【正文】 應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近 5次（含 5 次）內(nèi)已使用的口令。 操作指南 參考配置操作 方法一： chsec f /etc/security/user s default a histsize=5 方法二： 用 vi 或其他文本編輯工具修改 chsec f /etc/security/user 文件如下值： histsize=5 histexpire=5 可允許的密碼重復(fù)次數(shù) 檢測方法 判定條件 設(shè)置密碼不成功 檢測操作 cat /etc/security/user，設(shè)置如下 7 histsize=5 補(bǔ)充說明 默認(rèn)沒有 histsize 的標(biāo)記，即不記錄以前的密碼。 編號： 4 要求內(nèi)容 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過 6 次（不含 6 次） ，鎖定該用戶使用的賬號。 操作指南 參考配置操作 查看帳戶帳戶屬性： lsuser username 設(shè)置 6 次登陸失敗后帳戶鎖定閥值： chuser loginretries=6 username 備注：root賬戶不在鎖定范圍內(nèi) 檢測方法 判定條件 運(yùn)行 lsuser uasename 命令，查看帳戶屬性中是否設(shè)置了 6 次登陸失敗后帳戶鎖定閥值的策略。如未設(shè)置或大于 6 次， 則進(jìn)行設(shè)置 授權(quán) 編號： 1 要求內(nèi)容 在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。 操作指南 參考配置操作 通過 chmod 命令對目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。 補(bǔ)充操作說明 chown R root:security /etc/passwd /etc/group /etc/security chown R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod R gow,or /etc/security /etc/passwd /etc/group /etc/security 的所有者必須是 root 和 security組成員 /etc/security/audit的所有者必須是 iroot和 audit 組成員 /etc/passwd 所有用戶都可讀，root用戶可寫 –rwr—r— /etc/shadow 只有 root 可讀 –r /etc/group 必須所有用戶都可讀，root 用戶可寫 –rwr—r— 使用如下命令設(shè)置： chmod 644 /etc/passwd chmod 644 /etc/group 8 如果是有寫權(quán)限，就需移去組及其它用戶對/etc 的寫權(quán)限（特殊情況除外） 執(zhí)行命令chmod R gow,or /etc 檢測方法 判定條件 設(shè)備系統(tǒng)能夠提供用戶權(quán)限的配置選項(xiàng)，并記錄對用戶進(jìn)行權(quán)限配置是否必須在用戶創(chuàng)建時(shí)進(jìn)行； 記錄能夠配置的權(quán)限選項(xiàng)內(nèi)容； 所配置的權(quán)限規(guī)則應(yīng)能夠正確應(yīng)用，即用戶無法訪問授權(quán)范圍之外的系統(tǒng)資源，而可以訪問授權(quán)范圍之內(nèi)的系統(tǒng)資源。 檢測操作 利用管理員賬號登錄系統(tǒng)，并創(chuàng)建 2 個(gè)不同的用戶； 創(chuàng)建用戶時(shí)查看系統(tǒng)是否提供了用戶權(quán)限級別以及可訪問系統(tǒng)資源和命令的選項(xiàng)； 為兩個(gè)用戶分別配置不同的權(quán)限， 2 個(gè)用戶的權(quán)限差異應(yīng)能夠分別在用戶權(quán)限級別、可訪問系統(tǒng)資源以及可用命令等方面予以體現(xiàn)； 分別利用 2 個(gè)新建的賬號訪問設(shè)備系統(tǒng)，并分別嘗試訪問允許訪問的內(nèi)容和不允許訪問的內(nèi)容，查看權(quán)限配置策略是否生效。 補(bǔ)充說明 編號：2 要求內(nèi)容 控制 FTP 進(jìn)程缺省訪問權(quán)限，當(dāng)通過 FTP 服務(wù)創(chuàng)建新文件或目錄時(shí)應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。 操作指南 參考配置操作 a. 限制某些系統(tǒng)帳戶不準(zhǔn) ftp 登錄: 通過修改 ftpusers 文件，增加帳戶 vi /etc/ftpusers b. 限制用戶可使用 FTP不能用 Telnet，假如用戶為 ftpxll 創(chuàng)建一個(gè)/etc/shells文件, 添加一行 /bin/true。 修改/etc/passwd 文件，ftpxll:x:119:1::/home/ftpxll:/bin/true 注：還需要把真實(shí)存在的 shell 目錄加入/etc/shells 文件，否則沒有用戶能夠登錄 ftp 以上兩個(gè)步驟可參考如下 shell 自動執(zhí)行： lsuser c ALL | grep v ^name | cut f1 d: | while read NAME。 do if [ `lsuser f $NAME | grep id | cut f2 d=` lt 200 ]。 then echo Adding $NAME to /etc/ftpusers echo $NAME /etc/ fi done sort u /etc/ /etc/ftpusers rm /etc/ chown root:system /etc/ftpusers chmod 600 /etc/ftpusers 9 c. 限制 ftp 用戶登陸后在自己當(dāng)前目錄下活動 編輯 ftpaccess，加入如下一行 restricteduid *(限制所有)， restricteduid username（特定用戶） ftpaccess 文件與 ftpusers文件在同一目錄 d. 設(shè)置 ftp 用戶登錄后對文件目錄的存取權(quán)限，可編輯/etc/ftpaccess。 