AIX主机操作系统加固规范V0.3

AIX主机操作系统加固规范 2022年4月

目 录

1

账号管理、认证授权 .................................................................................................. 1 1.1 账号 ...................................................................................................................... 1 1.1.1 SHG-AIX-01-01-01 ........................................................................................... 1 1.1.2 SHG-AIX-01-01-02 ........................................................................................... 2 1.1.3 SHG-AIX-01-01-03 ........................................................................................... 3 1.1.4 SHG-AIX-01-01-04 ........................................................................................... 4 1.1.5 SHG-AIX-01-01-05 ........................................................................................... 5 1.2 口令 ...................................................................................................................... 6 1.2.1 SHG-AIX-01-02-01 ........................................................................................... 6 1.2.2 SHG-AIX-01-02-02 ........................................................................................... 7 1.2.3 SHG-AIX-01-02-03 ........................................................................................... 8 1.2.4 SHG-AIX-01-02-04 ........................................................................................... 9 1.2.5 SHG-AIX-01-02-05 ......................................................................................... 10 1.3 授权 .................................................................................................................... 11 1.3.1 SHG-AIX-01-03-01 .......................................................................................... 11 1.3.2 SHG-AIX-01-03-02 ......................................................................................... 12 1.3.3 SHG-AIX-01-03-03 ......................................................................................... 13 1.3.4 SHG-AIX-01-03-04 ......................................................................................... 14 1.3.5 SHG-AIX-01-03-05 ......................................................................................... 14 2

日志配置 .................................................................................................................... 15 2.1.1 2.1.2 2.1.3 2.1.4 3

SHG-AIX-02-01-01 ......................................................................................... 15 SHG-AIX-02-01-02 ......................................................................................... 16 SHG-AIX-02-01-03 ......................................................................................... 17 SHG-AIX-02-01-04 ......................................................................................... 18

通信协议 .................................................................................................................... 19 3.1 IP协议安全 ....................................................................................................... 19 3.1.1 SHG-AIX-03-01-01 ......................................................................................... 19 3.1.2 SHG-AIX-03-01-02 ......................................................................................... 21 3.2 路由协议安全 .................................................................................................... 22 3.2.1 SHG-AIX-03-02-01 ......................................................................................... 22

4 补丁管理 .................................................................................................................... 24 4.1.1 SHG-AIX-04-01-01 ......................................................................................... 24

5 服务进程和启动 ........................................................................................................ 25 5.1.1 SHG-AIX-05-01-01 ......................................................................................... 25 5.1.2 SHG-AIX-05-01-02 ......................................................................................... 27

6 设备其他安全要求 .................................................................................................... 31 6.1 登陆超时策略 .................................................................................................... 31 6.1.1 SHG-AIX-06-01-01 ......................................................................................... 31

6.2 系统BANNER设置 ............................................................................................. 32 6.2.1 SHG-AIX-06-02-01 ......................................................................................... 32 6.3 内核调整 ............................................................................................................ 32 6.3.1 SHG-AIX-06-03-01 ......................................................................................... 32 7

附录：AIX可被利用的漏洞（截止2009-3-8） .................................................... 33

本文档是AIX操作系统的对于AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共27项。对系统的安全配置审计、加固操作起到指导性作用。

1 账号管理、认证授权

1.1 账号

1.1.1 SHG-AIX-01-01-01

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-01-01-01 为不同的管理员分配不同的账号 根据不同类型用途设置不同的帐户账号，提高系统安全。 账号混淆，权限不明确，存在用户越权使用的可能。 查看/etc/passwd中记录的系统当前用户列表 参考配置操作： 为用户创建账号： #mkuser username #passwd username 实施步骤 列出用户属性： #lsuser username 更改用户属性： #chuser attribute=value username 回退方案 判断依据 实施风险 重要等级 备注

删除新增加的帐户：#rmuser username 标记用户用途，定期建立用户列表，比较是否有非法用户 高 ★★★ 1.1.2 SHG-AIX-01-01-02

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-01-01-02 配置帐户锁定策略 锁定不必要的帐户，提高系统安全。 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险，容易被攻击者利用。 查看/etc/passwd中记录的系统当前用户列表 参考配置操作： 系统管理员出示业务所需帐户列表，根据列表只保留系统与实施步骤 业务所需帐户。结合实际情况锁定或删除其余帐户。 如要锁定user1用户，则采用的命令如下： #chuser account_locked=true user1 回退方案 如对user1用户解除锁定，则采用的命令如下： #chuser account_locked=false user1 系统管理员出示业务所需帐户列表。 判断依据 查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外，其他的帐户建议根据实际情况锁定或删除。 实施风险 重要等级 备注 高 ★★★ 1.1.3 SHG-AIX-01-01-03

