AIX系统安全加固操作手册

AIX系统安全加固操作手册 AIX系统安全加固操作手册作为宽带智能网中的Appserver，在完成AIX操作系统上智能网系统的安装和配置以后（除系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵。系统加固的具体步骤如下： 一、系统推荐补丁升级加固 1. 检查是否打上了AIX操作系统要求补丁（433要求10以上；5.1要求5以上；5.2要求使用IBM最新发布的补丁）检查补丁版本命令：oslevel –r 或 instfix –i |grep ML（看返回结果中OS版本后带的小版本号） 2. 如果未安装补丁，使用如下方式安装补丁：1)将补丁盘放入光驱，以root执行：mount /cdrom 2)执行：smitty update_all（选择/dev/cd0为安装介质）注意选择安装选项中：COMMIT software updates? no SAVE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown –Fr 重起系统 二、AIX系统配置安全加固 1. 编辑/etc/inetd.conf文件，关闭所有服务。将inetd.conf文件中的内容清空>/etc/inetd.conf refresh –s inetd 2. 编辑/etc/rc.tcpip文件，关闭除以下服务外的所有服务：portmap syslog inetd sendmail snmpd 如关闭dpid2，则只要注销以下行：（前面加#号即可）#start /usr/sbin/dpid2 "$src_running" 再使用：stopsrc –s XXX 来停止这些已经启动的服务 3. /etc/inittab中关闭用：注释服务，不是‘#’piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server imnss docsearch imnss Daemon imqss docsearch imqss daemon 4. 删除一些无用的用户rmuser -p uucp;rmuser -p nuucp 5. 手工编辑/etc/security/user控制用户登录限制、缺省文件创建权限限制default 默认设置不允许su\login\rlogin，将三项设置依次设置为false即可，其余缺省；缺省umask设置为027；设置各用户设置密码的最小长度为8；放开root、(sybase或oracle)、zxin10用户的su权限；放开(sybase或oracle)、zxin10用户的rlogin权限；设置root的umask为077default: login=false su=false rlogin=false umask=027 minlen=8 ... root: su=true umask=077 ...zxin10: su=true rlogin=true ...oracle: su=true rlogin=true ＃pwdck -y ALL修复同步口令文件 6. 更改login默认策略（/etc/security/login.cfg）default: logindelay=2 logindisable=3 logininterval=60（logininterval秒内产生logindisable次无效登录，即锁定port）loginreenable=5（loginreenable分钟后解除锁定） 7. 编辑/etc/profile，添加以下行：TMOUT=3600 TIMEOUT=3600 export TMOUT TIMEOUT 8. 加固系统TCP/IP配置编辑rc.net文件，添加：/usr/sbin/no -o clean_partial_conns=1 /usr/sbin/no -o arpt_killc=20 /usr/sbin/no -o icmpaddressmask=0 /usr/sbin/no -o directed_broadcast=0 /usr/sbin/no -o ipsrcroutesend=0 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ip6srcrouteforward=0 /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendredirects=0 9. 使用以下方法使尝试登录， 通过以上步骤，可以确保AIX系统的安全性和可靠性，防止非法入侵和攻击。