28SGISLOPSA3810AIX等級保護(hù)測評作業(yè)指導(dǎo)書四級

1、控制編號：SGISL/OP-SA38-10信息安全等級保護(hù)測評作業(yè)指導(dǎo)書AIX主機(jī)（三級）版 號：第 2 版修 改 次 數(shù)：第 0 次生 效 日 期：2010年01月06日中國電力科學(xué)研究院信息安全實驗室修改頁修訂號控制編號版號/章節(jié)號修改人修訂原因批準(zhǔn)人批準(zhǔn)日期備注1SGISL/OP-SA38-10郝增帥按公安部要求修訂詹雄一、身份鑒別1. 用戶身份標(biāo)識和鑒別測評項編號ADT-OS-AIX-01對應(yīng)要求應(yīng)對登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別。測評項名稱用戶身份標(biāo)識和鑒別測評分項1：檢查并記錄R族文件的配置，記錄主機(jī)信任關(guān)系操作步驟#find / -name .rhosts 對每個.rhos

2、ts文件進(jìn)行檢#find / -name .netrc 對.netrc文件進(jìn)行檢#more /etc/hosts.equiv適用版本任何版本實施風(fēng)險無符合性判定如果不存在信任關(guān)系或存在細(xì)粒度控制的信任關(guān)系，判定結(jié)果為符合；如果存在與任意主機(jī)任意用戶的信任關(guān)系，判定結(jié)果為不符合。測評分項2：查看系統(tǒng)是否存在空口令用戶操作步驟# more /etc/security/passwd檢查空口令帳號，適用版本任何版本實施風(fēng)險無符合性判定/etc/security/passwd中所有密碼位不為空，判定結(jié)果為符合；/etc/security/passwd中所存在密碼位為空，判定結(jié)果為不符合。備注2. 賬號口

3、令強(qiáng)度測評項編號ADT-OS-AIX-02對應(yīng)要求操作系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換測評項名稱賬號口令強(qiáng)度測評分項1： 檢查系統(tǒng)帳號密碼策略操作步驟執(zhí)行以下命令：#more /etc/security/user記錄Default規(guī)則,以及各用戶配置的規(guī)則，重點(diǎn)關(guān)注：minlen口令最短長度minalpha口令中最少包含字母字符個數(shù)minother口令中最少包含非字母數(shù)字字符個數(shù)loginretries 連續(xù)登錄失敗后鎖定用戶適用版本任何版本實施風(fēng)險無符合性判定密碼要求8位以上字母、數(shù)字、非字母組合,判定結(jié)果為符合；密碼要求8位以下或未要求字母、數(shù)字、非

4、字母組合,判定結(jié)果為不符合；測評分項2：檢查系統(tǒng)中是否存在空口令或者是弱口令操作步驟1. 利用掃描工具進(jìn)行查看2. 詢問管理員系統(tǒng)中是否存在弱口令3. 手工嘗試密碼是否與用戶名相同適用版本任何版本實施風(fēng)險掃描可能會造成賬號被鎖定符合性判定系統(tǒng)中不存在弱口令賬戶，判定結(jié)果為符合；系統(tǒng)中存在弱口令賬戶，判定結(jié)果為不符合；備注3. 登錄失敗處理策略測評項編號ADT-OS-AIX-03對應(yīng)要求應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施測評項名稱登錄失敗處理策略測評分項1： 檢查系統(tǒng)帳號登錄失敗處理策略操作步驟執(zhí)行以下命令#more /etc/security/user記錄

5、Default規(guī)則,以及各用戶配置的規(guī)則檢查loginretries 值#more /etc/security/login.cfg檢查loginreenable值（端口鎖定解鎖時間）logindelay （失敗登錄后延遲時間）適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)配置了合理的帳號鎖定閥值及失敗登錄間隔時間，判定結(jié)果為符合；系統(tǒng)未配置登錄失敗處理策略，判定結(jié)果為不符合；測評分項2：如果啟用了SSH遠(yuǎn)程登錄，則檢查SSH遠(yuǎn)程用戶登錄失敗處理策略操作步驟執(zhí)行以下命令cat /etc/sshd_config查看MaxAuthTries 等參數(shù)。LoginGraceTime 1m 帳號鎖定時間（建議為

