【文章內(nèi)容簡(jiǎn)介】 rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4檢測(cè)方法判定條件權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪(fǎng)問(wèn)允許權(quán)限被屏蔽掉；檢測(cè)操作查看新建的文件或目錄的權(quán)限，操作舉例如下：more /etc/ftpusers more /etc/passwdmore /etc/ftpaccess 補(bǔ)充說(shuō)明查看 cat ftpusers說(shuō)明: 在這個(gè)列表里邊的用戶(hù)名是不允許ftp登陸的。rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4 補(bǔ)丁安全編號(hào)：1要求內(nèi)容應(yīng)根據(jù)需要及時(shí)進(jìn)行補(bǔ)丁裝載。對(duì)服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測(cè)試。操作指南參考配置操作先把補(bǔ)丁集拷貝到一個(gè)目錄，如/08update，然后執(zhí)行smit update_all選擇安裝目錄/08update默認(rèn)SOFTWARE to update [_update_all]選擇不提交，保存被覆蓋的文件，可以回滾操作，接受許可協(xié)議 COMMIT software updates? no SAVE replaced files? yes ACCEPT new license agreements? yes然后回車(chē)執(zhí)行安裝。補(bǔ)充操作說(shuō)明檢測(cè)方法判定條件查看最新的補(bǔ)丁號(hào)，確認(rèn)已打上了最新補(bǔ)??；檢測(cè)操作檢查某一個(gè)補(bǔ)丁，比如LY59082是否安裝instfix –a –ivk LY59082檢查文件集（filesets）是否安裝lslpp –l 補(bǔ)充說(shuō)明補(bǔ)丁下載 日志安全要求編號(hào)：1要求內(nèi)容設(shè)備應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶(hù)使用的IP地址。操作指南參考配置操作修改配置文件vi /etc/，加上這幾行：\t\t/var/adm/authlog*.info。\t\t/var/adm/syslog\n 建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog
chown root:system /var/adm/authlog

重新啟動(dòng)syslog服務(wù)，依次執(zhí)行下列命令：stopsrc s syslogd
startsrc s syslogdAIX系統(tǒng)默認(rèn)不捕獲登錄信息到syslogd，以上配置增加了驗(yàn)證信息發(fā)送到/var/adm/authlog和/var/adm/syslog補(bǔ)充操作說(shuō)明檢測(cè)方法判定條件列出用戶(hù)賬號(hào)、登錄是否成功、登錄時(shí)間、遠(yuǎn)程登錄時(shí)的IP地址。檢測(cè)操作cat /var/adm/authlogcat /var/adm/syslog補(bǔ)充說(shuō)明編號(hào)： 2（可選）要求內(nèi)容啟用記錄cron行為日志功能和cron/at的使用情況 操作指南參考配置操作cron/At的相關(guān)文件主要有以下幾個(gè)： /var/spool/cron/crontabs 存放cron任務(wù)的目錄 /var/spool/cron/ 允許使用crontab命令的用戶(hù) /var/spool/cron/ 不允許使用crontab命令的用戶(hù) /var/spool/cron/atjobs 存放at任務(wù)的目錄 /var/spool/cron/ 允許使用at的用戶(hù) /var/spool/cron/ 不允許使用at的用戶(hù) 使用crontab和at命令可以分別對(duì)cron和at任務(wù)進(jìn)行控制。 crontab l 查看當(dāng)前的cron任務(wù) at l 查看當(dāng)前的at任務(wù) 檢測(cè)方法判定條件檢測(cè)操作查看/var/spool/cron/目錄下的文件配置是否按照以上要求進(jìn)行了安全配置。如未配置則建議按照要求進(jìn)行配置。 編號(hào)：3要求內(nèi)容設(shè)備應(yīng)配置權(quán)限，控制對(duì)日志文件讀取、修改和刪除等操作。操作指南參考配置操作配置日志文件權(quán)限，如下命令：chmod 600 /var/adm/authlog
chmod 640 /var/adm/syslog 并設(shè)置了權(quán)限為其他用戶(hù)和組禁止讀寫(xiě)日志文件。檢測(cè)方法判定條件沒(méi)有相應(yīng)權(quán)限的用戶(hù)不能查看或刪除日志文件檢測(cè)操作：more /etc/使用ls –l /var/adm查看的目錄下日志文件的權(quán)限，如：authlog、syslog的權(quán)限應(yīng)分別為600、644。補(bǔ)充說(shuō)明對(duì)于其他日志文件，也應(yīng)該設(shè)置適當(dāng)?shù)臋?quán)限，如登錄失敗事件的日志、操作日志。 不必要的服務(wù)、端口編號(hào)：1要求內(nèi)容列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。操作指南 參考配置操作查看所有開(kāi)啟的服務(wù)：ps –e f 方法一：手動(dòng)方式操作 首先復(fù)制/etc/inet/。 cp /etc/inet/ /etc/inet/ ，對(duì)于需要注釋掉的服務(wù)在相應(yīng)行開(kāi)頭標(biāo)記字符，重啟inetd服務(wù),即可。重新啟用該服務(wù)，使用命令：refresh –s inetd方法二：自動(dòng)方式操作：for SVC in ftp telnet shell kshell login klogin exec \
echo discard chargen daytime time ttdbserver dtspc。 do
echo Disabling $SVC TCP
chsubserver d v $SVC p tcp
done
for SVC in ntalk rstatd rusersd rwalld sprayd pfsd \
echo discard chargen daytime time cmsd。 do
echo Disabling $SVC UDP
chsubserver d v $SVC p udp
done
refresh s inetd：sh 補(bǔ)充操作說(shuō)明參考附表，根據(jù)具體情況禁止不必要的基本網(wǎng)絡(luò)服務(wù)。注意：改變了“”文件之后，需要重新啟動(dòng)inetd。對(duì)必須提供的服務(wù)采用tcpwapper來(lái)保護(hù)并且為了防止服務(wù)取消后斷線(xiàn)，一定要啟用SSHD服務(wù)，用以登錄操作和文件傳輸。檢測(cè)方法判定條件所需的服務(wù)都列出來(lái)；沒(méi)有不必要的服務(wù)；檢測(cè)操作查看所有開(kāi)啟的服務(wù):cat /etc/inet/,cat /etc/inet/services補(bǔ)充說(shuō)明在/etc/。Tcp服務(wù)如下：ftp telnet shell kshell login klogin execUDP服務(wù)如下：ntalk rstatd rusersd rwalld sprayd pfsd注意：改變了“”文件之后，需要重新啟動(dòng)inetd。對(duì)必須提供的服務(wù)采用tcpwapper來(lái)保護(hù) 文件與目錄權(quán)限編號(hào)：1要求內(nèi)容控制用戶(hù)缺省訪(fǎng)問(wèn)權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí) 應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪(fǎng)問(wèn)允許權(quán)限。防止同屬于該組的其它用戶(hù)及別的組的用戶(hù)修改該用戶(hù)的文件或更高限制。操作指南 參考配置操作：lsuser a home ALL | awk 39。{print $1}39。 | while read user。 do
chuser umask=077 $userdonevi /etc/default/login在末尾增加umask 027，用編輯器打開(kāi)文件/etc/security/user，找到umask這行，修改如下：Umask=077補(bǔ)充操作說(shuō)明如果用戶(hù)需要使用一個(gè)不同于默認(rèn)全局系統(tǒng)設(shè)置的umask，可以在需要的時(shí)候通過(guò)命令行