当前位置：首页 > news >正文

淄博外贸网站制作网站开发怎么兼容ie

news 2025/10/21 19:46:47

淄博外贸网站制作,网站开发怎么兼容ie,杭州桐庐网站建设,网站建设今网科技目录账号管理 ELK-AIX-01-01-01 口令 ELK-AIX-01-02-01 授权 ELK-AIX-01-03-01 通信协议 IP协议安全 ELK-AIX-03-01-01 ELK-AIX-03-02-01 路由协议安全补丁管理 ELK-AIX-04-01-01 服务进程和启动 ELK-AIX-05-01-01 设备其他安全要求登陆超时策略 ELK-AIX-06-01-01 … 目录账号管理 ELK-AIX-01-01-01 口令 ELK-AIX-01-02-01 授权 ELK-AIX-01-03-01 通信协议 IP协议安全 ELK-AIX-03-01-01 ELK-AIX-03-02-01 路由协议安全补丁管理 ELK-AIX-04-01-01 服务进程和启动 ELK-AIX-05-01-01 设备其他安全要求登陆超时策略 ELK-AIX-06-01-01 系统Banner设置 ELK-AIX-06-02-01 内核调整 ELK-AIX-06-03-01 本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求共27项。对系统的安全配置审计、加固操作起到指导性作用。账号管理 ELK-AIX-01-01-01 编号 ELK-AIX-01-01-01 名称为不同的管理员分配不同的账号实施目的根据不同类型用途设置不同的帐户账号提高系统安全。问题影响账号混淆权限不明确存在用户越权使用的可能。系统当前状态查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作为用户创建账号 #mkuser username #passwd username 列出用户属性 #lsuser username 更改用户属性 #chuser attributevalue username 回退方案删除新增加的帐户#rmuser username 判断依据标记用户用途定期建立用户列表比较是否有非法用户实施风险高重要等级 ★★★ 备注 ELK-AIX-01-01-02 编号 ELK-AIX-01-01-02 名称配置帐户锁定策略实施目的锁定不必要的帐户提高系统安全。问题影响系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险容易被攻击者利用。系统当前状态查看/etc/passwd中记录的系统当前用户列表实施步骤参考配置操作系统管理员出示业务所需帐户列表根据列表只保留系统与业务所需帐户。结合实际情况锁定或删除其余帐户。如要锁定user1用户则采用的命令如下 #chuser account_lockedtrue user1 回退方案如对user1用户解除锁定则采用的命令如下 #chuser account_lockedfalse user1 判断依据系统管理员出示业务所需帐户列表。查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外其他的帐户建议根据实际情况锁定或删除。实施风险高重要等级 ★★★ 备注 ELK-AIX-01-01-03 编号 ELK-AIX-01-01-03 名称限制超级管理员远程登录实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作应先以普通权限用户远程登录后再切换到超级管理员权限账。问题影响如允许root远程直接登陆则系统将面临潜在的安全风险系统当前状态执行lsuser -a rlogin root命令查看root的rlogin属性并记录实施步骤参考配置操作查看root的rlogin属性 #lsuser -a rlogin root 禁止root远程登陆 #chuser rloginfalse root 回退方案还原root可以远程登陆执行如下命令 #chuser rlogintrue root 判断依据执行#lsuser –a rlogin root命令查看root的rlogin属性root是否可以远程登陆如显示可以则禁止。实施风险高重要等级 ★★★ 备注 ELK-AIX-01-01-04 编号 ELK-AIX-01-01-04 名称对系统账号进行登录限制实施目的对系统账号进行登录限制确保系统账号仅被守护进程和服务使用问题影响可能利用系统进程默认账号登陆账号越权使用系统当前状态查看/etc/security/passwd中各账号状态并记录实施步骤参考配置操作系统管理员出示业务所需登陆主机的帐户列表根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。