文档介绍:羀操作系统安全基线技术要求葿薃AIX系统安全基线莄系统管理蚁通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表1。芆表1AIX系统管理基线技术要求羆序号螃基线技术要求蒁基线标准点(参数)登录(可选)莆蚂使用动态口令令牌登录蚈安装动态口令膆薅肁配置本机访问控制列表(可选)莈配置/etc/,芈/etc/,提高对系统访问控制蒁用户账号与口令腿通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表2。艿表2AIX系统用户账户与口令基线技术要求羅序号袀基线技术要求衿基线标准点(参数)肆说明肄薄限制系统无用默认账号登录虿daemon(禁用)膈bin(禁用)蒆sys(禁用)肃adm(禁用)莀uucp(禁用)羅nuucp(禁用)薅lpd(禁用)蒂guest(禁用)膀pconsole(禁用)羆esaadmin(禁用)蚃sshd(禁用)袂袁清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表,并妥善保存肈肅控制用户登录超时时间芁10分钟蚁控制用户登录会话,设置超时时间袅膄口令最小长度螀8位莁口令安全策略(口令为超级用户静态口令)羇薆口令中最少非字母数字字符蒄1个袈口令安全策略(口令为超级用户静态口令)羈蚄信息系统的口令的最大周期袃90天薈口令安全策略(口令为超级用户静态口令)螅螃口令不重复的次数节10次莈口令安全策略(口令为超级用户静态口令)袇日志与审计膅通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表3。蚂表3AIX系统日志与审计基线技术要求聿序号袈基线技术要求芃基线标准点(参数)膁说明蝿蚅系统日志记录(可选)蚆authlog、sulog、wtmp、failedlogin薁记录必需的日志信息,以便进行审计薀螇系统日志存储(可选)螄对接到统一日志服务器芄使用日志服务器接收与存储主机日志,网管平台统一管理芀螈日志保存要求(可选)袃6个月蚃等保三级要求日志必须保存6个月肀薆配置日志系统文件保护属性(可选)(可选)莃400薂修改日志文件authlog、wtmp、sulog、failedlogin的权限管理员账号只读薁服务优化螈通过优化操作系统资源,提高系统服务安全性,详见表4。螆表4AIX系统服务优化基线技术要求羁序号芁基线技术要求薆基线标准点(参数)袄说明莁螈discard服务薇禁止羂网络测试服务,丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用袀蒈daytime服务蚈禁止莅网络测试服务,显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用蒄艿chargen服务蒆禁止蒃网络测试服务,回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,sat通知接收的电子邮件,以root用户身份运行,因此涉及安全性,除非需要接收邮件,否则禁用莂蝿ntalk服务蕿禁止羄ntalk允许用户相互交谈,以root用户身份运行,除非绝对需要,否则禁用螂蒀talk服务莆禁止莆在网上两个用户间建立分区屏幕,不是必需服务,与talk命令一起使用,在端口517提供UDP服务芁芀tftp服务莇禁止蒅以root用户身份运行并且可能危及安全蚀羀ftp服务(可选)服务芆禁止羆远程访问服务螃蒁uucp服务莇禁止肄除非有使用UUCP的应用程序,否则禁用膃羈dtspc服务(可选)荿禁止莆CDE子过程控制不用图形管理则禁用蚂蚈klogin服务(可选)膆禁止薅Kerberos登录,如果站点使用Kerberos认证则启用肁莈kshell服务(可选)芈禁止蚃Kerberosshell,如果站点使用Kerberos认证则启用蒁访问控制腿通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表5。艿表5AIX系统访问控制基线技术要求羅序号袀基线技术要求衿基线标准点(参数)肆说明肄薄修改Umask权限虿022或027膈要求修改默认文件权限蒆肃关键文件权限控制莀passwd、group、security的所有者必须是root和security组成员羅设置/etc/passwd,/etc/group,薅/etc/security等关键文件和目录的权限蒂羆audit的所有者必须是root和audit组成员蚃/etc/security/audit的所有者必须是root和audit组成员袂肈/etc/passwdrw-r--r--肅/etc/passwd目录权限为644所有用户可读,root用户可写芁袅/etc/grouprw-r--r--膄/etc/grouproot目录权限为644螀所有用户可读,root用户可写莁羇统一时间薆接入统一NTP服务器蒄保