Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3587423
  • 博文数量: 1575
  • 博客积分: 19423
  • 博客等级: 上将
  • 技术积分: 16102
  • 用 户 组: 普通用户
  • 注册时间: 2007-06-19 21:36
个人简介

专注专心

文章分类

全部博文(1575)

文章存档

2020年(10)

2018年(7)

2016年(6)

2015年(21)

2014年(32)

2013年(279)

2012年(516)

2011年(309)

2010年(260)

2009年(92)

2008年(15)

2007年(28)

我的朋友

分类:

2014-05-10 18:37:00

原文地址:AIX安全加固 作者:zhujiawen

户密码策略设置 使用用户口令策略,口令至少有6位长,至少包含4位字符和1位数字 ~备份配置文件/etc/security/user
# cp /etc/security/user /backup/user.backup
修改/etc/security/user
,添加以下内容,用户下一次修改密码时策略生效
loginretries = 3 # The number of invalid login attempts before a user is not allowed to login.

histexpire = 14  # Number of weeks that a user is not able to reuse a password
histsize = 10  # The number of passwords in the past that cannot be used
minlen = 6  # Minimum length allowed for password in characters
minalpha = 4  # Minimum mumber of alphabetic characters the new password must contain
minother = 1  # Minimum number of non-alphabetic characters the mew password must contain
mindiff = 4  # Minimum number of chars in the new passwd must be dirrerent from the old passwd
maxrepeats = 2  # Maximum number of times a character can appear in the new password
umask = 027  # Only the owner can modify the file he created and only the group users can read it
禁用不需要的帐户和组 禁用不必要的用户帐户和系统帐户,比如 uucpnuucpguestdaemonbinsysadmlpinvscoutimnadmnobody # chuser account_locked=true $USER
禁用特定帐户的直接登录 禁止某些用户的直接登录(包括telnetrlogin等),例如rootsap相关用户,只能通过su进行切换 # chuser rlogin=false $USER
注:login参数只用于local console登录,rlogin参数限制远程登录
root 账户配置 修改默认的roothome directory,目的是让root有一个私有的home directory,以防止有恶意的程序被放在roothome 目录里。需要将一些特定文件放入roothome 目录里 创建 /root
更改 /root的权限为 700, owner
root:system
移动 .TTauthority, .Xauthority, .dt, .dtprofile, .profile, .rhosts, .sh_history,  .bash_history /root

修改/etc/passwd,将roothome目录从 / 改成 /root
设置终端超时 设置终端超时,使系统自动退出不活动的Shell,超时设成10分钟 ~对于 Bourne, Korn, POSIX shell,修改 /etc/profile文件,添加:
export TMOUT=600
对于C shell, 修改 /etc/csh.login
文件,添加:
set autologout=600
cron/at服务限制 cron/at服务进行限制,只对需要的用户开放权限 修改 /var/adm/cron/cron.allow,添加相应允许使用cron的用户
修改 /var/adm/cron/at.allow,添加相应允许使用at的用户
部署SSHSFTP 部署SSHSFTP以取代传统的telnetftp,提高安全性 (具体安装方法见《AIX 5.2 Installation Guide》)
部署RSA 使用令牌卡验证取代传统的固定密码验证,以提高安全性 (具体安装方法见《AIX 5.2 Installation Guide》)
/etc/rc.tcpip 停止不必要的服务 备份配置文件/etc/rc.tcpip
# cp /etc/rc.tcpip /backup/rc.tcpip.backup
编辑配置文件/etc/rc.tcpip,以“#”
符号注释掉不需要的服务,使其处于不激活的状态
服务器重启后生效
可以使用以下命令停止部分
service
# stopsrc –s $SERVICE
服务列表:

dhcpcd
动态主机配置协议(客户机)
dhcprd
动态主机配置协议(中继)
dhcpsd
动态主机配置协议(服务器)
autoconf6 IPv6
界面
dpid2 过时的 SNMP
服务
gated
接口间选择的路由
mrouted
多播路由
named DNS
名称服务器
ndp-host IPv6
主机
ndp-router IPv6
路由
routed 接口间的 RIP
路由
rwhod 远程“who”
守护程序
timed
旧时间守护程序
xntpd
新建的时间守护程序
sendmail 邮件服务
/etc/rc.tcpip 保留必须的服务 必须保留的服务:
inetd inetd
服务
portmap RPC
服务
syslogd 事件的系统日志
/etc/rc.tcpip 根据实际情况选择服务 以下服务如果不使用HACMP,则关闭:
snmpd
简单网络管理协议
muxatmd
hostmibd
snmpmibd
aixmibd 
/etc/inittab 停止不必要的服务 ~备份配置文件/etc/inittab
# cp /etc/inittab /backup/inittab.backup
编辑配置文件/etc/inittab,以“:”
符号注释掉不需要的服务,使其处于不激活的状态
服务器重启后生效
可以使用以下命令停止部分
service
# stopsrc –s $SERVICE
服务列表:
dt 桌面登录到 CDE
环境
dt_nogb 桌面登录到 CDE
环境(无图形引导)
httpdlite 用于 docsearch 命令的 Web
服务器
i4ls
许可证管理员服务器
imnss 用于“docsearch”
的搜索引擎
imqss 用于"docsearch"
的搜索引擎
lpd BSD
行式打印机界面
piobe 打印机 I/O
后端(用于打印)
qdaemon
队列守护程序(用于打印)
uprintfd
内核消息
writesrv 写注释到
ttys
xdm
传统的 X11 显示管理
/etc/inittab 根据实际情况选择服务 以下服务如果不使用HACMP,则关闭:
ctrmc 群集信息收集组件
/etc/rc.nfs 停止不必要的服务 备份配置文件/etc/rc.nfs
# cp /etc/rc.nfs /backup/rc.nfs.backup
编辑配置文件/etc/rc.nfs,以“#”
符号注释掉不需要的服务,使其处于不激活的状态
服务器重启后生效
可以使用以下命令停止部分
service
# stopsrc –s $SERVICE
服务列表:
keyserv 安全 RPC
密钥服务器
rpc.yppasswdd NIS 密码守护程序(用于 NIS
主控机)
ypupdated NIS 更新守护程序(用于从属 NIS
/etc/rc.nfs 根据实际情况选择服务 以下服务如果不使用NFS,则关闭:
automountd
自动文件系统
biod IO 守护程序(NFS
服务器所必需的)
nfsd NFS 服务(NFS
服务器所需要)
rpc.lockd NFS
文件键锁
rpc.mountd NFS 文件安装(NFS
服务器所需要)
rpc.statd NFS 文件键锁(来恢复它们)
/etc/inetd.conf 停止不必要的服务 ~备份配置文件/etc/inetd.conf
# cp /etc/inetd.conf /backup/inetd.conf.backup
编辑配置文件/etc/inetd.conf,以“#”
符号注释掉不需要的服务,使其处于不激活的状态。
在修改完配置文件/etc/inetd.conf后,重新启动
inetd
# refresh –s inetd
服务列表:
tftp
小型文件传输协议
bootps 用于无盘客户机的 bootp
服务
finger
对用户取数的远程用户信息服务命令(程序)
exec
远程执行服务
uucp unix to unix copy
协议
ntalk 通话协议
允许用户相互交谈
kshell kerberos
远程命令协议
klogin kerberos
远程登录协议
chargen
字符生成器(只测试)
comsat
通知有电子邮件进入
daytime
过时时间服务(只测试)
discard /dev/null service
(只测试)
echo
回传服务(只测试)
imap2
因特网邮件访问协议
netstat
报告当前网络状态
pcnfsd PC NFS
文件服务
pop3
邮局协议
rexd
远程执行
quotad 文件限额的报告(对于 NFS
客户机)
rstatd
内核统计信息服务器
rusersd
用户的登录信息
rwalld
写给所有用户
sprayd RPC
喷射测试
systat “ps -ef”
状态报告
talk
在网上建立两个用户间的分区屏幕
time
废弃的时间服务
dtspc CDE
子过程控制
cmsd 日历服务(CDE
使用)
ttdbserver 工具-交谈数据库服务器(用于 CDE

wsmserver Web-based System Manager server
telnet telnet
服务
/etc/inetd.conf 保留必须的服务 以下服务需要编辑相应配置文件以达到一定限制:
ftp
文件传输服务
login
远程登录协议
shell 远程命令协议
/etc/inetd.conf 根据实际情况选择服务 以下服务如果不使用samba,则关闭:
netbios-ssn Samba
netbios-ns Samba
swat Samba
/etc/rc.net 调整网络参数 ~创建一个脚本放到/etc/inittab中,no程序类似于solaris系统的ndd程序,可调整网络参数。
#cat >>/etc/rc.local.net /usr/sbin/no –o clean_partial_conns=1
/usr/sbin/no –o ipsendredirects=0
/usr/sbin/no –o nonlocsrcroute=0
/usr/sbin/no –o bcastping=0
/usr/sbin/no –o tcp_mssdflt=1370
/usr/sbin/no –o icmpaddressmask=0
/usr/sbin/no –o udp_pmtu_discover=0
/usr/sbin/no –o tcp_pmtu_discover=0
/usr/sbin/no –o directed_broadcast=0
/usr/sbin/no –o ipignoreredirects=0
/usr/sbin/no –o ipsrcroutesend=0
/usr/sbin/no –o ipsrcrouterecv=0
/usr/sbin/no –o ipsrcrouteforward=0
/usr/sbin/no –o ip6srcrouteforward=0
/usr/sbin/no –o ipforwarding=0
EOF
#chmod 700 /etc/rc.local.net
#mkitab "rclocalnet:2:once:/etc/rc.local.net >/dev/console 2>&1"

阅读(1566) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~