管理制度-AIX操作系统安全配置规范V中国移动内部资料 精品.doc

《管理制度-AIX操作系统安全配置规范V中国移动内部资料 精品.doc》由会员分享，可在线阅读，更多相关《管理制度-AIX操作系统安全配置规范V中国移动内部资料 精品.doc（33页珍藏版）》请在第一文库网上搜索。

1、xxx实施xxx发布中国移动AIX操作系统安全配置规范安全配置规范Specification for AIX OS Configuration Used in China Mobile版本号：1.0.0中国移动通信有限公司网络部目录1范围12规范性引用文件13术语和定义和缩略语14AIX设备安全配置要求14.1账号管理、认证授权24.1.1账号24.1.2口令44.1.3授权74.2日志配置要求104.3IP协议安全配置要求144.3.1IP协议安全144.3.2路由协议安全174.4设备其他安全配置要求194.4.1屏幕保护194.4.2文件系统及访问权限204.4.3物理端口设置224.4

2、.4补丁管理224.4.5服务234.4.6内核调整264.4.7启动项275编制历史29前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司。本标准解释单位：同提出单位。本标准主要起草人： 张瑾

3、、赵强、石磊、陈敏时、周智、曹一生。1 范围本规范适用于中国移动通信网、业务系统和支撑系统中使用AIX操作系统的设备。本规范明确了AIX操作系统配置的基本安全要求，在未特别说明的情况下，均适用于所有运行的AIX操作系统版本。2 规范性引用文件本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的AIX操作系统安全配置要求。以本规范还针对直接引用通用规范的配置要求，给出了在AIX操作系统上的具体配置方法和检测方法。编号采纳意见补充说明安全要求-设备-通用-配置-1完全采纳安全要求-设备-通用-配置-2完全采纳安全要求-设备-通用-配置-3-可选完全采

4、纳安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5完全采纳安全要求-设备-通用-配置-29-可选未采纳安全要求-设备-通用-配置-6-可选完全采纳安全要求-设备-通用-配置-7-可选完全采纳安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选未采纳安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-28未采纳安全要求-设备-通用-配置-16-可选未采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19完全采纳安全要求

5、-设备-通用-配置-20-可选完全采纳安全要求-设备-通用-配置-27未采纳本规范新增的安全配置要求，如下：安全要求-设备-AIX-配置-4-可选安全要求-设备-AIX-配置-5-可选安全要求-设备-AIX-配置-12-可选安全要求-设备-AIX-配置-13-可选安全要求-设备-AIX-配置-18-可选安全要求-设备-AIX-配置-19-可选安全要求-设备-AIX-配置-21-可选安全要求-设备-AIX-配置-22-可选安全要求-设备-AIX-配置-23-可选安全要求-设备-AIX-配置-24-可选安全要求-设备-AIX-配置-27-可选安全要求-设备-AIX-配置-28-可选安全要求-设备-

6、AIX-配置-31-可选安全要求-设备-AIX-配置-32-可选安全要求-设备-AIX-配置-33-可选安全要求-设备-AIX-配置-34-可选安全要求-设备-AIX-配置-35-可选安全要求-设备-AIX-配置-36-可选安全要求-设备-AIX-配置-37-可选3 术语和定义和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）语词英文描述中文描述4 AIX设备安全配置要求本规范所指的设备为采用AIX操作系统的设备。本规范提出的安全配置要求，在未特别说明的情况下，均适用于采用AIX操作系统的设备。本规范从运行AIX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能，其他自身安全配

7、置功能四个方面提出安全配置要求。4.1 账号管理、认证授权4.1.1 账号编号： 安全要求-设备-通用-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登

8、录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号： 安全要求-设备-通用-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。操作指南1、参考配置操作删除用户：#rmuser p username; 锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd d

9、 username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。2、补充操作说明需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody,lpd,sshd 编号： 安全要求-设备-通用-配置-3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限

10、操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、 参考配置操作编辑/etc/security/user，加上：在root项上输入false作为rlogin的值此项只能限制root用户远程使用telnet登录。用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。检测方法1、判定条件root远程登录不成功，提示“Not on system console”；普通用户可以登录成

11、功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。编号： 安全要求-设备-AIX-配置-4-可选要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作创建帐户组：#groupadd g GID groupname #创建一个组，并

12、为其设置GID号，若不设GID，系统会自动为该组分配一个GID号；#usermod g group username #将用户username分配到group组中。查询被分配到的组的GID：#id username可以根据实际需求使用如上命令进行设置。2、补充操作说明可以使用 -g 选项设定新组的 GID。0 到 499 之间的值留给 root、bin、mail 这样的系统账号，因此最好指定该值大于 499。如果新组名或者 GID 已经存在，则返回错误信息。当group_name字段长度大于八个字符，groupadd命令会执行失败；当用户希望以其他用户组成员身份出现时，需要使用newgrp命令

13、进行更改，如#newgrp sys 即把当前用户以sys组身份运行；检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#id username 2、检测操作查看组文件：cat /etc/group 3、补充说明文件中的格式说明：group_name:GID:user_list 编号： 安全要求-设备-AIX-配置-5-可选要求内容对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。操作指南1、参考配置操作禁止账号交互式登录：修改/etc/shadow文件，用户名

14、后密码列为NP；删除账号：#rmuser -p username;2、补充操作说明禁止交互登录的系统账号，比如uucp nuucp lpd guest printq等检测方法1、判定条件被禁止账号交互式登录的帐户远程登录不成功；2、检测操作用root登录后，新建一账号，密码不设，从远程用此帐户登录，登录会显示login incorrect，如果root用户没设密码没有任何提示信息直接退出；3、补充说明4.1.2 口令编号： 安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作chsec -f /etc/security/user -s default -a minlen=6chsec -f /etc/security/user -s default -a minalpha=1chsec -f /etc/security/user -s