返回
aix系统安全配置手册

aix系统安全配置手册

ID:1354766

大小:656.50 KB

页数:71页

时间:2017-11-10

aix系统安全配置手册_第1页
aix系统安全配置手册_第2页
aix系统安全配置手册_第3页
aix系统安全配置手册_第4页
aix系统安全配置手册_第5页
资源描述:

《aix系统安全配置手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、AIX系统安全配置1身分识别1.1账户设定编号:6001名称:帐户设定重要等级:高基本信息:账户是用户访问系统的基本凭证。系统通过检测用户所拥有的帐户来识别用户的身份,并以此决定用户的操作权限,同时也产生诸如审计之类的动作。检测内容:只有特定的授权帐户可用来增加用户及群组,此为AIX默认值且不应被更改;Ø一般帐户不应该有多余的管理权限,此为AIX默认值且不该被更改;Ø只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。以用来防止非法存取系统,或集中攻击有特别权限的帐户,此为AIX默认值且不该被更改;Ø只

2、有特定的授权帐户可用来检查使用者状态。为防止入侵者存取非公开系统资料,用户状态资料仅可由特定帐户取得。这一点在AIX仅部份可行,因为如果使用者锁定,则其它使用者无法看到此使用者,但却可使用who命令来检查登陆的帐户;Ø只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。以用来防止非法存取系统,或集中攻击有特别权限的群组,此为AIX默认值且不该被更改;Ø只有特定的授权帐户可用来更改授权帐户数目。太多的用户同时使用某应用系统可能影响系统稳定性,此为AIX默认值且不该被更改;Ø系统管理员群组的人员不可存取所有资

3、源,管理群组的人员应只能存取工作上所需用的资源。存取所有资源不应被允许,此为AIX默认值且不该被更改;Ø一般用户不可存取特定系统文件及命令。系统命令及程序只能被特定帐户使用,一般用户不可存取此类功能。应通过权限控制管理来进行限制,此为AIX默认值且不该被更改;Ø权限的控制管理应在文件产生时即被设置,仅有文件的产生者能读取、写入、执行或删除此文件,使用者的umask设定为仅允许文件产生者存取(例外:root用户可存取系统所有文件)。Umask的设定控制了文件除了删除外的权限,删除的权限则根据文件所在目录的权限位来决定

4、;Ø最少权限机制应被应用,以确保应用程序以最少权限执行,所有应用程序的授权应保持最低权限;Ø只有特别的授权帐户可安装软件或加入新设备到系统中,并安装安全的更新修正程序,此为AIX默认值且不该被更改;建议操作:按照系统提供的资源和计划运行的任务,合理规划任务的属主,以此利用系统提供的管理命令,如passwd、umask等,设定权责明确的用户和用户组。分别对它们设定严格的系统权限。操作结果:Ø存取系统资源取决于使用者及群组的身份,使用者的权限可能多于其群组的权限;1.2推荐用户属性编号:6002名称:推荐用户属性重要等

5、级:高基本信息:用户是系统的主要组成元素。用户的一个主要属性是如何对他们进行认证。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。组是对共享的资源同一访问许可权的用户的集合。一个组有一个标识,且由组成员和管理员组成。组的创建者通常就是第一管理员。可以对每个用户帐户设置多个属性,包含密码和登录属性。检测内容:推荐以下属性:Ø每个用户应有一个不与其它用户共享的用户标识。所有的安全防护措施和工具仅在每个用户都有唯一标识时起作用;Ø为系统用户指定一个对其有意义的用户名。最好使用实际

6、名称,因为大多数电子邮件系统使用用户标识为接收的邮件标号;Ø使用基于Web的系统管理工具或SMIT界面添加、更改和删除用户。虽然可以通过命令行来执行所有这些任务,但这些界面有助于减少小错误;Ø在用户准备好登录系统前不要为用户帐户提供初始密码。如果在/etc/passwd文件中将密码字段定义为*(星号),虽然帐户信息得到保存,但不能登录到该帐户;Ø不要更改系统正常运行所需的由系统定义的用户标识。系统定义的用户标识罗列在/etc/passwd文件中;Ø一般情况下,不要将任何用户标识的admin参数设置为true。只有r

7、oot用户可以为在/etc/security/user文件中设置为admin=true的用户更改属性。操作系统支持通常出现在/etc/passwd和/etc/group文件中的标准用户属性,例如:认证信息指定密码凭证指定用户标识、主体组和补充组标识环境指定主环境或shell环境。建议操作:检查标准Unix系统用户、组设定文件。/etc/passwd和/etc/group中的设定,确定各个用户存在的目的,避免存在无意义的用户和组。检查用户ID,避免无关用户拥有root或其他管理用户的权限。检查密码字段,防止无密码的用

8、户存在。检查用户属性,避免不合理的用户拥有admin的权限。操作结果:各个用户和用户组依照之前规划的目标拥有并可以行使各自明确的权限。6.1.3用户帐户控制编号:6003名称:用户帐户控制重要等级:高基本信息:每个用户帐户有一组相关属性。当使用mkuser命令创建用户时,这些属性根据缺省值创建。这些属性可以通过使用chuser命令来修改。检测内容:以下用户属

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。