不错的 Aix 的安全检查列表（转）

font2008

\n\nAIX安全检查列表\r\n第1章 系统基本信息\r\nuname -a 显示系统信息（硬件编号、系统名称、主机名、操作系统的version和release）\r\noslevel 显示系统版本\r\nwho -r 系统当前的runlevel\r\n第2章 系统网卡信息\r\nifconfig –a 显示系统内所有网卡信息\r\n第3章 系统路由信息   \r\nnetstat –nr 显示系统路由信息\r\n第4章 网络连接信息 \r\nnetstat –na 显示系统当前所有网络连接的状态\r\n第5章 操作系统进程信息\r\nps –ef 显示系统内所有的进程\r\n第6章 文件系统基本权限信息\r\n检查基本的目录权限：\r\nQuotation\r\n/\r\n/etc\r\n/usr\r\n/var\r\n/tmp\r\n/dev\r\n/sbin\r\n/home\r\n/usr/bin\r\n/usr/lib\r\n/usr/sbin\r\n/var/adm\r\n/var/spool\r\n检查主要的配置文件权限：\r\nQuotation\r\n/etc/passwd\r\n/etc/security/passwd\r\n/etc/security/user\r\n/etc/security/login.cfg\r\n/etc/inittab\r\n使用find命令查找所有setuid、setgid和全局可写的文件和目录。\r\nfind / -perm -4000 -ls 查找所有setuid的文件\r\nfind / -perm -2000 -ls 查找所有setgid的文件\r\nfind / -perm -0004 -ls 查找所有全局可写的文件和目录\r\n第7章系统是否允许root远程登录\r\n7.1.检查\r\nAIX系统中没有对root远程登录进行单独的限制，和其他用户一样，对root用户远程登录的限制可以在文件/etc/security/user中指定。该操作可以通过以下三种方式进行：\r\n1、使用vi直接查看及更改/etc/security/user文件；\r\n2、使用lsuser和chuser命令；\r\n3、通过smit查看及更改（smit lsuser，smit chuser）。\r\nlsuser -a rlogin root 查看root的rlogin属性（默认为true，允许远程登录，telnet或rlogin）\r\nchuser rlogin=false root 禁止root远程登录\r\nlsuser -a ttys root 查看root的ttys属性（root用户允许登录的端口）\r\nchuser ttys=lft0 root 只允许root从lft0端口登录（本机）\r\n7.2.加固\r\n设置root的用户属性rlogin=false，ttys=lft0\r\n第8章 rc?.d中的服务的启动情况\r\n8.1.检查\r\nAIX系统中的服务主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中启动，事实上，/etc/rc.*系列文件主要也是由/etc/inittab启动。同时，AIX中所有启动的服务（至少是我们感兴趣的）都可以同过SRC（System Resource Manager）进行管理。可以有三种方式查看系统服务的启动情况：\r\n1、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件（比较麻烦）；\r\n2、使用lssrc和lsitab命令；\r\n3、通过smit查看和更改。\r\n注：SRC本身通过/etc/inittab文件启动。\r\nlssrc -a 列出所有SRC管理的服务的状态\r\nlsitab -a 列出所有由/etc/inittab启动的信息，和cat /etc/inittab基本相同，除了没有注释。\r\n8.2.加固\r\n检查以下服务，如果不需要，关闭掉；否则，对服务做适当配置。\r\n第9章 /etc/inetd.conf中服务的启动情况\r\n9.1.检查\r\n由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC启动），因此查看INETD启动的服务的情况有两种方法：\r\n1、使用vi查看/etc/inetd.conf中没有注释的行；\r\n2、使用lssrc命令。\r\nlssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态\r\nrefresh -s inetd 更改/etc/inetd.conf文件后重启inetd。\r\n9.2.加固\r\n建议关闭由inetd启动的所有服务；如果有管理上的需要，可以打开telnetd、ftpd、rlogind、rshd等服务。\r\n启动或停止inetd启动的服务（例如ftpd）：\r\n1、使用vi编辑/etc/inetd.conf，去掉注释（启动）或注释掉（停止）ftpd所在的行；\r\n2、重启inetd：refresh -s inetd。\r\n第10章是否允许系统用户使用ftp登录？\r\n10.1.检查\r\n和其他UNIX系统一样，AIX系统中使用/etc/ftpusers文件保存不允许通过ftp登录的用户的名称，因此可以直接查看该文件以确定是否允许某用户登录（默认该文件不存在）。\r\n10.2.加固\r\n使用vi编辑/etc/ftpusers文件，将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中（每行一个用户名）。\r\n第11章 系统中无用的用户是否删除或禁用\r\n11.1.检查\r\n询问系统管理员。\r\npasswd -l user1锁定user1用户\r\n11.2.