编号 名称 SHG-AIX-01-01-03 限制超级管理员远程登录 限制具备超级管理员权限的用户远程登录。远程执行管理员实施目的 权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。 问题影响 系统当前状态 如允许root远程直接登陆，则系统将面临潜在的安全风险 执行lsuser -a rlogin root命令，查看root的rlogin属性并记录 参考配置操作： 查看root的rlogin属性： 实施步骤 #lsuser -a rlogin root 禁止root远程登陆： #chuser rlogin=false root 回退方案 还原root可以远程登陆，执行如下命令： #chuser rlogin=true root 执行#lsuser –a rlogin root命令，查看root的rlogin属性，root是否可以远程登陆，如显示可以，则禁止。 高 ★★★ 判断依据 实施风险 重要等级 备注

1.1.4 SHG-AIX-01-01-04

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-01-01-04 对系统账号进行登录限制 对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用 可能利用系统进程默认账号登陆，账号越权使用 查看/etc/security/passwd中各账号状态并记录 参考配置操作： 系统管理员出示业务所需登陆主机的帐户列表，根据列表只保留系统与业务所需的登陆帐户。结合实际情况禁止或删除其余帐户。 禁止账号交互式登录： 实施步骤 #chuser account_locked=true username 删除账号： #rmuser username 补充操作说明： 建议禁止交互登录的系统账号有： daemon,bin,sys,adm,uucp,guest,nobody,lp,help等 还原被禁止登陆的帐户： 回退方案 #chuser account_locked=false username 注：对删除帐户的操作无法回退 系统管理员出示业务所需登陆主机的帐户列表。 查看/etc/security/passwd中所记录的可以登陆主机的帐判断依据 户是否与业务应用所需登陆主机的帐户相对应。除业务应用需登陆主机的帐户外，其他的帐户建议根据实际情况可以设置成禁止登陆或直接将其帐户删除。 实施风险 重要等级 备注

高 ★ 1.1.5 SHG-AIX-01-01-05

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-01-01-05 为空口令用户设置密码 禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。 系统中的帐户存在被非法利用的风险 查看/etc/passwd中的内容并记录 参考配置操作： 用root用户登陆AIX系统，执行passwd命令，给空口令的实施步骤 帐户增加密码。 如采用和执行如下命令： #passwd username password 回退方案 Root身份设置用户口令，取消口令 如做了口令策略则失败 登陆系统判断，查看/etc/passwd中的内容，从而判断系统判断依据 中是否存在空口令的帐户。如发现存在，则建议为该帐户设置密码。 实施风险 重要等级 备注 高 ★

1.2 口令

1.2.1 SHG-AIX-01-02-01

编号 名称 SHG-AIX-01-02-01 缺省密码长度限制 防止系统弱口令的存在，减少安全隐患。对于采用静态口令实施目的 认证技术的设备，口令长度至少6位。且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。 问题影响 增加系统的帐户密码被暴力破解的成功率和潜在的风险 运行lsuser username命令，查看帐户属性和当前状态，并系统当前状态 记录。 cat /etc/security/user | grep “minlen =” 参考配置操作： vi /etc/security/user 实施步骤 minlen = 8 回退方案 根据在加固前所记录的帐户属性，修改设置到系统加固前状态。 运行lsuser uasename命令，查看帐户属性中密码的最短长判断依据 度策略是否符合8位。如不符合，则进行设置。 cat /etc/security/user 实施风险 重要等级 备注 低 ★★★

1.2.2 SHG-AIX-01-02-02

编号 名称 SHG-AIX-01-02-02 缺省密码复杂度限制 防止系统弱口令的存在，减少安全隐患。对于采用静态口令实施目的 认证技术的设备，包括数字、小写字母、大写字母和特殊符号4类中至少2类 问题影响 增加系统中的帐户密码被暴力破解的成功率以及潜在的安全风险 运行lsuser username命令，查看帐户属性和当前状态，并系统当前状态 记录 cat /etc/security/user | grep “minalpha =” cat /etc/security/user | grep “minother =” 参考配置操作： vi /etc/security/user 实施步骤 minalpha = 4 minother = 1 根据在加固前所记录的帐户属性，修改设置到系统加固前状态 运行lsuser uasename命令，查看帐户属性中口令是否符合包含最少4个字母字符以及是否包含最少1个非字母数字字回退方案 判断依据 符。如不符合，则进行设置。 cat /etc/security/user | grep “minalpha =” cat /etc/security/user | grep “minother =” 实施风险 重要等级 低 ★★★ 备注