禁止账号交互式登录 #chuser account_lockedtrue username 删除账号 #rmuser username 补充操作说明建议禁止交互登录的系统账号有 daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案还原被禁止登陆的帐户 #chuser account_lockedfalse username 注对删除帐户的操作无法回退判断依据系统管理员出示业务所需登陆主机的帐户列表。查看/etc/security/passwd中所记录的可以登陆主机的帐户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。实施风险高重要等级 ★ 备注 ELK-AIX-01-01-05 编号 ELK-AIX-01-01-05 名称为空口令用户设置密码实施目的禁止空口令用户存在空口令是很危险的用户不用口令认证就能进入系统。问题影响系统中的帐户存在被非法利用的风险系统当前状态查看/etc/passwd中的内容并记录实施步骤参考配置操作用root用户登陆AIX系统执行passwd命令给空口令的帐户增加密码。如采用和执行如下命令 #passwd username password 回退方案 Root身份设置用户口令取消口令如做了口令策略则失败判断依据登陆系统判断查看/etc/passwd中的内容从而判断系统中是否存在空口令的帐户。如发现存在则建议为该帐户设置密码。实施风险高重要等级 ★ 备注口令 ELK-AIX-01-02-01 编号 ELK-AIX-01-02-01 名称缺省密码长度限制实施目的防止系统弱口令的存在减少安全隐患。对于采用静态口令认证技术的设备口令长度至少6位。且密码规则至少应采用字母大小写穿插加数字加标点符号包括通配符的方式。问题影响增加系统的帐户密码被暴力破解的成功率和潜在的风险系统当前状态运行lsuser username命令查看帐户属性和当前状态并记录。 cat /etc/security/user | grep “minlen ” 实施步骤参考配置操作 vi /etc/security/user minlen 8 回退方案根据在加固前所记录的帐户属性修改设置到系统加固前状态。判断依据运行lsuser uasename命令查看帐户属性中密码的最短长度策略是否符合8位。如不符合则进行设置。 cat /etc/security/user 实施风险低重要等级 ★★★ 备注 ELK-AIX-01-02-02 编号 ELK-AIX-01-02-02 名称缺省密码复杂度限制实施目的防止系统弱口令的存在减少安全隐患。对于采用静态口令认证技术的设备包括数字、小写字母、大写字母和特殊符号4类中至少2类问题影响增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险系统当前状态运行lsuser username命令查看帐户属性和当前状态并记录 cat /etc/security/user | grep “minalpha ” cat /etc/security/user | grep “minother ” 实施步骤参考配置操作 vi /etc/security/user minalpha 4 minother 1 回退方案根据在加固前所记录的帐户属性修改设置到系统加固前状态判断依据运行lsuser uasename命令查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字符。如不符合则进行设置。 cat /etc/security/user | grep “minalpha ” cat /etc/security/user | grep “minother ” 实施风险低重要等级 ★★★ 备注 ELK-AIX-01-02-03 编号 ELK-AIX-01-02-03 名称缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备帐户口令的生存期不长于90天减少口令安全隐患问题影响容易造成密码被非法利用并且难以管理系统当前状态运行lsuser username命令查看帐户属性和当前状态并记录 cat /etc/security/user | grep “maxage ” 实施步骤参考配置操作 vi /etc/security/user maxage 13 回退方案根据在加固前所记录的帐户属性修改设置到系统加固前状态判断依据运行lsuser uasename命令查看帐户属性中口令的最长有效期是否小于90天。如未设置或大于90天则进行设置。 