AIX 5操作系統安全基線（試用版）版本版本控制信息更新日期更新人審批人V1.0創建2013年3月備注：若此文檔需要日后更新，需填寫版本控制表格，否則刪除版本控制表格。目 錄1.概況11.1.目的11.2.適用范圍11.3.適用版本11.4.使用方法11.5.編號規則31.6.參考標準32.安全配置要求42.1.帳戶口令安全42.1.1.帳戶共用42.1.2.帳戶鎖定42.1.3.超級管理員遠程登錄限制52.1.4.帳戶權限最小化62.1.5.口令長度及復雜度72.1.6.口令最長使用期限72.1.7.口令重新使用限制82.1.8.口令鎖定策略92.2.服務及授權安全92.2.1.重要文件目錄權限92.2.2.用戶缺省訪問權限102.2.3.服務開啟最小化112.2.4.系統時間同步122.2.5.DNS服務指向132.3.補丁安全132.4.日志審計142.4.1.日志審計功能設置142.4.2.日志權限設置152.4.3.日志定期備份162.4.4.網絡日志服務器設置（可選）172.5.防堆棧溢出設置172.6.登錄通信安全182.6.1.遠程管理加密182.6.2.登錄超時時間設置203.評審與修訂21（本頁空白）1. 概況1.1. 目的本基線制定了中國石化總部及下屬各企業的AIX操作系統應遵循的基本安全配置原則，旨在為企業的系統建設、運維或安全檢查工作提供規范性指導。1.2. 適用范圍適用于中國石化總部及下屬各企業使用的AIX操作系統。信息化管理部對各企業執行本基線的情況進行指導和督促，各企業的系統建設人員、系統運維人員、安全管理人員應根據實際情況嚴格參照執行。本基線所列各項基本安全配置要求，僅可作為企業編制主機入網測試、安全驗收、安全檢查規范等文檔的參考，如需進行實際配置修改操作，還應在本基線的基礎上制定合理的操作方案，并在實際環境中測試通過后方可操作。1.3. 適用版本適用于AIX 5.x操作系統。1.4. 使用方法1）系統建設階段的使用方法信息系統在建設初期應根據各安全基線要求內容進行系統整體安全架構設計，基線使用人員包括但不限于各企業的系統建設人員及安全管理人員。在系統建設階段，系統建設人員應在安全管理人員的協助下，嚴格參照各基線中“安全配置要求：安全基線要求內容”和“安全配置要求：操作指南”的內容，對所涉及的網絡、應用、主機、數據庫、中間件等進行概要設計和詳細設計，明確其安全配置要求，并在系統上線前進行安全基線實施情況檢查，檢查通過后方可上線。相關流程如下圖所示：圖1 安全配置基線在系統建設中的應用2）系統運維階段的使用方法信息系統在系統運維階段應依照安全基線要求定期進行安全合規性檢查，基線使用人員包括但不限于各企業的系統運維人員和安全管理人員。在系統運維階段，安全管理人員應在系統運維人員的協助下，嚴格參照各基線中“安全配置要求：符合性判定方法”的內容，結合“安全配置要求：操作指南”的相關操作步驟，對系統所涉及的網絡、應用、主機、數據庫、中間件等進行合規性檢查，并記錄相關檢查結果。安全合規性檢查完成后，系統運維人員應在安全管理人員協助下，依照檢查結果和各基線中“安全配置要求：操作指南”和“安全配置要求：符合性判定方法”的內容進行系統整改，整改完成后應由安全管理人員進行復查。相關流程如下圖所示：圖2 安全配置基線在安全檢查中的應用1.5. 編號規則安全基線采用SBL-設備系統名稱-數字-數字-數字的方式命名，設備系統名稱是指此基線適用的設備或系統，例如Windows、Oracle等，后續的數字編號指基線要求的具體項目編號，例如SBL- AIX 5.x-02-02-01是指AIX 5.0操作系統的安全基線，屬于此基線第二章中第二小節的第一項要求，因此數字部分為02-02-01。1.6. 參考標準 中國石化內部控制手冊； 信息系統安全保障評估框架（GB/T 20274-2008）； 信息系統安全等級保護基本要求（GB/T 22239-2008）； 聯邦信息和信息系統安全分類標準（FIPS199）； 聯邦信息系統最小安全控制標準（FIPS200）。2. 安全配置要求2.1. 帳戶口令安全2.1.1. 帳戶共用安全基線要求內容應為不同用戶分配不同帳戶，不允許不同用戶間共享同一系統帳戶。安全基線編號SBL-AIX 5-02-01-01操作指南1、參考配置操作1）為用戶創建帳戶：#useradd username /創建帳戶#passwd username /設置密碼2、補充操作說明無。符合性檢測判定方法1、判定條件不存在不同用戶間共享同一帳戶的情況。