1.2.3 SHG-AIX-01-02-03

编号 名称 实施目的 问题影响 SHG-AIX-01-02-03 缺省密码生存周期限制 对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天，减少口令安全隐患 容易造成密码被非法利用，并且难以管理 运行lsuser username命令，查看帐户属性和当前状态，并系统当前状态 记录 cat /etc/security/user | grep “maxage =” 参考配置操作： vi /etc/security/user 实施步骤 maxage = 13 回退方案 根据在加固前所记录的帐户属性，修改设置到系统加固前状态 运行lsuser uasename命令，查看帐户属性中口令的最长有判断依据 效期是否小于90天。如未设置或大于90天，则进行设置。 cat /etc/security/user | grep “maxage =” 实施风险 重要等级 备注

低 ★★★ 1.2.4 SHG-AIX-01-02-04

编号 名称 实施目的 SHG-AIX-01-02-04 密码重复使用限制 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令 造成系统帐户密码破解的几率增加以及存在潜在的安全风险 运行lsuser username命令，查看帐户属性和当前状态，并问题影响 系统当前状态 记录 cat /etc/security/user | grep “histsize =” 参考配置操作： vi /etc/security/user 实施步骤 histsize = 5 回退方案 根据在加固前所记录的帐户属性，修改设置到系统加固前状态。 运行lsuser uasename命令，查看帐户属性中是否设置了同判断依据 一口令与前面5个口令不能重复的策略。如未设置或大于5个，则进行设置。 cat /etc/security/user | grep “histsize =” 实施风险 重要等级 备注

低 ★ 1.2.5 SHG-AIX-01-02-05

编号 名称 实施目的 问题影响 SHG-AIX-01-02-05 密码重试限制 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 增加系统帐户密码被暴力破解的风险 运行lsuser username命令，查看帐户属性和当前状态，并系统当前状态 记录 cat /etc/security/user | grep “loginretries =” 参考配置操作： vi /etc/security/user 实施步骤 loginretries = 6 回退方案 根据在加固前所记录的帐户属性，修改设置到系统加固前状态 运行lsuser uasename命令，查看帐户属性中是否设置了6判断依据 次登陆失败后帐户锁定阀值的策略。如未设置或大于6次，则进行设置。 cat /etc/security/user | grep “loginretries =” 实施风险 重要等级 备注

中 ★ 1.3 授权

1.3.1 SHG-AIX-01-03-01

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-01-03-01 设置关键目录的权限 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 增加系统关键目录容易被攻击者非法访问的风险 查看/usr/bin、/sbin、/etc目录，并记录关键目录的权限 1、参考配置操作 通过chmod命令对目录的权限进行实际设置。 2、补充操作说明 文件或目录 属主 root root root root root 属组 security security system system system system 权限 -rw-r--r-- -rw-r--r-- -rw-rw-r-- -rw-rw-r-- -rw------- -rw-r--r-- 实施步骤 /etc/passwd /etc/group /etc/filesystem /etc/hosts /etc/inittab /etc/security/faildlogin root 回退方案 通过chmod命令还原目录权限到加固前状态 AIX系统，/usr/bin、/bin、/sbin目录为可执行文件目录，/etc判断依据 目录为系统配置目录，包括帐户文件，系统配置，网络配置文件等，这些目录和文件相对重要。确认这些配置文件的权限设置是否安全。 实施风险 重要等级 备注 高 ★★★

1.3.2 SHG-AIX-01-03-02

编号 名称 SHG-AIX-01-03-02 修改umask值 控制用户缺省访问权限，当在创建新文件或目录时，屏蔽掉实施目的 新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。 问题影响 系统当前状态 增加攻击者非法访问目录的风险 查看/etc/security/user文件的配置，并记录 1、参考配置操作 设置umask为027： 实施步骤 #vi /etc/security/user 在default小节，设置umask为027 回退方案 判断依据 实施风险 重要等级 备注

修改/etc/security/user文件到加固前状态 查看/etc/security/user文件中的default小节是否设置umask为027 高 ★ 1.3.3 SHG-AIX-01-03-03

