AIX安全加固操作手册

AIX安全加固操作手册

作为宽带智能网中的Appserver，在完成AIX操作系统上智能网系统的安装和配置以后（除系统加固之外的所有安装和配置，包括双机），需要立即进行系统加固，以防止非法入侵，系统加固的具体步骤如下：

一、系统推荐补丁升级加固

1．检查是否打上了AIX操作系统要求补丁（433要求10以上；5.1要求5以上；5.2要求使用IBM最新发布的补丁）

检查补丁版本命令：oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号)

2．如果未安装补丁，使用如下方式安装补丁

1)将补丁盘放入光驱、以root执行：mount /cdrom

2)执行：smitty update_all （选择/dev/cd0为安装介质）

注意选择安装选项中：

COMMIT software updates? no

SA VE replaced files? yes

安装结束后使用以上方式检查是否已经安装成功，并使用：shutdown –Fr 重起系统

二、AIX系统配置安全加固

1.编辑/etc/inetd.conf文件，关闭所有服务。

将inetd.conf文件中的内容清空

> /etc/inetd.conf

refresh –s inetd

2.编辑/etc/rc.tcpip文件，关闭除以下服务外的所有服务：

portmap

syslog

inetd

sendmail

snmpd

如关闭dpid2，则只要注销以下行：(前面加#号即可)

#start /usr/sbin/dpid2 "$src_running"

再使用：

stopsrc –s XXX来停止这些已经启动的服务

3./etc/inittab中关闭

用:注释服务，不是‘#’

piobe Printer IO BackEnd

qdaemon Printer Queueing Daemon

writesrv write server

httpdlite docsearch Web Server

imnss docsearch imnss Daemon

imqss docsearch imqss daemon

4.删除一些无用的用户

rmuser -p uucp;rmuser -p nuucp

5.手工编辑/etc/security/user 控制用户登录限制、缺省文件创建权限限制

default默认设置不允许su\login\rlogin，将三项设置依次设置为false即可，其余缺省；缺省umask设置为027；设置各用户设置密码的最小长度为8；

放开root、(sybase或oracle)、zxin10用户的su权限；放开(sybase或oracle)、zxin10用户的rlogin权限；设置root的umask为077

default:

login=false

su=false

rlogin=false

umask=027

minlen=8

...

root:

su=true

umask=077

...

zxin10:

su=true

rlogin=true

...

oracle:

su=true

rlogin=true

＃pwdck -y ALL修复同步口令文件

6.更改login默认策略（/etc/security/login.cfg）

default:

logindelay=2

logindisable=3

logininterval=60（logininterval秒内产生logindisable次无效登录，即锁定port）loginreenable=5（loginreenable分钟后解除锁定）

7.编辑/etc/profile，添加下列行：

TMOUT=3600

TIMEOUT=3600

export TMOUT TIMEOUT

8.加固系统TCP/IP配置

编辑ba141bfb7e1cfad6195f312b3169a4517623e55b文件，添加：

/usr/sbin/no -o clean_partial_conns=1

/usr/sbin/no -o arpt_killc=20

/usr/sbin/no -o icmpaddressmask=0

/usr/sbin/no -o directed_broadcast=0

/usr/sbin/no -o ipsrcroutesend=0

/usr/sbin/no -o ipsrcrouteforward=0

/usr/sbin/no -o ip6srcrouteforward =0

/usr/sbin/no -o ipignoreredirects=1

/usr/sbin/no -o ipsendredirects=0

9.使用以下方法使尝试登录失败记录有效

修改/etc/syslog.conf文件增加日志审计内容:

*.crit /var/log/loginlog

创建loginlog，记录失败登陆

＃touch /var/log/loginlog

＃chmod 600 /var/log/loginlog

＃chgrp sys /var/log/loginlog

＃refresh –s syslogd

10.删除不需要的crons

cd /var/spool/cron/crontabs

rm -r sys

rm -r adm

rm -r uucp

三、安装ssh服务端和客户端

ａ）安装ssh服务端（AIX上）

在AIX 4.3.3和5.1系统上安装OpenSSH

内容

这篇文档介绍了在AIX 4.3.3和5.1系统上安装openSSH的步骤

提要

正文（一）在AIX 4.3.3系统上安装OpenSSH

在AIX 4.3.3系统里，openSSH是用RPM格式的安装包来安装的，而在5.1和5.2的系统里是用installp格式的安装包来安装的。在4.3.3系统上安装有如下三个步骤：

