不錯(cuò)的 Aix 的安全檢查列表（轉(zhuǎn)）

font2008

\n\nAIX安全檢查列表\r\n第1章 系統(tǒng)基本信息\r\nuname -a 顯示系統(tǒng)信息（硬件編號(hào)、系統(tǒng)名稱、主機(jī)名、操作系統(tǒng)的version和release）\r\noslevel 顯示系統(tǒng)版本\r\nwho -r 系統(tǒng)當(dāng)前的runlevel\r\n第2章 系統(tǒng)網(wǎng)卡信息\r\nifconfig –a 顯示系統(tǒng)內(nèi)所有網(wǎng)卡信息\r\n第3章 系統(tǒng)路由信息   \r\nnetstat –nr 顯示系統(tǒng)路由信息\r\n第4章 網(wǎng)絡(luò)連接信息 \r\nnetstat –na 顯示系統(tǒng)當(dāng)前所有網(wǎng)絡(luò)連接的狀態(tài)\r\n第5章 操作系統(tǒng)進(jìn)程信息\r\nps –ef 顯示系統(tǒng)內(nèi)所有的進(jìn)程\r\n第6章 文件系統(tǒng)基本權(quán)限信息\r\n檢查基本的目錄權(quán)限：\r\nQuotation\r\n/\r\n/etc\r\n/usr\r\n/var\r\n/tmp\r\n/dev\r\n/sbin\r\n/home\r\n/usr/bin\r\n/usr/lib\r\n/usr/sbin\r\n/var/adm\r\n/var/spool\r\n檢查主要的配置文件權(quán)限：\r\nQuotation\r\n/etc/passwd\r\n/etc/security/passwd\r\n/etc/security/user\r\n/etc/security/login.cfg\r\n/etc/inittab\r\n使用find命令查找所有setuid、setgid和全局可寫的文件和目錄。\r\nfind / -perm -4000 -ls 查找所有setuid的文件\r\nfind / -perm -2000 -ls 查找所有setgid的文件\r\nfind / -perm -0004 -ls 查找所有全局可寫的文件和目錄\r\n第7章系統(tǒng)是否允許root遠(yuǎn)程登錄\r\n7.1.檢查\r\nAIX系統(tǒng)中沒(méi)有對(duì)root遠(yuǎn)程登錄進(jìn)行單獨(dú)的限制，和其他用戶一樣，對(duì)root用戶遠(yuǎn)程登錄的限制可以在文件/etc/security/user中指定。該操作可以通過(guò)以下三種方式進(jìn)行：\r\n1、使用vi直接查看及更改/etc/security/user文件；\r\n2、使用lsuser和chuser命令；\r\n3、通過(guò)smit查看及更改（smit lsuser，smit chuser）。\r\nlsuser -a rlogin root 查看root的rlogin屬性（默認(rèn)為true，允許遠(yuǎn)程登錄，telnet或rlogin）\r\nchuser rlogin=false root 禁止root遠(yuǎn)程登錄\r\nlsuser -a ttys root 查看root的ttys屬性（root用戶允許登錄的端口）\r\nchuser ttys=lft0 root 只允許root從lft0端口登錄（本機(jī)）\r\n7.2.加固\r\n設(shè)置root的用戶屬性rlogin=false，ttys=lft0\r\n第8章 rc?.d中的服務(wù)的啟動(dòng)情況\r\n8.1.檢查\r\nAIX系統(tǒng)中的服務(wù)主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中啟動(dòng)，事實(shí)上，/etc/rc.*系列文件主要也是由/etc/inittab啟動(dòng)。同時(shí)，AIX中所有啟動(dòng)的服務(wù)（至少是我們感興趣的）都可以同過(guò)SRC（System Resource Manager）進(jìn)行管理�？梢杂腥�種方式查看系統(tǒng)服務(wù)的啟動(dòng)情況：\r\n1、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件（比較麻煩）；\r\n2、使用lssrc和lsitab命令；\r\n3、通過(guò)smit查看和更改。