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-01-03-03 FTP用户及服务安全 设置系统中的帐户是否可以通过ftp登陆操作 增加攻击者利用系统帐户非法通过FTP登陆操作和非法访问目录的安全风险 查看/etc/ftpusers文件，并记录 参考配置操作： 根据系统管理员提供允许ftp登陆操作的系统帐户列表，并与系统中当前的允许ftp登陆操作的用户相比对。 设置是否允许系统帐户通过ftp方式登陆： #vi /etc/ftpusers 实施步骤 注：默认情况下，该文件不存在。 将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中(每行一个用户名)。 注：在无特殊需求的情况下，以下列表中的用户名是不允许ftp登陆操作的： root,daemon,bin,sys,adm,uucp,guest,nobody,lp,help等 回退方案 修改/etc/ftpusers文件设置到系统加固前状态 根据系统管理员提供的允许ftp登陆操作的系统帐户，查看判断依据 /etc/ftpusers文件，与其相比对，是否与系统管理员所提供的帐户列表相一致。如果发现与列表中不对应的帐户则建议设置成禁止通过ftp登陆操作。 实施风险 重要等级 备注

高 ★ 1.3.4 SHG-AIX-01-03-04

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-01-03-04 设置目录权限 设置目录权限，防止非法访问目录。 增加攻击者非法访问系统目录的安全风险 查看重要文件和目录权限：ls –l并记录。 1、参考配置操作 查看重要文件和目录权限：ls –l 更改权限： 实施步骤 对于重要目录，建议执行如下类似操作： 例如： #chmod -R 750 /etc/init.d/* 这样只有root可以读、写和执行这个目录下的脚本 回退方案 判断依据 实施风险 重要等级 备注

使用chmod命令还原被修改权限的目录 查看重要文件和目录权限：ls –l 查看重要文件和目录下的文件权限设置是否为750以下 高 ★ 1.3.5 SHG-AIX-01-03-05

编号 名称 实施目的 SHG-AIX-01-03-05 设置ftp目录权限 限制ftp用户登陆后在自己当前目录下活动，防止非法访问目录。 问题影响 系统当前状态 增加系统帐户被利用后越权使用的安全风险 查看/etc/vsftpd/vsftpd.conf文件并记录当前的配置 参考配置操作： 限制ftp用户登陆后在自己当前目录下活动： #vi /etc/vsftpd/vsftpd.conf 实施步骤 local_root=锁定目录路径 chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list #vi vsftpd.chroot_list username（锁定用户名） 回退方案 还原/etc/vsftpd/vsftpd.conf文件配置到加固前的状态 查看/etc/vsftpd/vsftpd.conf文件中的配置，查看是否已设置限判断依据 制ftp用户登陆后在自己当前目录下活动。如未配置则应按要求设置。 实施风险 重要等级 备注

中 ★ 2 日志配置

2.1.1 SHG-AIX-02-01-01

编号 名称 实施目的 SHG-AIX-02-01-01 启用日志记录功能 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 问题影响 系统当前状态 无法对用户的登陆进行日志记录，增加潜在的安全风险 查看/etc/syslog.conf文件中的配置并记录 参考配置操作： syslog的配置主要通过/etc/syslog.conf配置，日志信息可以记实施步骤 录在本地的文件当中(如/var/adm/messages)或远程的主机上(@hostname)。 startsrc -s syslogd 启动syslog服务 stopsrc-s syslogd 停止syslog服务 回退方案 修改/etc/syslog.conf文件设置到系统加固前状态 查看系统进程中是否存在syslogd守护进程。 判断依据 查看/etc/syslog.conf文件中的配置是否启动syslog服务。 如系统中不存在syslogd守护进程或在配置文件中发现syslog服务未启动，则应按要求进行配置。 实施风险 重要等级 备注

低 ★★★ 2.1.2 SHG-AIX-02-01-02

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-02-01-02 syslog日志等级的安全配置 syslog提供日常维护日志外，还提供系统登陆，攻击尝试等安全性的日志信息，帮助管理员进行审计和追踪。 无法对用户的操作进行日志记录，增加潜在的安全风险 查看/etc/syslog.conf文件配置并记录 参考配置操作： syslog配置文件要求： 修改文件 实施步骤 安全设置 配置文件中包含一下日志记录： *.err /var/adm/errorlog /etc/syslog.conf *.alert /var/adm/alertlog *.cri /var/adm/critlog auth,authpriv.info /var/adm/authlog 回退方案 判断依据 实施风险 重要等级 备注

修改/etc/syslog.conf文件配置到系统加固前的状态 查看/etc/syslog.conf文件中的配置是否符合以上安全设置。如不合符则建议应按要求进行设置。 高 ★ 2.1.3 SHG-AIX-02-01-03

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-02-01-03 启用记录su日志功能 记录系统中su操作的日志 无法记录su指令的用户切换操作，增加潜在的安全风险 查看/etc/syslog.conf文件配置，并记录 参考配置操作： 设置/etc/syslog.conf文件，并启动su日志记录。 实施步骤 注：在AIX系统中，su日志记录默认是开启的。 查看/var/adm/sulog，用户使用su命令的日志。可根据需要保留60天中有用的内容，其余删除。 文件记录以下信息：日期、时间、系统名称以及登录名。 /var/adm/sulog文件也记录登录尝试是否成功：+（加号）表示登录成功，-（减号）表示登录失败。 回退方案 判断依据 实施风险 重要等级 备注