6、30 分鐘）PermitRootLogin noMaxAuthTries 3 帳號鎖定閥值（建議5 次）適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)配置了合理的登錄失敗處理策略，帳號鎖定閥值及帳號鎖定時間，判定結(jié)果為符合；系統(tǒng)未配置登錄失敗處理策略，判定結(jié)果為不符合；備注4. 遠(yuǎn)程管理方式測評項編號ADT-OS-AIX-04對應(yīng)要求當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽測評項名稱檢查系統(tǒng)遠(yuǎn)程管理方式測評分項1： 檢查系統(tǒng)帳號登錄失敗處理策略操作步驟詢問系統(tǒng)管理員，并查看開啟的服務(wù)中是否包含了不安全的遠(yuǎn)程管理方式，如telnet, ftp,ssh,VNC 等。執(zhí)

7、行：#ps ef 查看開啟的遠(yuǎn)程管理服務(wù)進(jìn)程執(zhí)行：#netstat -a 查看開啟的遠(yuǎn)程管理服務(wù)端口適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)采用了安全的遠(yuǎn)程管理方式，如ssh；且關(guān)閉了如telnet、ftp 等不安全的遠(yuǎn)程管理方式，判定結(jié)果為符合；系統(tǒng)的開啟了telnet、ftp 等不安全的遠(yuǎn)程管理方式，判定結(jié)果為不符合。5. 賬戶分配及用戶名唯一性測評項編號ADT-OS-AIX-05對應(yīng)要求應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性測評項名稱賬戶分配及用戶名唯一性測評分項1： 檢查系統(tǒng)賬戶操作步驟執(zhí)行以下命令：#cat /etc/passwd#cat /etc/

8、security/passwd#cat /etc/group查看UID是否唯一查看系統(tǒng)是否分別建立了系統(tǒng)專用管理帳號，以及帳號的屬組情況。適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)管理使用不同的帳戶，且系統(tǒng)中不存在重名帳號，UID唯一，判定結(jié)果為符合；系統(tǒng)管理使用相同的帳戶，系統(tǒng)帳號存在重名情況，UID不唯一，判定結(jié)果為不符合。6. 雙因子身份鑒別測評項編號ADT-OS-HPUX-05對應(yīng)要求應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別測評項名稱雙因子身份鑒別測評分項1： 檢查系統(tǒng)雙因子身份鑒別操作步驟詢問系統(tǒng)管理員，系統(tǒng)是否采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。如

9、：帳戶/口令鑒別，生物鑒別、認(rèn)證服務(wù)器鑒別。適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)采用雙因子身份鑒別，判定結(jié)果為符合；系統(tǒng)未采用雙因子身份鑒別，判定結(jié)果為不符合。二、訪問控制1. 檢查文件訪問控制策略測評項編號ADT-OS-AIX-06對應(yīng)要求應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問測評項名稱檢查訪問控制策略測評分項1：檢查重要配置文件或重要文件目錄的訪問控制操作步驟查看系統(tǒng)命令文件和配置文件的訪問許可有無被更改例如： #ls -al /usr/etc /etc/security/* /etc/security/passwd /etc/group /etc/passwd /etc

10、/inetd.conf /var/spool/cron/crontabs/* /etc/securetty /sbin/rc*.d/ /etc/login.defs /etc/*.conf適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)內(nèi)的配置文件目錄 中，所有文件和子目錄對組用戶和其他用戶不提供寫權(quán)限，判定結(jié)果為符合；組用戶和其他用戶對配置文件目錄/etc 中所有（部分）文件和子目錄具有寫權(quán)限，判定結(jié)果為不符合。測評分項2：檢查文件初始權(quán)限操作步驟執(zhí)行以下命令：#umask查看輸出文件屬主、同組用戶、其他用戶對于文件的操作權(quán)限適用版本任何版本實施風(fēng)險無符合性判定umask 值設(shè)置合理，為077 或0

