备注：如果某项服务不能关闭，需要说明不能关闭的原 要求同上。
备注：如果某项服务不能关闭，需要说明不能关闭的原 最短密码长度8个字符，包含的字母最少1个,包含的非 字母最少1个。 密码至少包含以下四种类别的字符中的三种：
非字母数字字符，如标点符号，@, #, $, %, &, * 等
备注：修改密码策略后可能需要重新设置符合要求的密 码才能正常登陆。对无法立即修改密码的帐号，可为用 户增加NOCHECK标志，这样用户就不需要遵守默认的密 对于于采用静态口令认证技术的设备，帐户口令的生存 期不长于90天。 对于采用静态口令认证技术的设备，应配置设备，使用 户不能重复使用最近5次（含5次）内已使用的口令。 要求不能使用默认的public、private 要求FTP禁止匿名登录。 匿名用户登录ftp系统后，如果当前目录权限划分不 对，可导致破坏数据。 要求/etc/passwd、/etc/security/passwd中的用户密 码不存在弱密码（重点要求用户名与密码相同的极弱密
启明星辰泰合信息安全运营中心 v3.0.8.3
说明
A：建议在/etc/inetd.conf文件中禁止下列不必要的基 本网络服务。 uucp、bootps、finger、tftp、ntalk、discard、 daytime、chargen。
备注：如果某项服务不能关闭，需要说明不能关闭的原 要求同上。
在/etc/inetd.conf文件里注释以下服务：sendmail
修改/etc/default/security 文件，设置用户口令的复 杂度等参数选项： Maxexpired 口令过期后用户更改口令的期限（周） 4 Minalpha 最少包含的字母数 1 minother 最少包含非字母数字字符的数量 1 Minlen 最短字符数 8 Mindiff 新口令与旧口令的最少不同字符数 3
要求root,数据库管理账号目录下的.rhost、 hosts.equiv
对于使用IP协议进行远程维护的设备，设备应配置使用 SSH等加密协议，并安全配置SSHD的设置。
备注
设备应配置日志功能，对用户登录进行记录，记录内容 包括用户登录使用的账号，登录成功，登录时间，以及 远程登录时，用户使用的IP地址。
先把补丁拷贝到一个目录，如/08update，然后执行 #smit update_all 选择安装目录/08update 默认 SOFTWARE to update [_update_all] 选择不提交，保存被覆盖的文件，可以回滚操作，接受 许可协议 COMMIT software updates? SAVE replaced files? ACCEPT new license agreements? 然后回车执行安装
AIX系统默认不捕获登录信息到syslogd，以上配置增加 了验证信息发送到/var/adm/authlog和 /var/adm/syslog，并设置了权限为其他用户和组禁止读 vi /etc/syslog.conf 配置如下类似的语句 *.err;kern.debug;daemon.notice; /var/adm/messages 定义为需要保存的设备相关安全事件 删除用户：#rmuser -p username 锁定用户： 1)修改/etc/shadow文件，用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的用户方可使用#passwd -l username锁定用户，用#passwd -d username解锁后原有 密码失效，登录需输入新密码，修改/etc/shadow能保留 原有密码 需要锁定的用户： deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobody ,lpd chown –R root:security /etc/passwd /etc/group chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security 限制root从远程telnet登录： vi /etc/security/user 在root项上输入false作为rlogin的值 限制root从远程ssh登录： vi /etc/ssh/sshd_config文件，将permitRootLogin yes改为PermitRootLogin no，重启sshd服务 增加或修改/etc/profile、/etc/environment、 /etc/security/.profile文件中如下行： TMOUT=900; TIMEOUT=900; export readonly TMOUT TIMEOUT vi /opt/ssh/etc/sshd_config 在“Host *”后输入“Protocol 2”
要求配置 /etc/security/passwd，/etc/passwd访问权 限 ls -l /etc
限制具备超级管理员权限的用户远程登录。远程执行管 理员权限操作，应先以普通用户远程登录后，再切换到 超级管理员权限帐号后执行相应操作。
要求设置帐户定时自动登出。
要求只允许协议2。
1、AIX 5.3最新版本：5300-12-SP5 2、AIX 6.1最新版本：6100-07-SP4
#passwd username
在要配置信任关系的主机上新建一个用户，如test /etc/hosts文件添加要信任主机的主机IP，如 192.168.1.190 aix190
vi /opt/ssh/etc/sshd_config，去掉以下两行的注释 符# #Port 22 #PasswordAuthentication yes 启动SSH：startsrc -s sshd 使用SSH连接登录， vi /etc/inetd.conf
cat /var/adm/authlog cat /var/adm/syslog
设备应配置日志功能，记录对与设备相关的安全事件。
应删除或锁定与设备运行、维护等工作无关的账号。需 要锁定的用户： deamon,bin,sys,adm,uucp,nuucp,printq,guest,nobod y,lpd 备注：如果这些帐号已被设置密码，需管理员提供设置 密码的原因。
vi /etc/syslog.conf 加上这几行： \t\t /var/adm/authlog *.info;auth.none\t\t /var/adm/syslog\n"
建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 配置日志文件权限,如下命令： chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 重新启动syslog服务，依次执行下列命令： stopsrc -s syslogd startsrc -s syslogd
修改/etc/default/security 文件： histexpire 最长有效期（周） 13 修改/etc/default/security 文件： histsize=5 vi /etc/snmpd.conf 将public、private修改为自定义的通讯字符串 以vsftp为例： vi /etc/ftpd/ftpusers anonymous_enable=NO
适用范围:
类别
AIX 5.3/6.1
安全基线要求
ห้องสมุดไป่ตู้
要求主机关闭不必要的服务
系统服务
要求关闭R系列服务(rlogin、rsh 、rexec等)
要求主机关闭SENDMAIL服务
要求口令策略的配置长度、复杂 度安全要求
口令策略
要求口令生存期安全要求 要求重复口令次数安全要求 要求SNMP修改默认通讯字符串
要求FTP禁止匿名登录 要求操作系统帐号不存在弱口令 。 要求系统启用信任主机方式，配 置文件配置妥当；
命令示例： 查看系统版本 # oslevel -r 5300-09 # oslevel -s 5300-09-04-0920 AIX5.3以上，通过 –s参数，查看更详细的sp版本
检查某一个补丁是否安装： #instfix -a -ivk LY59082 检查文件集(filesets)是否安 装： #lslpp -l bos.adt.libm
实施指引
检查结果
在/etc/inetd.conf 文件里注释以下服务：uucp、 bootps、finger、tftp、ntalk、discard、daytime、 chargen
daytime服务，集群 环境下不可关闭
在/etc/inetd.conf文件里注释以下服务：rlogin、rsh 、rexec
访问控制
要求关闭TELNET，使用SSH进行维 护。
要求日志设置
日志审计
设备安全事件审计
检测特定系统自带的与设备运行 、维护等工作无关的账号被删除 或锁定
帐号安全
密码文件的访问权限
限制具备超级管理员权限的用户 远程登录
要求设置帐户定时自动登出
安全策略
要求SSH安全配置
补丁
要求安装最新的补丁程序。 swlist -l| grep patch Ls /var/adm/sw/save