安全基線說明

鎖定系統中無關賬號

安全基線要求

鎖定無用賬號

檢查操作參考

檢視/etc/passwd檔案

配置操作參考

使用“smitty user”選擇“lock/unlock a user's   account”鎖定不必要的使用者

備註

鎖定不需要的使用者，需要確認該使用者對系統無影響的，無關賬號主要是指測試賬號、共享賬號、長期不用賬號、冗餘賬號、無用元件賬號等。

安全基線說明

關閉系統中不必要的服務

安全基線要求

關閉系統中不必要的服務，減小系統負載、版本漏洞等

檢查操作參考

檢視cat /etc/inetd.conf

配置操作參考

配置檔案中在該服務前新增或刪除“#”並透過“refresh -s inetd”進行重啟服務

備註

安全基線說明

登入AIX作業系統的密碼策略

安全基線要求

系統採用靜態口令認證，賬號密碼策略必須滿足，口令長度至少８位，包含2個字母，1個特殊符號，密碼週期為13周等

檢查操作參考

檢視/etc/security/user

配置操作參考

使用命令“vi   /etc/security/user”修改配置檔案，有選擇的修改以下策略

maxage=13 口令最長有效期為13周

maxexpired=4   口令過期後4周內使用者可以更改

maxrepeats=3   口令中某一字元最多隻能重複3次

minlen=8 口令最短為8個字元

minalpha=2 口令中最少包含2個字母字元

minother=1 口令中最少包含一個非字母數字字元

備註

安全基線說明

設定遠端連線超時時間

安全基線要求

設定超時時間，減少無用連線

檢查操作參考

檢視方式

cat   /etc/profile |grep TMOUT

配置操作參考

在配置檔案 /etc/profile 中增加如下內容，超時間為 1200 秒

TMOUT=1200

備註

安全基線說明

開啟審計功能，記錄登入是否成功，登入時間，以及遠端登入時，使用者使用的IP地址等資訊輸出至指定日誌，便於安全審計

安全基線要求

記錄使用者登入等資訊

檢查操作參考

檢視/etc/syslog.conf

配置操作參考

修改配置檔案vi   /etc/syslog.conf，加上這兩行：

auth.info   /var/adm/authlog

*.info;auth.none   /var/adm/syslog

建立日誌檔案，如下命令：

touch   /var/adm/authlog /var/adm/syslog

chmod 600   /var/adm/authlog

chmod 640   /var/adm/syslog

重新啟動syslog服務，執行命令：  

stopsrc -s   syslogd

startsrc -s   syslogd

服務正常啟動後可透過以下命令進行驗證是否有資訊記錄

cat   /var/adm/authlog 、cat /var/adm/syslog

備註

安全基線說明

禁止root使用者直接登入作業系統，可用透過其他允許的使用者切換

安全基線要求

禁止root使用者直接登入作業系統，提高安全性

檢查操作參考

檢視/etc/security/user檔案，root部分是否包含“rlogin=false”

配置操作參考

vi 編輯/etc/security/user檔案，增加“rlogin=false”或者“chuser rlogin=false root”，同時透過Smitty user選擇root使用者，選擇SU GROUP來控制可用切換至root的使用者

備註