AIX系統(tǒng)安全檢查方案_第1頁
AIX系統(tǒng)安全檢查方案_第2頁
AIX系統(tǒng)安全檢查方案_第3頁
AIX系統(tǒng)安全檢查方案_第4頁
AIX系統(tǒng)安全檢查方案_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、技術(shù)文件技術(shù)文件名稱:aix系統(tǒng)安全檢查方案技術(shù)文件編號(hào):版本:v1.0文件質(zhì)量等級(jí):共12頁(包括封面)擬制審核會(huì)簽標(biāo)準(zhǔn)化批準(zhǔn)中興通訊股份有限公司修改記錄文件編號(hào)版本號(hào)擬制人/ 修改人擬制/修改 日期更改理由主要更改內(nèi)容 (寫要點(diǎn)即可)1.0王華剛2009/06/30無無1.0.1上華剛2009/08/14添加內(nèi)容zte-a1x-sh03-06/zte atx-sm01-02配置項(xiàng)添 加說明1.1.0王華剛2009/08/17刪除內(nèi)容刪除 zte-aix-sho3-o5 和 zte-aix-sh03-06 中 acl 檢注1:每次更改歸檔文件(指歸檔到事業(yè)部或公司檔案室的文件)時(shí),需填寫此我

2、。 注2:文件笫次歸檔時(shí),“更改理山”、“主要更改內(nèi)容”欄寫“無”。.aix操作系統(tǒng)安全檢查方案目錄(包括封面)修改記錄21 概述5內(nèi)部適用性說明5外部引用說明5術(shù)語和定義5符號(hào)和縮略語2 aix安全檢杏操作指導(dǎo)2.1zte-aix-s01檢查帳號(hào)安全..42.22.3566.66677777888889999910101010101()111111111111121212v/cronzte-aix-sh01-01檢查系統(tǒng)帳號(hào)安金性zte-aix-sm01-02檢查root遠(yuǎn)程背錄配置zte-aix-sm01-03檢查口令復(fù)雜度,加密和密碼歷史配置1zte-a

3、ix-sl01-04檢查口令生存期配置zte-aix-s02檢查登錄會(huì)話環(huán)境.22.2.3zte-aix-sl02-01檢查字符登錄會(huì)話超時(shí)5,理占izte-aix-sl02-02檢查圖形背錄會(huì)話超時(shí)5分鐘自動(dòng)退出zte-aix-sm02-03檢查用戶壞境變量zte-aix-s03檢杳主機(jī)軟件/網(wǎng)絡(luò)服務(wù).....10爐zte-aix-sh03-01檢杳ftp登錄用八限制zte-aix-sm03-02檢查ftp用殳活動(dòng)口錄限制zte-aix-sl03-03檢查修名ftpmp限制zte-aix-

4、sm03-04 檢舌l(xiāng)ujz配迸zte-aix-sho3-o5 檢杏 telnet 服務(wù)配置 zte-aix-sh03-06檢查ssh服務(wù)配直.zte-aix-sm03-07檢查服務(wù)配置zte-a1x-sm03-08 檢查 snmp 服務(wù)配置zte-aix-sl03-09檢查ntp服務(wù)器或客戶端配置 zte-aix-sm03-10檢査信任主機(jī)配置zte-aix-sm03-11檢查ftp初始化文件配置zte-aix-s04檢查tl志記錄配置.2.8zte-aix-sl04-01檢查背錄h志配置zte-aix-sl04-02檢查事件fi志配直zte-aix-s

5、l04-03檢查遠(yuǎn)程日志服務(wù)器配置zte-aix-sl04-04 檢查 cron 日志配置zte-aix-sl04-05檢查是否啟用內(nèi)核級(jí)審核.5zte-aix-s05檢查文件權(quán)限2.5.1 zte-aix-sm05-01檢查重耍系統(tǒng)文件權(quán)限zte-aix-s06檢查系統(tǒng)補(bǔ)丁安裝情況261zte-aix-sh06-01檢查操作系統(tǒng)補(bǔ)丁版本zte-aix-s07檢查網(wǎng)絡(luò)協(xié)議安全配置2.7.1 zte-aix-sl07-01 檢查 ip 協(xié)議配置zte-aix-s08檢查雜項(xiàng)aix操作系統(tǒng)基本檢查方案1概述內(nèi)部適用性說明本方案是在業(yè)務(wù)研究院網(wǎng)絡(luò)安全規(guī)范小各項(xiàng)要求的基礎(chǔ)上,提出aix

