1. 操 作 系 统 安 全 基 线 技 术 要 求1.1. AIX 系统安全基线1.1.1. 系统管理通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表 1。表 1 AIX 系统管理基线技术要求序号基线技术要求基线标准点(参数)说明1限制超级管理员权限的用户远程登录PermitRootLogin no限制 root 用户远程使用 telnet登录(可选)2使用动态口令令牌登录安装动态口令3配置本机访问控制列表(可选)配置/etc/hosts.allow,/etc/hosts。deny安装 TCP Wrapper,提高对系统访问控制1.1.2. 用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表 2。表 2 AIX 系统用户账户与口令基线技术要求序号基线技术要求基线标准点(参数)说明4限制系统无用默认账号登录daemon(禁用)bin(禁用)sys(禁用)adm(禁用)uucp(禁用)nuucp(禁用)lpd(禁用)guest(禁用)pconsole(禁用)esaadmin(禁用)sshd(禁用)清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表,并妥善保存5控制用户登录超时时间10 分钟控制用户登录会话,设置超时时间6口令最小长度8 位口令安全策略(口令为超级用户静态口令)7口令中最少非字母数字字符1 个口令安全策略(口令为超级用户静态口令)8信息系统的口令的最大周期90 天口令安全策略(口令为超级用户静态口令)9口令不重复的次数10 次口令安全策略(口令为超级用户静态口令)1.1.3. 日志与审计通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表 3。表 3 AIX 系统日志与审计基线技术要求序号基线技术要求基线标准点(参数)说明10系统日志记录(可选)authlog 、 sulog 、wtmp 、 failedlogin记录必需的日志信息,以便进行审计11系统日志存储(可选)对接到统一日志服务器使用日志服务器接收与存储主机日志,网管平台统一管理12日志保存要求(可选)6 个月等保三级要求日志必须保存 6 13配置日志系统文件保护属性(可选)400修改配置文件 syslog.conf 权限为管理员账号只读14修改日志文件保护权限(可选)400修改日志文件authlog、wtmp、sulog、failedlogin 的权限管理员账号只读1.1.4. 服务优化通过优化操作系统资源,提高系统服务安全性,详见表 4。表 4 AIX 系统服务优化基线技术要求序号基线技术要求基线标准点(参数)说明15discard 服务禁止网络测试服务,丢弃输入 , 为“拒绝服务”攻击提供机会, ...
