1、AIX系统安全检查方案技 术 文 件技术文件名称:AIX系统安全检查方案 技术文件编号: 版 本:V1.0 文件质量等级:共12页(包括封面) 拟 制 审 核 会 签 标准化 批 准 修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容(写要点即可)1.02009/06/30无无1.0.12009/08/14添加内容ZTE-AIX-SH03-06/ZTE-AIX-SM01-02配置项添加说明1.1.02009/08/17删除内容删除ZTE-AIX-SH03-05和ZTE-AIX-SH03-06中ACL检查注1:每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表
2、。注2:文件第一次归档时,“更改理由”、“主要更改内容”栏写“无”。AIX操作系统安全检查方案目录(包括封面) 1修改记录 21 概述 5内部适用性说明 5外部引用说明 5术语和定义 5符号和缩略语 52 AIX安全检查操作指导 62.1 ZTE-AIX-S01检查帐号安全 62.1.1 ZTE-AIX-SH01-01检查系统帐号安全性 62.1.2 ZTE-AIX-SM01-02检查root远程登录配置 62.1.3 ZTE-AIX-SM01-03检查口令复杂度,加密和密码历史配置 62.1.4 ZTE-AIX-SL01-04检查口令生存期配置 72.2 ZTE-AIX-S02检查登录会话环
3、境 72.2.1 ZTE-AIX-SL02-01检查字符登录会话超时5分钟自动退出 72.2.2 ZTE-AIX-SL02-02检查图形登录会话超时5分钟自动退出 72.2.3 ZTE-AIX-SM02-03检查用户环境变量 72.3 ZTE-AIX-S03检查主机软件/网络服务 82.3.1 ZTE-AIX-SH03-01检查ftp登录用户限制 82.3.2 ZTE-AIX-SM03-02 检查ftp用户活动目录限制 82.3.3 ZTE-AIX-SL03-03检查匿名ftp用户限制 82.3.4 ZTE-AIX-SM03-04检查GUI配置 82.3.5 ZTE-AIX-SH03-05检查
4、TELNET服务配置 92.3.6 ZTE-AIX-SH03-06检查SSH服务配置 92.3.7 ZTE-AIX-SM03-07检查服务配置 92.3.8 ZTE-AIX-SM03-08检查SNMP服务配置 92.3.9 ZTE-AIX-SL03-09检查NTP服务器或客户端配置 92.3.10 ZTE-AIX-SM03-10检查信任主机配置 102.3.11 ZTE-AIX-SM03-11检查ftp初始化文件配置 102.4 ZTE-AIX-S04检查日志记录配置 102.4.1 ZTE-AIX-SL04-01检查登录日志配置 102.4.2 ZTE-AIX-SL04-02检查事件日志配置
5、 102.4.3 ZTE-AIX-SL04-03检查远程日志服务器配置 102.4.4 ZTE-AIX-SL04-04检查cron日志配置 112.4.5 ZTE-AIX-SL04-05检查是否启用内核级审核 112.5 ZTE-AIX-S05检查文件权限 112.5.1 ZTE-AIX-SM05-01检查重要系统文件权限 112.6 ZTE-AIX-S06检查系统补丁安装情况 112.6.1 ZTE-AIX-SH06-01检查操作系统补丁版本 112.7 ZTE-AIX-S07检查网络协议安全配置 122.7.1 ZTE-AIX-SL07-01检查IP协议配置 122.8 ZTE-AIX-S
6、08检查杂项 122.8.1 ZTE-AIX-SL08-01禁止产生Core文件配置 12AIX操作系统基本检查方案1 概述内部适用性说明本方案是在业务研究院网络安全规范中各项要求的基础上,提出AIX操作系统安全检查方案。外部引用说明中国移动设备通用安全功能和配置规范中国移动操作系统安全功能规范AIX系统基本检查方案术语和定义符号和缩略语缩写英文描述中文描述本文件中的字体标识如下:蓝色斜体 在具体执行时需要替换的内容检查/加固项编码意义如下:公司名称-操作系统-条目性质 风险级别 数字编号-小项数字编号条目性质中:S意为检查;E意为加固风险级别中:H意为高风险;M意为中等风险;L意为低风险,风
7、险级别仅存于具体条目中2 AIX安全检查操作指导2.1 ZTE-AIX-S01检查帐号安全2.1.1 ZTE-AIX-SH01-01检查系统帐号安全性#cat /etc/passwd检查如下内容(强密码部分单独检查):帐号名用户ID是否为0是否已锁定默认shell是否强密码需要记录的内容:用户ID为0的所有帐号,默认有shell并未锁定的帐号2.1.2 ZTE-AIX-SM01-02检查root远程登录配置操作期望输出是否满足# lsuser -a rlogin rootroot rlogin=false#grep PermitRootLogin /etc/ssh/sshd_configPer
