文档介绍:AIX 系统安全配置基线
中国移动通信有限公司管理信息系统部
2009年 3月
版本
版本控制信息
更新日期
更新人
审批人
创建
2009年1月
备注:
若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章 概述 1
目的 1
适用范围 1
适用版本 1
实施 1
例外条款 1
第2章 账号管理认证授权 2
账号 2
2
2
3
3
4
口令 4
4
4
5
5
6
第3章 网络与服务 7
服务 7
7
网络 7
ICMP重定向安全要求 7
第4章 日志审计 8
日志 8
8
审计 8
8
第5章 设备其他安全配置要求 10
设备 10
10
缓冲区 10
10
第6章 评审与修订 12
概述
目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的AIX 操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行AIX 操作系统的安全合规性检查和配置。
适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的AIX 服务器系统。
适用版本
AIX系列服务器;
实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
账号管理认证授权
账号
安全基线项目名称
操作系统AIX用户账户安全基线要求项
安全基线编号
SBL-AIX-02-01-01
安全基线项说明
用户帐号设置。
检测操作步骤
1、执行:lsuser –a home ALL
2、执行:ls –l /etc/passwd
基线符合性判定依据
需要锁定的用户:deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd
备注
安全基线项目名称
操作系统AIX用户组安全基线要求项
安全基线编号
SBL-AIX-02-01-02
安全基线项说明
用户组设置。
检测操作步骤
1、执行:more /etc/group
2、执行:ls -l /etc/group
基线符合性判定依据
不要存在无用的用户组:uucp printq
备注
安全基线项目名称
操作系统AIX用户口令安全基线要求项
安全基线编号
SBL-AIX-02-01-03
安全基线项说明
用户口令设置。对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类
检测操作步骤
1、执行:more /etc/security/user ,检查maxage/minlen/minage/pwdwarntime参数
2、执行:pwdck –n ALL, 检查是否存在空口令账号
基线符合性判定依据
不能存在简单密码;
创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。
备注
安全基线项目名称
操作系统AIX远程登录安全基线要求项
安全基线编号
SBL-AIX-02-01-04
安全基线项说明
Root用户远程登录限制。
检测操作步骤
1、执行:more /etc/security/user ,检查在root项目中是否有下列行:
rlogin=false
login=true
su=true sugroup=system
基线符合性判定