修改/etc/syslog.conf文件设置到系统加固前状态 查看/etc/syslog.conf文件中是否配置了su日志记录 查看/var/adm/sulog文件，是否存在su命令使用记录 低 ★ 2.1.4 SHG-AIX-02-01-04

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-02-01-04 启用记录cron行为日志功能和cron/at的使用情况 对所有的cron行为以及使用情况进行审计和查看 无法记录和查看cron服务（计划任务），存在潜在安全风险 查看/var/spool/cron/目录下的文件配置，并记录 参考配置操作： cron/At的相关文件主要有以下几个： /var/spool/cron/crontabs 存放cron任务的目录 实施步骤 /var/spool/cron/cron.allow 允许使用crontab命令的用户 /var/spool/cron/cron.deny 不允许使用crontab命令的用户 /var/spool/cron/atjobs 存放at任务的目录 /var/spool/cron/at.allow 允许使用at的用户 /var/spool/cron/at.deny 不允许使用at的用户 使用crontab和at命令可以分别对cron和at任务进行控制。 #crontab -l 查看当前的cron任务 #at -l 查看当前的at任务 回退方案 修改/var/spool/cron/目录下的文件设置到系统加固前状态 查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安全配置。如未配置则建议按照要求进行配置。 低 ★ 判断依据 实施风险 重要等级 备注

3 通信协议

3.1 IP协议安全

3.1.1 SHG-AIX-03-01-01

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-03-01-01 使用ssh加密传输 提高远程管理安全性 使用非加密通信，内容易被非法监听，存在潜在安全风险 运行ps -ef|grep ssh，查看状态，并记录。 参考配置操作： 如果系统中没有安装SSH，则首先需要正确安装openssh后才能够应用SSH。 安装步骤举例说明： 在将 OpenSSL 下载到 AIX Version 5.3 计算机的本地目录（本示例中为 /tmp）之后，可以通过运行下面的命令来安装它： #geninstall -d/tmp R:openssl-0.9.6m 实施步骤 可以使用下面两种方法中的任何一种来安装 OpenSSH： smitty->Software Installation and Maintenance->Install and Update Software->Install Software 或者 #geninstall -I\"Y\" -d/dev/cd0 I:openssh.base 使用下面的命令启动 SSH 服务器： #startsrc -g ssh 使用下面的命令来确认已正确地启动了 SSH 服务器： #ps -ef|grep ssh 回退方案 判断依据 实施风险 重要等级 备注

卸载SSH、或者停止SSH服务 运行ps -ef|grep ssh，查看系统进程中是否存在SSH进程，如不存在，则建议应按照要求安装和配置好SSH服务。 高 ★ 3.1.2 SHG-AIX-03-01-02

编号 名称 实施目的 SHG-AIX-03-01-02 限制管理员登陆IP 对于通过IP协议进行远程维护的设备，设备应对允许登陆到该设备的IP地址范围进行设定。提高远程维护安全性。 没有访问控制，系统可能被非法登陆或使用，从而存在潜在的安全风险。 查看/etc/hosts.equiv文件配置并记录 参考配置操作： 建议采用如下安全配置操作： 修改文件 安全设置 操作说明 问题影响 系统当前状态 /etc/hosts.equiv 限定信任的编辑/etc/host.equiv文件或实施步骤 （全局配置文主机、账号 者~/.rhosts文件，只增加必件） ~/.rhosts 不能有单行须的帐户和主机，删除不必的\"+\"或\"+ 要的信任主机设置。 （单独用户的+\"的配置信更改/etc/hosts.equiv文件的配置文件） 息 属性，只允许root可读写。 回退方案 判断依据 实施风险 重要等级 备注

修改/etc/hosts.equiv文件的配置到加固之前的状态 查看/etc/hosts.equiv文件的配置是否按照以上要求进行了设置，如未设置则建议应按照要求进行设置。 高 ★ 3.2 路由协议安全

