返回
aix安全加固操作手册

aix安全加固操作手册

ID:34268647

大小:46.00 KB

页数:8页

时间:2019-03-04

aix安全加固操作手册_第1页
aix安全加固操作手册_第2页
aix安全加固操作手册_第3页
aix安全加固操作手册_第4页
aix安全加固操作手册_第5页
资源描述:

《aix安全加固操作手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、AIX安全加固操作手册作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下:一、系统推荐补丁升级加固1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁)检查补丁版本命令:oslevel–r或instfix–i

2、grepML(看返回结果中OS版本后带的小版本号)2.如果未安装补丁,使用如下方式安装补丁1)将补丁盘放入光驱、以root执行:mount/cdrom2)执行:smitt

3、yupdate_all(选择/dev/cd0为安装介质)注意选择安装选项中:COMMITsoftwareupdates?noSAVEreplacedfiles?yes安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown–Fr重起系统二、AIX系统配置安全加固1.编辑/etc/inetd.conf文件,关闭所有服务。将inetd.conf文件中的内容清空>/etc/inetd.confrefresh–sinetd2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务:portmapsysloginetdsendmailsnmpd如关闭dpid2,则只要

4、注销以下行:(前面加#号即可)#start/usr/sbin/dpid2"$src_running"再使用:stopsrc–sXXX来停止这些已经启动的服务3./etc/inittab中关闭用:注释服务,不是‘#’piobePrinterIOBackEndqdaemonPrinterQueueingDaemonwritesrvwriteserverhttpdlitedocsearchWebServerimnssdocsearchimnssDaemonimqssdocsearchimqssdaemon1.删除一些无用的用户rmuser-puucp;rmuser-pnuucp2.手

5、工编辑/etc/security/user控制用户登录限制、缺省文件创建权限限制default默认设置不允许suloginrlogin,将三项设置依次设置为false即可,其余缺省;缺省umask设置为027;设置各用户设置密码的最小长度为8;放开root、(sybase或oracle)、zxin10用户的su权限;放开(sybase或oracle)、zxin10用户的rlogin权限;设置root的umask为077default:login=falsesu=falserlogin=falseumask=027minlen=8...root:su=trueumask=07

6、7...zxin10:su=truerlogin=true...oracle:su=truerlogin=true#pwdck-yALL修复同步口令文件3.更改login默认策略(/etc/security/login.cfg)default:logindelay=2logindisable=3logininterval=60(logininterval秒内产生logindisable次无效登录,即锁定port)loginreenable=5(loginreenable分钟后解除锁定)4.编辑/etc/profile,添加下列行:TMOUT=3600TIMEOUT=3600ex

7、portTMOUTTIMEOUT1.加固系统TCP/IP配置编辑rc.net文件,添加:/usr/sbin/no-oclean_partial_conns=1/usr/sbin/no-oarpt_killc=20/usr/sbin/no-oicmpaddressmask=0/usr/sbin/no-odirected_broadcast=0/usr/sbin/no-oipsrcroutesend=0/usr/sbin/no-oipsrcrouteforward=0/usr/sbin/no-oip6srcrouteforward=0/usr/sbin/no-oipignorere

8、directs=1/usr/sbin/no-oipsendredirects=02.使用以下方法使尝试登录失败记录有效修改/etc/syslog.conf文件增加日志审计内容:*.crit/var/log/loginlog创建loginlog,记录失败登陆#touch/var/log/loginlog#chmod600/var/log/loginlog#chgrpsys/var/log/loginlog#refresh–ssyslogd3.删除不需要的cronscd/var/spool/cr

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。