6、操作系統(tǒng)安 全檢查方案。外部引用說明中國(guó)移動(dòng)設(shè)備通用安全功能和配置規(guī)范中國(guó)移動(dòng)操作系統(tǒng)安全功能規(guī)范aix系統(tǒng)基本檢查力案術(shù)語和定義符號(hào)和縮略語縮寫英文描述中文描述xjv本文件體標(biāo)識(shí)如下: 藍(lán)色斜體在具體執(zhí)行吋需要替換的內(nèi)容 檢查/加固項(xiàng)編碼意義如f:公司名稱操作系統(tǒng)條冃性質(zhì) 風(fēng)險(xiǎn)級(jí)別數(shù)字編號(hào)小項(xiàng)數(shù)字編號(hào)條冃性質(zhì)中:s意為檢查:e意為加固風(fēng)險(xiǎn)級(jí)別中:h意為高風(fēng)險(xiǎn);m意為中等風(fēng)險(xiǎn);l意為低風(fēng)險(xiǎn),風(fēng)險(xiǎn)級(jí)別僅存于具體條忖中2 aix安全檢查操作指導(dǎo)2.1 zte-aix-s01檢查帳號(hào)安全2.1.1 zte-aix-sh01-01檢查系統(tǒng)帳號(hào)安全性#cat /etc/passwd檢杳如下內(nèi)容(強(qiáng)密碼部

7、分單獨(dú)檢杳):帳號(hào)名用戶id是否為0是否已鎖定默認(rèn)shell是査強(qiáng)密碼一需要記錄的內(nèi)容:(、用戶id為0的所有帳號(hào),默認(rèn)有shell并未鎖定的帳號(hào)2.1.2 zte-aix-sm01-02檢查root遠(yuǎn)程登錄配置操作亠.期架輸出是否滿足# lsuser -a rlosin rootroot rlogin=false# greppcrmitrootlogin/etc/ssh/sshd configpcrmitrootlogin no說明:如果未找到/etc/ssh/sshd_config文件,說明ssh未安裝,不滿足安全配置2.13 zte-aix-sm01-03檢查口令復(fù)雜度,加密和密碼歷史配

8、置操作期望輸出是否滿足#lssec f /etc/security/user -s default -a minlendefault minlen=8#lssec -f /etc/security/user -s default -a minalphadefault minalpha=l#lssec -f /etc/security/user -s default -a mindiffdefault mindiff=l#lssec -f /etc/security/user sdefault minother=ldefault -a minother#lssec -f /etc/securit

9、y/user -s default -a histsizedefault histsize=52.1.4 zte-aix-sl01-04檢查口令生存期配置操作期望輸出是否滿足#lssec -f /etc/security/user -s default -a pwdwamtimedefault pwdwarntime=5#lssec -f /etc/security/user s default -a histexpiredefault histexpire=132.2 zte-aix-s02檢查登錄會(huì)話環(huán)境2.2.1 zte-aix-sl02-01檢查字符登錄會(huì)話超時(shí)5分鐘自動(dòng)操作期望輸&a

10、mp;是否滿足#grep tmout /etc/profiletmout=3()(); export tmout2.2.2 zte-aix-ss2檢查圖形登錄會(huì)話超時(shí)5分鐘自動(dòng)操作>期望輸出是否滿足# greptimeout/usr/dt/config/*/sys.resources輸出中包含如下內(nèi)容: dtsession*savertimeout: 5 dtsession*locktimeout: 5退出2.2.3 zte-aix-sm02-03檢查用戶環(huán)境變量操作期望輸出是否滿足#lssec -f /etc/security/user -s default -a umaskdefau

11、lt umask=027lsuser -a home all 1 awk 'print所有用戶的umask值均為$1'1 while read user; doisuscr -a umask $uscrdoneumask=27使川每個(gè)可以登錄的帳號(hào)登錄系 統(tǒng)后,執(zhí)行:#set 1 grep path檢查path變量小,是否定義了 當(dāng)前目錄:無path變量包含為前目 錄操作期望輸出鬼杏滿足#cat /etc/ftpusers輸出包含除允許ftp登錄的用八之 的其他所有用戶2.3.2 zte-aix-sm03-02戶活動(dòng)目錄限制操作期望輸出、x是否滿足#cat /etc/ftpac

12、cess輸出中包含如下內(nèi)容: restricted-uid *chmodno guest,anonymousdeleteno guest,anonymousoverwrite no guest,anonymous renameno guest,anonymousumaskno anonymous2.3.3vte-aix-sl03-03檢查匿名ftp用戶限制2.3 zte-aix-s03檢查主機(jī)軟件/網(wǎng)絡(luò)服務(wù)操作期望輸岀是否滿足ftp登錄被檢查服務(wù)器,確認(rèn) 是否可以匿名訪問不能匿名訪問2.3.4 zte-aix-sm03-04 檢查 gui 配置操作期望輸岀是否滿足#ps -elf 1 grep

