返回
AIX系统安全加固手册-(12179)

AIX系统安全加固手册-(12179)

ID:42160475

大小:188.00 KB

页数:13页

时间:2019-09-09

AIX系统安全加固手册-(12179)_第1页
AIX系统安全加固手册-(12179)_第2页
AIX系统安全加固手册-(12179)_第3页
AIX系统安全加固手册-(12179)_第4页
AIX系统安全加固手册-(12179)_第5页
资源描述:

《AIX系统安全加固手册-(12179)》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、```信息安全加固手册AIX系统```````目录1端口与服务31.1相关端口对应服务禁止31.2系统相关服务默认banner消息禁止41.3nfs服务关闭41.4图形管理服务关闭51.5FTP服务登入权限51.6禁止rlogin服务61.7Cron服务内容以及服务日志审核批61.8Syslog服务属性72系统网络参数类82.1Suid/sgid文件82.2Umask权限设置82.3系统核心网络参数安全性增强93用户管理、访问控制、审计功能类93.1防止root从远程登录93.2减少登录会话时间103.3系统口令强壮度与策略103

2、.4Root用户历史操作记录113.5删除默认系统用户124文件权限124.1文件权限和文件类型设置12```````1端口与服务1.1相关端口对应服务禁止风险描述21,23,25,111,513,514,515,540,80,6112,161,7,37,110相关rpc等服务禁止风险等级l风险高加固建议判断上述系统默认服务在本系统是否需要应用来决定关闭或者替换升级加固的风险/影响有些业务服务可能需要以上某些系统服务,关闭服务将造成某些系统维护方式或者业务服务不正常,相关系统默认服务(ftp,rsh,kshell,rlogin,k

3、rlogin,rexec,comsat,uucp,finger,tftp,talk,ntalk,echo,discard,chargen,daytime,time及rpc小服务),具体说明如下:Rsh,rlogin,rexec-R远程登录系列服务,容易被窃听Finger-允许远程查询登陆用户信息Time-网络时间服务,允许远程察看系统时间Echo-网络测试服务,回显字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用Discard-网络测试服务,丢弃输入,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用Daytim

4、e-网络测试服务,显示时间,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用Chargen-网络测试服务,回应随机字符串,为“拒绝服务”攻击提供机会,除非正在测试网络,否则禁用comsat-通知接收的电子邮件,以root用户身份运行,因此涉及安全性,很少需要的,禁用klogin-Kerberos登录,如果您的站点使用Kerberos认证则启用kshell-Kerberosshell,如果您的站点使用Kerberos认证则启用ntalk-允许用户相互交谈,以root用户身份运行,除非绝对需要,否则禁用talk-在网上两个用户间

5、建立分区屏幕,不是必需服务,与talk命令一起使用,在端口517提供UDP服务ntalk-newtalktftp-以root用户身份运行并且可能危及安全uucp-除非有使用UUCP的应用程序,否则禁用dtspc-CDE子过程控制,不用图形管理的话禁用加固风险规避方法根据主机的业务需求,关闭对应服务端口,事先将原配置文件做备份加固成果关闭不用的端口可以避免非法用户利用这些端口入侵系统,通过升级服务来减少可被利用的漏洞。加固具体方法编辑或注释inetd.conf中所对应服务的启动脚本和启动语句来禁止上述服务。有些服务可能以cron定时

6、启动请检查cron定时脚本。XXX公司管理员对本条风险加固的意见:l同意```````XXX公司意见l需要修改(描述修改的意见)l不同意(描述不同意的原因)l签名(签字确认)1.1系统相关服务默认banner消息禁止风险描述系统相关服务如ftpd,telnetd,sendmail等默认banner消息禁止,风险等级l风险中加固建议修改可判断系统版本输出消息的服务banner加固的风险/影响连接或使用上述服务将不会返回上述服务版本加固风险规避方法加固成果避免通过banner信息泄露系统敏感信息加固具体方法修改/etc/motd文件修

7、改/etc/ftpmotd文件检查/etc/security/login.cfg文件中察看herald是否有设置XXX公司意见XXX公司管理员对本条风险加固的意见:l同意l需要修改(描述修改的意见)l不同意(描述不同意的原因)l签名(签字确认)1.2nfs服务关闭风险描述查看nfs服务是否启用,避免利用nfs服务漏洞入侵系统风险等级l风险中加固建议若使用nfssharefile服务,则判断该服务目前输出的export filelist列表中的nfs文件系统挂载权限和允许挂载该文件系统的地址是否是erverone等加固的风险/影响该

8、服务加固后将造成某些无授权的ip地址挂载该系统nfs文件系统失败加固风险规避方法事先将原配置文件做备份加固成果能避免非法用户挂载nfs文件系统,增强系统安全性若不使用nfs服务,则从系统当前启动等级中启动脚本移除,若使用该服务则应用share```

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。