11、27，判定結(jié)果為符合；umask 值為000、002、022等判定結(jié)果為不符合。測評分項3：檢查root 帳號是否允許遠(yuǎn)程登錄操作步驟查看ssh 服務(wù)配置文件是否設(shè)置登錄失敗處理策略，執(zhí)行以下命令：#cat /etc/ssh_config查看PermitRootLogin 參數(shù)#more /etc/security/user查看root用戶的rlogin參數(shù) 適用版本任何版本實施風(fēng)險無符合性判定PermitRootLogin 值為no，且root用戶設(shè)置了rlogin = no, root 帳號不可以遠(yuǎn)程登錄，判定結(jié)果為符合；PermitRootLogin 所屬行被注釋或值為yes，root用

12、戶未設(shè)置rlogin或rlogin =yes，root 帳號可以遠(yuǎn)程登錄，判定結(jié)果為不符合。2. 數(shù)據(jù)庫系統(tǒng)特權(quán)用戶權(quán)限分離測評項編號ADT-OS-AIX-07對應(yīng)要求應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離測評項名稱特權(quán)用戶權(quán)限分離測評分項1：檢查系統(tǒng)帳戶權(quán)限設(shè)置操作步驟詢問管理員系統(tǒng)定義了哪些角色，是否分配給操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶不同的角色適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的設(shè)置了不同的角色，實現(xiàn)了權(quán)限分離，判定結(jié)果為符合；系統(tǒng)沒有為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶分配角色，判定結(jié)果為不符合。3. 特權(quán)用戶權(quán)限分離測評項編號ADT-OS-HPUX-

13、07對應(yīng)要求應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；測評項名稱特權(quán)用戶權(quán)限分離測評分項1：檢查系統(tǒng)特權(quán)帳戶權(quán)限設(shè)置操作步驟詢問管理員系統(tǒng)定義了哪些管理用戶角色，是否僅授予管理用戶所需的最小權(quán)限# SMIT 查看用戶角色的授權(quán)適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)實現(xiàn)管理用戶的權(quán)限分離，判定結(jié)果為符合；系統(tǒng)沒有實現(xiàn)管理用戶的權(quán)限分離，判定結(jié)果為不符合。4. 默認(rèn)賬戶訪問權(quán)限測評項編號ADT-OS-AIX-07對應(yīng)要求應(yīng)限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令測評項名稱默認(rèn)賬戶訪問權(quán)限測評分項1：檢查系統(tǒng)帳戶權(quán)限設(shè)置操作步驟執(zhí)

14、行：# cat /etc/passwd或者/etc/security/passwd查看不需要的賬號games, news, gopher, ftp 、lp是否被刪除查看不需要的特權(quán)賬號halt, shutdown, reboot 、who是否被刪除適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)刪除無用默認(rèn)賬戶，判定結(jié)果為符合；系統(tǒng)沒有刪除無用默認(rèn)賬戶，判定結(jié)果為不符合。5. 多余及過期賬戶測評項編號ADT-OS-AIX-08對應(yīng)要求應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在測評項名稱多余及過期賬戶測評分項1：檢查系統(tǒng)多余及過期賬戶操作步驟訪談系統(tǒng)管理員，是否存在無用的多余帳號。同時執(zhí)行以下命令