cat /etc/security/user | grep “maxage ” 实施风险低重要等级 ★★★ 备注 ELK-AIX-01-02-04 编号 ELK-AIX-01-02-04 名称密码重复使用限制实施目的对于采用静态口令认证技术的设备应配置设备使用户不能重复使用最近5次含5次内已使用的口令问题影响造成系统帐户密码破解的几率增加以及存在潜在的安全风险系统当前状态运行lsuser username命令查看帐户属性和当前状态并记录 cat /etc/security/user | grep “histsize ” 实施步骤参考配置操作 vi /etc/security/user histsize 5 回退方案根据在加固前所记录的帐户属性修改设置到系统加固前状态。判断依据运行lsuser uasename命令查看帐户属性中是否设置了同一口令与前面5个口令不能重复的策略。如未设置或大于5个则进行设置。 cat /etc/security/user | grep “histsize ” 实施风险低重要等级 ★ 备注 ELK-AIX-01-02-05 编号 ELK-AIX-01-02-05 名称密码重试限制实施目的对于采用静态口令认证技术的设备应配置当用户连续认证失败次数超过6次不含6次锁定该用户使用的账号。问题影响增加系统帐户密码被暴力破解的风险系统当前状态运行lsuser username命令查看帐户属性和当前状态并记录 cat /etc/security/user | grep “loginretries ” 实施步骤参考配置操作 vi /etc/security/user loginretries 6 回退方案根据在加固前所记录的帐户属性修改设置到系统加固前状态判断依据运行lsuser uasename命令查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略。如未设置或大于6次则进行设置。 cat /etc/security/user | grep “loginretries ” 实施风险中重要等级 ★ 备注授权 ELK-AIX-01-03-01 编号 ELK-AIX-01-03-01 名称设置关键目录的权限实施目的在设备权限配置能力内根据用户的业务需要配置其所需的最小权限。问题影响增加系统关键目录容易被攻击者非法访问的风险系统当前状态查看/usr/bin、/sbin、/etc目录并记录关键目录的权限实施步骤 1、参考配置操作通过chmod命令对目录的权限进行实际设置。 2、补充操作说明文件或目录属主属组权限 /etc/passwd root security -rw-r--r-- /etc/group root security -rw-r--r-- /etc/filesystem root system -rw-rw-r-- /etc/hosts root system -rw-rw-r-- /etc/inittab root system -rw------- /etc/security/faildlogin root system -rw-r--r-- 回退方案通过chmod命令还原目录权限到加固前状态判断依据 AIX系统/usr/bin、/bin、/sbin目录为可执行文件目录/etc目录为系统配置目录包括帐户文件系统配置网络配置文件等这些目录和文件相对重要。确认这些配置文件的权限设置是否安全。实施风险高重要等级 ★★★ 备注 ELK-AIX-01-03-02 编号 ELK-AIX-01-03-02 名称修改umask值实施目的控制用户缺省访问权限当在创建新文件或目录时屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。问题影响增加攻击者非法访问目录的风险系统当前状态查看/etc/security/user文件的配置并记录实施步骤 1、参考配置操作设置umask为027 #vi /etc/security/user 在default小节设置umask为027 回退方案修改/etc/security/user文件到加固前状态判断依据查看/etc/security/user文件中的default小节是否设置umask为027 实施风险高重要等级 ★ 备注 ELK-AIX-01-03-03 编号 ELK-AIX-01-03-03 名称 FTP用户及服务安全实施目的设置系统中的帐户是否可以通过ftp登陆操作问题影响增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问目录的安全风险系统当前状态查看/etc/ftpusers文件并记录实施步骤参考配置操作根据系统管理员提供允许ftp登陆操作的系统帐户列表并与系统中当前的允许ftp登陆操作的用户相比对。设置是否允许系统帐户通过ftp方式登陆 #vi /etc/ftpusers 注默认情况下该文件不存在。将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中(每行一个用户名)。