2、檢測操作1）#cat /etc/passwd /查看系統帳戶列表；2）訪談系統管理員，詢問各帳戶的使用人情況；3）判定是否存在不同用戶共享帳戶的情況。 3、補充說明無。檢測結果記錄整改情況記錄備注2.1.2. 帳戶鎖定安全基線要求內容應刪除或鎖定過期帳戶和無用帳戶。安全基線編號SBL-AIX 5-02-01-02操作指南1、參考配置操作#userdel username /刪除用戶鎖定用戶：1)修改/etc/shadow 文件，在用戶名后加*LK*；2)將/etc/passwd文件中的shell 域設置成/bin/false；3)#passwd -l username。2、補充操作說明 1）只有具備超級用戶權限的使用者方可使用，#passwd -l username 鎖定用戶，用#passwd -d username 解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow 能保留原有密碼。2）需要鎖定的帳戶：listen,gdm,webservd,nobody, nobody4和 noaccess。符合性檢測判定方法1、判定條件不存在過期帳戶和無用帳戶。2、檢測操作1）cat /etc/passwd 查看系統帳戶列表；2）訪談系統管理員，詢問各帳戶的使用情況；3）判定是否存在過期或無用帳戶仍在使用的情況。3、補充說明無。檢測結果記錄整改情況記錄備注2.1.3. 超級管理員遠程登錄限制安全基線要求內容應限制root帳戶遠程登錄。安全基線編號SBL-AIX 5-02-01-03操作指南1、 參考配置操作1）禁止root賬戶直接通過 ssh 遠程登錄；2）編輯/etc/ssh/sshd_config文件，將PermitRootLogin yes 改為PermitRootLogin no，同時去掉#號，然后重啟sshd服務。3)重啟sshd服務依次使用以下命令： startsrc -s sshdstopsrc -s sshd2、補充操作說明無。符合性檢測判定方法1、判定條件1）root帳戶無法遠程登錄；2）普通用戶可以登錄成功，而且可以切換到root用戶。2、檢測操作1）使用root進行遠程登錄，查看是否能夠登錄成功；2）使用普通用戶進行遠程登錄，查看是否能夠登錄成功，登錄成功后使用“su root”命令查看是否能夠切換至root賬戶。3、補充說明無。檢測結果記錄整改情況記錄備注2.1.4. 帳戶權限最小化安全基線要求內容應根據實際需要為各個帳戶設置最小權限。安全基線編號SBL-AIX 5-02-01-04操作指南1、參考配置操作創建帳戶組： 1）#groupadd g GID groupname /創建一個組，并為其設置GID號，若不設GID，系統會自動為該組分配一個GID號； 2）#usermod g group username /將用戶username 分配到group 組中；3）#id username /查詢被分配到的組的GID，可以根據實際需求使用如上命令進行設置。2、補充操作說明1）可以使用 -g 選項設定新組的 GID。0 到 499 之間的值留給 root、bin、mail 這樣的系統帳戶，因此最好指定該值大于 499。如果新組名或者 GID 已經存在，則返回錯誤信息；2）當group_name字段長度大于八個字符，groupadd命令會執行失敗；3）當用戶希望以其他用戶組成員身份出現時，需要使用newgrp命令進行更改，如#newgrp sys 即把當前用戶以sys 組身份運行。符合性檢測判定方法1、判定條件 應用帳戶及數據庫帳戶不擁有管理員權限。2、檢測操作1） 使用命令#cat /etc/group /查看帳戶分組情況；2） 使用命令#id username 檢測帳號是屬于應有的組；3） 訪談系統管理員，詢問各組及各帳戶權限分配情況；4） 判斷是否存在帳戶權限分配不當的情況。3、補充說明無。檢測結果記錄整改情況記錄備注2.1.5. 口令長度及復雜度安全基線要求內容應要求操作系統口令長度至少為8位，且應為數字、字母和特殊符號中至少2類的組合, 數字、字母和特殊符號如下所示：l 英語字母： a ，b，c ， z，A，B，CZ；l 阿拉伯數字 ：0，1 ，2 ， 9；l 特殊符號：，# ， $,，%,，&， * 。