\r\n注：SRC本身通過(guò)/etc/inittab文件啟動(dòng)。\r\nlssrc -a 列出所有SRC管理的服務(wù)的狀態(tài)\r\nlsitab -a 列出所有由/etc/inittab啟動(dòng)的信息，和cat /etc/inittab基本相同，除了沒(méi)有注釋。\r\n8.2.加固\r\n檢查以下服務(wù)，如果不需要，關(guān)閉掉；否則，對(duì)服務(wù)做適當(dāng)配置。\r\n第9章 /etc/inetd.conf中服務(wù)的啟動(dòng)情況\r\n9.1.檢查\r\n由INETD啟動(dòng)的服務(wù)在文件/etc/inetd.conf定義（inetd本身在/etc/rc.tcpip中由SRC啟動(dòng)），因此查看INETD啟動(dòng)的服務(wù)的情況有兩種方法：\r\n1、使用vi查看/etc/inetd.conf中沒(méi)有注釋的行；\r\n2、使用lssrc命令。\r\nlssrc -l -s inetd 查看inetd的狀態(tài)以及由INETD啟動(dòng)的服務(wù)的狀態(tài)\r\nrefresh -s inetd 更改/etc/inetd.conf文件后重啟inetd。\r\n9.2.加固\r\n建議關(guān)閉由inetd啟動(dòng)的所有服務(wù)；如果有管理上的需要，可以打開(kāi)telnetd、ftpd、rlogind、rshd等服務(wù)。\r\n啟動(dòng)或停止inetd啟動(dòng)的服務(wù)（例如ftpd）：\r\n1、使用vi編輯/etc/inetd.conf，去掉注釋（啟動(dòng)）或注釋掉（停止）ftpd所在的行；\r\n2、重啟inetd：refresh -s inetd。\r\n第10章是否允許系統(tǒng)用戶使用ftp登錄？\r\n10.1.檢查\r\n和其他UNIX系統(tǒng)一樣，AIX系統(tǒng)中使用/etc/ftpusers文件保存不允許通過(guò)ftp登錄的用戶的名稱，因此可以直接查看該文件以確定是否允許某用戶登錄（默認(rèn)該文件不存在）。\r\n10.2.加固\r\n使用vi編輯/etc/ftpusers文件，將所有的系統(tǒng)用戶和其他希望被禁止ftp登錄的用戶添加到該文件中（每行一個(gè)用戶名）。\r\n第11章 系統(tǒng)中無(wú)用的用戶是否刪除或禁用\r\n11.1.檢查\r\n詢問(wèn)系統(tǒng)管理員。\r\npasswd -l user1鎖定user1用戶\r\n11.2.加固\r\n建議鎖定除了root以外所有的系統(tǒng)用戶（默認(rèn)是無(wú)法登錄的）。\r\n第12章口令策略的設(shè)置情況\r\n12.1.檢查\r\nAIX系統(tǒng)的用戶、口令設(shè)置的相關(guān)文件有：\r\n/etc/passwd 用戶文件（不含加密的口令）\r\n/etc/security/passwd 用戶的口令文件（類似于/etc/shadow文件，但格式不同）\r\n/etc/security/user 用戶的擴(kuò)展屬性配置文件（鎖定、登錄、口令策略等）\r\n/etc/security/login.cfg 登錄的配置文件（登錄策略等）\r\n因此，對(duì)口令策略的修改主要是在/etc/security/user文件中進(jìn)行，有以下三種方式：\r\n1、使用vi直接查看和修改/etc/security/user文件；\r\n2、使用lsuser/chuser命令；\r\n3、通過(guò)smit查看和修改口令策略（smit chuser）。\r\nlsuser user1 列出用戶user1的屬性\r\nchuser maxage=26 user1 設(shè)置用戶user1密碼的最長(zhǎng)有效期為26周\r\n12.2.