3.2.1 SHG-AIX-03-02-01

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-03-02-01 禁止ICMP重定向和关闭数据包转发 禁止系统发送ICMP重定向包，关闭数据包转发，提高系统、网络的安全性 主机可能存在会被非法改变路由的安全风险 AIX系统网络参数可以通过no命令进行配置，执行no –a，显示所有网络参数并记录 参考配置操作： 建议采用如下设置进行安全配置： AIX系统网络参数可以通过no命令进行配置，比较重要的网络参数有： icmpaddressmask=0 忽略ICMP地址掩码请求 ipforwarding=0 不进行IP包转发 ipignoreredirects=1 忽略ICMP重定向包 ipsendredirects=0 不发送ICMP重定向包 ipsrcrouteforward=0 不转发源路由包 实施步骤 ipsrcrouterecv=0 不接收源路由包 ipsrcroutesend=0 不发送源路由包 no -a 显示当前配置的网络参数 no -o icmpaddressmask=0 忽略ICMP地址掩码请求 配置方式： no -o ipignoreredirects=1 no -o ipsendredirects=0 no –o ipsrcrouteforward=0 no –o ipsrcroutesend=0 no –o clean_partial_conns=1 no –o directed_broadcast=0 以及： 策略 忽略ICMP重定向包 不发送ICMP重定向包 不转发源路由包 不发送源路由包 防御默认设置 ipignoreredirects=0 安全设置 ipignoreredirects=1 ipsendredirects=1 ipsendredirects=0 ipsrcrouteforward=1 ipsrcrouteforward=0 ipsrcroutesend=1 ipsrcroutesend=0 SYN-FLOOD 防御SMURF攻击 clean_partial_conns=0 clean_partial_conns=1 directed_broadcast=1 directed_broadcast=0 在/etc/rc.net文件重添加以下命令： /usr/sbin/no -o icmpaddressmask=0 /usr/sbin/no -o ipforwarding=0 /usr/sbin/no -o ipignoreredirects=1 /usr/sbin/no -o ipsendredirects=0 /usr/sbin/no -o ipsrcrouteforward=0 /usr/sbin/no -o ipsrcrouterecv=0 /usr/sbin/no -o ipsrcroutesend=0 回退方案 删除在/etc/rc.net文件中添加的命令，并使用命令恢复到加固之前的状态 执行no –a命令或查看/etc/rc.net文件中是否按照以上命令判断依据 进行了安全配置，如未设置，则建议应按照要求进行安全配置。 实施风险 重要等级 备注

高 ★ 4 补丁管理

4.1.1 SHG-AIX-04-01-01

编号 名称 SHG-AIX-04-01-01 系统补丁安装 应根据需要及时进行补丁装载。注意：补丁更新要慎重，可实施目的 能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。 问题影响 系统当前状态 系统存在严重的安全漏洞，存在被攻击者利用的安全风险 执行oslevel –r命令或instfix -i|grep ML命令，查看补丁当前安装的状况和版本 参考配置操作： 使用instfix –aik命令来完成补丁的安装操作。 注意： 1、在AIX系统中涉及安全的补丁包有以下几种：  推荐维护包（Recommended Maintenance Packages）: 由实施步骤 一系列最新的文件集组成的软件包，包含了特定的操作系统（如AIX 5.2）发布以来的所有文件集的补丁。  关键补丁Critical fixes(cfix)：自推荐维护包之后，修补关键性漏洞的补丁。  紧急补丁Emergency fixes(efix): 自推荐维护包之后，修补紧急安全漏洞的补丁。 2、补丁安装原则：  在新装和重新安装系统后，必须安装最新的推荐维护包，以及该最新推荐维护包以来的所有单独的cfix和efix。  日常维护中如果厂家推出新的RM、cfix、efix则按照原补丁维护管理规定进行补丁安装。 根据在加固前执行的oslevel –r命令或instfix -i|grep ML命回退方案 令，查看补丁当前安装的状况和版本的记录，删除或卸载相应的补丁恢复成加固前的状态。 执行oslevel –r命令或instfix -i|grep ML命令，查看补丁当前判断依据 安装的状况和版本是否与IBM最新发布的官方补丁相一致。如不一致，则应根据实际情况和业务需要进行补丁的安装操作。 实施风险 重要等级 备注