安全基線編號SBL-AIX 5-02-01-05操作指南1、 參考配置操作執行以下命令：#chsec -f /etc/security/user -s default -a minlen=8 #chsec -f /etc/security/user -s default -a minalpha=1 #chsec -f /etc/security/user -s default -a mindiff=1 #chsec -f /etc/security/user -s default -a minother=1#chsec f /etc/security/user s default -a pwdwarntime=52、補充操作說明minlen=8 #口令長度最少 8 位 ；minalpha=1 #包含的字母最少 1 個 ；mindiff=1 #包含的唯一字符最少 1 個 ；minother=1#包含的非字母最少 1 個；pwdwarntime=5 #系統在口令過期前 5 天發出修改口令的警告信息。符合性檢測判定方法1、判定條件1）/etc/security/user中已經配置口令策略；2）口令未達長度及復雜度要求，無法成功創建帳戶。2、檢測操作1）查看文件/etc/security/user中是否已經配置口令策略；2）創建測試帳戶，配置口令長度短于8位，或口令只包含數字、字母、符號中的一類，查看帳戶是否能夠創建成功。3、補充說明無。檢測結果記錄整改情況記錄備注2.1.6. 口令最長使用期限安全基線要求內容應設置口令的最長生存周期小于等于90天。安全基線編號SBL-AIX 5-02-01-06操作指南1、 參考配置操作方法一：#chsec -f /etc/security/user -s default -a histexpire=12方法二：用 vi 或其他文本編輯工具修改/etc/security/user文件中：histexpire=12 #口令可重復使用的星期為 12周（84 天）。2、 補充操作說明無。符合性檢測判定方法1、判定條件/etc/security/user配置文件histexpire值小于或等于12。2、檢測操作查看/etc/security/user 文件histexpire值是否小于或等于12。3、補充說明無。檢測結果記錄整改情況記錄備注2.1.7. 口令重新使用限制安全基線要求內容應配置操作系統用戶不能重復使用最近 5 次（含 5 次）內已使用的口令。安全基線編號SBL-AIX 5-02-01-07操作指南1、參考配置操作方法一：#chsec -f /etc/security/user -s default -a histsize=5方法二：用 vi 或其他文本編輯工具修改/etc/security/user 文件中：histsize=5 #可允許口令重復使用5次。2、補充操作說明無。符合性檢測判定方法1、判定條件已設置/etc/security/user文件中histsize值小于或等于5。2、檢測操作查看/etc/security/user文件中histsize值是否小于或等于5。3、補充說明默認沒有 histsize 的標記，即不記錄以前的口令。檢測結果記錄整改情況記錄備注2.1.8. 口令鎖定策略安全基線要求內容應配置當用戶連續認證失敗次數超過 5次（不含 5 次），鎖定該用戶使用的帳戶30分鐘。安全基線編號SBL-AIX 5-02-01-08操作指南1、參考配置操作1）查看帳戶帳戶屬性：#lsuser username2)設置 5 次登錄失敗后帳戶鎖定的值：#chuser loginretries=5 username2、補充操作說明：root 帳戶不在鎖定范圍內。符合性檢測判定方法1、判定條件帳戶屬性中loginretries值為小于或等于5。2、檢測操作運行 lsuser uasename 命令，查看帳戶屬性中loginretries值是否小于或等于5。3、補充說明無。檢測結果記錄整改情況記錄備注2.2. 服務及授權安全2.2.1. 重要文件目錄權限安全基線要求內容應對文件和目錄進行權限設置，合理設置重要目錄和文件的權限安全基線編號SBL-AIX 5-02-02-01操作指南1、參考配置操作通過chmod命令對目錄的權限進行配置。/etc/passwd須所有用戶都可讀，root 用戶可寫 -rw-rr/etc/shadow 只有root 可讀 -r-/etc/group 須所有用戶都可讀，root 用戶可寫 -rw-rr/etc/init.d/ 須只有root可讀、寫、執行這個目錄下的腳本-rwxr-x-使用如下命令設置：#chmod 644 /etc/passwd#chmod 600 /etc/shadow#chmod 644 /etc/group#chmod R 750 /etc/init.d/2、補充操作說明如果/etc/目錄存在寫權限，應移去非root用戶對/etc目錄的寫權限。