加固\r\n對(duì)用戶的以下屬性進(jìn)行配置：\r\nmaxage=8 口令最長(zhǎng)有效期為8周\r\nminage=0 口令最短有效期為0\r\nmaxexpired=4 口令過(guò)期后4周內(nèi)用戶可以更改\r\nmaxrepeats=3 口令中某一字符最多只能重復(fù)3次\r\nminlen=8 口令最短為8個(gè)字符\r\nminalpha=4 口令中最少包含4個(gè)字母字符\r\nminother=1 口令中最少包含一個(gè)非字母數(shù)字字符\r\nmindiff=4 新口令中最少有4個(gè)字符和舊口令不同\r\nloginretries=5 連續(xù)5次登錄失敗后鎖定用戶\r\nhistexpire=26 同一口令在26周內(nèi)不能重復(fù)使用\r\nhistsize=0 同一口令與前0個(gè)口令不能重復(fù)\r\n第13章登錄策略的設(shè)置情況\r\n13.1.檢查\r\n登錄策略主要在/etc/security/login.cfg中定義，可以通過(guò)以下三種方式調(diào)整：\r\n1、使用vi直接查看和修改/etc/security/login.cfg文件；\r\n2、使用chsec命令；\r\n3、通過(guò)smit查看和更改登錄策略（smit chsec）。\r\nlssec -f /etc/security/login.cfg -s default 列出默認(rèn)的端口登錄策略\r\nchsec -f /etc/security/login.cfg -s /dev/lft0 -a logindisable=3 三次連續(xù)失敗登錄后鎖定端口\r\n13.2.加固\r\n對(duì)以下登錄策略進(jìn)行設(shè)置：\r\nlogindelay=2 失敗登錄后延遲2秒顯示提示符\r\nlogindisable=3 3次失敗登錄后鎖定端口\r\nlogininterval=60 在60秒內(nèi)3次失敗登錄才鎖定端口\r\nloginreenable＝15 端口鎖定15分鐘后解鎖\r\n第14章系統(tǒng)是否啟用信任主機(jī)方式（.rhost、hosts.equiv），配置文件是否配置妥當(dāng)\r\n14.1.檢查\r\n檢查rlogin、rsh、rexec服務(wù)是否啟動(dòng)。如果啟動(dòng)，查看配置文件/etc/hosts.equiv（全局配置文件）和~/.rhosts（單獨(dú)用戶的配置文件）文件，檢查文件是否配置妥當(dāng)。\r\n14.2.加固\r\n建議關(guān)閉R系列服務(wù)（rlogin、rsh、rexec）；如果不能關(guān)閉（例如HACMP需要rsh的打開(kāi)），則需要檢查配置文件，確保沒(méi)有失當(dāng)?shù)呐渲茫ɡ�如單行的\"+\"或\"+ +\"）。\r\n第15章 是否以安全模式加載文件系統(tǒng)（如ro，nosuid）\r\n與其他UNIX系統(tǒng)不同，AIX文件系統(tǒng)的配置文件是/etc/filesystems（BSD/Linux是/etc/fstab，Solaris是/etc/vfstab）。使用mount命令可以查看當(dāng)前加載的文件系統(tǒng)及加載選項(xiàng)。\r\nmount 查看當(dāng)前加載的文件系統(tǒng)屬性\r\n第16章 root的環(huán)境變量設(shè)置\r\n16.1.檢查\r\n用戶的環(huán)境變量主要在以下文件中設(shè)置：\r\n/etc/profile 全局的用戶登錄配置文件，其中可以設(shè)置環(huán)境變量\r\n~/.profile 單獨(dú)用戶的登錄配置文件，其中可以設(shè)置環(huán)境變量\r\n/etc/environment 全局的環(huán)境變量設(shè)置文件\r\n/etc/security/environ 可以在其中對(duì)單獨(dú)用戶設(shè)置環(huán)境變量\r\n因此，對(duì)root的環(huán)境變量進(jìn)行設(shè)置可以通過(guò)/etc/security/environ文件進(jìn)行：\r\n1、使用vi直接查看和修改/etc/security/environ文件；\r\n2、使用chsec命令；\r\n3、使用smit chsec。\r\nprintenv 查看當(dāng)前的環(huán)境變量設(shè)置\r\nchsec -f /etc/security/environ -s root -a TERM=vt100 設(shè)置root的TERM環(huán)境變量為vt100\r\n16.2.