分类:
2009-05-23 22:03:46
户密码策略设置 | 使用用户口令策略,口令至少有6位长,至少包含4位字符和1位数字 | ~备份配置文件/etc/security/user # cp /etc/security/user /backup/user.backup ~修改/etc/security/user,添加以下内容,用户下一次修改密码时策略生效 loginretries = 3 # The number of invalid login attempts before a user is not allowed to login. histexpire = 14 # Number of weeks that a user is not able to reuse a password histsize = 10 # The number of passwords in the past that cannot be used minlen = 6 # Minimum length allowed for password in characters minalpha = 4 # Minimum mumber of alphabetic characters the new password must contain minother = 1 # Minimum number of non-alphabetic characters the mew password must contain mindiff = 4 # Minimum number of chars in the new passwd must be dirrerent from the old passwd maxrepeats = 2 # Maximum number of times a character can appear in the new password umask = 027 # Only the owner can modify the file he created and only the group users can read it |
禁用不需要的帐户和组 | 禁用不必要的用户帐户和系统帐户,比如 uucp、nuucp、guest、daemon、bin、sys、adm、lp、invscout、imnadm、nobody | # chuser account_locked=true $USER |
禁用特定帐户的直接登录 | 禁止某些用户的直接登录(包括telnet,rlogin等),例如root、sap相关用户,只能通过su进行切换 | # chuser rlogin=false $USER 注:login参数只用于local console登录,rlogin参数限制远程登录 |
root 账户配置 | 修改默认的root的home directory,目的是让root有一个私有的home directory,以防止有恶意的程序被放在root的home 目录里。需要将一些特定文件放入root的home 目录里 | ~创建 /root ~更改 /root的权限为 700, owner为root:system ~移动 .TTauthority, .Xauthority, .dt, .dtprofile, .profile, .rhosts, .sh_history, .bash_history到 /root 中 ~修改/etc/passwd,将root的home目录从 / 改成 /root |
设置终端超时 | 设置终端超时,使系统自动退出不活动的Shell,超时设成10分钟 | ~对于 Bourne, Korn, 和 POSIX shell,修改 /etc/profile文件,添加: export TMOUT=600 ~对于C shell, 修改 /etc/csh.login文件,添加: set autologout=600 |
cron/at服务限制 | 对cron/at服务进行限制,只对需要的用户开放权限 | ~修改 /var/adm/cron/cron.allow,添加相应允许使用cron的用户 ~修改 /var/adm/cron/at.allow,添加相应允许使用at的用户 |
部署SSH、SFTP | 部署SSH,SFTP以取代传统的telnet和ftp,提高安全性 | (具体安装方法见《AIX 5.2 Installation Guide》) |
部署RSA | 使用令牌卡验证取代传统的固定密码验证,以提高安全性 | (具体安装方法见《AIX 5.2 Installation Guide》) |
/etc/rc.tcpip | 停止不必要的服务 | ~备份配置文件/etc/rc.tcpip # cp /etc/rc.tcpip /backup/rc.tcpip.backup ~编辑配置文件/etc/rc.tcpip,以“#”符号注释掉不需要的服务,使其处于不激活的状态 ~服务器重启后生效 ~可以使用以下命令停止部分service # stopsrc –s $SERVICE 服务列表: dhcpcd 动态主机配置协议(客户机) dhcprd 动态主机配置协议(中继) dhcpsd 动态主机配置协议(服务器) autoconf6 IPv6 界面 dpid2 过时的 SNMP 服务 gated 接口间选择的路由 mrouted 多播路由 named DNS 名称服务器 ndp-host IPv6 主机 ndp-router IPv6 路由 routed 接口间的 RIP 路由 rwhod 远程“who”守护程序 timed 旧时间守护程序 xntpd 新建的时间守护程序 sendmail 邮件服务 |
/etc/rc.tcpip | 保留必须的服务 | 必须保留的服务: inetd inetd 服务 portmap RPC 服务 syslogd 事件的系统日志 |
/etc/rc.tcpip | 根据实际情况选择服务 | 以下服务如果不使用HACMP,则关闭: snmpd 简单网络管理协议 muxatmd hostmibd snmpmibd aixmibd |