命令如下：#chmod -R go-w /etc符合性檢測判定方法1、 判定條件已對重要文件目錄的權限進行合理配置。2、檢測操作1）利用root用戶登錄系統，查看重要文件目錄權限分配情況；2）訪談系統管理員，詢問各帳戶權限分配情況；3）判定是否存在帳戶權限分配不當的情況。3、補充說明無。檢測結果記錄整改情況記錄備注2.2.2. 用戶缺省訪問權限安全基線要求內容應配置用戶缺省訪問權限。安全基線編號SBL-AIX 5-02-02-02操作指南1、 參考配置操作1）修改/etc/default/login配置文件在/etc/default/login文件末尾增加參數umask 0272）修改/etc/security/user配置文件在/etc/security/user，找到umask 這行，修改如下：umask=0272、補充操作說明 如果用戶需要使用一個不同于默認全局系統設置的 umask，可以在需要的時候通過命令行設置，或者在用戶的 shell 啟動文件中配置。符合性檢測判定方法1、判定條件配置文件/etc/default/login中umask值為027。2、檢測操作 查看新建的文件或目錄的權限，操作舉例如下：1）使用命令“#ls -l dir ）查看目錄 dir 的權限2）使用命令“#cat /etc/default/login” 查看是否有 umask 027 參數。3、補充說明umask 的默認設置一般為 022，這給新創建的文件默認權限 755（777-022=755），這會給文件所有者讀、寫權限，但只給組成員和 其他用戶讀權限。umask 的計算：umask 是使用八進制數據代碼設置的，對于目錄，該值等于八進制 數據代碼 777 減去需要的默認權限對應的八進制數據代碼值；對于文件，該值等于八進制數據代碼 666 減去需要的默認權限對應的八進制數據代碼值。檢測結果記錄整改情況記錄備注2.2.3. 服務開啟最小化安全基線要求內容應關閉不必要的服務。安全基線編號SBL-AIX 5-02-02-03操作指南1、參考配置操作查看所有開啟的服務：#ps -e -f在inetd.conf中關閉不用的服務 1）使用命令“#cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup”復制inetd.conf文件2）使用命令“#vi inetd.conf”編輯文件，對于需要注釋掉的服務在相應行開頭標記#字符， 重啟inetd服務；3）重新啟用該服務，使用命令：#refresh -s inetd#sh dis_server.sh2、補充操作說明 參考常見_AIX_系統服務摘要，根據具體情況禁止不必要的服務。 注意：改變了“inetd.conf”文件之后，需要重新啟動inetd。 符合性檢測判定方法1、判定條件不存在不必要的服務；2、檢測操作1）使用命令ps -e -f查看當前運行服務；2）訪談系統管理員，參照服務摘要文檔，詢問當前開啟的是否都是必要的服務。3、補充說明 在/etc/inetd.conf文件中禁止下列不必要的基本網絡服務。 Tcp服務，例如：ftp telnet shell kshell login klogin execUDP服務，例如：ntalk rstatd rusersd rwalld sprayd pcnfsd 注意：改變了“inetd.conf”文件之后，需要重新啟動inetd。 檢測結果記錄整改情況記錄備注2.2.4. 系統時間同步安全基線要求內容應確保系統時間與NTP服務器同步。安全基線編號SBL-AIX 5-02-02-04操作指南1、參考配置操作ntp 的配置文件： /etc/inet/ntp.conf1）修改配置文件/etc/inet/ntp.conf中server IP地址（NTP服務器地址）；2）#driftfile /var/ntp/ntp.drift （建drift文件及相關目錄，這個文件是用于在ntp重起的時候快速的和服務器進行同步）；3）#startsrc s xntpd 啟動NTP客戶端守護進程；4）#smitty xntpd 通過調用smitty，使 xntpd 在以后重啟服務器時能自動啟動。