13、 dtlogin無/usr/dt/bin/dtlogin 進(jìn)程2.3.5 zte-aix-sh03-05 檢查 telnet 服務(wù)配置操作期望輸出是否滿足#lssrc -t telnet無telnet服務(wù)輸出操作期望輸岀是否滿足檢查ssh是否已經(jīng)啟動(dòng):#lssrc -s sshdssh 服務(wù) status 為 active說明:如果和關(guān)命令提示:0513-085 the sshd subsystem is not on file.說明ssh服務(wù)未安裝, 不滿足需求2.3.6 zte-aix-sh03-06 檢查 ssh 服務(wù)配置2.3.7 zte-aix-sm03-07 檢查服施置# 】ssr

14、c -a輸出內(nèi)容請(qǐng)復(fù)制至右側(cè)#grcp -v 八# /etc/inetd.conf 輸出內(nèi)容請(qǐng)復(fù)制至右側(cè)2.3.8 zte-aix-sm03-08 檢查 snmp 服務(wù)配置操作4期望輸出是否滿足#grep public /etc/snmpcl.conf輸出不包含如下內(nèi)容: communitypublic2.3.9 zte-aix-sl03-09檢查ntp服務(wù)器或客戶端配置操作期望輸出是否滿足檢杳文件/etc/ntp.conf是否存在文件存在#lssrc -t xntpdxntpd 服務(wù) status 為 active2.3.10 zte-aix-sm03-10檢查信任主機(jī)配置操作期望輸出是否滿

15、足檢查文件/etc/hosts.equiv是否存在(內(nèi)容為空,町認(rèn)為不存 在)文件不存在#檢查用戶主目錄下(包括/root)是否存在如下文件: rhosts(如果文件內(nèi)容為空,可認(rèn)為不存在)文件不存在2.3.11 zte-aix-sm03-11檢查ftp初始化文件配置操作期望輸出展協(xié)足檢查用戶主目錄下(包括/wot)是否存在如下文件:netrc(如果文件內(nèi)容為空,可認(rèn)為不存在)文件不存存y2.4 zte-aix-s04檢查日志記錄配憶 2.4.1 zte-aix-sl04-01檢查登錄日志配置操作期皐輸小是否滿足檢 查 /var/adm/au thlog 和 /var/adm/syslog 是

16、否存科卜文件存在2.4.2 zte-aix-sl04-02檢查事件日志配置操作期望輸出是否滿足# grep /var/adm/messages /etc/sysloglconf輸出為(含有):*.err;kern.debug;daemon.notice;/var/adm/messages2.4.3 zte-aix-sl04-03檢查遠(yuǎn)程日志服務(wù)器配置操作期望輸出是否滿足#grep /etc/syslog.conf輸出中,后而的主機(jī)名或 ip地址不是為本機(jī)2.4.4 zte-aix-sl04-04 檢查 cron 日志配置操作期望輸出是否滿足#greplogfile=/var/adm/cron/

17、log/etc/cronlog.conf輸出中,示面的主機(jī)名或 ip地址不是為本機(jī)本加固項(xiàng)僅對(duì)aix 5300-04或更高版本有效操作期望輸出、#audit query輸出屮,包含:k,auditing on2.4.5 zte-aix-sl04-05檢查是否啟用內(nèi)核級(jí)審核 2.5 zte-aix-s05檢查文件權(quán)限 &2.5.1 zte-aix-sm05-01檢查重要系統(tǒng)文件權(quán)限操作期望輸出是否滿足操作1:c'權(quán)限部分輸出如下: 操祚1:#is -1 /etc/security權(quán)限 750,屬主:root:security操作2:廠操作2:#ls -1 /etc/group權(quán)限

18、 644,屬主:root:security操作操作3:#ls -1 /etc/security/audit權(quán)限 750,屬主:root:audit操洋4、x操作4:#ls -1 /etc/passwd權(quán)限 644,屬主:root:security2.6 zte-aix-s06檢查系統(tǒng)補(bǔ)丁安裝情況 2.6.1 zte-aix-sh06-01檢查操作系統(tǒng)補(bǔ)丁版本#oslevel -r2.7 zte-aix-s07檢查網(wǎng)絡(luò)協(xié)議安全配置操作期望輸出是否滿足# no a 1 grep clean partial connsclean partial conns = 1# no -a 1 grep dircctcd broadcastdircctcd broadcast = 0# no

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論