(精品)aix安全加固

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,12-1-12,#,AIX,系统安全培训,目录,系统知识简介,系统用户管理,网络安全,系统安全管理,系统知识简介,AIX,的版本号,AIX,的版本号的格式通常为,AIX x.x.x.x.,例如,: AIX 4.3.3.1.,其代表意义分别为,:,操作系统,版本号,(version).,发行版号,(release).,改进版号,(modification).,修正版号,(fix),系统知识简介,AIX,系统性能检查,检查文件系统,df,检查用户登录状态,last,系统性能检查,v,mstat,iostat,ps,查看系统中是否安装了某个补丁程序,oslevel r,Instfix, lslpp l, smit update_all,系统用户管理,用户账号安全设置,每个系统管理员应该设置单独的账号，不允许多个管理员共用一个账号；,root,用户不允许直接登录，必须通过其他用户登录后，通过,su,命令获得,root,用户权限,；,禁用或者删除不使用的系统账号；,设置必要的密码规则。,系统用户管理,如何删除用户账号,使用,rmuser,命令删除用户,rmuser -p,user_name,rmdir,编辑,/etc/passwd,文,件,在需要删除的用户名前加上“,#,”注释,符,用户,的默认,shell,设置为,/bin/false,系统用户管理,禁止,root,用户直接登录,禁止,root,用户直接登录系统，必须使用普通用户登录后，使用,su,命令切换到,root,用户权限,.,设置方法是编辑,/etc/security/user,配置文件中的,login,、,rlogin,和,su,属性。在该文件的头部，详细描述了每一个参数的含义。,系统用户管理,用户登录审计,/var/adm/wtmp,/var/adm/sulog,.sh_history,文件和,EXTENDED_HISTORY,环境变量,$HOME/smit.log,系统用户管理,密码规则设置,AIX,支持对密码的复杂度、重复次数、生命期等进行限制，以提高密码被破解或者盗取的难度。,AIX,最多支持,8,位密码，多于,8,位之后的内容将被自动忽略。,(,从,AIX 6.1,和,AIX 5.3 TL7,开始可以支持,256,位,),在,/etc/security/user,文件存在设置密码规则的参数。,系统用户管理,文,件和目录的默认访问权限,umask,参数,当用户创建一个文件或者创建一个目录时，,AIX,会自动给该文件或者目录赋予默认的访问权限，为了提高系统安全，建议设置文件的默认访问权限为,600,，目录的默认访问权限为,700,，即只允许属主用户读、写和执行，对于其他用户默认禁止所有权限。,系统用户管理,账号的锁定,当设置了用户密码规则,loginretries,，,当用户的连续错误登录次数累计到该值后，该用户就会被自动锁定，必须由,root,用户来解锁,。,用户的错误登录信息保存在文件,/etc/security/lastlog,文,件中,解锁用户,:,使用,root,用户直接修改,/etc/security/lastlog,文件，将,unsuccessful_login_count,修改为,0,即可。,root:,time_last_login = 1307599235,tty_last_login = ftp,host_last_login = :ffff:9.125.1.251,unsuccessful_login_count = 0,time_last_unsuccessful_login = 1307599199,tty_last_unsuccessful_login = ftp,host_last_unsuccessful_login = :ffff:9.125.1.251,系统用户管理,查看密码上次修改时间,在系统文件,/etc/security/passwd,中记录有每个用户登陆密码的加密形式，以及上次修改密码,的时间,root:,password = hVvR/QGnSNKlE,flags =,lastupdate = 1200982154,此处，,lastupdate,为上次密码修改时间，以,epoch time,表示。,Epoch time,是从,Epoch,（新纪元时间，传说中的标志,Unix,时代开端的那个拂晓,),开始计算起，单位为秒，,Epoch,则是指定为,1970,年一月一日凌晨零点零分零秒，格林威治时间。