15、：cat /etc/passwd或 cat /etc/security/passwd適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)中不存在多余自建帳戶，判定結(jié)果為符合；沒有刪除多余自建賬戶，判定結(jié)果為不符合。6. 基于標(biāo)記的訪問控制測評項編號ADT-OS-HPUX-08對應(yīng)要求應(yīng)對重要信息資源設(shè)置敏感標(biāo)記測評項名稱資源敏感標(biāo)記設(shè)置檢查測評分項1：檢查系統(tǒng)對重要信息資源是否設(shè)置了敏感標(biāo)記操作步驟詢問管理員系統(tǒng)是否對重要信息資源（重要文件、文件夾、重要服務(wù)器）設(shè)置了敏感標(biāo)記。并查看標(biāo)記的設(shè)置規(guī)則。適用版本任何版本實施風(fēng)險無符合性判定符合：系統(tǒng)對重要信息資源設(shè)置敏感標(biāo)記。不符合：沒有對系統(tǒng)重要信息資源設(shè)置

16、敏感標(biāo)測評分項2：檢查對有敏感標(biāo)記資源的訪問控制情況操作步驟詢問管理員系統(tǒng)是否對重要信息資源（重要文件、文件夾、重要服務(wù)器）設(shè)置了敏感標(biāo)記。并查看訪問控制規(guī)則的設(shè)置規(guī)則。適用版本任何版本實施風(fēng)險無符合：制定了有效的安全策略，依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記信息資源的操作不符合：沒有制定有效的安全策略或沒有依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記信息資源的操作三、安全審計1. 開啟日志審核功能測評項編號ADT-OS-AIX-09對應(yīng)要求審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶測評項名稱開啟日志審核功能測評分項1：檢查系統(tǒng)日志是否開啟操作步驟執(zhí)行#ps -ef |grep syslogd查看系統(tǒng)

17、是否運(yùn)行syslogd進(jìn)程詢問并查看是否有第三方審計工具或系統(tǒng)適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)啟用了syslogd進(jìn)程或有第三方審計系統(tǒng)，判定結(jié)果為符合；系統(tǒng)未啟用syslogd進(jìn)程也沒有第三方審計系統(tǒng)，判定結(jié)果為不符合。測評項名稱開啟日志審核功能操作步驟執(zhí)行# audsys（或者輸入sam啟動系統(tǒng)管理菜單GUI，點(diǎn)擊“審計和安全”，點(diǎn)擊“用戶”查看被審計的用戶，點(diǎn)擊“事件”查看審計的事件，“system calls”查看被審計的系統(tǒng)調(diào)用。）#more /etc/rc.config.d./auditing 中的auditing字段值(=1 已開啟)#audusr查看選擇的被審計用戶適用

18、版本任何版本實施風(fēng)險無符合性判定系統(tǒng)運(yùn)行在trusted mode下且開啟審計功能，審計范圍覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶判定結(jié)果為符合；系統(tǒng)未啟用審計功能，審計范圍未覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶，判定結(jié)果為不符合。測評分項1：檢查系統(tǒng)審計功能是否開啟操作步驟執(zhí)行# /usr/sbin/auditquery顯示審計系統(tǒng)的當(dāng)前狀態(tài)# more /etc/security/audit/config查看選擇的被審計用戶適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)開啟審計功能，審計范圍覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶判定結(jié)果為符合；系統(tǒng)未啟用審計功能，審計范圍未覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶，判定

19、結(jié)果為不符合。2. 日志審計內(nèi)容測評項編號ADT-OS-AIX-10對應(yīng)要求審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件測評項名稱日志審計內(nèi)容測評分項1：檢查系統(tǒng)日志審計策略配置操作步驟執(zhí)行：#cat /etc/syslog.conf查看系統(tǒng)日志配置適用版本任何版本實施風(fēng)險無符合性判定syslog.conf 配置文件設(shè)置合理，對大多數(shù)系統(tǒng)行為、用戶行為進(jìn)行了紀(jì)錄，并存儲在指定的文檔中，syslong.conf 中至少應(yīng)包括：local0.crit /dev/ /usr/es/adm/cluster.loguse

