AIX 的数据库合规性

数据库概要文件包含缺省数据库设置的需求。

与保持所需数据保护级别相关的操作系统和网络配置参数的详细信息是主观的,可能因具体情况而异。

AIX 的数据库概要文件规则

表 1。 AIX 的数据库概要文件规则
需求 修改设置的脚本的位置
Login policy recommendations 禁止登录前的失败登录尝试次数:指定在端口上尝试登录失败 6 次之后,锁定该端口。 /etc/security/pscexpert/bin/chdefstanza

自变量: /etc/security/login.cfg logindisable=6 default db_logindisable
Login policy recommendations 指定时间间隔 (30 分钟) ,在此时间间隔后,端口将在被 logindisable禁用后解锁。 /etc/security/pscexpert/bin/chdefstanza

自变量: /etc/security/login.cfg loginreenable=30 default db_loginreenable
Miscellaneous Rules root 用户密码完整性检查:确保所设置的 root 用户密码强健。 /etc/security/pscexpert/bin/chuserstanza

自变量: /etc/security/user dictionlist=/etc/security/aixpert/dictionary/English root db_rootpwdintchk
Miscellaneous Rules 对象创建许可权: 指定缺省对象创建许可权 (umask) 到 022。 /etc/security/pscexpert/bin/chusrattr

自变量: umask=22 ALL db_umask
Login policy recommendations 远程 root 用户登录:禁止远程 root 用户登录。 取消激活之后,系统管理员根据需要执行激活。 /etc/security/pscexpert/bin/chuserstanza

自变量: /etc/security/user rlogin=false root db_rootrlogin
Login policy recommendations 本地登录:使 root 用户能够在本地登录。 /etc/security/pscexpert/bin/chuserstanza

自变量: /etc/security/user login=true root db_rootlogin
Tune network options 网络选项 clean_partial_conns: 将网络选项 clean_partial_conns 设置为 1。 /etc/security/pscexpert/bin/ntwkopts

自变量: clean_partial_conns=1 s db_clean_partial_conns
Tune network options 网络选项 tcp_tcpsecure: 将网络选项 tcp_tcpsecure 的值设置为 7。 保护数据免受 RST 和 SYN 攻击。 /etc/security/pscexpert/bin/ntwkopts

自变量: tcp_tcpsecure=7 s db_tcp_tcpsecure
Miscellaneous Rules 从根路径中除去点: 从根主目录中的 .profile.kshrc.cshrc.login 文件中的 PATH 环境变量中除去点。 /etc/security/pscexpert/bin/rmdotfrmpathroot

自变量: db_rmdotfrmpathroot
Miscellaneous Rules 从非根路径中除去点: 从用户主目录中的文件 .profile.kshrc.cshrc.login 中的 PATH 环境变量中除去点。 /etc/security/pscexpert/bin/rmdotfrmpathnroot

参数:
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 禁用 dtspcd: 在未配置 LFT 且在 /etc/inittab. 中禁用 CDE 时,在 /etc/inetd.conf 中注释 dtspcd 守护程序的条目。 /etc/security/pscexpert/bin/cominetdconf

自变量: dtspc tcp d db_dtspc
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 comsat: 在 /etc/inetd.conf 中注释 comsat 守护程序的条目,并终止 comsat 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: comsat udp d db_comsat
/etc/inetd.conf 设置 禁用不必要且不安全的服务。 在 /etc/inetd.conf中禁用 fingerd: 在 /etc/inetd.conf 中注释 fingerd 守护程序的条目,并终止 fingerd 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: finger tcp d db_fingerd
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 systat: 在 /etc/inetd.conf 中注释 systat 守护程序的条目并终止 systat 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: systat tcp d db_systat
/etc/inetd.conf 设置 /etc/inetd.conf中禁用 netstat: 在 /etc/inetd.conf 中注释 netstat 守护程序的条目并停止 netstat 实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: netstat tcp d db_netstat
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 tftpd: 在 /etc/inetd.conf 中注释 tftpd 守护程序的条目并终止 tftpd 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: tftp udp d db_tftp
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 禁用 ftpd: 在 /etc/inetd.conf 中注释 ftpd 守护程序的条目,并停止 ftpd 守护程序。 /etc/security/pscexpert/bin/cominetdconf

自变量: ftp tcp d db_ftp
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 禁用 telnetd: 在 /etc/inetd.conf 中注释 telnetd 守护程序的条目并停止 telnetd 守护程序。 /etc/security/pscexpert/bin/cominetdconf