1.安装首要必备的文件集；

2.下载rpm格式的安装包；

3.安装openSSH必需的rpm安装包。

1.安装首要必备的文件集

在安装rpm格式的安装包之前需要安装文件集rpm.rte和perl.rte,rpm.rte文件集能够通过以下途径获得：

Linux Toolbox CD 光盘或者Linux Toolbox 站点：

ba141bfb7e1cfad6195f312b3169a4517623e55b/servers/aix/products/aixos/linux/download

这些文件集可以通过smitty installp 命令来安装

2.下载rpm格式的安装包

rpm格式的安装包能够从以下网址下载：

ba141bfb7e1cfad6195f312b3169a4517623e55b/servers/aix/products/aixos/linux/download

在这个网页上，prngd程序（Psuedo Random Number Generator Daemon)和zlib压缩和解压缩库能被下载，它们是安装openssl rpm安装包所首要必需的，他们各自对应的文件集为：prngd-0.9.23-2.aix4.3.ppc.rpm和zlib-1.aix4.3..ppc.rpm。

在分类内容下载区域的右上方点击AIX TOOLbox Cryptographic Content,如果你不是一个已注册的用户，你应该先注册你自己。然后点击在面板底部出现的Accept License按钮并开始下载openssl和openssh rpm安装包：

openssl-0.9e-2.aix4.3.ppc.rpm

openssl-devel-0.9.6e-2.aix4.3.ppc.rpm

openssl-doc-0.9.6e-2.aix4.3.ppc.rpm

openssh-3.4p1-4.aix4.3.ppc.rpm

openssh-server-3.4p1-4.aix4.3.ppc.rpm

openssh-clients-3.4p1-4.aix4.3.ppc.rpm

3.安装openSSH必需的rpm安装包

把上一步下载的rpm文件包放到一个目录下面，并在此当前目录下运行如下命令进行安装：# rpm -i zlib-1.1.4-1.aix4.3.ppc.rpm

# rpm -i prngd-0.9.23-2.aix4.3.ppc.rpm

# rpm -i openssl-0.9e-2.aix4.3.ppc.rpm

# rpm -i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm

# rpm -i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm

# rpm -i openssh-3.4p1-4.aix4.3.ppc.rpm

# rpm -i openssh-server-3.4p1-4.aix4.3.ppc.rpm

# rpm -i openssh-clients-3.4p1-4.aix4.3.ppc.rpm

有时在安装openssl文件包时会得到error: failed dependencies错误，如果出现这种错误请运行如下命令：

# rpm -i --nodeps openssl-0.9.6e-2.aix4.3.ppc.rpm

下面的命令能用来更新AIX-rpm:

# /usr/sbin/updtvpkg

prngd必须在openssl和openssh安装之前安装，并且openssl又是安装openssh rpm 文件包所首要必需的。

文件集openssl-devel-0.9.6e-2.aix4.3.ppc.rpm 和openssl-doc-0.9.6e-2.aix4.3.ppc.rpm 不是安装openSSH所必需的。

想验证一下这些文件包是否被安装，请运行如下命令：

# rpm -qa | egrep '(openssl|openssh|prng)'

-->

zlib-1.1.4-1

prngd-0.9.23-2

openssl-0.9.6e-2

openssl-devel-0.9.6e-2

openssl-doc-0.9.6e-2

openssh-3.4p1-4

openssh-server-3.4p1-4

openssh-clients-3.4p1-4

这些文件包被装在/opt/freeware目录下，并且建立了一些连接在/usr/bin或者/usr/sbin目录里，如下所示：

# ls -l /usr/bin/ssh

lrwxrwxrwx --1 root --system -----26 Oct 17 08:07 /usr/bin/ssh ->

------------------------------------------------../../opt/freeware/bin/ssh

# ls -l /usr/sbin/sshd

lrwxrwxrwx ----1 root ----system ----28 Oct 17 08:06 /usr/sbin/sshd

-> ../../opt/freeware/sbin/sshd

（二）在AIX 5.1系统上安装OpenSSH

在5.1系统里，openssh本身的安装包是installp格式，但是所有的首要必备文件包（包括openssl）只能用rpm -i命令来安装（用与4.3.3一样的rpm文件包）。