加固\r\n建议锁定除了root以外所有的系统用户（默认是无法登录的）。\r\n第12章口令策略的设置情况\r\n12.1.检查\r\nAIX系统的用户、口令设置的相关文件有：\r\n/etc/passwd 用户文件（不含加密的口令）\r\n/etc/security/passwd 用户的口令文件（类似于/etc/shadow文件，但格式不同）\r\n/etc/security/user 用户的扩展属性配置文件（锁定、登录、口令策略等）\r\n/etc/security/login.cfg 登录的配置文件（登录策略等）\r\n因此，对口令策略的修改主要是在/etc/security/user文件中进行，有以下三种方式：\r\n1、使用vi直接查看和修改/etc/security/user文件；\r\n2、使用lsuser/chuser命令；\r\n3、通过smit查看和修改口令策略（smit chuser）。\r\nlsuser user1 列出用户user1的属性\r\nchuser maxage=26 user1 设置用户user1密码的最长有效期为26周\r\n12.2.加固\r\n对用户的以下属性进行配置：\r\nmaxage=8 口令最长有效期为8周\r\nminage=0 口令最短有效期为0\r\nmaxexpired=4 口令过期后4周内用户可以更改\r\nmaxrepeats=3 口令中某一字符最多只能重复3次\r\nminlen=8 口令最短为8个字符\r\nminalpha=4 口令中最少包含4个字母字符\r\nminother=1 口令中最少包含一个非字母数字字符\r\nmindiff=4 新口令中最少有4个字符和旧口令不同\r\nloginretries=5 连续5次登录失败后锁定用户\r\nhistexpire=26 同一口令在26周内不能重复使用\r\nhistsize=0 同一口令与前0个口令不能重复\r\n第13章登录策略的设置情况\r\n13.1.检查\r\n登录策略主要在/etc/security/login.cfg中定义，可以通过以下三种方式调整：\r\n1、使用vi直接查看和修改/etc/security/login.cfg文件；\r\n2、使用chsec命令；\r\n3、通过smit查看和更改登录策略（smit chsec）。\r\nlssec -f /etc/security/login.cfg -s default 列出默认的端口登录策略\r\nchsec -f /etc/security/login.cfg -s /dev/lft0 -a logindisable=3 三次连续失败登录后锁定端口\r\n13.2.加固\r\n对以下登录策略进行设置：\r\nlogindelay=2 失败登录后延迟2秒显示提示符\r\nlogindisable=3 3次失败登录后锁定端口\r\nlogininterval=60 在60秒内3次失败登录才锁定端口\r\nloginreenable＝15 端口锁定15分钟后解锁\r\n第14章系统是否启用信任主机方式（.rhost、hosts.equiv），配置文件是否配置妥当\r\n14.1.检查\r\n检查rlogin、rsh、rexec服务是否启动。如果启动，查看配置文件/etc/hosts.equiv（全局配置文件）和~/.rhosts（单独用户的配置文件）文件，检查文件是否配置妥当。\r\n14.2.加固\r\n建议关闭R系列服务（rlogin、rsh、rexec）；如果不能关闭（例如HACMP需要rsh的打开），则需要检查配置文件，确保没有失当的配置（例如单行的\"+\"或\"+ +\"）。\r\n第15章 是否以安全模式加载文件系统（如ro，nosuid）\r\n与其他UNIX系统不同，AIX文件系统的配置文件是/etc/filesystems（BSD/Linux是/etc/fstab，Solaris是/etc/vfstab）。使用mount命令可以查看当前加载的文件系统及加载选项。\r\nmount 查看当前加载的文件系统属性\r\n第16章 root的环境变量设置\r\n16.1.检查\r\n用户的环境变量主要在以下文件中设置：\r\n/etc/profile 全局的用户登录配置文件，其中可以设置环境变量\r\n~/.profile 单独用户的登录配置文件，其中可以设置环境变量\r\n/etc/environment 全局的环境变量设置文件\r\n/etc/security/environ 可以在其中对单独用户设置环境变量\r\n因此，对root的环境变量进行设置可以通过/etc/security/environ文件进行：\r\n1、使用vi直接查看和修改/etc/security/environ文件；\r\n2、使用chsec命令；\r\n3、使用smit chsec。\r\nprintenv 查看当前的环境变量设置\r\nchsec -f /etc/security/environ -s root -a TERM=vt100 设置root的TERM环境变量为vt100\r\n16.2.加固\r\n检查环境变量PATH，确保其中不包含本地目录（.）。\r\n第17章通用用户的环境变量设置\r\n参看18（root的环境变量设置）。通用用户的环境变量主要可以通过/etc/environment文件进行修改。\r\n第18章syslog日志的配置情况（例如：记录何种信息，是否本地存放）\r\n和其他的UNIX系统一样，syslog的配置主要通过/etc/syslog.conf配置。日志信息可以记录在本地的文件当中（如/var/adm/messages）或远程的主机上（@hostname）。\r\nstartsrc -s syslogd 启动syslog服务\r\nstopsrc-s syslogd 停止syslog服务\r\n第19章系统内核参数的配置情况（主要考虑安全相关的网络参数）\r\n19.1.