高 ★★ 5 服务进程和启动

5.1.1 SHG-AIX-05-01-01

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-05-01-01 关闭无效服务和启动项 关闭无效的服务和启动项，提高系统性能，增加系统安全性 不用的服务和启动项可能会带来很多安全隐患，容易被攻击者利用，从而存在潜在的安全风险 查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件并记录当前配置；查看/etc/inetd.conf文件并记录当前的配置 参考配置操作： 系统管理员提供与业务和应用系统相关的服务和启动项列表。 一、rc.d AIX系统中的服务主要在/etc/inittab文件和/etc/rc.*（包括rc.tcpip，rc.nfs）等文件中启动，事实上，/etc/rc.*系列文件主要也是由/etc/inittab启动。同时，AIX中所有启动的服务（至少与业务相关的）都可以同过SRC（System Resource Manager）进行管理。可以有三种方式查看系统服务的启动情况： 1、使用vi查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件； 2、使用lssrc和lsitab命令； 3、通过smit查看和更改。 注：SRC本身通过/etc/inittab文件启动。 实施步骤 lssrc -a 列出所有SRC管理的服务的状态 lsitab -a 列出所有由/etc/inittab启动的信息，和cat /etc/inittab基本相同，除了没有注释。 根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。 二、inetd.conf 由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC启动），因此查看INETD启动的服务的情况有两种方法： 1、使用vi查看/etc/inetd.conf中没有注释的行； 2、使用lssrc命令。 lssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态； refresh -s inetd 更改/etc/inetd.conf文件后重启inetd。 建议关闭由inetd启动的所有服务；如果有管理上的需要，可以打开telnetd、ftpd、rlogind、rshd等服务。 启动或停止inetd启动的服务（例如ftpd）： 1、使用vi编辑/etc/inetd.conf，去掉注释（启动）或注释掉（停止）ftpd所在的行； 2、重启inetd：refresh -s inetd。 根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。 还原/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置到加回退方案 固前的状态 还原/etc/inetd.conf文件的配置到加固前的状态 根据系统管理员提供的业务应用相关的服务与启动项列表， 查看/etc/inittab、/etc/rc.tcpip和/etc/rc.nfs等文件的配置是否按照要求进行了安全配置。 判断依据 查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。 如发现以上两个文件中的配置不符合要求，则建议应按照以上要求的操作对系统进行加固，关闭无效服务和启动项。 实施风险 重要等级 备注

5.1.2 SHG-AIX-05-01-02

高 ★ 编号 名称 实施目的 问题影响 SHG-AIX-05-01-02 系统网络与服务安全配置标准 关闭无效的服务和启动项，提高系统性能，增加系统安全性 不用的服务和启动项可能会带来很多安全隐患，容易被攻击者利用，从而存在潜在的安全风险 查看/etc/inittab文件并记录当前配置； 系统当前状态 查看/etc/rc.*（包括rc.tcpip，rc.nfs等文件）文件并记录当前配置； 查看/etc/inetd.conf文件并记录当前的配置。 参考配置操作： 系统管理员提供与业务和应用系统相关的服务和启动项列表。 AIX系统中涉及服务的配置和启动信息的，主要在以下几个文件： /etc/inittab文件 /etc/rc.*（包括rc.tcpip，rc.nfs等文件）。 由INETD启动的服务在文件/etc/inetd.conf定义（inetd本身在/etc/rc.tcpip中由SRC启动）。 本部分的安全基线主要通过修改这些文件中的内容进行配置。 根据管理员所提供的服务列表与当前系统中所启动的服务列表相对比，如果发现与业务应用无关的服务，或不必要的实施步骤 服务和启动项，则关闭掉或禁用；也可以对服务做适当配置。 建议按照下表进行安全配置： 操作的文件 要求禁用的服务 设置方式 piobe qdaemon writesrv imqss /etc/inittab imnss httpdlite rcnfs uprintfd dt /etc/rc.tcpip routed 注释掉该行(在该服务所在行加上冒号”:”) 操作说明 查看由/etc/inittab文件启动的表项: lsitab -a 对/etc/inittab进行编辑,注释掉启动项 更改完配置后停止该服务。（参考stopsrc命令） 注释掉该行(在查看由Gated Dhcpcd Dhcpsd Dhcprd autoconf6 ndpd-host ndpd-router Lpd Timed Xntpd Rwhod dpid2 Aixmibd Hostmibd Mrouted Portmap 对于nfs、snmp、dns、sendmail服务，应该先关闭；需要的时候，再该服务所在行/etc/rc.tcpip文件加上冒号”＃”) 启动的表项: lssrc –g tcpip 对/etc/irc.tcpip进行编辑,注释掉启动项 更改完配置后停止该服务。（参考stopsrc命令） 执行以下命令： lssrc –s 名称 startsrc –s名称 stopsrc –s名称 原则上关闭由所有服务全部lssrc -l -s inetd inetd启动的所注释掉 至少禁用以下服务： Shell、kshell、/etc/inetd.conf login、klogin、exec、comsat、注释掉该行 uucp、bootps、finger、systat、netstat、tftp、talk、ntalkrpc.rquotad、、——查看inetd的状态以及由INETD启动的服务的状态； 编辑/etc/inetd.conf文件,注释不需要的服务， 更改完配置后需要重启inetd进程。 ftpd、rlogind、 rshd等服务，应根据日常管理需禁用的方法：注同上 释掉该行 要，选择是否禁还原/etc/inittab文件配置到加固以前的状态； 回退方案 还原/etc/rc.*（包括rc.tcpip，rc.nfs等文件）文件配置到加固以前的状态； 还原/etc/inetd.conf文件配置到加固以前的状态。 根据系统管理员提供的业务应用相关的服务与启动项列表， 查看/etc/inittab文件的配置是否按照要求进行了安全配置。 查看/etc/rc.*（包括rc.tcpip，rc.nfs等文件）文件的配置是否按照要求进行了安全配置。 判断依据 查看/etc/inetd.conf文件的配置是否按照要求进行了安全配置。 如发现以上三个文件中的配置不符合要求，则建议应按照以上要求的操作对系统进行加固，配置系统网络与服务安全标准。 实施风险 重要等级 备注