加固\r\n檢查環(huán)境變量PATH，確保其中不包含本地目錄（.）。\r\n第17章通用用戶的環(huán)境變量設(shè)置\r\n參看18（root的環(huán)境變量設(shè)置）。通用用戶的環(huán)境變量主要可以通過(guò)/etc/environment文件進(jìn)行修改。\r\n第18章syslog日志的配置情況（例如：記錄何種信息，是否本地存放）\r\n和其他的UNIX系統(tǒng)一樣，syslog的配置主要通過(guò)/etc/syslog.conf配置。日志信息可以記錄在本地的文件當(dāng)中（如/var/adm/messages）或遠(yuǎn)程的主機(jī)上（@hostname）。\r\nstartsrc -s syslogd 啟動(dòng)syslog服務(wù)\r\nstopsrc-s syslogd 停止syslog服務(wù)\r\n第19章系統(tǒng)內(nèi)核參數(shù)的配置情況（主要考慮安全相關(guān)的網(wǎng)絡(luò)參數(shù)）\r\n19.1.檢查\r\nAIX系統(tǒng)網(wǎng)絡(luò)參數(shù)可以通過(guò)no命令進(jìn)行配置，比較重要的網(wǎng)絡(luò)參數(shù)有：\r\nicmpaddressmask=0 忽略ICMP地址掩碼請(qǐng)求\r\nipforwarding=0 不進(jìn)行IP包轉(zhuǎn)發(fā)\r\nipignoreredirects=1 忽略ICMP重定向包\r\nipsendredirects=0 不發(fā)送ICMP重定向包\r\nipsrcrouteforward=0 不轉(zhuǎn)發(fā)源路由包\r\nipsrcrouterecv=0 不接收源路由包\r\nipsrcroutesend=0 不發(fā)送源路由包\r\nno -a 顯示當(dāng)前配置的網(wǎng)絡(luò)參數(shù)\r\nno -o icmpaddressmask=0 忽略ICMP地址掩碼請(qǐng)求\r\n19.2.加固\r\n在/etc/rc.net文件重添加以下命令：\r\n/usr/sbin/no -o icmpaddressmask=0\r\n/usr/sbin/no -o ipforwarding=0\r\n/usr/sbin/no -o ipignoreredirects=1\r\n/usr/sbin/no -o ipsendredirects=0\r\n/usr/sbin/no -o ipsrcrouteforward=0\r\n/usr/sbin/no -o ipsrcrouterecv=0\r\n/usr/sbin/no -o ipsrcroutesend=0\r\n\r\n第20章是否修改系統(tǒng)的banner信息，防止系統(tǒng)泄漏信息\r\n通過(guò)login登錄系統(tǒng)時(shí)的banner信息可以在/etc/security/login.cfg中使用屬性herald設(shè)置，通過(guò)直接修改文件或使用chsec命令都可以進(jìn)行。\r\nchsec -f /etc/security/login.cfg -s default -a herald=\"hello\" 設(shè)置默認(rèn)的banner為hello\r\n第21章 是否對(duì)網(wǎng)絡(luò)連接設(shè)置訪問(wèn)控制\r\n除了在信任主機(jī)模式（R命令）中可以按照主機(jī)地址進(jìn)行訪問(wèn)控制外，AIX在默認(rèn)安裝時(shí)沒(méi)有提供其他的主機(jī)訪問(wèn)控制方式（如防火墻、tcpwrapper等）。\r\n第22章 CDE是否限定任意用戶XDMCP登錄連接\r\nXDMCP的訪問(wèn)控制可以在文件/usr/dt/config/Xaccess文件中設(shè)置，通過(guò)注釋所有的行可以方便的禁止遠(yuǎn)程主機(jī)的訪問(wèn)。