对AIX系统设备账号认证、日志、协议、补丁升级、文件系统管理等各方面的安全配置要求,共 27项;对系统的安全配置审计、加固操作起到指导性作用。 一、账号管理、认证授权 1 、 账号 1.1 名 称 : 为不同的管理员分配不同的账号 实施目的 : 根据不同类型用途设置不同的帐户账号,提高系统安全。 问题影响 : 账号混淆,权限不明确,存在用户越权使用的可能。 系统当前状态: 查看/etc/passwd中记录的系统当前用户列表 实施步骤 : 参考配置操作 (1)、为用户创建账号: #mkuser username #passwd username (2)、列出用户属性: #lsuser username (3)、更改用户属性: #chuser attribute=value username 回退方案 : 删除新增加的帐户:#rmuser username 判断依据 : 标记用户用途,定期建立用户列表,比较是否有非法用户 1 .2 名 称 : 配置帐户锁定策略 实施目的 : 锁定不必要的帐户,提高系统安全。 问题影响 : 系统中存在与业务应用无关的帐户会给系统带来潜在的安全风险,容易被攻击者利用。 系统当前状态: 查看/etc/passwd中记录的系统当前用户列表 实施步骤 : 参考配置操作: (1)、系统管理员出示业务所需帐户列表,根据列表只保留系统与业务所需帐户;结合实际情况锁定或删除其余帐户。 (2)、如要锁定 user1用户,则采用的命令如下: #chuser account_locked=true user1 回退方案 : 如对user1用户解除锁定,则采用的命令如下: #chuser account_locked=false user1 判断依据 : 系统管理员出示业务所需帐户列表。 查看/etc/passwd中所记录的系统当前用户列表是否与业务应用所需帐户相对应。除系统帐户和业务应用帐户外,其他的帐户建议根据实际情况锁定或删除。 1.3 名 称 : 限制超级管理员远程登录 实施目的 : 限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账。 问题影响 : 如允许 root远程直接登陆,则系统将面临潜在的安全风险 系统当前状态: 执行 lsuser -a rlogin root命令,查看 root的 rlogin属性并记录 实施步骤 : 参考配置操作: (1)、查看root的rlogin属性: #lsuser -a rlogin root (2)、禁止root远程登陆: #chuser rlogin=false root 回退方案 : 还原root可以远程登陆,执行如下命令: #chuser rlogin=true ro...
