AI系統(tǒng)安全配置基線_第1頁
AI系統(tǒng)安全配置基線_第2頁
AI系統(tǒng)安全配置基線_第3頁
AI系統(tǒng)安全配置基線_第4頁
AI系統(tǒng)安全配置基線_第5頁
已閱讀5頁,還剩19頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

18/24AIX系統(tǒng)安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2009年3月

版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月備注:若此文檔需要日后更新,請創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實施 11.5 例外條款 1第2章 賬號管理認證授權(quán) 22.1 賬號 22.1.1用戶帳號設置 22.1.2用戶組設置 22.1.3用戶口令設置 32.1.4Root用戶遠程登錄限制 32.1.5系統(tǒng)用戶登錄限制 42.2 口令 42.2.1口令生存期安全要求 42.2.2口令歷史安全要求 42.2.3用戶口令鎖定策略 52.2.4用戶訪問權(quán)限安全要求 52.2.5用戶FTP訪問的安全要求 6第3章 網(wǎng)絡與服務 73.1 服務 73.1.1遠程維護安全要求 73.2 網(wǎng)絡 73.2.1ICMP重定向安全要求 7第4章 日志審計 84.1 日志 84.1.1添加認證日志 84.2 審計 84.2.1安全事件審計 8第5章 設備其他安全配置要求 105.1 設備 105.1.1屏幕保護 105.2 緩沖區(qū) 105.2.1緩沖區(qū)溢出 10第6章 評審與修訂 12概述目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的AIX操作系統(tǒng)的主機應當遵循的操作系統(tǒng)安全性設置標準,本文檔旨在指導系統(tǒng)管理人員或安全檢查人員進行AIX操作系統(tǒng)的安全合規(guī)性檢查和配置。適用范圍本配置標準的使用者包括:服務器系統(tǒng)管理員、應用管理員、網(wǎng)絡安全管理員。本配置標準適用的范圍包括:中國移動總部和各省公司信息化部門維護管理的AIX服務器系統(tǒng)。適用版本AIX系列服務器;實施本標準的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部,在本標準的執(zhí)行過程中若有任何疑問或建議,應及時反饋。本標準發(fā)布之日起生效。例外條款欲申請本標準的例外條款,申請人必須準備書面申請文件,說明業(yè)務需求和原因,送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。