注在无特殊需求的情况下以下列表中的用户名是不允许ftp登陆操作的 root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help等回退方案修改/etc/ftpusers文件设置到系统加固前状态判断依据根据系统管理员提供的允许ftp登陆操作的系统帐户查看/etc/ftpusers文件与其相比对是否与系统管理员所提供的帐户列表相一致。如果发现与列表中不对应的帐户则建议设置成禁止通过ftp登陆操作。实施风险高重要等级 ★ 备注 ELK-AIX-01-03-04 编号 ELK-AIX-01-03-04 名称设置目录权限实施目的设置目录权限防止非法访问目录。问题影响增加攻击者非法访问系统目录的安全风险系统当前状态查看重要文件和目录权限ls –l并记录。实施步骤 1、参考配置操作查看重要文件和目录权限ls –l 更改权限对于重要目录建议执行如下类似操作例如 #chmod -R 750 /etc/init.d/* 这样只有root可以读、写和执行这个目录下的脚本回退方案使用chmod命令还原被修改权限的目录判断依据查看重要文件和目录权限ls –l 查看重要文件和目录下的文件权限设置是否为750以下实施风险高重要等级 ★ 备注 ELK-AIX-01-03-05 编号 ELK-AIX-01-03-05 名称设置ftp目录权限实施目的限制ftp用户登陆后在自己当前目录下活动防止非法访问目录。问题影响增加系统帐户被利用后越权使用的安全风险系统当前状态查看/etc/vsftpd/vsftpd.conf文件并记录当前的配置实施步骤参考配置操作限制ftp用户登陆后在自己当前目录下活动 #vi /etc/vsftpd/vsftpd.conf local_root锁定目录路径 chroot_list_enableYES chroot_list_file/etc/vsftpd.chroot_list #vi vsftpd.chroot_list username锁定用户名回退方案还原/etc/vsftpd/vsftpd.conf文件配置到加固前的状态判断依据查看/etc/vsftpd/vsftpd.conf文件中的配置查看是否已设置限制ftp用户登陆后在自己当前目录下活动。如未配置则应按要求设置。实施风险中重要等级 ★ 备注日志配置 ELK-AIX-02-01-01 编号 ELK-AIX-02-01-01 名称启用日志记录功能实施目的设备应配置日志功能对用户登录进行记录记录内容包括用户登录使用的账号登录是否成功登录时间以及远程登录时用户使用的IP地址。问题影响无法对用户的登陆进行日志记录增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件中的配置并记录实施步骤参考配置操作 syslog的配置主要通过/etc/syslog.conf配置日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(hostname)。 startsrc -s syslogd 启动syslog服务 stopsrc-s syslogd 停止syslog服务回退方案修改/etc/syslog.conf文件设置到系统加固前状态判断依据查看系统进程中是否存在syslogd守护进程。查看/etc/syslog.conf文件中的配置是否启动syslog服务。如系统中不存在syslogd守护进程或在配置文件中发现syslog服务未启动则应按要求进行配置。实施风险低重要等级 ★★★ 备注 ELK-AIX-02-01-02 编号 ELK-AIX-02-01-02 名称 syslog日志等级的安全配置实施目的 syslog提供日常维护日志外还提供系统登陆攻击尝试等安全性的日志信息帮助管理员进行审计和追踪。问题影响无法对用户的操作进行日志记录增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件配置并记录实施步骤参考配置操作 syslog配置文件要求修改文件安全设置 /etc/syslog.conf 配置文件中包含一下日志记录 *.err /var/adm/errorlog *.alert /var/adm/alertlog *.cri /var/adm/critlog auth,authpriv.info /var/adm/authlog 回退方案修改/etc/syslog.conf文件配置到系统加固前的状态判断依据查看/etc/syslog.conf文件中的配置是否符合以上安全设置。如不合符则建议应按要求进行设置。实施风险高重要等级 ★ 备注 ELK-AIX-02-01-03 编号 ELK-AIX-02-01-03 名称启用记录su日志功能实施目的记录系统中su操作的日志问题影响无法记录su指令的用户切换操作增加潜在的安全风险系统当前状态查看/etc/syslog.conf文件配置并记录实施步骤参考配置操作设置/etc/syslog.conf文件并启动su日志记录。注在AIX系统中su日志记录默认是开启的。查看/var/adm/sulog用户使用su命令的日志。