自变量: telnet tcp d db_telnet
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 禁用 rshd 守护程序: 在 /etc/inetd.conf 中注释 rshd 守护程序的条目并终止 rshd 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: shell tcp d db_shell
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 rlogind: 在 /etc/inetd.conf 中注释 rlogind 守护程序的条目并终止 rlogind 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: login tcp d db_rlogin
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 rexecd: 在 /etc/inetd.conf 中注释 rexecd 守护程序的条目并终止 rexecd 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: exec tcp d db_rexecd
/etc/inetd.conf 设置 禁用不必要且不安全的服务:在 /etc/inetd.conf 中禁用 talkd:在 /etc/inetd.conf 中注释 talkd 守护程序的条目,并终止 talkd 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: talk udp d exceptfile:sapv1_service.exception sapv1_talk
/etc/inetd.conf 设置 最小机器: 在 /etc/inetd.conf中禁用 ntalk。 在 /etc/inetd.conf 中注释 ntalk 守护程序的条目,并终止 ntalkd 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: talk udp d db_talk
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 rquotad: 在 /etc/inetd.conf 中注释 rquotad 守护程序的条目并终止 rquotad 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: rquotad udp d db_rquotad
/etc/inetd.conf 设置 禁用不必要且不安全的服务。 在 /etc/inetd.conf中禁用 rstatd: 在 /etc/inetd.conf 中注释 rstatd 守护程序的条目,并终止 rstatd 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: rstatd udp d db_rstatd
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 rusersd: 在 /etc/inetd.conf 中注释 rusersd 守护程序的条目并终止 rusersd 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: rusersd udp d db_rusersd
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 rwalld: 在 /etc/inetd.conf 中注释 rwalld 守护程序的条目并终止 rwalld 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: rwalld udp d db_rwalld
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用喷码: 在 /etc/inetd.conf 中注释喷码守护程序的条目并终止所有喷码实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: sprayd udp d db_sprayd
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 pcnfsd: 在 /etc/inetd.conf 中注释 pcnfsd 守护程序的条目并终止 pcnfsd 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: pcnfsd udp d db_pcnfsd
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 TCP echo 服务: 在 /etc/inetd.conf 中注释 TCP echo 服务的条目并终止 echo (tcp) 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: echo tcp d db_tcpecho
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 UDP echo 服务: 在 /etc/inetd.conf 中注释 UDP echo 服务的条目并终止 echo (udp) 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: echo udp d db_udpecho
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 TCP discard 服务: 在 /etc/inetd.conf 中注释 TCP discard 服务的条目并终止 discard (tcp) 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: discard tcp d db_tcpdiscard
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 UDP discard 服务: 在 /etc/inetd.conf 中注释 UDP discard 服务的条目并终止 discard (udp) 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: discard udp d db_udpdiscard
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 TCP chargen 服务: 在 /etc/inetd.conf 中注释 TCP chargen 服务的条目并终止 chargen (tcp) 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: chargen tcp d db_tcpchargen
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 UDP chargen 服务: 在 /etc/inetd.conf 中注释 UDP chargen 服务的条目并终止 chargen (udp) 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: chargen udp d db_udpchargen
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 TCP daytime 服务: 在 /etc/inetd.conf 中注释 TCP daytime 服务的条目并终止所有 daytime (tcp) 实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: daytime tcp d db_tcpdaytime
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 UDP daytime 服务: 在 /etc/inetd.conf 中注释 UDP daytime 服务的条目并停止 daytime (udp) 服务。 /etc/security/pscexpert/bin/cominetdconf

自变量: daytime udp d db_udpdaytime
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 TCP time 服务: 在 /etc/inetd.conf 中注释 TCP time 服务的条目并终止计时 (tcp) 的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: time tcp d db_tcptime
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 UDP 时间服务: 在 /etc/inetd.conf 中注释 UDP 时间服务的条目并停止时间 (udp) 服务。 /etc/security/pscexpert/bin/cominetdconf

自变量: time udp d db_udptime
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 cmsd 服务: 在 /etc/inetd.conf 中注释 cmsd 服务的条目并终止 cmsd 服务的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: cmsd udp d db_cmsd
/etc/inetd.conf 设置 禁用不必要且不安全的服务: 在 /etc/inetd.conf中禁用 ttdbserver 服务: 在 /etc/inetd.conf 中注释 ttdbserver 服务的条目并终止 ttdbserver 服务的所有实例。 /etc/security/pscexpert/bin/cominetdconf

自变量: ttdbserver tcp d db_ttdbserver
/etc/rc.tcpip 设置 禁用 SNMP 守护程序:更改供应商提供的缺省值。 停止 SNMP 守护程序并在 /etc/rc.tcpip中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: snmpd d db_dissnmpdmn
/etc/rc.tcpip 设置 禁用 AIXMIBD 守护程序: 停止 AIXMIBD 守护程序,并在 /etc/rc.tcpip中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: aixmibd d db_disaixmibddmn
/etc/rc.tcpip 设置 禁用 HOSTMIBD 守护程序: 停止 HOSTMIBD 守护程序并在 /etc/rc.tcpip中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: hostmibd d db_dishostmibddmn
/etc/rc.tcpip 设置 禁用 SNMPMIBD 守护程序: 停止 SNMPMIBD 守护程序,并在 /etc/rc.tcpip中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: snmpmibd d db_dissnmpmibddmn
/etc/rc.tcpip 设置 禁用不必要且不安全的服务: 禁用 DPID2 守护程序: 停止 DPID2 守护程序并在 /etc/rc.tcpip中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: dpid2 d db_disdpid2dmn
/etc/rc.tcpip 设置 禁用 DHCP 服务器: 停止 DHCP 服务器守护程序并在 /etc/rc.tcpip中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: dhcpsd d db_disdhcpserv
/etc/rc.tcpip 设置 禁用不必要且不安全的服务: 禁用 DHCP 代理: 停止 DHCP 中继代理并在 /etc/rc.tcpip中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: dhcprd d db_disdhcpagent
/etc/rc.tcpip 设置 禁用不必要且不安全的服务: 禁用 rwhod 守护程序: 停止 rwhod 守护程序并在 /etc/rc.tcpip中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: rwhod d db_disrwhoddmn
/etc/rc.tcpip 设置 禁用不必要且不安全的服务: 停止定时守护程序并在 /etc/rc.tcpip中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: timed d db_distimedmn
Rules for /etc/inittab 禁用不必要且不安全的服务: 禁用 lpd 守护程序: 停止 lpd 守护程序并在 /etc/inittab中注释 lpd 条目。 /etc/security/pscexpert/bin/comntrows

自变量: lpd: /etc/inittab : d db_dislpd
Password policy rules 密码的最大时效:指定密码的最大有效周数(13 周,至少 90 天)。 /etc/security/pscexpert/bin/chusrattr

自变量: maxage=13 ALL db_maxage
Password policy rules 密码的最小时效:指定至少经过 0 周才能更改密码。 /etc/security/pscexpert/bin/chusrattr

自变量: minage=0 ALL db_minage
Password policy rules 密码最小长度:指定密码最小长度为 7 个字符。 /etc/security/pscexpert/bin/chusrattr

自变量: minlen=7 ALL db_minlen
Password policy rules 最小字母字符数:指定密码中至少应该有 1 个字母字符,以确保密码包含字母字符。 /etc/security/pscexpert/bin/chusrattr

自变量: minalpha=1 ALL db_minalpha
Password policy rules 最少非字母字符数:指定密码中至少应该有 1 个非字母字符。 /etc/security/pscexpert/bin/chusrattr

自变量: minother=1 ALL db_minother
Password policy rules 字符在密码中的最大出现次数:指定一个字符最多可在密码中出现 8 次。 /etc/security/pscexpert/bin/chusrattr

自变量: maxrepeats=8 ALL db_maxrepeats
Password policy rules 密码复用:指定经过 52 周之后才能复用密码。 /etc/security/pscexpert/bin/chusrattr

自变量: histexpire=52 ALL db_histexpire
Password policy rules 密码复用限制:指定用户不能复用最近 4 个过往密码。 /etc/security/pscexpert/bin/chusrattr

自变量: histsize=4 ALL db_histsize
Password policy rules 到期后更改密码的时间:指定密码到期最多 8 周(最大时效)之后,用户必须加以更改。 /etc/security/pscexpert/bin/chusrattr

自变量: maxexpired=8 ALL db_maxexpired
Password policy rules 锁定帐户前的登录尝试次数:指定每个非 root 用户帐户在连续 6 次尝试登录失败后禁用。 /etc/security/pscexpert/bin/chusrattr

自变量: loginretries=6 NONROOT db_loginretries
Audit policy recommendations 启用审计:启用二进制审计。 /etc/security/pscexpert/bin/pciaudit

自变量: h db_dbaudit
Rules for /etc/inittab 禁用不必要且不安全的服务:禁用 CDE:未配置 LFT 时禁用 CDE。 /etc/security/pscexpert/bin/comntrows

