安全性核对表

在线编辑

以下是要在新安装或现有系统上执行的安全性操作的核对表。

尽管本列表不是一份完整的安全性核对表,但是它可以用作为环境构建安全性核对表的基础。
  • 安装新系统时,请从安全的基本介质中安装AIX。 在安装时执行以下过程:
    • 不要在服务器上安装桌面软件,例如 CDE、GNOME 或 KDE。
    • 安装必需的安全性修订和所有推荐的维护以及技术级修订。 请参见IBMSystem p eServer支持修复网站http://www.ibm.com/support/fixcentral,了解最新的服务公告、安全公告和修复信息。
    • 初始安装后备份系统,并将系统备份存储在安全位置。
  • 为受限制的文件和目录建立访问控制表。
  • 禁用不需要的用户帐户和系统帐户,例如 daemon、bin、sys、adm、lp 和 uucp。 不推荐删除帐户,因为这将删除帐户信息,例如用户标识和用户名,它们也许仍与系统备份中的数据相关联。 如果使用先前已删除的用户标识创建一个用户,并且在系统上恢复了系统备份,新建用户可能拥有对已恢复的系统的意外访问权。
  • 定期查看 /etc/inetd.conf/etc/inittab/etc/rc.nfs/etc/rc.tcpip 文件,并除去所有不必要的守护程序和服务。
  • 验证以下文件的许可权是否已正确设置:
    
-rw-rw-r-- root     system  /etc/filesystems
-rw-rw-r-- root     system  /etc/hosts
-rw------- root     system  /etc/inittab
-rw-r--r-- root     system  /etc/vfs
-rw-r--r-- root     system  /etc/security/failedlogin
-rw-rw---- root     audit   /etc/security/audit/hosts
  • 禁止 root 帐户使其不能远程登录。 root 帐户应该只能从系统控制台登录。
  • 启用系统审计过程。 有关更多信息,请参阅 审计概述
  • 启用登录控制策略。 有关更多信息,请参阅 登录控件
  • 禁止运行 xhost 命令的用户许可权。 有关更多信息,请参阅 管理 X11 和 CDE 问题
  • 防止对 PATH 环境变量进行未经授权的更改。 有关更多信息,请参阅 PATH 环境变量
  • 禁用 telnet、rlogin 和 rsh。 有关更多信息,请参阅 TCP/IP 安全性
  • 建立用户帐户控制。 有关更多信息,请参阅 用户帐户控制
  • 强制严格的密码策略。 有关更多信息,请参阅 密码
  • 为用户帐户建立磁盘限额。 有关更多信息,请参阅 从超额配额条件恢复
  • 仅允许管理帐户使用 su 命令。 监视 /var/adm/sulog 文件中 su 命令的日志。
  • 使用 X-Windows 时启用屏幕锁定。
  • 限制对 cronat 命令的访问,只给那些需要访问它们的帐户访问权。
  • 使用 ls 命令的别名以显示隐藏文件和文件名中的隐藏字符。
  • 使用 rm 命令的别名以避免从系统中意外删除文件。
  • 禁用不必要的网络服务。 有关更多信息,请参阅 网络服务
  • 执行常见的系统备份并验证备份的完整性。
  • 订阅安全相关的电子邮件分发列表。