8、mitRootLogin no说明:如果未找到/etc/ssh/sshd_config文件,说明ssh未安装,不满足安全配置2.1.3 ZTE-AIX-SM01-03检查口令复杂度,加密和密码历史配置操作期望输出是否满足#lssec -f /etc/security/user -s default -a minlendefault minlen=8#lssec -f /etc/security/user -s default -a minalphadefault minalpha=1#lssec -f /etc/security/user -s default a mindiffdefault
9、 mindiff=1#lssec -f /etc/security/user -s default a minotherdefault minother=1#lssec -f /etc/security/user -s default a histsizedefault histsize=52.1.4 ZTE-AIX-SL01-04检查口令生存期配置操作期望输出是否满足#lssec -f /etc/security/user -s default a pwdwarntimedefault pwdwarntime=5#lssec -f /etc/security/user -s default
10、a histexpiredefault histexpire=132.2 ZTE-AIX-S02检查登录会话环境2.2.1 ZTE-AIX-SL02-01检查字符登录会话超时5分钟自动退出操作期望输出是否满足#grep TMOUT /etc/profileTMOUT=300 ; export TMOUT2.2.2 ZTE-AIX-SL02-02检查图形登录会话超时5分钟自动退出操作期望输出是否满足#grep Timeout /usr/dt/config/*/sys.resources输出中包含如下内容:dtsession*saverTimeout: 5dtsession*lockTimeout
11、: 52.2.3 ZTE-AIX-SM02-03检查用户环境变量操作期望输出是否满足#lssec -f /etc/security/user -s default a umaskdefault umask=027lsuser -a home ALL | awk print $1 | while read user; do lsuser -a umask $userdone所有用户的umask值均为umask=27使用每个可以登录的帐号登录系统后,执行:#set | grep PATH检查PATH变量中,是否定义了当前目录:“.”无PATH变量包含当前目录(“.”)2.3 ZTE-AIX-S03
12、检查主机软件/网络服务2.3.1 ZTE-AIX-SH03-01检查ftp登录用户限制操作期望输出是否满足#cat /etc/ftpusers输出包含除允许ftp登录的用户之外的其他所有用户2.3.2 ZTE-AIX-SM03-02 检查ftp用户活动目录限制操作期望输出是否满足#cat /etc/ftpaccess输出中包含如下内容:restricted-uid *chmod no guest,anonymous delete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no
13、anonymous2.3.3 ZTE-AIX-SL03-03检查匿名ftp用户限制操作期望输出是否满足FTP登录被检查服务器,确认是否可以匿名访问不能匿名访问2.3.4 ZTE-AIX-SM03-04检查GUI配置操作期望输出是否满足#ps elf | grep dtlogin无/usr/dt/bin/dtlogin进程2.3.5 ZTE-AIX-SH03-05检查TELNET服务配置操作期望输出是否满足#lssrc -t telnet无telnet服务输出2.3.6 ZTE-AIX-SH03-06检查SSH服务配置操作期望输出是否满足检查ssh是否已经启动:#lssrc s sshdssh服
14、务status为active说明:如果相关命令提示:0513-085 The sshd Subsystem is not on file.说明ssh服务未安装,不满足需求2.3.7 ZTE-AIX-SM03-07检查服务配置# lssrc a输出内容请复制至右侧#grep v # /etc/inetd.conf输出内容请复制至右侧2.3.8 ZTE-AIX-SM03-08检查SNMP服务配置操作期望输出是否满足#grep public /etc/snmpd.conf输出不包含如下内容:community public2.3.9 ZTE-AIX-SL03-09检查NTP服务器或客户端配置操作期望