/etc/inittab | 停止不必要的服务 | ~备份配置文件/etc/inittab # cp /etc/inittab /backup/inittab.backup ~编辑配置文件/etc/inittab,以“:”符号注释掉不需要的服务,使其处于不激活的状态 ~服务器重启后生效 ~可以使用以下命令停止部分service # stopsrc –s $SERVICE 服务列表: dt 桌面登录到 CDE 环境 dt_nogb 桌面登录到 CDE 环境(无图形引导) httpdlite 用于 docsearch 命令的 Web 服务器 i4ls 许可证管理员服务器 imnss 用于“docsearch”的搜索引擎 imqss 用于"docsearch"的搜索引擎 lpd BSD 行式打印机界面 piobe 打印机 I/O 后端(用于打印) qdaemon 队列守护程序(用于打印) uprintfd 内核消息 writesrv 写注释到 ttys xdm 传统的 X11 显示管理 |
/etc/inittab | 根据实际情况选择服务 | 以下服务如果不使用HACMP,则关闭: ctrmc 群集信息收集组件 |
/etc/rc.nfs | 停止不必要的服务 | ~备份配置文件/etc/rc.nfs # cp /etc/rc.nfs /backup/rc.nfs.backup ~编辑配置文件/etc/rc.nfs,以“#”符号注释掉不需要的服务,使其处于不激活的状态 ~服务器重启后生效 ~可以使用以下命令停止部分service # stopsrc –s $SERVICE 服务列表: keyserv 安全 RPC 密钥服务器 rpc.yppasswdd NIS 密码守护程序(用于 NIS 主控机) ypupdated NIS 更新守护程序(用于从属 NIS) |
/etc/rc.nfs | 根据实际情况选择服务 | 以下服务如果不使用NFS,则关闭: automountd 自动文件系统 biod 块 IO 守护程序(NFS 服务器所必需的) nfsd NFS 服务(NFS 服务器所需要) rpc.lockd NFS 文件键锁 rpc.mountd NFS 文件安装(NFS 服务器所需要) rpc.statd NFS 文件键锁(来恢复它们) |
/etc/inetd.conf | 停止不必要的服务 | ~备份配置文件/etc/inetd.conf。 # cp /etc/inetd.conf /backup/inetd.conf.backup ~编辑配置文件/etc/inetd.conf,以“#”符号注释掉不需要的服务,使其处于不激活的状态。 ~在修改完配置文件/etc/inetd.conf后,重新启动inetd # refresh –s inetd 服务列表: tftp 小型文件传输协议 bootps 用于无盘客户机的 bootp 服务 finger 对用户取数的远程用户信息服务命令(程序) exec 远程执行服务 uucp unix to unix copy协议 ntalk 通话协议 允许用户相互交谈 kshell kerberos远程命令协议 klogin kerberos远程登录协议 chargen 字符生成器(只测试) comsat 通知有电子邮件进入 daytime 过时时间服务(只测试) discard /dev/null service(只测试) echo 回传服务(只测试) imap2 因特网邮件访问协议 netstat 报告当前网络状态 pcnfsd PC 机 NFS 文件服务 pop3 邮局协议 rexd 远程执行 quotad 文件限额的报告(对于 NFS 客户机) rstatd 内核统计信息服务器 rusersd 用户的登录信息 rwalld 写给所有用户 sprayd RPC 喷射测试 systat “ps -ef”状态报告 talk 在网上建立两个用户间的分区屏幕 time 废弃的时间服务 dtspc CDE 子过程控制 cmsd 日历服务(CDE 使用) ttdbserver 工具-交谈数据库服务器(用于 CDE) wsmserver Web-based System Manager server telnet telnet 服务 |
/etc/inetd.conf | 保留必须的服务 | 以下服务需要编辑相应配置文件以达到一定限制: ftp 文件传输服务 login 远程登录协议 shell 远程命令协议 |
/etc/inetd.conf | 根据实际情况选择服务 | 以下服务如果不使用samba,则关闭: netbios-ssn Samba netbios-ns Samba swat Samba |
/etc/rc.net | 调整网络参数 | ~创建一个脚本放到/etc/inittab中,no程序类似于solaris系统的ndd程序,可调整网络参数。 #cat >>/etc/rc.local.net /usr/sbin/no –o ipsendredirects=0 /usr/sbin/no –o nonlocsrcroute=0 /usr/sbin/no –o bcastping=0 /usr/sbin/no –o tcp_mssdflt=1370 /usr/sbin/no –o icmpaddressmask=0 /usr/sbin/no –o udp_pmtu_discover=0 /usr/sbin/no –o tcp_pmtu_discover=0 /usr/sbin/no –o directed_broadcast=0 /usr/sbin/no –o ipignoreredirects=0 /usr/sbin/no –o ipsrcroutesend=0 /usr/sbin/no –o ipsrcrouterecv=0 /usr/sbin/no –o ipsrcrouteforward=0 /usr/sbin/no –o ip6srcrouteforward=0 /usr/sbin/no –o ipforwarding=0 EOF #chmod 700 /etc/rc.local.net #mkitab "rclocalnet:2:once:/etc/rc.local.net >/dev/console 2>&1" |