文档介绍：薀操作系统安全基线技术要求薈螃AIX系统安全基线膃系统管理蚂通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表1。蚆表1AIX系统管理基线技术要求蒇序号袄基线技术要求葿基线标准点(参数)登录(可选)莅肀使用动态口令令牌登录薂安装动态口令蕿螅袁配置本机访问控制列表(可选)荿配置/etc/,蚈/etc/,提高对系统访问控制薁用户账号与口令莀通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表2。螆表2AIX系统用户账户与口令基线技术要求蚄序号莂基线技术要求蒂基线标准点(参数)膈说明肃肂限制系统无用默认账号登录艿daemon(禁用)芇bin(禁用)螆sys(禁用)螂adm(禁用)芁uucp(禁用)虿nuucp(禁用)膆lpd(禁用)薃guest(禁用)肈pconsole(禁用)螇esaadmin(禁用)薅sshd(禁用)芃腿清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表,并妥善保存袆肄控制用户登录超时时间肃10分钟芁控制用户登录会话,设置超时时间芈蒄口令最小长度螄8位肈口令安全策略(口令为超级用户静态口令)莆袃口令中最少非字母数字字符薄1个聿口令安全策略(口令为超级用户静态口令)蝿薇信息系统的口令的最大周期羁90天膁口令安全策略(口令为超级用户静态口令)袇羆口令不重复的次数螁10次羈口令安全策略(口令为超级用户静态口令)羆日志与审计蒅通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表3。蒁表3AIX系统日志与审计基线技术要求羀序号莈基线技术要求袅基线标准点(参数)节说明肁蒆系统日志记录(可选)芄authlog、sulog、wtmp、failedlogin羂记录必需的日志信息,以便进行审计袈衿系统日志存储(可选)螃对接到统一日志服务器螂使用日志服务器接收与存储主机日志,网管平台统一管理袀羇日志保存要求(可选)莇6个月蒃等保三级要求日志必须保存6个月羁肅配置日志系统文件保护属性(可选)(可选)芆400羄修改日志文件authlog、wtmp、sulog、failedlogin的权限管理员账号只读袀服务优化薆通过优化操作系统资源,提高系统服务安全性,详见表4。蚅表4AIX系统服务优化基线技术要求蚄序号袁基线技术要求衿基线标准点(参数)膄说明蒄虿discard服务肇禁止薄网络测试服务,丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用袁螀daytime服务膅禁止羃网络测试服务,显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用蚁螁chargen服务蒈禁止蚆网络测试服务,回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,sat通知接收的电子邮件,以root用户身份运行,因此涉及安全性,除非需要接收邮件,否则禁用膂蚀ntalk服务罿禁止薅ntalk允许用户相互交谈,以root用户身份运行,除非绝对需要,否则禁用袂蚁talk服务肇禁止羅在网上两个用户间建立分区屏幕,不是必需服务,与talk命令一起使用,在端口517提供UDP服务蚃葿tftp服务葿禁止莄以root用户身份运行并且可能危及安全莃薀ftp服务(可选)服务蚆禁止蒇远程访问服务袄葿uucp服务肈禁止羆除非有使用UUCP的应用程序,否则禁用薄蒀dtspc服务(可选)***禁止莅CDE子过程控制不用图形管理则禁用肀薂klogin服务(可选)蕿禁止螅Kerberos登录,如果站点使用Kerberos认证则启用袁荿kshell服务(可选)蚈禁止膄Kerberosshell,如果站点使用Kerberos认证则启用薁访问控制莀通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表5。螆表5AIX系统访问控制基线技术要求蚄序号莂基线技术要求蒂基线标准点(参数)膈说明肃肂修改Umask权限艿022或027芇要求修改默认文件权限螆螂关键文件权限控制芁passwd、group、security的所有者必须是root和security组成员虿设置/etc/passwd,/etc/group,膆/etc/security等关键文件和目录的权限薃螇audit的所有者必须是root和audit组成员薅/etc/security/audit的所有者必须是root和audit组成员芃袆/etc/passwdrw-r--r--肄/etc/passwd目录权限为644所有用户可读,root用户可写肃芈/etc/grouprw-r--r--蒄/etc/grouproot目录权限为644螄所有用户可读,root用户可写肈莆统一时间袃接入统一NTP服务器薄保