的安全风险系统当前状态查看/etc/inittab文件并记录当前配置；查看/etc/rc.*（包括rc.tcpip，rc.nfs等文件）文件并记录当前配置；查看/etc/inetd.conf文件并记录当前的配置。实施步骤参考配置操作：系统管理员提供与业务和应用系统相关的服务和启动项列表。AIX系统中涉及服务的配置和启动信息的，主要在以下几个文件：/etc/inittab文件/etc/rc.*（包括rc.tcpip，rc.nfs等文件）。由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC启动）。本部分的安全基线主要通过修改这些文件中的内容进行配置。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。建议按照下表进行安全配置：操作的文件要求禁用的服务设置方式操作说明/etc/inittabpiobe注释掉该行(在该服务所在行加上冒号”:”)查看由/etc/inittab文件启动的表项:lsitab-a对/etc/inittab进行编辑,注释掉启动项更改完配置后停qdaemonwritesrvimqssimnsshttpdlitercnfsuprintfddt/etc/rc.tcpiprouted注释掉该行(在该服务所在行加上冒号”＃”)查看由/etc/rc.tcpip文件启动的表项:lssrc–gtcpip对/etc/irc.tcpip进行编辑,注释掉启动项更改完配置后停GatedDhcpcdDhcpsdDhcprdautoconf6ndpd-hostndpd-routerLpdTimed止该服务。（参考stopsrc命令）XntpdRwhoddpid2AixmibdHostmibdMroutedPortmap对于nfs、snmp、dns、sendmail服务，应该先关闭；需要执行以下命令：lssrc–s名称startsrc–s名称stopsrc–s名称/etc/inetd.conf原则上关闭由inetd启动的所有所有服务全部注释掉lssrc-l-sinetd——查看inetd的状态以及由INETD启动的服务的状态；编辑/etc/inetd.conf文件,注释不需要的服务，更改完配置后需要重启inetd进程。至少禁用以下服务：Shell、kshell、login、klogin、exec、comsat、uucp、bootps、finger、systat、netstat、tftp、talk、ntalk、rpc.rquotad、rpc.rexd、rpc.rusersd、、rpc.ttd注释掉该行ftpd、rlogind、rshd等服务，应根据日常管理需要，选择是否禁禁用的方法：注释掉该行同上回退方案还原/etc/inittab文件配置到加固以前的状态；还原/etc/rc.*（包括rc.tcpip，rc.nfs等文件）文件配置到加固以前的状态；还原/etc/inetd.conf文件配置到加固以前的状态。判断依据根据系统管理员提供的业务应用相关的服务与启动项列表，查看/etc/inittab文件的配置是否按照要求进行了安全配置。查看/etc/rc.*（包括rc.tcpip，rc.nfs等文件）文件的配置是否按照要求进行了安全配置。查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。如发现以上三个文件中的配置不符合要求，则建议应按照以上要求的操作对系统进行加固，配置系统网络与服务安全标准。实施风险高重要等级★备注66设备其他安全要求设备其他安全要求6.16.1登陆超时策略登陆超时策略6.1.16.1.1SHG-AIX-06-01-0SHG-AIX-06-01-011编号SHG-AIX-06-01-01名称设置登录超时策略实施目的对于具备字符交互界面的设备，应配置定时帐户自动登出。问题影响管理员忘记退出被非法利用，增加潜在风险系统当前状态查看/etc/security/.profile文件的配置状态，并记录。实施步骤参考配置操作：设置登陆超时时间为300秒，修改/etc/security/.profile文件，增加一行：TMOUT＝300；TIMEOUT=300；exportreadonlyTMOUTTIMEOUT回退方案修改/etc/security/.profile文件的配置到加固之前的状态判断依据查看/etc/security/.profile文件中的配置，是否存在登陆超时时间的设置。如未设置，则建议应按照要求进行配置。实施风险中重要等级★备注6.26.2系统系统BannerBanner设置设置6.2.16.2.1SHG-AIX-0SHG-AIX-06-02-016-02-01编号SHG-AIX-06-02-01名称系统Banner设置实施目的通过修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息问题影响存在潜在的安全风险，攻击者容易获取系统的基本信息系统当前状态查看/etc/motd文件并记录当前的配置实施步骤参考配置操作：设置系统Banner的操作如下：修改/etc/motd文件回退方案还原/etc/motd文件的配置到加固前的状态判断依据查看/etc/motd文件中的配置是否按照以上要求进行了配置，如未配置，则建议应根据要求进行配置。实施风险低重要等级★★备注6.36.3内核调整内核调整6.3.16.3.1SHG-AIX-06-03-01SHG-AIX-06-03-01编号SHG-AIX-06-03-01名称系统内核参数配置，禁止coredump实施目的禁止coredump问题影响存在潜在的安全风险系统当前状态查看/etc/security/limits文件并记录当前的配置实施步骤参考配置操作：禁止coredump的配置：编辑/etc/security/limits改变core值core0加入如下行：core_hard=0执行下列命令：echo"ulimit-c0">>/etc/profilechdev-lsys0-afullcore=false回退方案还原/etc/security/limits文件的配置到加固前的状态判断依据查看/etc/security/limits文件中的配置是否按照以上要求进行了配置，如未配置，则建议应根据要求进行配置。实施风险高重要等级★备注77附录：附录：AIXAIX可被利用的漏洞（截止可被利用的漏洞（截止2009-3-82009-3-8））[aix-local]-::DATE-::DESCRIPTION2007-11-07IBMAIX<=5.3.0setlocale()LocalPrivilegeEscalationExploit2007-07-27IBMAIX<=5.3sp6captureTerminalSequenceLocalRootExploit2007-07-27IBMAIX<=5.3sp6piooutArbitraryLibraryLoadingLocalRootExploit2007-07-27IBMAIX<=5.3sp6ftpgets()LocalRootExploit2005-06-14AIX5.2netpmonLocalElevatedPrivilegesExploit2005-06-14AIX5.2ipl_varyonLocalElevatedPrivilegesExploit2005-06-14AIX5.2paginitLocalRootExploit2005-05-19AIX5.1BellmailLocalRaceConditionExploit(Instructionsw/Exploit)2005-03-25AIX<=5.3.0(invscout)LocalCommandExecutionVulnerability2004-12-21AIX4.3/5.1-5.3lsmcodeLocalRootCommandExecution2004-12-20AIX5.1to5.3paginitLocalStackOverflowExploit1997-05-27AIX4.2/usr/dt/bin/dttermLocalBufferOverflowExploit1997-05-26AIXlquerylvLocalRootBufferOverflowExploit