可根据需要保留60天中有用的内容其余删除。文件记录以下信息日期、时间、系统名称以及登录名。 /var/adm/sulog文件也记录登录尝试是否成功加号表示登录成功-减号表示登录失败。回退方案修改/etc/syslog.conf文件设置到系统加固前状态判断依据查看/etc/syslog.conf文件中是否配置了su日志记录查看/var/adm/sulog文件是否存在su命令使用记录实施风险低重要等级 ★ 备注 ELK-AIX-02-01-04 编号 ELK-AIX-02-01-04 名称启用记录cron行为日志功能和cron/at的使用情况实施目的对所有的cron行为以及使用情况进行审计和查看问题影响无法记录和查看cron服务计划任务存在潜在安全风险系统当前状态查看/var/spool/cron/目录下的文件配置并记录实施步骤参考配置操作 cron/At的相关文件主要有以下几个 /var/spool/cron/crontabs 存放cron任务的目录 /var/spool/cron/cron.allow 允许使用crontab命令的用户 /var/spool/cron/cron.deny 不允许使用crontab命令的用户 /var/spool/cron/atjobs 存放at任务的目录 /var/spool/cron/at.allow 允许使用at的用户 /var/spool/cron/at.deny 不允许使用at的用户使用crontab和at命令可以分别对cron和at任务进行控制。 #crontab -l 查看当前的cron任务 #at -l 查看当前的at任务回退方案修改/var/spool/cron/目录下的文件设置到系统加固前状态判断依据查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。实施风险低重要等级 ★ 备注通信协议 IP协议安全 ELK-AIX-03-01-01 编号 ELK-AIX-03-01-01 名称使用ssh加密传输实施目的提高远程管理安全性问题影响使用非加密通信内容易被非法监听存在潜在安全风险系统当前状态运行ps -ef|grep ssh查看状态并记录。实施步骤参考配置操作如果系统中没有安装SSH则首先需要正确安装openssh后才能够应用SSH。安装步骤举例说明在将 OpenSSL 下载到 AIX Version 5.3 计算机的本地目录本示例中为 /tmp之后可以通过运行下面的命令来安装它 #geninstall -d/tmp R:openssl-0.9.6m 可以使用下面两种方法中的任何一种来安装 OpenSSH smitty-Software Installation and Maintenance-Install and Update Software-Install Software 或者 #geninstall -IY -d/dev/cd0 I:openssh.base 使用下面的命令启动 SSH 服务器 #startsrc -g ssh 使用下面的命令来确认已正确地启动了 SSH 服务器 #ps -ef|grep ssh 回退方案卸载SSH、或者停止SSH服务判断依据运行ps -ef|grep ssh查看系统进程中是否存在SSH进程如不存在则建议应按照要求安装和配置好SSH服务。实施风险高重要等级 ★ 备注 ELK-AIX-03-01-02 编号 ELK-AIX-03-01-02 名称限制管理员登陆IP 实施目的对于通过IP协议进行远程维护的设备设备应对允许登陆到该设备的IP地址范围进行设定。提高远程维护安全性。问题影响没有访问控制系统可能被非法登陆或使用从而存在潜在的安全风险。系统当前状态查看/etc/hosts.equiv文件配置并记录实施步骤参考配置操作建议采用如下安全配置操作修改文件安全设置操作说明 /etc/hosts.equiv 全局配置文件 ~/.rhosts 单独用户的配置文件限定信任的主机、账号不能有单行的或的配置信息编辑/etc/host.equiv文件或者~/.rhosts文件只增加必须的帐户和主机删除不必要的信任主机设置。更改/etc/hosts.equiv文件的属性只允许root可读写。回退方案修改/etc/hosts.equiv文件的配置到加固之前的状态判断依据查看/etc/hosts.equiv文件的配置是否按照以上要求进行了设置如未设置则建议应按照要求进行设置。