chmod no guest,anonymous delete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous 補(bǔ)充操作說明 查看 cat ftpusers 說明: 在這個(gè)列表里邊的用戶名是不允許 ftp 登陸的。 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 檢測方法 判定條件 權(quán)限設(shè)置符合實(shí)際需要；不應(yīng)有的訪問允許權(quán)限被屏蔽掉； 檢測操作 查看新建的文件或目錄的權(quán)限，操作舉例如下： more /etc/ftpusers more /etc/passwd more /etc/ftpaccess 補(bǔ)充說明 查看 cat ftpusers 說明: 在這個(gè)列表里邊的用戶名是不允許 ftp 登陸的。 root daemon bin sys adm lp uucp 10 nuucp listen nobody noaccess nobody4 補(bǔ)丁 編號：1 要求內(nèi)容 應(yīng)根據(jù)需要及時(shí)進(jìn)行補(bǔ)丁裝載。對服務(wù)器系統(tǒng)應(yīng)先進(jìn)行兼容性測試。 操作指南 參考配置操作 先把補(bǔ)丁集拷貝到一個(gè)目錄，如/08update，然后執(zhí)行 smit update_all 選擇安裝目錄/08update 默認(rèn) SOFTWARE to update [_update_all] 選擇不提交，保存被覆蓋的文件，可以回滾操作，接受許可協(xié)議 COMMIT software updates? no SAVE replaced files? yes ACCEPT new license agreements? yes 然后回車執(zhí)行安裝。 補(bǔ)充操作說明 檢測方法 判定條件 查看最新的補(bǔ)丁號，確認(rèn)已打上了最新補(bǔ)?。?檢測操作 檢查某一個(gè)補(bǔ)丁，比如 LY59082 是否安裝 instfix –a –ivk LY59082 檢查文件集（filesets）是否安裝 lslpp –l 補(bǔ)充說明 補(bǔ)丁下載 日志 編號：1 要求內(nèi)容 設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的 IP地址。 操作指南 參考配置操作 修改配置文件 vi /etc/，加上這幾行： \t\t/var/adm/authlog 11 *.info。\t\t/var/adm/syslog\n 建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 重新啟動 syslog 服務(wù)，依次執(zhí)行下列命令： stopsrc s syslogd startsrc s syslogd AIX 系統(tǒng)默認(rèn)不捕獲登錄信息到 syslogd，以上配置增加了驗(yàn)證信息發(fā)送到/var/adm/authlog和/var/adm/syslog 補(bǔ)充操作說明 檢測方法 判定條件 列出用戶賬號、登錄是否成功、登錄時(shí)間、遠(yuǎn)程登錄時(shí)的 IP地址。檢測操作 cat /var/adm/authlog cat /var/adm/syslog 補(bǔ)充說明 編號： 2（可選） 要求內(nèi)容 啟用記錄cron行為日志功能和cron/at的使用情況 操作指南 參考配置操作 cron/At的相關(guān)文件主要有以下幾個(gè)： /var/spool/cron/crontabs 存放cron任務(wù)的目錄 /var/spool/cron/ 允許使用crontab命令的用戶 /var/spool/cron/ 不允許使用crontab命令的用戶 /var/spool/cron/atjobs 存放at任務(wù)的目錄 /var/spool/cron/ 允許使用at的用戶 /var/spool/cron/ 不允許使用at的用戶 使用crontab和at命令可以分別對cron和at任務(wù)進(jìn)行控制。 crontab l 查看當(dāng)前的cron任務(wù) at l 查看當(dāng)前的 at 任務(wù) 檢測方法 判定條件 檢測操作 查看/var/spool/cron/目錄下的文件配置是否按照以上要求進(jìn)行了安全配置。如未配置則建議按照要求進(jìn)行配置。 編號：3 要求內(nèi)容 設(shè)備應(yīng)配置權(quán)限，控制對日志文件讀取、修改和刪除等操作。 操作指南 參考配置操作 12 配置日志文件權(quán)限，如下命令： chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 并設(shè)置了權(quán)限為其他用戶和組禁止讀寫日志文件。 檢測方法 判定條件 沒有相應(yīng)權(quán)限的用戶不能查看或刪除日志文件 檢測操作 查看 ： more /etc/ 使用 ls –l /var/adm 查看的目錄下日志文件的權(quán)限，如：authlog、syslog 的權(quán)限應(yīng)分別為 600、644。 補(bǔ)充說明 對于其他日志文件，也應(yīng)該設(shè)置適當(dāng)?shù)臋?quán)限，如登錄失敗事件的日志、操作日志，具體文件查看 中的配置。 不必要的服務(wù)、端口 編號：1 要求內(nèi)容 列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉。 操作指南 參考配置操作 查看所有開啟的服務(wù)： ps –e f 方法一：手動方式操作 首先復(fù)制/etc/inet/。 cp /etc/inet/ /etc/inet/ 然后用vi編輯器編輯，對于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記字符，重啟inetd服務(wù),即可。 重新啟用該服務(wù)，使用命令： refresh –s inetd 方法二：自動方式操作 ： for SVC in ftp telnet shell kshell login klogin exec \ echo discard chargen daytime time ttdbserver dtspc。 do echo Disabling $SVC TCP chsubserver d v $SVC p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pfsd \ echo discard char