首页 » 系统安全 » Linux/Unix » AIX » 正文

AIX 常见加固

1. 弱密码检查及加固

首先将 /etc/shadow 文件复制到检查 PC 上,然后用下面的命令行运行 John the Ripper 工具执行检查:

# 检查用户是否包含简单密码
john shadow --single

# 检查用户是否使用了字典文件 passwd.list 中指定的密码
john shadow --wordlist='passwd.list'

对于检查发现的弱密码用户,可以通过下面的命令重设密码:

passwd 用户名

2. 密码策略设置

2.1 密码策略

修改 /etc/security/user 配置文件,有选择的修改以下策略:

# 密码最长有效期(周)
maxage=13
# 密码过期后允许用户修改的宽限期(周)
maxexpired=4
# 密码中某一字符最多允许重复的次数
maxrepeats=3
# 密码最小长度(字符)
minlen=6
# 密码中最少包含的字母个数
minalpha=2
# 密码中最少包含的非字母数字字符个数
minother=1
# 密码中最少与旧密码不同的字符个数
mindiff=4
# 密码不能重复使用的周数
histexpire=26
# 记录密码历史的个数(即新密码不能与最近的N个密码重复)
histsize=8

2.2 认证策略

为了防止用户口令被暴力猜解,建议根据实际需要设定登录失败锁定帐号策略:

# 锁定用户前允许连续错误登录的次数
loginretries=5

3. 禁用不使用的用户

通过 /etc/passwd 文件分析出服务器上存在的不需要使用的帐号,使用下面的命令根据提示来锁定或解锁某个特定的用户。

smit lockuser

4,设置登录会话超时

vi /etc/profile

TMOUT = 180

 

5,禁止 root 远程登录

chuser rlogin=false root

 

6,设置 umask 值

将 umask 的默认值 022 修改为 027。

vi /etc/profile

umask 027

7,关闭不必要的 inetd 服务

修改  /etc/inetd.conf 配置文件,建议将其中不需要使用的服务行注释后,然后重启 inetd 服务。下列服务一般不常使用,建议关闭。

echo、discard、datetime、chargen、finger、login(rlogin)、shell(rsh)、exec(rexec)、kshell、klogin、comsat、uucp、bootps、systat、netstat、tftp、talk、ntalk、dtspc、telnet

 刷新 inetd 服务配置: 

refresh -s inetd

注:远程终端服务 telnet 也是 inetd 中间的服务之一,建议使用 SSH 替代此管理服务。

8,关闭不必要的服务

# 停止服务
stopsrc -s dhcpd

根据实际需要修改文件  /etc/rc.tcpip 文件,将其中不需要的服务行注释掉,例如:

vi /etc/rc.tcpip

9,关闭不用的 NFS

 修改 /etc/inittab 文件,根据实际需要将其中文件系统类型为nfs的行注释掉,然后执行下面的命令重新载入 inittab 文件。

init q

10,网络参数调整

通常不需要对网络参数进行加固,只有在某些特殊情况下才有这方面的需要。如:服务器经常遭受 IP 层攻击。

使用下面的命令查看当前配置:

no –a

下面是一些常见设置项及其推荐参数:

# 忽略ICMP地址掩码请求
no -o icmpaddressmask=0
# 不进行IP包转发
no -o ipforwarding=0
# 忽略ICMP重定向包
no -o ipignoreredirects=1
# 不发送ICMP重定向包
no -o ipsendredirects=0	
# 不转发源路由包
no -o ipsrcrouteforward=0
# 不接收源路由包
no -o ipsrcrouterecv=0
# 不发送源路由包
no -o ipsrcroutesend=0

 

发表评论