实施风险高重要等级 ★ 备注 ELK-AIX-03-02-01 路由协议安全编号 ELK-AIX-03-02-01 名称禁止ICMP重定向和关闭数据包转发实施目的禁止系统发送ICMP重定向包关闭数据包转发提高系统、网络的安全性问题影响主机可能存在会被非法改变路由的安全风险系统当前状态 AIX系统网络参数可以通过no命令进行配置执行no –a显示所有网络参数并记录实施步骤参考配置操作建议采用如下设置进行安全配置 AIX系统网络参数可以通过no命令进行配置比较重要的网络参数有 icmpaddressmask0 忽略ICMP地址掩码请求 ipforwarding0 不进行IP包转发 ipignoreredirects1 忽略ICMP重定向包 ipsendredirects0 不发送ICMP重定向包 ipsrcrouteforward0 不转发源路由包 ipsrcrouterecv0 不接收源路由包 ipsrcroutesend0 不发送源路由包 no -a 显示当前配置的网络参数 no -o icmpaddressmask0 忽略ICMP地址掩码请求配置方式 no -o ipignoreredirects1 no -o ipsendredirects0 no –o ipsrcrouteforward0 no –o ipsrcroutesend0 no –o clean_partial_conns1 no –o directed_broadcast0 以及策略默认设置安全设置忽略ICMP重定向包 ipignoreredirects0 ipignoreredirects1 不发送ICMP重定向包 ipsendredirects1 ipsendredirects0 不转发源路由包 ipsrcrouteforward1 ipsrcrouteforward0 不发送源路由包 ipsrcroutesend1 ipsrcroutesend0 防御SYN-FLOOD clean_partial_conns0 clean_partial_conns1 防御SMURF攻击 directed_broadcast1 directed_broadcast0 在/etc/rc.net文件重添加以下命令 /usr/sbin/no -o icmpaddressmask0 /usr/sbin/no -o ipforwarding0 /usr/sbin/no -o ipignoreredirects1 /usr/sbin/no -o ipsendredirects0 /usr/sbin/no -o ipsrcrouteforward0 /usr/sbin/no -o ipsrcrouterecv0 /usr/sbin/no -o ipsrcroutesend0 回退方案删除在/etc/rc.net文件中添加的命令并使用命令恢复到加固之前的状态判断依据执行no –a命令或查看/etc/rc.net文件中是否按照以上命令进行了安全配置如未设置则建议应按照要求进行安全配置。实施风险高重要等级 ★ 备注补丁管理 ELK-AIX-04-01-01 编号 ELK-AIX-04-01-01 名称系统补丁安装实施目的应根据需要及时进行补丁装载。注意补丁更新要慎重可能出现硬件不兼容或者影响当前的应用系统安装补丁之前要经过测试和验证。问题影响系统存在严重的安全漏洞存在被攻击者利用的安全风险系统当前状态执行oslevel –r命令或instfix -i|grep ML命令查看补丁当前安装的状况和版本实施步骤参考配置操作使用instfix –aik命令来完成补丁的安装操作。注意 1、在AIX系统中涉及安全的补丁包有以下几种推荐维护包Recommended Maintenance Packages: 由一系列最新的文件集组成的软件包包含了特定的操作系统如AIX 5.2发布以来的所有文件集的补丁。关键补丁Critical fixes(cfix)自推荐维护包之后修补关键性漏洞的补丁。紧急补丁Emergency fixes(efix): 自推荐维护包之后修补紧急安全漏洞的补丁。 2、补丁安装原则在新装和重新安装系统后必须安装最新的推荐维护包以及该最新推荐维护包以来的所有单独的cfix和efix。日常维护中如果厂家推出新的RM、cfix、efix则按照原补丁维护管理规定进行补丁安装。回退方案根据在加固前执行的oslevel –r命令或instfix -i|grep ML命令查看补丁当前安装的状况和版本的记录删除或卸载相应的补丁恢复成加固前的状态。判断依据执行oslevel –r命令或instfix -i|grep ML命令查看补丁当前安装的状况和版本是否与IBM最新发布的官方补丁相一致。如不一致则应根据实际情况和业务需要进行补丁的安装操作。实施风险高重要等级 ★★ 备注服务进程和启动 ELK-AIX-05-01-01 编号 ELK-AIX-05-01-01 名称关闭无效服务和启动项实施目的关闭无效的服务和启动项提高系统性能增加系统安全性问题影响不用的服务和启动项可能会带来很多安全隐患容易被攻击者利用从而存在潜在的安全风险系统当前状态查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置查看/etc/inetd.conf文件并记录当前的配置实施步骤参考配置操作系统管理员提供与业务和应用系统相关的服务和启动项列表。一、rc.d AIX系统中的服务主要在/etc/inittab文件和/etc/rc.