aix操作系统系统安全配置手册

UNIX系统安全加固实施细则：

1日志记录选择不合理或系统日志数据不完整

设置审计，在/etc/syslog.conf文件中增加下列四行内容：

f9b964d7996648d7c1c708a1284ac850ac02044d /var/adm/croerr.log

f9b964d7996648d7c1c708a1284ac850ac02044d /var/adm/auth.log

user. warning /var/adm/user.log

f9b964d7996648d7c1c708a1284ac850ac02044d /var/adm/kern.log

2日志记录备份

建议使用磁带机定期做系统差分备份。由系统管理员定期完成。#mksysb

3系统开启了与业务无关的服务

关闭不需要的服务：#vi /etc/inetd.conf

在文件中找到相关服务名称，将其注释即可。

更改后需要刷新：#refresh –s inetd。

4系统开启了与业务无关的端口

关闭服务即关闭了端口，故只需找到无关服务即可。

5账户策略配置不当

在/etc/security/user中修改maxrepeat=3、minlen=6；

在/etc/security/login.cfg中修改maxlogin=5；

6定时任务

在/etc/crontab文件中注释掉不需要的定时任务。

7系统未限制能够su为root的用户

在/etc/security/user中修改default中su=false；

在需要保留su功能的相应账户名下添加su=ture。

8系统未开启超时自动注销功能

在/etc/profile、/etc/enviroment、/etc/security/.profile文件中添加下列三行内容：TMOUT=600

TIMEOUT=600

export TMOUT TIMEOUT

9远程管理方式配置不当

关闭ftp 和telnet进程。#vi /etc/inetd.conf。安装SSH工具。

10操作系统存在弱口令账号

建议使用长密码，包含数字，字母和符号的密码。

11访问旗标泄漏系统信息

1

在/etc/security/login.cfg中修改head项旗标内容。

/etc/motd中添加旗标内容。

12系统R族文件配置不合理

13系统允许root用户远程登录

要禁止远程登录root用户，需要编辑/etc/security/user，在root项中选定false为rlogin的值。需要注意的是要防止非root用户主文件系统满，否则将无法登录。

2