检查\r\nAIX系统网络参数可以通过no命令进行配置，比较重要的网络参数有：\r\nicmpaddressmask=0 忽略ICMP地址掩码请求\r\nipforwarding=0 不进行IP包转发\r\nipignoreredirects=1 忽略ICMP重定向包\r\nipsendredirects=0 不发送ICMP重定向包\r\nipsrcrouteforward=0 不转发源路由包\r\nipsrcrouterecv=0 不接收源路由包\r\nipsrcroutesend=0 不发送源路由包\r\nno -a 显示当前配置的网络参数\r\nno -o icmpaddressmask=0 忽略ICMP地址掩码请求\r\n19.2.加固\r\n在/etc/rc.net文件重添加以下命令：\r\n/usr/sbin/no -o icmpaddressmask=0\r\n/usr/sbin/no -o ipforwarding=0\r\n/usr/sbin/no -o ipignoreredirects=1\r\n/usr/sbin/no -o ipsendredirects=0\r\n/usr/sbin/no -o ipsrcrouteforward=0\r\n/usr/sbin/no -o ipsrcrouterecv=0\r\n/usr/sbin/no -o ipsrcroutesend=0\r\n\r\n第20章是否修改系统的banner信息，防止系统泄漏信息\r\n通过login登录系统时的banner信息可以在/etc/security/login.cfg中使用属性herald设置，通过直接修改文件或使用chsec命令都可以进行。\r\nchsec -f /etc/security/login.cfg -s default -a herald=\"hello\" 设置默认的banner为hello\r\n第21章 是否对网络连接设置访问控制\r\n除了在信任主机模式（R命令）中可以按照主机地址进行访问控制外，AIX在默认安装时没有提供其他的主机访问控制方式（如防火墙、tcpwrapper等）。\r\n第22章 CDE是否限定任意用户XDMCP登录连接\r\nXDMCP的访问控制可以在文件/usr/dt/config/Xaccess文件中设置，通过注释所有的行可以方便的禁止远程主机的访问。\r\n第23章 Cron/At的使用情况\r\nCron/At的相关文件主要有以下几个：\r\n/var/spool/cron/crontabs 存放cron任务的目录\r\n/var/spool/cron/cron.allow 允许使用crontab命令的用户\r\n/var/spool/cron/cron.deny 不允许使用crontab命令的用户\r\n/var/spool/cron/atjobs 存放at任务的目录\r\n/var/spool/cron/at.allow 允许使用at的用户\r\n/var/spool/cron/at.deny 不允许使用at的用户\r\n使用crontab和at命令可以分别对cron和at任务进行控制。\r\ncrontab -l 查看当前的cron任务\r\nat -l 查看当前的at任务\r\n第24章NFS的配置情况\r\nNFS系统的组成情况：\r\nnfsd NFS服务进程，运行在服务器端，处理客户的读写请求\r\nmountd 加载文件系统服务进程，运行在服务器端，处理客户加载nfs文件系统的请求\r\nbiod 客户端服务进程，运行在客户端，处理客户对服务器的请求\r\n/etc/exports 定义服务器对外输出的NFS文件系统\r\n/etc/filesystems 定义客户端加载的NFS文件系统\r\n如果系统不需要NFS服务，可以使用rmnfs关闭NFS服务；如果不能关闭，使用showmount -e或直接查看/etc/exports文件检查输出的文件系统是否必要，以及属性是否妥当（readonly等）。\r\nlssrc -l -s nfs 显示NFS服务的运行状态\r\nmknfs 启动NFS服务，并在启动文件中（/etc/inittab）添加NFS的启动项\r\nrmnfs 停止NFS服务，并从启动文件中（/etc/inittab）删除NFS的启动项\r\nshowmount -e 显示本机输出的NFS文件系统\r\nmount 显示本机加载的文件系统（包括NFS文件系统）\r\n第25章 SNMP的配置情况\r\n如果系统不需要SNMP服务，可以关闭该服务（使用stopsrc -s snmpd停止服务并在/etc/rc.tcpip中注释掉）；如果不能关闭，需要在/etc/snmpd.conf中指定不同的community name。\r\nlssrc -l -s snmpd 显示SNMP服务的运行状态\r\nstartsrc -s snmpd 启动SNMP服务\r\nstopsrc -s snmpd 停止SNMP服务\r\n第26章 Sendmail的配置情况\r\n如果系统不需要Sendmail服务，可以关闭该服务（stopsrc -s sendmail停止服务并在/etc/rc.tcpip中注释掉）；如果不能关闭，将sendmail服务升级到最新，并在其配置文件/etc/sendmail.cf中指定不同banner（参见示例）。\r\nlssrc -l -s sendmail 显示Sendmail的运行状态\r\nstartsrc -s sendmail 启动Sendmail\r\nstopsrc -s sendmail 停止Sendmail\r\nDNS（Bind）的配置情况\r\n如果系统不需要DNS服务，可以关闭该服务（stopsrc -s named停止服务并在/etc/rc.tcpip中注释掉）；如果不能关闭，将DNS服务升级到最新，并在其配置文件修改版本号（参见示例）。\r\nlssrc -l -s named 显示DNS服务的运行状态\r\nstartsrc -s named 启动DNS服务\r\nstopsrc -s named 停止DNS服务