installp 格式的安装包能够从以下网址下载：

ba141bfb7e1cfad6195f312b3169a4517623e55b/develoerworks/projects/opensshi

首先需要安装首要必备的文件包如下：

# rpm -i zlib-1.1.4-1.aix4.3.ppc.rpm

# rpm -i prngd-0.9.23-2.aix4.3.ppc.rpm

# rpm -i openssl-0.9e-2.aix4.3.ppc.rpm

# rpm -i openssl-devel-0.9.6e-2.aix4.3.ppc.rpm

# rpm -i openssl-doc-0.9.6e-2.aix4.3.ppc.rpm

用smitty installp命令来安装从openssh34p1_51.tar文件中解压缩出来的openssh文件集，下面这些是安装openssh所需要的从tar文件里解压缩的文件集：

openssh.base.client

openssh.base.server

openssh.license

openssh.man.en_US

openssh.msg.en_US

在用smit菜单安装时必须更改Accept new License agreement栏的值为yes，否则安装将会失败。

用下面的命令来验证你安装了的文件集：

# lslpp -l | grep ssh

openssh.base.client --3.4.0.0 COMMITTED Open Secure Shell Commands

openssh.base.server --3.4.0.0 COMMITTED Open Secure Shell Server

openssh.license ---- 3.4.0.0 COMMITTED Open Secure Shell License

openssh.man.en_US ---3.4.0.0 COMMITTED Open Secure Shell

openssh.msg.en_US ---3.4.0.0 COMMITTED Open Secure Shell Messages -

openssh.base.client --3.4.0.0 COMMITTED Open Secure Shell Commands

openssh.base.server --3.4.0.0 COMMITTED Open Secure Shell Server

你也将发现ssh命令位于/usr/bin目录下：

# ls -al /usr/bin/ssh

-r-xr-xr-x --1 root -- system ----503240 Sep 06 13:11 /usr/bin/ssh

# ls -al /usr/bin/scp

-r-xr-xr-x --1 root --system ----64654 Sep 06 13:11 /usr/bin/scp

（三）在4.3和5.1系统上的初始化配置

在/etc/inittab文件里有如下条目将在系统启动时调用在/etc/rc.d/rc2.d目录下所有以S开始的脚本：

l2:2:wait:/etc/rc.d/rc 2

在/etc/rc.d/rc2.d目录下，下面的例子显示出启动sshd所必需的符号连接：

在4.3.3:

#ls -l /etc/rc.d/rc2.d | grep ssh

lrwxrwxrwx --1 root --system --14 Oct 17 08:06 K55sshd -> ../init.d/sshd

lrwxrwxrwx --1 root --system --14 Oct 17 08:06 S55sshd -> ../init.d/sshd

在5.1 :

# ls -l /etc/rc.d/rc2.d | grep ssh

-r-xr-xr-x --1 root --system ----307 Oct 21 16:11 Ksshd

-r-xr-xr-x --1 root --system ----308 Oct 21 16:11 Ssshd

prngd程序被/etc/inittab文件里的如下条目启动：

prng:2:wait:/usr/bin/startsrc -s prngd

如果想要指定SSH2协议在OPenSSH被用，需要在/etc/ssh/sshd.config文件里加入如下行：Protocol 2

可以用telnet命令来验证SSH协议的版本：

# telnet localhost 22

Trying...

Connected to ba141bfb7e1cfad6195f312b3169a4517623e55b.

Escape character is '^]'.

SSH-2.0-OpenSSH_3.4p1

上面显示你现在正在用ssh2.

如果你看到如下信息：

# telnet localhost 22

Trying...

telnet: connect: A remote host refused an attempted connect operation.

那么说明sshd程序现在没有运行，用Ctrl-c和q来终止，然后运行如下命令：

#startsrc -s sshd

不管什么时候调整了/etc/ssh/sshd.config文件，ssh都需要停掉并重新启动：

#stopsrc -s sshd

#startsrc -s sshd

prngd也能用同样的方法停止和启动。

ｂ）安装ssh客户端（windowns上）

执行ssh的客户端安装程序即可完成安装，由于比较简单，不再详述。

测试使用ssh客户端登录AIX，使用：开始－>程序－> SSH Secure Shell－>Secure Shell Client 启动客户端，在登录界面中使用：Quick Connect登录，输入AIX IP地址，登录用户，Authentication中选择Password方式，然后输入密码，如果登录成功，则表明ssh安装成功了。

至此，AIX系统安全加固全部结束，请重新启动操作系统使设置生效：

shutdown -Fr

本文来源：https://www.bwwdw.com/article/rzcq.html