【導讀】32 袇袂芄蒞螃袁莆薀蠆袀肆莃薅衿膈薈蒁袈芀莁螀羇羀薇蚆羇肂莀薂羆芅薅薈羅莇蒈袇羄肇芁螃羃腿蒆蠆芁艿薄羈羈蒄蒀肁肅芇蝿肀膆蒃蚅聿莈芆蟻肈肇薁薇肇膀莄袆肆節(jié)蕿螂肅莄莂蚈肅肄薈薄螁膆莀蒀螀艿薆螈蝿羈荿螄蝿膁蚄蝕螈芃蕆薆螇蒞芀裊螆肅蒅螁螅膇羋蚇襖芀蒄薃袃罿芆葿袃肁蒂袇袂芄蒞螃袁莆薀蠆袀肆莃薅衿膈薈蒁袈芀莁螀羇羀薇蚆羇肂莀薂羆芅薅薈羅莇蒈袇羄肇芁螃羃腿蒆蠆芁艿薄羈羈蒄蒀肁肅芇蝿肀膆蒃蚅聿莈芆蟻肈肇薁薇肇膀莄袆肆節(jié)蕿螂肅莄莂蚈肅肄薈薄螁膆莀蒀螀艿薆螈蝿羈荿螄蝿膁蚄蝕螈芃蕆薆螇蒞芀裊螆肅蒅螁螅膇羋蚇襖芀蒄薃袃罿芆葿袃肁蒂袇袂芄蒞螃袁莆薀蠆袀肆莃薅衿膈薈蒁袈芀莁螀羇羀薇蚆羇肂莀薂羆芅薅薈羅莇蒈袇羄肇芁螃羃腿蒆蠆芁艿薄羈羈蒄蒀肁肅芇蝿肀膆蒃蚅聿莈芆蟻肈肇薁薇肇膀莄袆肆節(jié)蕿螂肅莄莂蚈肅肄薈薄螁膆莀蒀螀艿薆螈蝿羈荿螄蝿膁蚄蝕螈芃蕆薆螇蒞芀裊螆肅蒅螁螅膇羋蚇襖芀蒄薃袃罿芆葿袃肁蒂袇袂芄蒞螃袁莆薀蠆袀肆莃薅衿膈

　　

【正文】 回退方案 如對 user1 用戶解除鎖定，則采用的命令如下： 32 chuser account_locked=false user1 判斷依據(jù) 系統(tǒng)管理員出示業(yè)務所需帳戶列表。 查看 /etc/passwd 中所記錄的系統(tǒng)當前用戶列表是否與業(yè)務應用所需帳戶相對應。除系統(tǒng)帳戶和業(yè)務應用 帳戶外，其他的帳戶建議根據(jù)實際情況鎖定或刪除。 實施風險 高 重要等級 ★★★ 備注 AIX010103 編號 AIX010103 名稱 限制超級管理員遠程登錄 實施目的 限制具備超級管理員權限的用戶遠程登錄。遠程執(zhí)行管理員權限操作，應先以普通權限用戶遠程登錄后，再切換到超級管理員權限賬。 問題影響 如允許 root 遠程直接登陸，則系統(tǒng)將面臨潛在的安全風險 系統(tǒng)當前狀態(tài) 執(zhí)行 lsuser a rlogin root 命令，查看 root 的 rlogin 屬性 并記錄 實施步驟 參考配置操作： 查看 root 的 rlogin 屬性： lsuser a rlogin root 禁止 root 遠程登陸： chuser rlogin=false root 回退方案 還原 root 可以遠程登陸，執(zhí)行如下命令： chuser rlogin=true root 判斷依據(jù) 執(zhí)行 lsuser – a rlogin root 命令，查看 root 的 rlogin 屬性， root 是否可以遠程登陸，如顯示可以，則禁止。 實施風險 高 重要等級 ★★★ 備注 AIX010104 編號 AIX010104 名稱 對系統(tǒng)賬號進行登錄限制 實施目的 對系統(tǒng)賬號進行登錄限制，確保系統(tǒng)賬號僅被守護進程和服務使用 問題影響 可能利用系統(tǒng)進程默認賬號登陸，賬號越權使用 系統(tǒng)當前狀態(tài) 查看 /etc/security/passwd 中各賬號狀態(tài)并記錄 實施步驟 參考配置操作： 系統(tǒng)管理員出示業(yè)務所需登陸主機的帳戶列表，根據(jù)列表只保留系統(tǒng)與業(yè)務所需的登陸帳戶。結合實際情況禁止或刪除其余帳戶。 禁止賬號交互式登錄： chuser account_locked=true username 刪除賬號： rmuser username 補充操作說明： 建議禁止交互登錄的系統(tǒng)賬號有： daemon,bin,sys,adm,uucp,guest,nobody,lp,help 等 32 回退方案 還原被禁止登陸的帳戶： chuser account_locked=false username 注：對刪除帳戶的操作無法回退 判斷依據(jù) 系統(tǒng)管理員出示業(yè)務所需登陸主機的帳戶列表。 