- 1、本文档共24页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
操作系统安全基线技术规定
AIX系统安全基线
系统管理
通过配置操作系统运维管理安全方略,提高系统运维管理安全性,详见表1。
表1 AIX系统管理基线技术规定
序号
基线技术规定
基线原则点(参数)
阐明
限制超级管理员权限的顾客远程登录
PermitRootLogin no
限制root顾客远程使用telnet登录(可选)
使用动态口令令牌登录
安装动态口令
配置本机访问控制列表(可选)
配置/etc/hosts.allow,
/etc/hosts.deny
安装TCP Wrapper,提高对系统访问控制
顾客账号与口令
通过配置操作系统顾客账号与口令安全方略,提高系统账号与口令安全性,详见表2。
表2 AIX系统顾客账户与口令基线技术规定
序号
基线技术规定
基线原则点(参数)
阐明
限制系统无用默认账号登录
daemon(禁用)
bin(禁用)
sys(禁用)
adm(禁用)
uucp(禁用)
nuucp(禁用)
lpd(禁用)
guest(禁用)
pconsole(禁用)
esaadmin(禁用)
sshd(禁用)
清理多出顾客账号,限制系统默认账号登录,同步,针对需要使用的顾客,制定顾客列表,并妥善保留
控制顾客登录超时时间
10分钟
控制顾客登录会话,设置超时时间
口令最小长度
8位
口令安全方略(口令为超级顾客静态口令)
口令中至少非字母数字字符
1个
口令安全方略(口令为超级顾客静态口令)
信息系统的口令的最大周期
90天
口令安全方略(口令为超级顾客静态口令)
口令不反复的次数
10次
口令安全方略(口令为超级顾客静态口令)
日志与审计
通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表3。
表3 AIX系统日志与审计基线技术规定
序号
基线技术规定
基线原则点(参数)
阐明
系统日志记录(可选)
authlog、sulog、wtmp、failedlogin
记录必需的日志信息,以便进行审计
系统日志存储(可选)
对接到统一日志服务器
使用日志服务器接受与存储主机日志,网管平台统一管理
日志保留规定(可选)
6个月
等保三级规定日志必须保留6个月
配置日志系统文献保护属性(可选)
400
修改配置文献syslog.conf权限为管理员账号只读
修改日志文献保护权限(可选)
400
修改日志文献authlog、wtmp、sulog、failedlogin的权限管理员账号只读
服务优化
通过优化操作系统资源,提高系统服务安全性,详见表4。
表4 AIX系统服务优化基线技术规定
序号
基线技术规定
基线原则点(参数)
阐明
discard 服务
严禁
网络测试服务,丢弃输入, 为“拒绝服务”袭击提供机会, 除非正在测试网络,否则禁用
daytime 服务
严禁
网络测试服务,显示时间, 为“拒绝服务”袭击提供机会, 除非正在测试网络,否则禁用
chargen 服务
严禁
网络测试服务,回应随机字符串, 为“拒绝服务”袭击提供机会, 除非正在测试网络,否则禁用
comsat 服务
严禁
comsat告知接受的电子邮件,以 root 顾客身份运行,因此波及安全性, 除非需要接受邮件,否则禁用
ntalk 服务
严禁
ntalk容许顾客互相交谈,以 root 顾客身份运行,除非绝对需要,否则禁用
talk 服务
严禁
在网上两个顾客间建立分区屏幕,不是必需服务,与 talk 命令一起使用,在端口 517 提供 UDP 服务
tftp 服务
严禁
以 root 顾客身份运行并且也许危及安全
ftp 服务(可选)
严禁
防备非法访问目录风险
telnet服务
严禁
远程访问服务
uucp 服务
严禁
除非有使用 UUCP 的应用程序,否则禁用
dtspc 服务(可选)
严禁
CDE 子过程控制不用图形管理则禁用
klogin 服务(可选)
严禁
Kerberos 登录,假如站点使用 Kerberos 认证则启用
kshell 服务(可选)
严禁
Kerberos shell,假如站点使用 Kerberos 认证则启用
访问控制
通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表5。
表5 AIX系统访问控制基线技术规定
序号
基线技术规定
基线原则点(参数)
阐明
修改Umask权限
022或027
规定修改默认文献权限
关键文献权限控制
passwd、group、security的所有者必须是root和security组组员
设置/etc/passwd,/etc/group,
/etc/security等关键文献和目录的权限
audit的所有者必须是root和audit组组员
/etc/security/audit的所有者必须是root和audit组组员
/etc/passwd rw-r--r
您可能关注的文档
最近下载
- 三年级语文上册习作八:那次玩得真高兴课件(共26张PPT).pptx VIP
- 六年级人教版小学英语-阅读理解专题练习(及答案).doc VIP
- 污水厂年度工作计划(模板).doc
- ECOVACS 科沃斯 净化机器人沁宝 AIRBOT Z1产品使用说明书.pdf
- 24秋人教PEP英语三年级上册 Unit 1 Making friends 单元教学课件.pptx
- 2022年防雷检测职业技能竞赛综合知识试题库大全-下(判断题部分).pdf
- 装修公司工程部品控管理:材料堆放保护规范.docx
- 2023年长沙市事业单位公开招聘考试真题.docx
- 万孚生物-市场前景及投资研究报告:POCT龙头,技术平台全覆盖,国内外双核驱动.pdf VIP
- 全数字交流伺服驱动系统KT270-H系列(V1.0)使用手册.PDF
文档评论(0)