*包括rc.tcpiprc.nfs等文件中启动事实上/etc/rc.*系列文件主要也是由/etc/inittab启动。同时AIX中所有启动的服务至少与业务相关的都可以同过SRCSystem Resource Manager进行管理。可以有三种方式查看系统服务的启动情况 1、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件 2、使用lssrc和lsitab命令 3、通过smit查看和更改。注SRC本身通过/etc/inittab文件启动。 lssrc -a 列出所有SRC管理的服务的状态 lsitab -a 列出所有由/etc/inittab启动的信息和cat /etc/inittab基本相同除了没有注释。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比如果发现与业务应用无关的服务或不必要的服务和启动项则关闭掉或禁用也可以对服务做适当配置。二、inetd.conf 由INETD启动的服务在文件/etc/inetd.conf定义inetd本身在/etc/rc.tcpip中由SRC启动因此查看INETD启动的服务的情况有两种方法 1、使用vi查看/etc/inetd.conf中没有注释的行 2、使用lssrc命令。 lssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态 refresh -s inetd 更改/etc/inetd.conf文件后重启inetd。建议关闭由inetd启动的所有服务如果有管理上的需要可以打开telnetd、ftpd、rlogind、rshd等服务。启动或停止inetd启动的服务例如ftpd 1、使用vi编辑/etc/inetd.conf去掉注释启动或注释掉停止ftpd所在的行 2、重启inetdrefresh -s inetd。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比如果发现与业务应用无关的服务或不必要的服务和启动项则关闭掉或禁用也可以对服务做适当配置。回退方案还原/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置到加固前的状态还原/etc/inetd.conf文件的配置到加固前的状态判断依据根据系统管理员提供的业务应用相关的服务与启动项列表查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置是否按照要求进行了安全配置。查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。如发现以上两个文件中的配置不符合要求则建议应按照以上要求的操作对系统进行加固关闭无效服务和启动项。实施风险高重要等级 ★ 备注 ELK-AIX-05-01-02 编号 ELK-AIX-05-01-02 名称系统网络与服务安全配置标准实施目的关闭无效的服务和启动项提高系统性能增加系统安全性问题影响不用的服务和启动项可能会带来很多安全隐患容易被攻击者利用从而存在潜在的安全风险系统当前状态查看/etc/inittab文件并记录当前配置查看/etc/rc.*包括rc.tcpiprc.nfs等文件文件并记录当前配置查看/etc/inetd.conf文件并记录当前的配置。实施步骤参考配置操作系统管理员提供与业务和应用系统相关的服务和启动项列表。 AIX系统中涉及服务的配置和启动信息的主要在以下几个文件 /etc/inittab文件 /etc/rc.*包括rc.tcpiprc.nfs等文件。由INETD启动的服务在文件/etc/inetd.conf定义inetd本身在/etc/rc.tcpip中由SRC启动。本部分的安全基线主要通过修改这些文件中的内容进行配置。根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比如果发现与业务应用无关的服务或不必要的服务和启动项则关闭掉或禁用也可以对服务做适当配置。建议按照下表进行安全配置操作的文件要求禁用的服务设置方式操作说明 /etc/inittab piobe 注释掉该行(在该服务所在行加上冒号”:”) 查看由/etc/inittab文件启动的表项: lsitab -a 对/etc/inittab进行编辑,注释掉启动项更改完配置后停止该服务。参考stopsrc命令 qdaemon writesrv imqss imnss httpdlite rcnfs uprintfd dt /etc/rc.tcpip routed 注释掉该行(在该服务所在行加上冒号””) 查看由/etc/rc.tcpip文件启动的表项: lssrc –g tcpip 对/etc/irc.tcpip进行编辑,注释掉启动项更改完配置后停止该服务。