免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 AIX AIX文档中心 新机器为满足安全性需求而要执行的脚本(原创)
最近访问板块 发新帖
查看: 1947 | 回复: 0
打印 上一主题 下一主题

[其他] 新机器为满足安全性需求而要执行的脚本(原创) [复制链接]

beginner-bj

论坛徽章:
1
荣誉会员 日期:2011-11-23 16:44:17
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2006-03-12 16:59 |只看该作者 |倒序浏览

    新装的机器,需要更改许多配置来满足ITCS104的安全要求。写了个脚本,执行一遍就OK了。

#!/bin/ksh
# Date: 2005-11-16
# ITCS104 V3.0
#1. modify /etc/security/user
ed /etc/security/user
ed /etc/security/user
ed /etc/security/user
ed /etc/security/user
ed /etc/security/user
ed /etc/security/user
ed /etc/security/user

#2. modify /etc/snmpd.conf
ed /etc/snmpd.conf
/usr/sbin/snmp3_ssw -1

#3. add /etc/ftpusers
echo root >>/etc/ftpusers
sort /etc/ftpusers |uniq >/tmp/ftpusers
cat /tmp/ftpusers > /etc/ftpusers
rm -f /tmp/ftpusers

#4. modify /etc/motd
cat /etc/motd
*******************************************************************************
*                                                                             *
*                                                                             *
*  Welcome to AIX Version 5.3!                                                *
*                                                                             *
*                                                                             *
*  Please see the README file in /usr/lpp/bos for information pertinent to    *
*  this release of the AIX Operating System.                                  *
*                                                                             *
*  IBM's internal systems must only be used for conducting IBM's business or  *
*  for purposes authorized by IBM MANAGEMENT!!!                               *
*  Use is subject to audit at any time by IBM management.                     *
*  Use of this system without authorization is prohibited.                    *
*                                                                             *
*******************************************************************************
#IBM INTERNAL SYSTEMS AUTHORIZED MANAGEMENT AUDIT ANY TIME
!
# Date: 2005-12-03
version=`uname -v`"."`uname -r`
ed /etc/motd.bak

#5. deny root's remote login
chuser rlogin='false' root  

#6. modify /etc/inetd.conf
suffix=`date +"%y%m%d%H%M%S"`
cp /etc/inetd.conf /etc/inetd.conf.$suffix
sed s/^/#/ /etc/inetd.conf.$suffix | \
sed s/^##/#/ | \
sed s/^#ftp/ftp/ | \
sed s/^#telnet/telnet/ | \
sed s/^#xmquery/xmquery/ | \
sed s/^#godm/godm/ \
>/etc/inetd.conf
# Date: 2005-01-12
ed /etc/inetd.conf
refresh -s inetd

#7. modify /etc/rc.tcpip
suffix=`date +"%y%m%d%H%M%S"`
cp /etc/rc.tcpip /etc/rc.tcpip.$suffix
sed s/^qpi=30m/#qpi=30m/ /etc/rc.tcpip.$suffix | \
sed s/"^start \/usr\/lib\/sendmail"/"#start \/usr\/lib\/sendmail"/ | \
sed s/"^start \/usr\/sbin\/muxatmd"/"#start \/usr\/sbin\/muxatmd"/ | \
sed s/"^start \/usr\/sbin\/portmap"/"#start \/usr\/sbin\/portmap"/ | \
sed s/"^start \/usr\/sbin\/syslogd"/"#start \/usr\/sbin\/syslogd"/ | \
sed s/"^start \/usr\/sbin\/dpid2"/"#start \/usr\/sbin\/dpid2"/ \
>/etc/rc.tcpip
stopsrc -s sendmail
stopsrc -s muxatmd
stopsrc -s portmap
stopsrc -s dpid2
stopsrc -s syslogd

#8. modify /etc/inittab
suffix=`date +"%y%m%d%H%M%S"`
cp /etc/inittab /etc/inittab.$suffix
cat /etc/inittab.$suffix | sed s/^rcnfs/:rcnfs/ | \
sed s/^qdaemon/:qdaemon/ | \
sed s/^writesrv/:writesrv/ | \
sed s/^ctrmc/:ctrmc/ | \
sed s/^uprintfd/:uprintfd/ | \
sed s/^shdaemon/:shdaemon/ | \
sed s/^piobe/:piobe/ \
> /etc/inittab
stopsrc -g spooler
stopsrc -g nfs
stopsrc -s ctrmc
stopsrc -g rsct_rm

#9. modify time zone
# Date: 2005-12-03
if [ $TZ != "BEIST-8" ]
  then
     chtz BEIST-8
     echo 'Any changes made to the time zone will take effect at the next system boot.'
fi

#10. other
# Date: 2006-01-12
echo 'export PS1="`hostname`:[\$PWD]$"' >> /etc/profile
echo set -o vi >> /etc/profile
echo 'export PS1="`hostname`:[\$PWD]#"' >> /.profile
echo "alias ls='/usr/bin/ls -F'" >> /.profile

几点说明:
1、脚本反复执行不会出错,故脚本同样适用年度、季度的HEALTH CHECK。
2、脚本的第7和第8部分会执行如下命令,故做年度、季度的HEALTH CHECK时,请先确认能否执行这些命令(如:HACMP工作时,需要portmap、ctrmc、rsct_rm保持启用)。
stopsrc -s sendmail
stopsrc -s muxatmd
stopsrc -s portmap
stopsrc -s dpid2
stopsrc -g spooler
stopsrc -g nfs
stopsrc -s ctrmc
stopsrc -g rsct_rm
3、重要文件修改前都有备份,如有问题可以找到原文件。如:
myaix#/etc> ls |grep 05
inetd.conf.051116171954
inittab.051116171954
rc.tcpip.051116171954*
myaix#/etc>


==================================================================================
任何形式的转载,请写明出处:
email:
beginner@yeah.net
blog:
http://blog.chinaunix.net/index.php?blogId=739
   
http://www.cublog.cn/u/739/
==================================================================================

本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/739/showart_84162.html
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP