1、AIX 操作系統安全配置規范2011年3月第1章 概述1.1 適用范圍適用于中國電信使用AIX操作系統的設備。本規范明確了安全配置的基本要求，可作為編制設備入網測試、安全驗收、安全檢查規范等文檔的參考。由于版本不同，配置操作有所不同，本規范以AIX 5.X為例，給出參考配置操作。第2章 安全配置要求2.1 賬號編號： 1要求內容應按照不同的用戶分配不同的賬號。操作指南1、參考配置操作為用戶創建賬號：#useradd username #創建賬號#passwd username #設置密碼修改權限：#chmod 750 directory #其中750為設置的權限，可根據實際情況設置相應的權限，

2、directory是要更改權限的目錄)使用該命令為不同的用戶分配不同的賬號，設置不同的口令及權限信息等。2、補充操作說明檢測方法1、判定條件能夠登錄成功并且可以進行常用操作；2、檢測操作使用不同的賬號進行登錄并進行一些常用操作；3、補充說明編號： 2要求內容應刪除或鎖定與設備運行、維護等工作無關的賬號。操作指南1、參考配置操作刪除用戶：#userdel username; 鎖定用戶：1)修改/etc/shadow文件，用戶名后加*LK*2)將/etc/passwd文件中的shell域設置成/bin/false3)#passwd -l username只有具備超級用戶權限的使用者方可使用，#pa

3、sswd -l username鎖定用戶,用#passwd d username解鎖后原有密碼失效，登錄需輸入新密碼，修改/etc/shadow能保留原有密碼。2、補充操作說明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關的賬號登錄系統；3、補充說明需要鎖定的用戶：listen,gdm,webservd,nobody,nobody4、noaccess。解鎖時間：15分鐘編號： 3要求內容限制具備超級管理員權限的用戶遠程登錄。需要遠程執行管理員權限操

4、作，應先以普通權限用戶遠程登錄后，再切換到超級管理員權限賬號后執行相應操作。操作指南1、 參考配置操作編輯/etc/security/user，加上：在root項上輸入false作為rlogin的值此項只能限制root用戶遠程使用telnet登錄。用ssh登錄，修改此項不會看到效果的2、補充操作說明如果限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務。檢測方法1、判定條件root遠程登錄不成功，提示“沒有權限”；普通用戶可以登錄成功，而且可以切換到root用戶；2、

5、檢測操作root從遠程使用telnet登錄；普通用戶從遠程使用telnet登錄；root從遠程使用ssh登錄；普通用戶從遠程使用ssh登錄；3、補充說明限制root從遠程ssh登錄，修改/etc/ssh/sshd_config文件，將PermitRootLogin yes改為PermitRootLogin no，重啟sshd服務。編號：4要求內容對于使用IP協議進行遠程維護的設備，設備應配置使用SSH等加密協議，并安全配置SSHD的設置。操作指南1、參考配置操作把如下shell保存后，運行，會修改ssh的安全設置項：unalias cp rm mv case find /usr /etc -t

6、ype f | grep -c ssh_config$ in 0) echo Cannot find ssh_config ; 1) DIR=find /usr /etc -type f 2/dev/null | grep ssh_config$ | sed -e s:/ssh_config: cd $DIR cp ssh_config ssh_config.tmp awk /#? *Protocol/ print Protocol 2; next ; print ssh_config.tmp ssh_config if grep -El Protocol ssh_config = ; the

7、n echo Protocol 2 ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ; *) echo You have multiple sshd_config files. Resolve echo before continuing. ; esac #也可以手動編輯 ssh_config，在 Host *后輸入 Protocol 2，cd $DIR cp sshd_config sshd_config.tmp awk /#? *Protocol/ print Protocol 2; next ; /#? *X11Forwardin

8、g/ print X11Forwarding yes; next ; /#? *IgnoreRhosts/ print IgnoreRhosts yes; next ; /#? *RhostsAuthentication/ print RhostsAuthentication no; next ; /#? *RhostsRSAAuthentication/ print RhostsRSAAuthentication no; next ; /#? *HostbasedAuthentication/ print HostbasedAuthentication no; next ; /#? *Per

9、mitRootLogin/ print PermitRootLogin no; next ; /#? *PermitEmptyPasswords/ print PermitEmptyPasswords no; next ; /#? *Banner/ print Banner /etc/motd; next ; print sshd_config.tmp sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用ssh2版本X11Forwarding yes #允許窗口圖形傳輸使用ssh加密IgnoreRhosts ye

10、s#完全禁止SSHD使用.rhosts文件RhostsAuthentication no #不設置使用基于rhosts的安全驗證RhostsRSAAuthentication no #不設置使用RSA算法的基于rhosts的安全驗證HostbasedAuthentication no #不允許基于主機白名單方式認證PermitRootLogin no #不允許root登錄PermitEmptyPasswords no #不允許空密碼Banner /etc/motd #設置ssh登錄時顯示的banner2、補充操作說明查看SSH服務狀態：# ps elf|grep ssh檢測方法1、 判定條件#

11、 ps elf|grep ssh是否有ssh進程存在2、檢測操作查看SSH服務狀態：# ps elf|grep ssh查看telnet服務狀態：# ps elf|grep telnet2.2 口令編號：1要求內容對于采用靜態口令認證技術的設備，口令長度至少8位，并包括數字、小寫字母、大寫字母和特殊符號4類中至少3類。操作指南1、參考配置操作chsec -f /etc/security/user -s default -a minlen=8chsec -f /etc/security/user -s default -a minalpha=1chsec -f /etc/security/user

12、 -s default -a mindiff=1chsec -f /etc/security/user -s default -a minother=1chsec f /etc/security/user s default -a pwdwarntime=5minlen=8 #密碼長度最少8位minalpha=1 #包含的字母最少1個mindiff=1 #包含的唯一字符最少1個minother=1#包含的非字母最少1個pwdwarntime=5 #系統在密碼過期前5天發出修改密碼的警告信息給用戶2、補充操作說明 檢測方法1、判定條件不符合密碼強度的時候，系統對口令強度要求進行提示；符合密碼強度

13、的時候，可以成功設置；2、檢測操作1、檢查口令強度配置選項是否可以進行如下配置：i. 配置口令的最小長度；ii. 將口令配置為強口令。2、創建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數字的簡單口令以及長度短于8位的口令，查看系統是否對口令強度要求進行提示；輸入帶有特殊符號的復雜口令、普通復雜口令，查看系統是否可以成功設置。編號： 2要求內容對于采用靜態口令認證技術的設備，帳戶口令的生存期不長于90天。操作指南1、 參考配置操作方法一：chsec -f /etc/security/user -s default -a histexpire=13方法二：用vi或其他文本編輯工具修改

14、chsec -f /etc/security/user文件如下值：histexpire=13histexpire=13 #密碼可重復使用的星期為13周（91天）2、補充操作說明檢測方法1、判定條件密碼過期后登錄不成功；2、檢測操作使用超過90天的帳戶口令登錄會提示密碼過期；編號： 3要求內容對于采用靜態口令認證技術的設備，應配置設備，使用戶不能重復使用最近5次（含5次）內已使用的口令。操作指南1、參考配置操作方法一：chsec -f /etc/security/user -s default -a histsize=5方法二：用vi或其他文本編輯工具修改chsec -f /etc/securi

15、ty/user文件如下值：histsize=5histexpire=5 #可允許的密碼重復次數檢測方法1、判定條件設置密碼不成功2、檢測操作cat /etc/security/user，設置如下histsize=53、補充說明默認沒有histsize的標記，即不記錄以前的密碼。編號： 4要求內容對于采用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過6次（不含6次），鎖定該用戶使用的賬號。操作指南1、參考配置操作查看帳戶帳戶屬性： #lsuser username 設置6次登陸失敗后帳戶鎖定閥值： #chuser loginretries=6 username檢測方法1、判定條件運行l

16、suser uasename命令，查看帳戶屬性中是否設置了6次登陸失敗后帳戶鎖定閥值的策略。如未設置或大于6次，則進行設置2.3 授權編號： 1要求內容在設備權限配置能力內，根據用戶的業務需要，配置其所需的最小權限。操作指南1、參考配置操作通過chmod命令對目錄的權限進行實際設置。2、 補充操作說明chown -R root:security /etc/passwd /etc/group /etc/security chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/s

17、ecurity chmod -R go-w,o-r /etc/security/etc/passwd /etc/group /etc/security的所有者必須是root和security組成員/etc/security/audit的所有者必須是iroot和audit組成員/etc/passwd 所有用戶都可讀，root用戶可寫 rw-rr /etc/shadow 只有root可讀 r- /etc/group 必須所有用戶都可讀，root用戶可寫 rw-rr使用如下命令設置：chmod 644 /etc/passwdchmod 644 /etc/group如果是有寫權限，就需移去組及其它用戶

18、對/etc的寫權限（特殊情況除外）執行命令#chmod -R go-w,o-r /etc檢測方法1、判定條件1、設備系統能夠提供用戶權限的配置選項，并記錄對用戶進行權限配置是否必須在用戶創建時進行；2、記錄能夠配置的權限選項內容；3、所配置的權限規則應能夠正確應用，即用戶無法訪問授權范圍之外的系統資源，而可以訪問授權范圍之內的系統資源。2、檢測操作1、利用管理員賬號登錄系統，并創建2個不同的用戶；2、創建用戶時查看系統是否提供了用戶權限級別以及可訪問系統資源和命令的選項；3、為兩個用戶分別配置不同的權限，2個用戶的權限差異應能夠分別在用戶權限級別、可訪問系統資源以及可用命令等方面予以體現；4、

19、分別利用2個新建的賬號訪問設備系統，并分別嘗試訪問允許訪問的內容和不允許訪問的內容，查看權限配置策略是否生效。3、補充說明編號：2要求內容控制FTP進程缺省訪問權限，當通過FTP服務創建新文件或目錄時應屏蔽掉新文件或目錄不應有的訪問允許權限。操作指南1、參考配置操作a. 限制某些系統帳戶不準ftp登錄:通過修改ftpusers文件，增加帳戶#vi /etc/ftpusers b. 限制用戶可使用FTP不能用Telnet，假如用戶為ftpxll創建一個/etc/shells文件, 添加一行 /bin/true;修改/etc/passwd文件，ftpxll:x:119:1:/home/ftpxll

20、:/bin/true注：還需要把真實存在的shell目錄加入/etc/shells文件，否則沒有用戶能夠登錄ftp以上兩個步驟可參考如下shell自動執行：lsuser -c ALL | grep -v #name | cut -f1 -d: | while read NAME; do if lsuser -f $NAME | grep id | cut -f2 -d= -lt 200 ; then echo Adding $NAME to /etc/ftpusers echo $NAME /etc/ftpusers.new fi done sort -u /etc/ftpusers.new

21、/etc/ftpusers rm /etc/ftpusers.new chown root:system /etc/ftpusers chmod 600 /etc/ftpusersc. 限制ftp用戶登陸后在自己當前目錄下活動編輯ftpaccess，加入如下一行restricted-uid *(限制所有)，restricted-uid username（特定用戶） ftpaccess文件與ftpusers文件在同一目錄 d. 設置ftp用戶登錄后對文件目錄的存取權限，可編輯/etc/ftpaccess。chmod no guest,anonymous delete no guest,anony

22、mous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous2、補充操作說明查看# cat ftpusers說明: 在這個列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4檢測方法1、判定條件權限設置符合實際需要；不應有的訪問允許權限被屏蔽掉；2、檢測操作查看新建的文件或目錄的權限，操作舉例如下：#more /etc/ftpusers #more /etc/passwd#more /etc/ftpa

23、ccess 3、補充說明查看# cat ftpusers說明: 在這個列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody42.4 補丁安全編號：1要求內容應根據需要及時進行補丁裝載。對服務器系統應先進行兼容性測試。操作指南1、參考配置操作先把補丁集拷貝到一個目錄，如/08update，然后執行#smit update_all選擇安裝目錄/08update默認SOFTWARE to update _update_all選擇不提交，保存被覆蓋的文件，可以回滾操作，接受許可協議 COMMIT soft

24、ware updates? no SAVE replaced files? yes ACCEPT new license agreements? yes然后回車執行安裝。2、補充操作說明檢測方法1、判定條件查看最新的補丁號，確認已打上了最新補丁；2、檢測操作檢查某一個補丁，比如LY59082是否安裝#instfix a ivk LY59082檢查文件集（filesets）是否安裝#lslpp l bos.adt.libm3、補充說明補丁下載 2.5 日志安全要求編號：1要求內容設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使

25、用的IP地址。操作指南1、參考配置操作修改配置文件vi /etc/syslog.conf，加上這幾行：tt/var/adm/authlog*.info;auth.nonett/var/adm/syslogn 建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 重新啟動syslog服務，依次執行下列命令：stopsrc -s syslogd startsrc -s syslogdAIX系統默認不捕獲登錄信息到syslogd，以上配置增加了驗證信息發送到/va

26、r/adm/authlog和/var/adm/syslog2、補充操作說明檢測方法1、判定條件列出用戶賬號、登錄是否成功、登錄時間、遠程登錄時的IP地址。2、檢測操作cat /var/adm/authlogcat /var/adm/syslog3、補充說明編號： 2（可選）要求內容啟用記錄cron行為日志功能和cron/at的使用情況 操作指南1、參考配置操作cron/At的相關文件主要有以下幾個： /var/spool/cron/crontabs 存放cron任務的目錄 /var/spool/cron/cron.allow 允許使用crontab命令的用戶 /var/spool/cron/c

27、ron.deny 不允許使用crontab命令的用戶 /var/spool/cron/atjobs 存放at任務的目錄 /var/spool/cron/at.allow 允許使用at的用戶 /var/spool/cron/at.deny 不允許使用at的用戶 使用crontab和at命令可以分別對cron和at任務進行控制。 #crontab -l 查看當前的cron任務 #at -l 查看當前的at任務 檢測方法1、判定條件2、檢測操作查看/var/spool/cron/目錄下的文件配置是否按照以上要求進行了安全配置。如未配置則建議按照要求進行配置。 編號：3要求內容設備應配置權限，控制對日

28、志文件讀取、修改和刪除等操作。操作指南1、參考配置操作配置日志文件權限，如下命令：chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 并設置了權限為其他用戶和組禁止讀寫日志文件。檢測方法1、判定條件沒有相應權限的用戶不能查看或刪除日志文件2、檢測操作查看syslog.conf文件中配置的日志存放文件：more /etc/syslog.conf使用ls l /var/adm查看的目錄下日志文件的權限，如：authlog、syslog的權限應分別為600、644。3、補充說明對于其他日志文件，也應該設置適當的權限，如登錄失敗事件的日志、操作日志

29、，具體文件查看syslog.conf中的配置。2.6 不必要的服務、端口編號：1要求內容列出所需要服務的列表(包括所需的系統服務)，不在此列表的服務需關閉。操作指南1、 參考配置操作查看所有開啟的服務：#ps e -f 方法一：手動方式操作在inetd.conf中關閉不用的服務 首先復制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi編輯器編輯inetd.conf文件，對于需要注釋掉的服務在相應行開頭標記#字符，重啟inetd服務,即可。重新啟用該服務，使用命令：refresh s

30、inetd方法二：自動方式操作A.把以下復制到文本里：for SVC in ftp telnet shell kshell login klogin exec echo discard chargen daytime time ttdbserver dtspc; do echo Disabling $SVC TCP chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd echo discard chargen daytime time cmsd; do echo Disab

31、ling $SVC UDP chsubserver -d -v $SVC -p udp done refresh -s inetdB.執行命令：#sh dis_server.sh2、補充操作說明參考附表，根據具體情況禁止不必要的基本網絡服務。注意：改變了“inetd.conf”文件之后，需要重新啟動inetd。對必須提供的服務采用tcpwapper來保護并且為了防止服務取消后斷線，一定要啟用SSHD服務，用以登錄操作和文件傳輸。檢測方法1、判定條件所需的服務都列出來；沒有不必要的服務；2、檢測操作查看所有開啟的服務:cat /etc/inet/inetd.conf,cat /etc/inet/

32、services3、補充說明在/etc/inetd.conf文件中禁止下列不必要的基本網絡服務。Tcp服務如下：ftp telnet shell kshell login klogin execUDP服務如下：ntalk rstatd rusersd rwalld sprayd pcnfsd注意：改變了“inetd.conf”文件之后，需要重新啟動inetd。對必須提供的服務采用tcpwapper來保護2.7 文件與目錄權限編號：1要求內容控制用戶缺省訪問權限，當在創建新文件或目錄時 應屏蔽掉新文件或目錄不應有的訪問允許權限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。操

33、作指南1、 參考配置操作A.設置所有存在賬戶的權限：lsuser -a home ALL | awk print $1 | while read user; do chuser umask=077 $userdonevi /etc/default/login在末尾增加umask 027B.設置默認的profile，用編輯器打開文件/etc/security/user，找到umask這行，修改如下：Umask=0772、補充操作說明如果用戶需要使用一個不同于默認全局系統設置的umask，可以在需要的時候通過命令行設置，或者在用戶的shell啟動文件中配置。檢測方法1、判定條件權限設置符合實際需要

34、；不應有的訪問允許權限被屏蔽掉；2、檢測操作查看新建的文件或目錄的權限，操作舉例如下：#ls -l dir ; #查看目錄dir的權限#cat /etc/default/login 查看是否有umask 027內容3、補充說明umask的默認設置一般為022，這給新創建的文件默認權限755（777-022=755），這會給文件所有者讀、寫權限，但只給組成員和其他用戶讀權限。umask的計算：umask是使用八進制數據代碼設置的，對于目錄，該值等于八進制數據代碼777減去需要的默認權限對應的八進制數據代碼值；對于文件，該值等于八進制數據代碼666減去需要的默認權限對應的八進制數據代碼值。編號：

35、2要求內容對文件和目錄進行權限設置，合理設置重要目錄和文件的權限操作指南1、參考配置操作查看重要文件和目錄權限：ls l更改權限：對于重要目錄，建議執行如下類似操作：# chmod -R 750 /etc/init.d/*這樣只有root可以讀、寫和執行這個目錄下的腳本。2、補充操作說明檢測方法1、判定條件用root外的其它帳戶登錄，對重要文件和目錄進行刪除、修改等操作不能夠成功即為符合。2、檢測操作查看重要文件和目錄權限：ls l用root外的其它帳戶登錄，對重要文件和目錄進行刪除、修改等操作3、補充說明2.8系統Banner設置 要求內容修改系統banner，避免泄漏操作系統名稱，版本號，

36、主機名稱等，并且給出登陸告警信息操作指南1、參考配置操作設置系統Banner的操作如下： 在/etc/security/login.cfg文件中，在default小節增加： herald = ATTENTION:You have logged onto a secured server.All accesses logged.nnlogin:檢測方法查看/etc/security/login.cfg文件中的配置是否按照以上要求進行了配置2.9登錄超時時間設置要求內容對于具備字符交互界面的設備，配置定時帳戶自動登出操作指南1、 參考配置操作設置登陸超時時間為300秒，修改/etc/securit

37、y/.profile文件，增加一行： TMOUT300；TIMEOUT=300；export readonly TMOUT TIMEOUT2、補充操作說明檢測方法1、判定條件查看/etc/security/.profile文件中的配置，是否存在登陸超時時間的設置。如未設置，則建議應按照要求進行配置2.10內核調整（可選）要求內容防止堆棧緩沖溢出操作指南1、參考配置操作編輯/etc/security/limits并且改變core值為0，并增加一行在后面，如下：core 0core_hard = 0保存文件后退出，執行命令： echo # Added by Nsfocus Security Ben

38、chmark /etc/profile echo ulimit -c 0 /etc/profile chdev -l sys0 -a fullcore=false1、 補充操作說明應用程序在發生錯誤的時候會把自身的敏感信息從內存里DUMP到文件，一旦被攻擊者獲取容易引發攻擊。檢測方法1、判定條件能夠防止core文件產生2、檢測操作查看/etc/security/limits文件：cat /etc/security/limits是否有如下兩行：core 0core_hard = 0查看/etc/ profile 文件：cat /etc/security/limits是否有如下行：ulimit c

39、 02.11使用SSH加密協議要求內容對于使用IP協議進行遠程維護的設備，設備應配置使用SSH等加密協議，并安全配置SSHD的設置。操作指南1、參考配置操作把如下shell保存后，運行，會修改ssh的安全設置項：unalias cp rm mv case find /usr /etc -type f | grep -c ssh_config$ in 0) echo Cannot find ssh_config ; 1) DIR=find /usr /etc -type f 2/dev/null | grep ssh_config$ | sed -e s:/ssh_config: cd $DIR

40、 cp ssh_config ssh_config.tmp awk /#? *Protocol/ print Protocol 2; next ; print ssh_config.tmp ssh_config if grep -El Protocol ssh_config = ; then echo Protocol 2 ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ; *) echo You have multiple sshd_config files. Resolve echo before continuing. ; esa

41、c #也可以手動編輯 ssh_config，在 Host *后輸入 Protocol 2，cd $DIR cp sshd_config sshd_config.tmp awk /#? *Protocol/ print Protocol 2; next ; /#? *X11Forwarding/ print X11Forwarding yes; next ; /#? *IgnoreRhosts/ print IgnoreRhosts yes; next ; /#? *RhostsAuthentication/ print RhostsAuthentication no; next ; /#? *

42、RhostsRSAAuthentication/ print RhostsRSAAuthentication no; next ; /#? *HostbasedAuthentication/ print HostbasedAuthentication no; next ; /#? *PermitRootLogin/ print PermitRootLogin no; next ; /#? *PermitEmptyPasswords/ print PermitEmptyPasswords no; next ; /#? *Banner/ print Banner /etc/motd; next ;

43、 print sshd_config.tmp sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用ssh2版本X11Forwarding yes #允許窗口圖形傳輸使用ssh加密IgnoreRhosts yes#完全禁止SSHD使用.rhosts文件RhostsAuthentication no #不設置使用基于rhosts的安全驗證RhostsRSAAuthentication no #不設置使用RSA算法的基于rhosts的安全驗證HostbasedAuthentication no #不允許基于主機白名單方

44、式認證PermitRootLogin no #不允許root登錄PermitEmptyPasswords no #不允許空密碼Banner /etc/motd #設置ssh登錄時顯示的banner2、補充操作說明查看SSH服務狀態：# ps elf|grep ssh檢測方法2、 判定條件# ps elf|grep ssh是否有ssh進程存在2、檢測操作查看SSH服務狀態：# ps elf|grep ssh查看telnet服務狀態：# ps elf|grep telnet2.12 FTP設置編號1：要求內容禁止root登陸FTP操作指南1、參考配置操作 Echo root /etc/ftpuse

45、rs檢測方法使用root 登錄ftp編號2：要求內容禁止匿名ftp操作指南1、參考配置操作默認不支持匿名，需要做專門的配置。檢查方法:使用ftp 做匿名登錄嘗試，如能登錄，則刪除/etc/passwd下的ftp賬號。檢測方法檢查方法:使用ftp 做匿名登錄嘗試編號3：要求內容修改FTP banner 信息操作指南1、參考配置操作cat /etc/ftpmotd Authorized uses only. All activity may be monitored and reported EOF檢測方法1、 判斷依據ftp登錄嘗試2、 檢查操作附表：端口及服務服務名稱端口應用說明關閉方法處置建

46、議daytime13/tcpRFC867 白天協議#daytime stream tcp nowait root internal建議關閉13/udpRFC867 白天協議#daytime dgram udp nowait root internaltime37/tcp時間協議#time stream tcp nowait root internalecho7/tcpRFC862_回聲協議#echo stream tcp nowait root internal7/udpRFC862_回聲協議#echo dgram udp nowait root internaldiscard9/tcpRFC

47、863 廢除協議#discard stream tcp nowait root internal9/udp#discard dgram udp nowait root internalchargen19/tcpRFC864 字符產生協議#chargen stream tcp nowait root internal19/udp#chargen dgram udp nowait root internalftp21/tcp文件傳輸協議(控制)#ftp stream tcp nowait root /usr/lbin/ftpd根據情況選擇開放telnet23/tcp虛擬終端協議#telnet st

48、ream tcp nowait root /usr/lbin/telnetd telnetd 根據情況選擇開放sendmail25/tcp簡單郵件發送協議rc.tcpip/sendmail 建議關閉names53/udp域名服務/etc/rc.tcpip根據情況選擇開放53/tcp域名服務/etc/rc.tcpip根據情況選擇開放login513/tcp遠程登錄#login stream tcp nowait root /usr/lbin/rlogind rlogind根據情況選擇開放shell514/tcp遠程命令, no passwd used#shell stream tcp nowait root /usr/lbin/remshd remshd根據情況選擇開放exec512/tcpremote execution, passwd required#exec stream tcp nowait root /usr/lbin/rexecd rexecd根據情況選擇開放ntalk518/udpnew talk, conversation#ntalk dgram udp wait root /usr/lbin/ntalkd ntalkd建議