参考stopsrc命令 Gated Dhcpcd Dhcpsd Dhcprd autoconf6 ndpd-host ndpd-router Lpd Timed Xntpd Rwhod dpid2 Aixmibd Hostmibd Mrouted Portmap 对于nfs、snmp、dns、sendmail服务应该先关闭需要的时候再开放并且对服务做适当配置。执行以下命令 lssrc –s 名称 startsrc –s名称 stopsrc –s名称 /etc/inetd.conf 原则上关闭由inetd启动的所有服务所有服务全部注释掉 lssrc -l -s inetd ——查看inetd的状态以及由INETD启动的服务的状态编辑/etc/inetd.conf文件,注释不需要的服务更改完配置后需要重启inetd进程。至少禁用以下服务 Shell、kshell、login、klogin、exec、comsat、uucp、bootps、finger、systat、netstat、tftp、talk、ntalk、rpc.rquotad、rpc.rexd、rpc.rusersd、、rpc.ttdbserver、rpc.sprayd、rpc.cmsd、rpc.rwalld、rpc.pcnfsd、rpc.rstatd、rpc.ssalld、echo、discard、chargen、daytime、time、comsat、websm、instsrv、imap2、pop3、kfcli、xmquery 注释掉该行 ftpd、rlogind、rshd等服务应根据日常管理需要选择是否禁用禁用的方法注释掉该行同上回退方案还原/etc/inittab文件配置到加固以前的状态还原/etc/rc.*包括rc.tcpiprc.nfs等文件文件配置到加固以前的状态还原/etc/inetd.conf文件配置到加固以前的状态。判断依据根据系统管理员提供的业务应用相关的服务与启动项列表查看/etc/inittab文件的配置是否按照要求进行了安全配置。查看/etc/rc.*包括rc.tcpiprc.nfs等文件文件的配置是否按照要求进行了安全配置。查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。如发现以上三个文件中的配置不符合要求则建议应按照以上要求的操作对系统进行加固配置系统网络与服务安全标准。实施风险高重要等级 ★ 备注设备其他安全要求登陆超时策略 ELK-AIX-06-01-01 编号 ELK-AIX-06-01-01 名称设置登录超时策略实施目的对于具备字符交互界面的设备应配置定时帐户自动登出。问题影响管理员忘记退出被非法利用增加潜在风险系统当前状态查看/etc/security/.profile文件的配置状态并记录。实施步骤参考配置操作设置登陆超时时间为300秒修改/etc/security/.profile文件增加一行 TMOUT300TIMEOUT300export readonly TMOUT TIMEOUT 回退方案修改/etc/security/.profile文件的配置到加固之前的状态判断依据查看/etc/security/.profile文件中的配置是否存在登陆超时时间的设置。如未设置则建议应按照要求进行配置。实施风险中重要等级 ★ 备注系统Banner设置 ELK-AIX-06-02-01 编号 ELK-AIX-06-02-01 名称系统Banner设置实施目的通过修改系统banner避免泄漏操作系统名称版本号主机名称等并且给出登陆告警信息问题影响存在潜在的安全风险攻击者容易获取系统的基本信息系统当前状态查看/etc/motd文件并记录当前的配置实施步骤参考配置操作设置系统Banner的操作如下修改 /etc/motd 文件回退方案还原/etc/motd文件的配置到加固前的状态判断依据查看/etc/motd文件中的配置是否按照以上要求进行了配置如未配置则建议应根据要求进行配置。实施风险低重要等级 ★★ 备注内核调整 ELK-AIX-06-03-01 编号 ELK-AIX-06-03-01 名称系统内核参数配置禁止core dump 实施目的禁止core dump 问题影响存在潜在的安全风险系统当前状态查看/etc/security/limits文件并记录当前的配置实施步骤参考配置操作禁止core dump的配置编辑 /etc/security/limits 改变core值 core 0 加入如下行 core_hard 0 执行下列命令 echo ulimit -c 0 /etc/profile chdev -l sys0 -a fullcorefalse 回退方案还原/etc/security/limits文件的配置到加固前的状态判断依据查看/etc/security/limits文件中的配置是否按照以上要求进行了配置如未配置则建议应根据要求进行配置。实施风险高重要等级 ★ 备注

查看全文

http://www.sadfv.cn/news/100420/