20、r.notice /usr/es/adm/cluster.log；判定結(jié)果為符合；syslog.conf 配置文件設(shè)置不合理，對大多數(shù)系統(tǒng)行為、用戶行為未進(jìn)行紀(jì)錄，判定結(jié)果為不符合。測評分項3：檢查系統(tǒng)審計策略配置操作步驟執(zhí)行：#more /etc/security/audit/objects查看對象審計 #more /etc/security/audit/config查看對象審計#more /etc/security/audit/events查看被審計的事件適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)配置了合理的審計策略，判定結(jié)果為符合；系統(tǒng)未配置合理的審計策略，判定結(jié)果為不符合。測評分項3：審

21、計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等操作步驟執(zhí)行：#more /usr/es/adm/cluster.log#last查看系統(tǒng)歷史日志信息#auditpr -v hhelrtRpPTc獲取所有審計的信息適用版本任何版本實施風(fēng)險無符合性判定審計記錄包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等判定結(jié)果為符合；審計記錄不包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等判定結(jié)果為符合；3. 審計進(jìn)程保護(hù)測評項編號ADT-OS-AIX-12對應(yīng)要求應(yīng)保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等測評分項1：查看日志審計文件權(quán)限設(shè)置操作步驟執(zhí)行：ls la /e

22、tc/syslog.conf /usr/es/adm/cluster.log /var/adm查看系統(tǒng)歷史日志文件的權(quán)限或訪問控制是否合理適用版本任何版本實施風(fēng)險無符合性判定符合：日志訪問權(quán)限合理，除屬主外，組用戶和其它用戶都不具有寫、執(zhí)行權(quán)限；不符合：日志訪問權(quán)限不合理，除屬主外，部分組用戶和其它用戶具有寫、執(zhí)行權(quán)限測評分項2：查看審計文件權(quán)限設(shè)置操作步驟執(zhí)行：#more /etc/security/audit/config 查看日志模式，例如binmode = onstreammode = off# ls 查看申日文件的權(quán)限或訪問控制是否合理例如 ls l /audit/bin1 bin2

23、 = /audit/bin2適用版本任何版本實施風(fēng)險無符合性判定符合：審計文件訪問權(quán)限合理，除屬主外，組用戶和其它用戶都不具有寫、執(zhí)行權(quán)限；不符合：審計文件訪問權(quán)限不合理，除屬主外，部分組用戶和其它用戶具有寫、執(zhí)行權(quán)限四、剩余信息保護(hù)（HPUX系統(tǒng)不適用）五、入侵防范1. 入侵防范測評項編號ADT-OS-AIX-13對應(yīng)要求操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新測評項名稱入侵防范測評分項1：檢查操作系統(tǒng)是否開啟了與業(yè)務(wù)無關(guān)的服務(wù)操作步驟執(zhí)行以下命令：ps ef執(zhí)行#more /etc/inetd.conf|grep -v #

24、記錄系統(tǒng)開啟的服務(wù)#more /etc/rc.nfs #more /etc/rc.tcpip適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)沒有開啟與業(yè)務(wù)無關(guān)的服務(wù)，判定結(jié)果為符合；系統(tǒng)開啟了與業(yè)務(wù)無關(guān)的服務(wù)，判定結(jié)果為符合；測評分項2：查檢查操作系統(tǒng)是否開啟了與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)端口操作步驟執(zhí)行以下命令：netstat an netstat a適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)禁用了與業(yè)務(wù)無關(guān)的端口，判定結(jié)果為符合；系統(tǒng)沒有禁用與業(yè)務(wù)無關(guān)的端口，判定結(jié)果為不符合測評分項3：檢查操作系統(tǒng)版本與補(bǔ)丁升級情況操作步驟執(zhí)行以下命令，查看AIX 內(nèi)核版本：版本信息：#oslevel ： #oslevel q：補(bǔ)丁安裝情況#instfix i |grep ML 適用版本任何版本實施風(fēng)險無符合性判定系統(tǒng)安裝了最新的補(bǔ)丁，判定結(jié)果為符合；系統(tǒng)沒有安裝最新的補(bǔ)丁，判定結(jié)果為不符合五、惡意代碼防范（AIX系統(tǒng)不適用）六、資源控制1. 終端登