2、補充操作說明/etc/inet/ntp.conf默認是沒有的，需要做server的話，就把ntp.server拷貝更名為/etc/inet/ntp.conf，如果做client的話，就把ntp.client拷貝更名為/etc/inet/ntp.conf。符合性檢測判定方法1、判定條件系統時間已與NTP服務器同步。2、檢測操作使用命令“#cat /etc/inet/ntp.conf”查看ntp 的配置文件是否添加NTP服務器IP地址。3、補充說明無。檢測結果記錄整改情況記錄備注2.2.5. DNS服務指向安全基線要求內容應配置系統DNS指向企業內部DNS服務器。安全基線編號SBL-AIX 5-02-02-05操作指南1、參考配置操作1）編輯resolv.conf文件#vi /etc/resolv.conf 添加如下配置：searchdomain XX.XX.domain （域名）nameserver XX.XX.XX.XX nameserver XX.XX.XX.XX 注：XX.XX.XX.XX為DNS服務器的 ip地址。2、補充操作說明無。符合性檢測判定方法1、判定條件DNS地址已配置為企業內部DNS服務器ip地址。2、檢測操作1）通過nslookup解析DNS服務器ip地址；2）使用命令“cat /etc/resolv.conf”來查看DNS服務器ip地址是否為企業內部DNS服務器ip地址3、補充說明：無。檢測結果記錄整改情況記錄備注2.3. 補丁安全安全基線要求內容應在確保業務不受影響的情況下及時更新操作系統補丁。安全基線編號SBL-AIX 5-02-03-01操作指南1、參考配置操作1）把補丁集拷貝到一個目錄，如/08update；2）執行#smit update_all 選擇安裝目錄/08update /默認 SOFTWARE to update _update_all COMMIT software updates? no /選擇不提交SAVE replaced files? yes /保存被覆蓋的文件ACCEPT new license agreements? yes /接受許可協議然后回車執行安裝。2、補充操作說明無。符合性檢測判定方法1、判定條件已安全了最新補丁。2、檢測操作查看最新的補丁號，通過命令instfix a ivk LYxxxx檢查某一個補丁是否安裝，例如 LY59082 是否安裝：#instfix a ivk LY59082檢查文件集（filesets）是否安裝：#lslpp l bos.adt.libm3、補充說明補丁下載 /eserver/support/fixes/檢測結果記錄整改情況記錄備注2.4. 日志審計2.4.1. 日志審計功能設置安全基線要求內容應配置日志審計功能。安全基線編號SBL-AIX 5-02-04-01操作指南1、參考配置操作1）修改配置文件 vi /etc/syslog.conf，添加：*.info;auth.none /var/adm/syslog /記錄幾乎系統所有的錯誤日志；*.err /var/adm/errorlog /記錄系統故障日志；*.alert /var/adm/alertlog /記錄系統報警日志；*.cri /var/adm/critlog /記錄系統嚴重錯誤日志；auth, /var/adm/authlog /記錄登錄方面的信息（包括login程序，ssh、telnet、su、sudo）。2）建立日志文件，如下命令：#touch /var/adm/authlog /var/adm/syslog #chown root:system /var/adm/authlog3）重新啟動 syslog 服務，依次執行下列命令：#stopsrc -s syslogd #startsrc -s syslogd2、補充操作說明/var/adm/wtmp /記錄正確登錄系統帳戶與錯誤登錄,對追蹤一般帳號使用行為很有幫助；/var/adm/cron/log /例行性工作調度方面的信息；/var/adm/sulog /記錄使用su命令切換帳號日志。AIX 系統默認不捕獲登錄信息到 syslogd，以上配置增加了驗證信息發送到/var/adm/authlog 和/var/adm/syslog。