文档介绍：袃操作系统安全基线技术要求蒁膀AIX系统安全基线膅系统管理薅通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表1。膀表1AIX系统管理基线技术要求芀序号薆基线技术要求肃基线标准点(参数)登录(可选)蒀莈使用动态口令令牌登录膂安装动态口令螀薀螈配置本机访问控制列表(可选)袄配置/etc/,袃/etc/,提高对系统访问控制袅用户账号与口令蚆通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表2。薂表2AIX系统用户账户与口令基线技术要求蚀序号芆基线技术要求肄基线标准点(参数)莁说明蝿蚇限制系统无用默认账号登录螆daemon(禁用)膀bin(禁用)衿sys(禁用)膈adm(禁用)芄uucp(禁用)膃nuucp(禁用)罿lpd(禁用)芅guest(禁用)羆pconsole(禁用)羂esaadmin(禁用)聿sshd(禁用)蚆蒃清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表,并妥善保存蚁腿控制用户登录超时时间肆10分钟膅控制用户登录会话,设置超时时间螃腿口令最小长度蒇8位薃口令安全策略(口令为超级用户静态口令)蚀蒆口令中最少非字母数字字符肆1个蒃口令安全策略(口令为超级用户静态口令)葿薆信息系统的口令的最大周期膃90天羁口令安全策略(口令为超级用户静态口令)芈蚆口令不重复的次数薄10次蚃口令安全策略(口令为超级用户静态口令)芁日志与审计螆通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表3。羅表3AIX系统日志与审计基线技术要求膁序号肀基线技术要求袆基线标准点(参数)莆说明袂螈系统日志记录(可选)羆authlog、sulog、wtmp、failedlogin螆记录必需的日志信息,以便进行审计芀袁系统日志存储(可选)羆对接到统一日志服务器羃使用日志服务器接收与存储主机日志,网管平台统一管理肂蚀日志保存要求(可选)肆6个月莄等保三级要求日志必须保存6个月螄荿配置日志系统文件保护属性(可选)(可选)芅400膆修改日志文件authlog、wtmp、sulog、failedlogin的权限管理员账号只读袄服务优化膁通过优化操作系统资源,提高系统服务安全性,详见表4。莅表4AIX系统服务优化基线技术要求芃序号莂基线技术要求羀基线标准点(参数)蒅说明蚄肄discard服务蝿禁止蝿网络测试服务,丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用肅薁daytime服务螂禁止衿网络测试服务,显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用蒅芃chargen服务薀禁止罿网络测试服务,回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,sat通知接收的电子邮件,以root用户身份运行,因此涉及安全性,除非需要接收邮件,否则禁用肃蒃ntalk服务肈禁止膈ntalk允许用户相互交谈,以root用户身份运行,除非绝对需要,否则禁用蒄袁talk服务肁禁止膈在网上两个用户间建立分区屏幕,不是必需服务,与talk命令一起使用,在端口517提供UDP服务袅薃tftp服务袀禁止芈以root用户身份运行并且可能危及安全芆肁ftp服务(可选)服务莈禁止蒈远程访问服务螄芀uucp服务蒁禁止薈除非有使用UUCP的应用程序,否则禁用膄羂dtspc服务(可选)艿禁止蚈CDE子过程控制不用图形管理则禁用薅莀klogin服务(可选)羈禁止螈Kerberos登录,如果站点使用Kerberos认证则启用羆肂kshell服务(可选)肁禁止螇Kerberosshell,如果站点使用Kerberos认证则启用肃访问控制袄通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表5。螀表5AIX系统访问控制基线技术要求袇序号薄基线技术要求节基线标准点(参数)蕿说明羇羅修改Umask权限羄022或027莈要求修改默认文件权限肇莆关键文件权限控制蒂passwd、group、security的所有者必须是root和security组成员莁设置/etc/passwd,/etc/group,***/etc/security等关键文件和目录的权限螇莄audit的所有者必须是root和audit组成员蒁/etc/security/audit的所有者必须是root和audit组成员***膂/etc/passwdrw-r--r--薁/etc/passwd目录权限为644所有用户可读,root用户可写薈膅/etc/grouprw-r--r--蚁/etc/grouproot目录权限为644罿所有用户可读,root用户可写肅羄统一时间螁接入统一NTP服务器莀保