自变量: "dt:" "/etc/inittab" ":" d db_discde
/etc/rc.tcpip 设置 禁用不必要且不安全的服务:禁用 NTP 守护程序:停止 NTP 守护程序,并在 /etc/rc.tcpip 中注释其条目。 /etc/security/pscexpert/bin/rctcpip

自变量: xntpd d db_disntpdmn
Disable SUID of commands 从远程命令中移除 SUID:从远程命令 rcp、rdist、rexec、remsh、rlogin 和 rsh 中移除 SUID。 /etc/security/pscexpert/bin/rmsuidfrmrcmds

自变量: r db_rmsuidfrmrcmds
Disable remote services 启用 NFS 守护程序:启用 NFS 装载,启动 NFS 守护程序并在启动时启用 NFS。 /etc/security/pscexpert/bin/nfsconfig

自变量: e db_enablenfs
Disable remote services 禁用不安全的命令:禁用不安全的命令 rlogin、rsh、rcp 和 tftp。 /etc/security/pscexpert/bin/disrmtcmds

自变量: d db_disrmtcmds
Disable remote services 禁用不安全的守护程序:禁用不安全的守护程序 rlogind、rshd 和 tftpd。 /etc/security/pscexpert/bin/disrmtdmns

自变量: d db_disrmtdmns
Remove unauthorized access 移除 rhosts 和 netrc 服务:从用户的主目录中移除 .rhosts 和 .netrc 文件。 /etc/security/pscexpert/bin/rmrhostsnetrc

自变量: h db_rmrhostsnetrc
Remove unauthorized access 从 /etc/hosts.equiv 文件中移除条目:从 /etc/hosts.equiv 文件中移除条目。 /etc/security/pscexpert/bin/rmetchostsequiv

自变量: db_rmetchostsequiv
IPSec Filter Rules 避开主机 5 分钟:避开尝试访问未用端口的主机 5 分钟。 /etc/security/pscexpert/bin/ipsecshunhosthls

自变量: db_ipsecshunhost
IPSec Filter Rules 保护主机避免遭受端口扫描:避开易受攻击的端口 5 分钟,从而保护主机避免遭受端口扫描。 /etc/security/pscexpert/bin/ipsecshunports

自变量: db_ipsecshunport
Miscellaneous Rules 限制系统访问:使 root 用户成为 cron.allow 文件中的唯一用户,并移除 cron.deny 文件。 /etc/security/pscexpert/bin/limitsysacc

自变量: h db_limitsysacc
Miscellaneous Rules 在 /etc/ftpusers 文件中添加 root 用户:在 /etc/ftpusers 文件中添加 root 用户名。 /etc/security/pscexpert/bin/chetcftpusers

自变量: a db_chetcftpusers
Miscellaneous Rules 移除 guest 帐户:移除 guest 帐户及其文件。 /etc/security/pscexpert/bin/execmds

自变量: "rmuser guest; rm -rf /home/guest; ODMDIR=/etc/objrepos odmdelete -qloc0=/home/guest -o inventory"
Miscellaneous Rules 启用 SED 功能:启用“堆栈执行禁用”功能。 /etc/security/pscexpert/bin/sedconfig

自变量: db_sedconfig
Miscellaneous Rules 设置会话空闲时间:如果会话的空闲时间超过 15 分钟,那么需要用户重新输入密码。 /etc/security/pscexpert/bin/autologoff

自变量: 900 db_autologoff
Tune network options TCP 流量规则高:在常用端口上强制执行拒绝服务缓解。 /etc/security/pscexpert/bin/tcptr_aixpert

自变量: db
IPSEC 安全分区迁移组 在实时分区迁移期间,允许在 VIO 服务器之间自动创建 IPSEC 通道。 /etc/security/pscexpert/bin/cfgsecmig

自变量: on
IPSec Filter Rules 允许来自 HMC 的套接字。 /etc/security/pscexpert/bin/ipsecpermithostorport

自变量: PermitHost_IPSEC
系统完整性验证 通过针对已知恶意软件类型的检测、移除和保护操作,保持系统完整性。 /etc/security/pscexpert/bin/manageITsecurity

自变量: db_sysintegrity
Miscellaneous Rules 通过创建具有适当角色的 so、sa 和 isso 用户来启用 RBAC。 /etc/security/pscexpert/bin/EnableRbac

自变量:

Miscellaneous Rules 加密网络流量。 /etc/security/pscexpert/bin/GeneralMsg

自变量: "enc"
Miscellaneous Rules 应用与操作系统相关的所有安全补丁。 /etc/security/pscexpert/bin/GeneralMsg

自变量: "sec"