賬號管理認證授權(quán)賬號2.1.1用戶帳號設置安全基線項目名稱操作系統(tǒng)AIX用戶賬戶安全基線要求項安全基線編號SBL-AIX-02-01-01安全基線項說明用戶帳號設置。檢測操作步驟1、執(zhí)行:lsuser–ahomeALL2、執(zhí)行:ls–l/etc/passwd基線符合性判定依據(jù)需要鎖定的用戶:deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd備注2.1.2用戶組設置安全基線項目名稱操作系統(tǒng)AIX用戶組安全基線要求項安全基線編號SBL-AIX-02-01-02安全基線項說明用戶組設置。檢測操作步驟1、執(zhí)行:more/etc/group2、執(zhí)行:ls-l/etc/group基線符合性判定依據(jù)不要存在無用的用戶組:uucpprintq備注2.1.3用戶口令設置安全基線項目名稱操作系統(tǒng)AIX用戶口令安全基線要求項安全基線編號SBL-AIX-02-01-03安全基線項說明用戶口令設置。對于采用靜態(tài)口令認證技術(shù)的設備,口令長度至少6位,并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類檢測操作步驟1、執(zhí)行:more/etc/security/user,檢查maxage/minlen/minage/pwdwarntime參數(shù)2、執(zhí)行:pwdck–nALL,檢查是否存在空口令賬號基線符合性判定依據(jù)不能存在簡單密碼;創(chuàng)建一個普通賬號,為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于6位的口令,查看系統(tǒng)是否對口令強度要求進行提示;輸入帶有特殊符號的復雜口令、普通復雜口令,查看系統(tǒng)是否可以成功設置。備注2.1.4Root用戶遠程登錄限制安全基線項目名稱操作系統(tǒng)AIX遠程登錄安全基線要求項安全基線編號SBL-AIX-02-01-04安全基線項說明Root用戶遠程登錄限制。檢測操作步驟1、執(zhí)行:more/etc/security/user,檢查在root項目中是否有下列行:rlogin=falselogin=truesu=truesugroup=system基線符合性判定依據(jù)禁止root用戶直接登錄系統(tǒng)可以增加系統(tǒng)入侵的難度備注2.1.5系統(tǒng)用戶登錄限制安全基線項目名稱操作系統(tǒng)AIX用戶登錄安全基線要求項安全基線編號SBL-AIX-02-01-05安全基線項說明系統(tǒng)用戶登錄限制。檢測操作步驟1、執(zhí)行:more/etc/security/user,檢查在daemonbinsysadmuucpnuucpprintqguestnobodylpdsshd項目中是否有下列行:rlogin=falselogin=false基線符合性判定依據(jù)系統(tǒng)賬號僅被守護進程和服務使用,不應直接由用戶登錄系統(tǒng)。如果系統(tǒng)沒有應用這些守護進程或服務,建議刪除這些賬號。備注口令2.2.1口令生存期安全要求安全基線項目名稱操作系統(tǒng)AIX口令生存期安全基線要求項安全基線編號SBL-AIX-02-02安全基線項說明對于采用靜態(tài)口令認證技術(shù)的設備,帳戶口令的生存期不長于90天。檢測操作步驟1、執(zhí)行:more/etc/security/user,檢查histexpire基線符合性判定依據(jù)Histexpire小于等于13備注2.2.2口令歷史安全要求安全基線項目名稱操作系統(tǒng)AIX口令生存期安全基線要求項安全基線編號SBL-AIX-02-02安全基線項說明對于采用靜態(tài)口令認證技術(shù)的設備,應配置設備,使用戶不能重復使用最近5次(含5次)內(nèi)已使用的口令。檢測操作步驟1、執(zhí)行:more/etc/security/user,檢查histsize基線符合性判定依據(jù)Histsize大于等于5備注2.2.3用戶口令鎖定策略安全基線項目名稱操作系統(tǒng)AIX口令鎖定安全基線要求項安全基線編號SBL-AIX-02-02安全基線項說明對于采用靜態(tài)口令認證技術(shù)的設備,應配置當用戶連續(xù)認證失敗次數(shù)超過6次(不含6次),鎖定該用戶使用的賬號。檢測操作步驟1、執(zhí)行:more/etc/security/user,檢查retries基線符合性判定依據(jù)retries=6備注2.2.4用戶訪問權(quán)限安全要求安全基線項目名稱操作系統(tǒng)AIX用戶訪問權(quán)限安全基線要求項安全基線編號SBL-AIX-02-02安全基線項說明控制用戶缺省訪問權(quán)限,當在創(chuàng)建新文件或目錄時應屏蔽掉新文件或目錄不應有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。檢測操作步驟1、執(zhí)行:more/etc/default/login,檢查umask基線符合性判定依據(jù)umask027備注2.2.5用戶FTP訪問的安全要求安全基線項目名稱操作系統(tǒng)AIX用戶FTP訪問安全基線要求項安全基線編號SBL-AIX-02-02安全基線項說明控制FTP進程缺省訪問權(quán)限,當通過FTP服務創(chuàng)建新文件或目錄時應屏蔽掉新文件或目錄不應有的訪問允許權(quán)限。檢測操作步驟執(zhí)行:more/etc/ftpaccess,檢查restricted-uid執(zhí)行:more/etc/ftpusers基線符合性判定依據(jù)ftpaccess中應有類似一行restricted-uid*(限制所有);ftpusers列表里邊的用戶名應包括:rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4備注

網(wǎng)絡與服務服務3.1.1遠程維護安全要求安全基線項目名稱操作系統(tǒng)AIX遠程維護安全基線要求項安全基線編號SBL-AIX-03安全基線項說明對于使用IP協(xié)議進行遠程維護的設備,設備應配置使用SSH等加密協(xié)議,并安全配置SSHD的設置。檢測操作步驟1、執(zhí)行:ps–elf|grepssh2、執(zhí)行:ps–elf|greptelnet基線符合性判定依據(jù)ssh啟用,telnet禁用備注網(wǎng)絡3.2.1ICMP重定向安全要求安全基線項目名稱操作系統(tǒng)AIXICMP重定向安全基線要求項安全基線編號SBL-AIX-03安全基線項說明主機系統(tǒng)應該禁止ICMP重定向,采用靜態(tài)路由。檢測操作步驟在/etc/rc2.d/S??inet搜索在/etc/rc2.d/S69inet中搜索基線符合性判定依據(jù)要求ip_send_redirects=0要求ip6_send_redirects=0備注

日志審計日志4.1.1添加認證日志安全基線項目名稱操作系統(tǒng)AIX認證日志安全基線要求項安全基線編號SBL-AIX-04安全基線項說明設備應配置日志功能,對用戶登錄進行記錄,記錄內(nèi)容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址檢測操作步驟執(zhí)行:cat/etc/syslog.conf,檢查類似配置:/var/adm/authlog*.info;auth.none/var/adm/syslog\n"2、檢測操作cat/var/adm/authlogcat/var/adm/syslog基線符合性判定依據(jù)列出用戶賬號、登錄是否成功、登錄時間、遠程登錄時的IP地址。備注審計4.2.1安全事件審計安全基線項目名稱操作系統(tǒng)AIX安全事件審計安全基線要求項安全基線編號SBL

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論