符合性檢測判定方法1、判定條件/etc/syslog.conf 存在如下參數：*.info;auth.none /var/adm/syslog*.err /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth, /var/adm/authlog2、檢測操作使用命令#cat /etc/syslog.conf是否配置一下參數：*.info;auth.none /var/adm/syslog*.err /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth, /var/adm/authlog3、補充說明無。檢測結果記錄整改情況記錄備注2.4.2. 日志權限設置安全基線要求內容應配置帳戶對日志文件讀取、修改和刪除等操作權限進行限制。安全基線編號SBL-AIX 5-02-04-02操作指南1、參考配置操作配置日志文件權限，使用如下命令：#chmod 600 /var/adm/authlog #chmod 640 /var/adm/syslog 2、補充操作說明無。符合性檢測判定方法1、判定條件沒有相應權限的用戶不能查看或刪除日志文件2、檢測操作1）查看 syslog.conf 文件中配置的日志存放路徑：#more /etc/syslog.conf2）使用 ls -l /var/adm 查看的目錄下日志文件的權限，如：authlog權限是否為600、syslog 的權限是否為 600、644。3）使用低權限帳戶登錄系統，是否能夠進行日志查看及刪除操作。3、補充說明：對于其他日志文件，也應該設置適當的權限，如登錄失敗事件的日志、操作日志，具體文件查看 syslog.conf 中的配置。檢測結果記錄整改情況記錄備注2.4.3. 日志定期備份 安全基線要求內容應定期對系統日志進行備份安全基線編號SBL-AIX 5-02-04-03操作指南1、參考配置操作 1）建立日志備份管理機制，搭建日志備份存儲服務器； 2）依據日志備份管理機制，定期對系統日志進行備份。2、補充操作說明系統日志至少每3個月進行一次轉儲，并至少保存6個月。符合性檢測判定方法1、判定條件 存在備份管理機制，并存在備份系統日志。2、檢測操作1）詢問管理員是否已建立日志備份管理機制，是否已搭建日志備份存儲服務器；2）查看日志備份管理機制，確認是否存在備份日志；3）判定是否已按照日志備份機制對系統日志進行備份。3、補充說明無。檢測結果記錄整改情況記錄備注2.4.4. 網絡日志服務器設置（可選）安全基線要求內容應配置統一的網絡日志服務器。安全基線編號SBL-AIX 5-02-04-04操作指南1、參考配置操作在配置文件/etc/syslog.conf中添加配置如下：printf # Following lines added by CISecurity AIX syslog.confn* info;mail.none xx.xx.xx.xx*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug;mail.none xx.xx.xx.xxn /etc/syslog.conf stopsrc -s syslogd startsrc -s syslogd2、補充操作說明（xx.xx.xx.xx為統一的網絡服務器ip地址）符合性檢測判定方法1、判定條件/etc/syslog.conf已配置統一的網絡日志服務器IP地址。2、檢測操作查看配置文件/etc/syslog.conf中是否存在相關指向日志服務器地址內容，地址指向是否正確。3、補充說明無。檢測結果記錄整改情況記錄備注2.5. 防堆棧溢出設置安全基線要求內容防止堆棧緩沖溢出。安全基線編號SBL-AIX 5-02-05-01操作指南1、參考配置操作編輯/etc/security/limits 并且改變 core 值為 0，并增加一行在后面， 如下：core 0 core_hard = 0 保存文件后退出，執行命令：#echo # Added by Nsfocus Security Benchmark /etc/profile #echo ulimit -c 0 /etc/profile#chdev -l sys0 -a fullcore=false2、 補充操作說明應用程序在發生錯誤的時候會把自身的敏感信息從內存里 DUMP到文件，易被攻擊者利用。注：內核參數改動后需要重啟服務器才生效。符合性檢測判定方法1、判定條件配置文件/etc/security/limits中已添加：core 0 、core_hard=0，在配置文件/etc/profile中已添加ulimit c 02、檢測操作查看/etc/security/limits 文件是否有如下兩行參數：core