【文章內(nèi)容簡介】 rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4檢測方法判定條件權(quán)限設(shè)置符合實際需要；不應(yīng)有的訪問允許權(quán)限被屏蔽掉；檢測操作查看新建的文件或目錄的權(quán)限，操作舉例如下：more /etc/ftpusers more /etc/passwdmore /etc/ftpaccess 補充說明查看 cat ftpusers說明: 在這個列表里邊的用戶名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4 補丁安全編號：1要求內(nèi)容應(yīng)根據(jù)需要及時進(jìn)行補丁裝載。對服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。操作指南參考配置操作先把補丁集拷貝到一個目錄，如/08update，然后執(zhí)行smit update_all選擇安裝目錄/08update默認(rèn)SOFTWARE to update [_update_all]選擇不提交，保存被覆蓋的文件，可以回滾操作，接受許可協(xié)議 COMMIT software updates? no SAVE replaced files? yes ACCEPT new license agreements? yes然后回車執(zhí)行安裝。補充操作說明檢測方法判定條件查看最新的補丁號，確認(rèn)已打上了最新補丁；檢測操作檢查某一個補丁，比如LY59082是否安裝instfix –a –ivk LY59082檢查文件集（filesets）是否安裝lslpp –l 補充說明補丁下載 日志安全要求編號：1要求內(nèi)容設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。操作指南參考配置操作修改配置文件vi /etc/，加上這幾行：\t\t/var/adm/authlog*.info。\t\t/var/adm/syslog\n 建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog
chown root:system /var/adm/authlog

重新啟動syslog服務(wù)，依次執(zhí)行下列命令：stopsrc s syslogd
startsrc s syslogdAIX系統(tǒng)默認(rèn)不捕獲登錄信息到syslogd，以上配置增加了驗證信息發(fā)送到/var/adm/authlog和/var/adm/syslog補充操作說明檢測方法判定條件列出用戶賬號、登錄是否成功、登錄時間、遠(yuǎn)程登錄時的IP地址。檢測操作cat /var/adm/authlogcat /var/adm/syslog補充說明編號： 2（可選）要求內(nèi)容啟用記錄cron行為日志功能和cron/at的使用情況 操作指南參考配置操作cron/At的相關(guān)文件主要有以下幾個： /var/spool/cron/crontabs 存放cron任務(wù)的目錄 /var/spool/cron/ 允許使用crontab命令的用戶 /var/spool/cron/ 不允許使用crontab命令的用戶 /var/spool/cron/atjobs 存放at任務(wù)的目錄 /var/spool/cron/ 允許使用at的用戶 /var/spool/cron/ 不允許使用at的用戶 使用crontab和at命令可以分別對cron和at任務(wù)進(jìn)行控制。 crontab l 查看當(dāng)前的cron任務(wù) at l 查看當(dāng)前的at任務(wù) 檢測方法判定條件檢測操作查看/var/spool/cron/目錄下的文件配置是否按照以上要求進(jìn)行了安全配置。如未配置則建議按照要求進(jìn)行配置。 編號：3要求內(nèi)容設(shè)備應(yīng)配置權(quán)限，控制對日志文件讀取、修改和刪除等操作。操作指南參考配置操作配置日志文件權(quán)限，如下命令：chmod 600 /var/adm/authlog
chmod 640 /var/adm/syslog 并設(shè)置了權(quán)限為其他用戶和組禁止讀寫日志文件。檢測方法判定條件沒有相應(yīng)權(quán)限的用戶不能查看或刪除日志文件檢測操作：more /etc/使用ls –l /var/adm查看的目錄下日志文件的權(quán)限，如：authlog、syslog的權(quán)限應(yīng)分別為600、644。補充說明對于其他日志文件，也應(yīng)該設(shè)置適當(dāng)?shù)臋?quán)限，如登錄失敗事件的日志、操作日志。 不必要的服務(wù)、端口編號：1要求內(nèi)容列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。操作指南 參考配置操作查看所有開啟的服務(wù)：ps –e f 方法一：手動方式操作 首先復(fù)制/etc/inet/。 cp /etc/inet/ /etc/inet/ ，對于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記字符，重啟inetd服務(wù),即可。重新啟用該服務(wù)，使用命令：refresh –s inetd方法二：自動方式操作：for SVC in ftp telnet shell kshell login klogin exec \
echo discard chargen daytime time ttdbserver dtspc。 do
echo Disabling $SVC TCP
chsubserver d v $SVC p tcp
done
for SVC in ntalk rstatd rusersd rwalld sprayd pfsd \
echo discard chargen daytime time cmsd。 do
echo Disabling $SVC UDP
chsubserver d v $SVC p udp
done
refresh s inetd：sh 補充操作說明參考附表，根據(jù)具體情況禁止不必要的基本網(wǎng)絡(luò)服務(wù)。注意：改變了“”文件之后，需要重新啟動inetd。對必須提供的服務(wù)采用tcpwapper來保護(hù)并且為了防止服務(wù)取消后斷線，一定要啟用SSHD服務(wù)，用以登錄操作和文件傳輸。檢測方法判定條件所需的服務(wù)都列出來；沒有不必要的服務(wù)；檢測操作查看所有開啟的服務(wù):cat /etc/inet/,cat /etc/inet/services補充說明在/etc/。Tcp服務(wù)如下：ftp telnet shell kshell login klogin execUDP服務(wù)如下：ntalk rstatd rusersd rwalld sprayd pfsd注意：改變了“”文件之后，需要重新啟動inetd。對必須提供的服務(wù)采用tcpwapper來保護(hù) 文件與目錄權(quán)限編號：1要求內(nèi)容控制用戶缺省訪問權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時 應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制。操作指南 參考配置操作：lsuser a home ALL | awk 39。{print $1}39。 | while read user。 do
chuser umask=077 $userdonevi /etc/default/login在末尾增加umask 027，用編輯器打開文件/etc/security/user，找到umask這行，修改如下：Umask=077補充操作說明如果用戶需要使用一個不同于默認(rèn)全局系統(tǒng)設(shè)置的umask，可以在需要的時候通過命令行