\r\n第23章 Cron/At的使用情況\r\nCron/At的相關(guān)文件主要有以下幾個(gè)：\r\n/var/spool/cron/crontabs 存放cron任務(wù)的目錄\r\n/var/spool/cron/cron.allow 允許使用crontab命令的用戶\r\n/var/spool/cron/cron.deny 不允許使用crontab命令的用戶\r\n/var/spool/cron/atjobs 存放at任務(wù)的目錄\r\n/var/spool/cron/at.allow 允許使用at的用戶\r\n/var/spool/cron/at.deny 不允許使用at的用戶\r\n使用crontab和at命令可以分別對(duì)cron和at任務(wù)進(jìn)行控制。\r\ncrontab -l 查看當(dāng)前的cron任務(wù)\r\nat -l 查看當(dāng)前的at任務(wù)\r\n第24章NFS的配置情況\r\nNFS系統(tǒng)的組成情況：\r\nnfsd NFS服務(wù)進(jìn)程，運(yùn)行在服務(wù)器端，處理客戶的讀寫請(qǐng)求\r\nmountd 加載文件系統(tǒng)服務(wù)進(jìn)程，運(yùn)行在服務(wù)器端，處理客戶加載nfs文件系統(tǒng)的請(qǐng)求\r\nbiod 客戶端服務(wù)進(jìn)程，運(yùn)行在客戶端，處理客戶對(duì)服務(wù)器的請(qǐng)求\r\n/etc/exports 定義服務(wù)器對(duì)外輸出的NFS文件系統(tǒng)\r\n/etc/filesystems 定義客戶端加載的NFS文件系統(tǒng)\r\n如果系統(tǒng)不需要NFS服務(wù)，可以使用rmnfs關(guān)閉NFS服務(wù)；如果不能關(guān)閉，使用showmount -e或直接查看/etc/exports文件檢查輸出的文件系統(tǒng)是否必要，以及屬性是否妥當(dāng)（readonly等）。\r\nlssrc -l -s nfs 顯示NFS服務(wù)的運(yùn)行狀態(tài)\r\nmknfs 啟動(dòng)NFS服務(wù)，并在啟動(dòng)文件中（/etc/inittab）添加NFS的啟動(dòng)項(xiàng)\r\nrmnfs 停止NFS服務(wù)，并從啟動(dòng)文件中（/etc/inittab）刪除NFS的啟動(dòng)項(xiàng)\r\nshowmount -e 顯示本機(jī)輸出的NFS文件系統(tǒng)\r\nmount 顯示本機(jī)加載的文件系統(tǒng)（包括NFS文件系統(tǒng)）\r\n第25章 SNMP的配置情況\r\n如果系統(tǒng)不需要SNMP服務(wù)，可以關(guān)閉該服務(wù)（使用stopsrc -s snmpd停止服務(wù)并在/etc/rc.tcpip中注釋掉）；如果不能關(guān)閉，需要在/etc/snmpd.conf中指定不同的community name。\r\nlssrc -l -s snmpd 顯示SNMP服務(wù)的運(yùn)行狀態(tài)\r\nstartsrc -s snmpd 啟動(dòng)SNMP服務(wù)\r\nstopsrc -s snmpd 停止SNMP服務(wù)\r\n第26章 Sendmail的配置情況\r\n如果系統(tǒng)不需要Sendmail服務(wù)，可以關(guān)閉該服務(wù)（stopsrc -s sendmail停止服務(wù)并在/etc/rc.tcpip中注釋掉）；如果不能關(guān)閉，將sendmail服務(wù)升級(jí)到最新，并在其配置文件/etc/sendmail.cf中指定不同banner（參見(jiàn)示例）。\r\nlssrc -l -s sendmail 顯示Sendmail的運(yùn)行狀態(tài)\r\nstartsrc -s sendmail 啟動(dòng)Sendmail\r\nstopsrc -s sendmail 停止Sendmail\r\nDNS（Bind）的配置情況\r\n如果系統(tǒng)不需要DNS服務(wù)，可以關(guān)閉該服務(wù)（stopsrc -s named停止服務(wù)并在/etc/rc.tcpip中注釋掉）；如果不能關(guān)閉，將DNS服務(wù)升級(jí)到最新，并在其配置文件修改版本號(hào)（參見(jiàn)示例）。\r\nlssrc -l -s named 顯示DNS服務(wù)的運(yùn)行狀態(tài)\r\nstartsrc -s named 啟動(dòng)DNS服務(wù)\r\nstopsrc -s named 停止DNS服務(wù)