欢迎来到天天文库
浏览记录
ID:34268647
大小:46.00 KB
页数:8页
时间:2019-03-04
《aix安全加固操作手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、AIX安全加固操作手册作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下:一、系统推荐补丁升级加固1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁)检查补丁版本命令:oslevel–r或instfix–i
2、grepML(看返回结果中OS版本后带的小版本号)2.如果未安装补丁,使用如下方式安装补丁1)将补丁盘放入光驱、以root执行:mount/cdrom2)执行:smitt
3、yupdate_all(选择/dev/cd0为安装介质)注意选择安装选项中:COMMITsoftwareupdates?noSAVEreplacedfiles?yes安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown–Fr重起系统二、AIX系统配置安全加固1.编辑/etc/inetd.conf文件,关闭所有服务。将inetd.conf文件中的内容清空>/etc/inetd.confrefresh–sinetd2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务:portmapsysloginetdsendmailsnmpd如关闭dpid2,则只要
4、注销以下行:(前面加#号即可)#start/usr/sbin/dpid2"$src_running"再使用:stopsrc–sXXX来停止这些已经启动的服务3./etc/inittab中关闭用:注释服务,不是‘#’piobePrinterIOBackEndqdaemonPrinterQueueingDaemonwritesrvwriteserverhttpdlitedocsearchWebServerimnssdocsearchimnssDaemonimqssdocsearchimqssdaemon1.删除一些无用的用户rmuser-puucp;rmuser-pnuucp2.手
5、工编辑/etc/security/user控制用户登录限制、缺省文件创建权限限制default默认设置不允许suloginrlogin,将三项设置依次设置为false即可,其余缺省;缺省umask设置为027;设置各用户设置密码的最小长度为8;放开root、(sybase或oracle)、zxin10用户的su权限;放开(sybase或oracle)、zxin10用户的rlogin权限;设置root的umask为077default:login=falsesu=falserlogin=falseumask=027minlen=8...root:su=trueumask=07
6、7...zxin10:su=truerlogin=true...oracle:su=truerlogin=true#pwdck-yALL修复同步口令文件3.更改login默认策略(/etc/security/login.cfg)default:logindelay=2logindisable=3logininterval=60(logininterval秒内产生logindisable次无效登录,即锁定port)loginreenable=5(loginreenable分钟后解除锁定)4.编辑/etc/profile,添加下列行:TMOUT=3600TIMEOUT=3600ex
7、portTMOUTTIMEOUT1.加固系统TCP/IP配置编辑rc.net文件,添加:/usr/sbin/no-oclean_partial_conns=1/usr/sbin/no-oarpt_killc=20/usr/sbin/no-oicmpaddressmask=0/usr/sbin/no-odirected_broadcast=0/usr/sbin/no-oipsrcroutesend=0/usr/sbin/no-oipsrcrouteforward=0/usr/sbin/no-oip6srcrouteforward=0/usr/sbin/no-oipignorere
8、directs=1/usr/sbin/no-oipsendredirects=02.使用以下方法使尝试登录失败记录有效修改/etc/syslog.conf文件增加日志审计内容:*.crit/var/log/loginlog创建loginlog,记录失败登陆#touch/var/log/loginlog#chmod600/var/log/loginlog#chgrpsys/var/log/loginlog#refresh–ssyslogd3.删除不需要的cronscd/var/spool/cr
此文档下载收益归作者所有