,系统用户管理,chpasswd和pwdadmin命令,使用,passwd,命令来修改用户密码，进入的是交互模式。对于希望使用脚本来批量修改或定时修改密码的操作，使用,chpasswd,命令会更加快捷，因为这个命令不要交互操作，也不需要重复输入两次相同密码,pwdadmin,命令用来查看和设置某个用户的密码属性。,系统,用户,管,理,用户终端登录超时自动退出,通过设置操作系统的,TMOUT,环境变量可以使终端在连续若干秒钟不活动之后，自动退出。从而避免由于终端无人照管被非法操作,。,/etc/profile,/etc/environment,$HOME/.profile,特别需要注意的是，,/etc/environment,文件只能接受赋值语句，格式为“变量,=,值”，不能包含其他任何格式的语句。由于,/etc/environment,是全局变量，对所有用户都生效，当这个文件中有非法语句时，将导致所有用户都无法登陆系统。此时只能使用安装光盘引导进入维护模式，修复,/etc/environment,文件,。,系统,安全,管理,停止,NFS,服务,网络文件系统简称,NFS,（,Network File System,），它是,UNIX,操作系统的一个标准,TCPIP,服务，用于在网络上多个主机间共享一个目录。,NFS,服务是,AIX,默认自动安装的，并且随操作系统自动启动。,lssrc -g nfs,查看,NFS,的服务状态,stopsrc g nfs,停止所有,NFS,后台服务,在,/etc/inittab,文件中注释掉,rcnfs,行,系统,安全,管理,设置用户,limits,参数,为了保证系统资,源不会被某个用户恶意耗尽，而导致其他用户的正常作用无法进行，,AIX,在,/etc/security/limits,文件中设置了对每个用户的资源限制。,lssrc -g nfs,查看,NFS,的服务状态,stopsrc g nfs,停止所有,NFS,后台服务,在,/etc/inittab,文件中注释掉,rcnfs,行,系统,安全,管理,wtmp,文件的使用,/var/adm/wtmp,文件记录了操作系统的登录信息，包括用户名、登录终端号、登录时间、登录的源,IP,地址。,wtmp,文件并没有大小的上限，因此它会随着系统的使用而逐渐增长，直到把,/var,目录空间耗尽为止。这就需要管理员定期去备份和清理,wtmp,文,件。,# cp /dev/null /var/adm/wtmp,# mv /var/adm/wtmp /var/adm/wtmp.old,#,/usr/sbin/acct/nulladm /var/adm/wtmp,系统网络,安全,管理,安装使用,SSH,在,AIX,的缺省安装情况下，只安装了,telnet,服务，用于对系统的远程管理。如果需要使用更加安全的,SSH,服务，则需要另外安装,openssl,和,openssh,软件包,。,系统网络,安全,管理,禁止,Telnet,Ftp,Rlogin,等网络服务,默认情况下,AIX,提供了,telnet,、,ftp,、,rlogin,、,rsh,等网络服务，它们都是,inetd,服务的子服务。可以使用命令,lssrc ls inetd,命令来查看这些子服务是否启动,。,需要编辑,inetd,的配置文件,/etc/inetd.conf,，将文件中该服务的所在行删除或者用“,#,”号注释掉。然后使用命令,refresh s inetd,刷新进程，使刚刚修改的配置文件生效。,系统网络,安全,管理,限制某些用户使用,Ftp,服务登录,AIX,可以设置禁止某些用户通过,FTP,登录，这需要创建一个配置文件,/etc/ftpusers,，将禁止,FTP,登录的用户名写入此文件中,系统网络,安全,管理,设置,Ftp,服务目录的访问权限,当我们想要将一个,目录设置为,ftp,只读或,ftp,只写时，我们可以借助,/etc/ftpaccess.ctl,文件来实现这种权限控制。,AIX,默认是没有,/etc/ftpaccess.ctl,的，需要管理员自己创建,。,readonly:/test,writeonly:/test,系统网络,安全,管理,将用户,Ftp,服务目录设置在,$HOME,下,在,/,etc/ftpaccess.ctl,文,件,中添加需要限制的用户名,useronly:ftpuser1,ftpuser2,