aix操作系统安全系统配置要求规范.doc

AIX安全配置程序1账号认证编号:安全要求-设备-通用-配置-1要求容应删除或锁定与设备运行、维护等工作无关的账号。系统存在不可删除的置账号,包括root,bin等。操作指南1、参考配置操作删除用户:#rmuser–pusername;锁定用户:1)修改/etc/shadow文件,用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#ount_locked=TRUEusername#passwd-lusername只有具备超级用户权限的使用者方可使用,#ount_locked=TRUEusername#passwd-lusername锁定用户,用#ount_locked=FALSEusername#passwd–dusername解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户:deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd检测方法1、判定条件被删除或锁定的账号无法登录成功;2、检测操作使用删除或锁定的与工作无关的账号登录系统;3、补充说明需要锁定的用户:deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd编号:安全要求-设备-通用-配置-2要求容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。操作指南参考配置操作编辑/etc/security/user,加上:如果限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。2、补充操作说明检测方法1、判定条件root远程登录不成功,提示“Notonsystemconsole”;普通用户可以登录成功,而且可以切换到root用户;2、登录;登录;root从远程使用ssh登录;普通用户从远程使用ssh登录;3、补充说明限制root从远程ssh登录,修改/etc/ssh/sshd_config文件,将PermitRootLoginyes改为PermitRootLoginno,重启sshd服务。2密码策略编号:安全要求-设备-通用-配置-3要求容对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作chsec-f/etc/security/user-sdefault-aminlen=8chsec-f/etc/security/user-sdefault-aminalpha=1chsec-f/etc/security/user-sdefault-amindiff=1chsec-f/etc/security/user-sdefault-aminother=1chsec–f/etc/security/user–sdefault-apwdwarntime=5minlen=8#密码长度最少8位minalpha=1#包含的字母最少1个mindiff=1#包含的唯一字符最少1个minother=1#包含的非字母最少1个pwdwarntime=5#系统在密码过期前5天发出修改密码的警告信息给用户2、补充操作说明检测方法1、判定条件不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;2、检测操作1、检查口令强度配置选项是否可以进行如下配置:配置口令的最小长度;将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。编号:安全要求-设备-通用-配置-4要求容对于采用静态口令认证技术的设备,口令的生存期不长于12周(84天)。操作指南参考配置操作方法一:chsec-f/etc/security/user-sdefault-ahistexpire=12方法二:用vi或其他文本编辑工具修改chsec-f/etc/security/user文件如下值:histexpire=13histexpire=13#密码可重复使用的星期为12周(84天)2、补充操作说明检测方法1、判定条件密码过期后登录不成功;2、检测操作使用超过84天的口令登录会提示密码过期;编号:安全要求-设备-通用-配置-5要求容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近3次(含3次)已使用的口令。操作指南1、参考配置操作