高 ★ 6 设备其他安全要求

6.1 登陆超时策略

6.1.1 SHG-AIX-06-01-01

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-06-01-01 设置登录超时策略 对于具备字符交互界面的设备，应配置定时帐户自动登出。 管理员忘记退出被非法利用，增加潜在风险 查看/etc/security/.profile文件的配置状态，并记录。 参考配置操作： 设置登陆超时时间为300秒，修改/etc/security/.profile文件，增加一行： TMOUT＝300；TIMEOUT=300；export readonly TMOUT TIMEOUT 实施步骤 回退方案 判断依据 实施风险 重要等级 备注

修改/etc/security/.profile文件的配置到加固之前的状态 查看/etc/security/.profile文件中的配置，是否存在登陆超时时间的设置。如未设置，则建议应按照要求进行配置。 中 ★ 6.2 系统Banner设置

6.2.1 SHG-AIX-06-02-01

编号 名称 实施目的 问题影响 系统当前状态 SHG-AIX-06-02-01 系统Banner设置 通过修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息 存在潜在的安全风险，攻击者容易获取系统的基本信息 查看/etc/motd文件并记录当前的配置 参考配置操作： 设置系统Banner的操作如下： 实施步骤 修改 /etc/motd 文件 回退方案 判断依据 实施风险 重要等级 备注

还原/etc/motd文件的配置到加固前的状态 查看/etc/motd文件中的配置是否按照以上要求进行了配置，如未配置，则建议应根据要求进行配置。 低 ★★ 6.3 内核调整

6.3.1 SHG-AIX-06-03-01

编号 SHG-AIX-06-03-01 名称 实施目的 问题影响 系统当前状态 系统内核参数配置，禁止core dump 禁止core dump 存在潜在的安全风险 查看/etc/security/limits文件并记录当前的配置 参考配置操作： 禁止core dump的配置： 编辑 /etc/security/limits 改变core值 core 0 实施步骤 加入如下行： core_hard = 0 执行下列命令： echo \"ulimit -c 0\" >> /etc/profile chdev -l sys0 -a fullcore=false 回退方案 判断依据 实施风险 重要等级 备注

还原/etc/security/limits文件的配置到加固前的状态 查看/etc/security/limits文件中的配置是否按照以上要求进行了配置，如未配置，则建议应根据要求进行配置。 高 ★ 7 附录：AIX可被利用的漏洞（截止2009-3-8）

[ aix - local ]

-::DATE 2007-11-07 2007-07-27 -::DESCRIPTION IBM AIX <= 5.3.0 setlocale() Local Privilege Escalation Exploit IBM AIX <= 5.3 sp6 capture Terminal Sequence Local Root Exploit 2007-07-27 2007-07-27 2005-06-14 2005-06-14 2005-06-14 2005-05-19 2005-03-25 2004-12-21 2004-12-20 1997-05-27 1997-05-26 IBM AIX <= 5.3 sp6 pioout Arbitrary Library Loading Local Root Exploit IBM AIX <= 5.3 sp6 ftp gets() Local Root Exploit AIX 5.2 netpmon Local Elevated Privileges Exploit AIX 5.2 ipl_varyon Local Elevated Privileges Exploit AIX 5.2 paginit Local Root Exploit AIX 5.1 Bellmail Local Race Condition Exploit (Instructions w/ Exploit) AIX <= 5.3.0 (invscout) Local Command Execution Vulnerability AIX 4.3/5.1 - 5.3 lsmcode Local Root Command Execution AIX 5.1 to 5.3 paginit Local Stack Overflow Exploit AIX 4.2 /usr/dt/bin/dtterm Local Buffer Overflow Exploit AIX lquerylv Local Root Buffer Overflow Exploit