查看 /etc/security/passwd 中所記錄的可以登陸主機的帳戶是否與業(yè)務應 用所需登陸主機的帳戶相對應。除業(yè)務應用需登陸主機的帳戶外，其他的帳戶建議根據(jù)實際情況可以設置成禁止登陸或直接將其帳戶刪除。 實施風險 高 重要等級 ★ 備注 AIX010105 編號 AIX010105 名稱 為空口令用戶設置密碼 實施目的 禁止空口令用戶，存在空口令是很危險的，用戶不用口令認證就能進入系統(tǒng)。 問題影響 系統(tǒng)中的帳戶存在被非法利用的風險 系統(tǒng)當前狀態(tài) 查看 /etc/passwd 中的內(nèi)容并記錄 實施步驟 參考配置操作： 用 root 用 戶登陸 AIX 系統(tǒng)，執(zhí)行 passwd 命令，給空口令的帳戶增加密碼。 如采用和執(zhí)行如下命令： passwd username password 回退方案 Root 身份設置用戶口令，取消口令 如做了口令策略則失敗 判斷依據(jù) 登陸系統(tǒng)判斷，查看 /etc/passwd 中的內(nèi)容，從而判斷系統(tǒng)中是否存在空口令的帳戶。如發(fā)現(xiàn)存在，則建議為該帳戶設置密碼。 實施風險 高 重要等級 ★ 備注 口令 AIX010201 編號 AIX010201 名稱 缺省密碼長 度限制 實施目的 防止系統(tǒng)弱口令的存在，減少安全隱患。對于采用靜態(tài)口令認證技術的設備，口令長度至少 6 位。且密碼規(guī)則至少應采用字母（大小寫穿插）加數(shù)字加標點符號（包括通配符）的方式。 問題影響 增加系統(tǒng)的帳戶密碼被暴力破解的成功率和潛在的風險 系統(tǒng)當前狀態(tài) 運行 lsuser username 命令，查看帳戶屬性和當前狀態(tài)，并記錄。 實施步驟 參考配置操作： 查看帳戶帳戶屬性： lsuser username 設置密碼最短長度為 8 位： chuser minlen=8 username 回退方案 根據(jù)在加固前所記錄的帳戶屬性，修改設置到系統(tǒng)加固前狀態(tài)。 32 判斷依據(jù) 運行 lsuser uasename 命令，查看帳戶屬性中密碼的最短長度策略是否符合 8 位。如不符合，則進行設置。 實施風險 低 重要等級 ★★★ 備注 AIX010202 編號 AIX010202 名稱 缺省密碼復雜度限制 實施目的 防止系統(tǒng)弱口令的存在，減少安全隱患。對于采用靜態(tài)口令認證技術的設備，包括數(shù)字、小寫字母、大寫字母和特殊符號 4 類中至少 2 類 問題影響 增加系統(tǒng)中的帳 戶密碼被暴力破解的成功率以及潛在的安全風險 系統(tǒng)當前狀態(tài) 運行 lsuser username 命令，查看帳戶屬性和當前狀態(tài)，并記錄 實施步驟 參考配置操作： 查看帳戶帳戶屬性： lsuser username 設置口令中最少包含 4 個字母字符的數(shù)量： chuser minalpha=4 username 設置口令中最少包含 1 個非字母數(shù)字字符數(shù)量： chuser minother=1 username 回退方案 根據(jù)在加固前所記錄的帳戶屬性，修改設置到系統(tǒng)加固前狀態(tài) 判斷依據(jù) 運行 lsuser uasename 命令，查看帳戶屬性中口令是否符合包含最少 4個字母字符以及是否包含最少 1 個非字母數(shù)字字符。如不符合，則進行設置。 實施風險 低 重要等級 ★★★ 備注 AIX010