15、输出是否满足检查文件/etc/ntp.conf是否存在文件存在#lssrc -t xntpdxntpd服务status为active2.3.10 ZTE-AIX-SM03-10检查信任主机配置操作期望输出是否满足检查文件/etc/hosts.equiv是否存在(内容为空,可认为不存在)文件不存在#检查用户主目录下(包括/root)是否存在如下文件: .rhosts(如果文件内容为空,可认为不存在)文件不存在2.3.11 ZTE-AIX-SM03-11检查ftp初始化文件配置操作期望输出是否满足检查用户主目录下(包括/root)是否存在如下文件:.netrc(如果文件内容为空,可认为不存在)文件
16、不存在2.4 ZTE-AIX-S04检查日志记录配置2.4.1 ZTE-AIX-SL04-01检查登录日志配置操作期望输出是否满足检查/var/adm/authlog和/var/adm/syslog是否存在文件存在2.4.2 ZTE-AIX-SL04-02检查事件日志配置操作期望输出是否满足#grep /var/adm/messages /etc/syslog.conf输出为(含有):*.err;kern.debug;daemon.notice; /var/adm/messages2.4.3 ZTE-AIX-SL04-03检查远程日志服务器配置操作期望输出是否满足#grep /etc/sysl
17、og.conf输出中,后面的主机名或ip地址不是为本机2.4.4 ZTE-AIX-SL04-04检查cron日志配置操作期望输出是否满足#grep logfile=/var/adm/cron/log /etc/cronlog.conf输出中,后面的主机名或ip地址不是为本机本加固项仅对AIX 5300-04或更高版本有效2.4.5 ZTE-AIX-SL04-05检查是否启用内核级审核操作期望输出是否满足#audit query输出中,包含:auditing on2.5 ZTE-AIX-S05检查文件权限2.5.1 ZTE-AIX-SM05-01检查重要系统文件权限操作期望输出是否满足操作1:#
18、ls l /etc/security操作2:#ls l /etc/group操作3:#ls l /etc/security/audit操作4:#ls l /etc/passwd权限部分输出如下:操作1:权限750,属主:root:security操作2:权限644,属主:root:security操作3:权限750,属主:root:audit操作4:权限644,属主:root:security2.6 ZTE-AIX-S06检查系统补丁安装情况2.6.1 ZTE-AIX-SH06-01检查操作系统补丁版本#oslevel -r2.7 ZTE-AIX-S07检查网络协议安全配置2.7.1 ZTE-
19、AIX-SL07-01检查IP协议配置操作期望输出是否满足# no -a | grep clean_partial_connsclean_partial_conns = 1# no -a | grep directed_broadcastdirected_broadcast = 0# no -a | grep icmpaddressmaskIcmpaddressmask = 0# no -a | grep ipignoreredirectsIpignoreredirects = 1# no -a | grep ipsendredirectsIpsendredirects = 0# no -a
20、| grep ipsrcrouteforwardIpsrcrouteforward = 0# no -a | grep ipsrcrouterecvipsrcrouterecv = 0# no -a | grep ipsrcroutesendipsrcroutesend = 0# no -a | grep nonlocsrcroutenonlocsrcroute = 02.8 ZTE-AIX-S08检查杂项2.8.1 ZTE-AIX-SL08-01禁止产生Core文件配置操作期望输出是否满足#grep core /etc/security/limits 输出中包含:core 0core_hard = 0#grep ulimit -c 0 /etc/profileulimit -c 0#lsattr -Elsys0 | grep fullfullcore false Enable full CORE dump True