《QAD For aix.doc》由会员分享,可在线阅读,更多相关《QAD For aix.doc(7页珍藏版)》请在三一办公上搜索。
1、Version 1.02009-12-05Guideline for AIXDocument historyVersionDateAuthorDescription of modification1.0DEC 05, 2009Document status & approvalStatusApprovalFINALName: Function: Signature:Date: Document distributionToCc:Table of contents1.概述42.ROOT安全标准43.默认系统帐户安全标准44.密码强度要求5 4.1 密码强度要求 4.2密码保护5.TFTP设置66
2、.NFS NIS设置67.FTP设置68.默认权限控制69.备份及恢复策略71概述本配置标准提供AIX-QAD操作系统应当遵循的设置的标准,本文档旨在帮助系统管理人员,利用AXI操作系统以建立一个更为安全的环境。1.1 适用范围本规范的使用者包括:主机系统管理员、应用管理员、网络安全管理员。本规范适用的范围包括:AIX,主机系统。1.2 实施本规范的解释权和修改权属于信息技术总部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准一经颁布,即为生效。1.3 检查和维护根据经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本
3、标准的维护。任何变更草案将信息技术总部进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。1.4 适用版本AIX 版本5.3;Root帐户安全标准对于系统Root帐户必须满足以下要求:Root帐户的UID必须是唯一的0;Root帐户是root组的唯一用户;Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。Root的cron jobs中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。 Root 帐号不允许进行远程登录操作,远程需要root的访问需求,必须要求使用普通个人用户帐号进行登录后通过SU命令切换到root帐号。默认系统帐户安全标
4、准3.1UID 适用于所有的UID 每个UID必须只能用一次,并唯一对应一个qad系统用户帐号.且每个UID中的.profile最后必须加exit关键字.3.2 AIX: 对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除(如没有相关的使用需求)GuestUUCPNuucpLpdNobody4密码强度要求4.1密码强度要求密码必须8位以上,必须包括字母数字符号,每3个月必须变更一次AIX系统的具体如下:相关配置文件/etc/security/user。maxage 密码有效期限的最大周数(Maximum number of weeks that can pas
5、s before a password must be changed.) 12maxrepeats 可重复的连续字符数(Number of repeating consecutive characters) 2minage 密码有效期限的最少周数(Minimum number of weeks that must pass before a password can be changed) 0minalpha 最少字母数(Minimum number of alphabetic characters) 1mindiff 与前一次密码的最少不同字符数(Number of characters
6、not found in last password) 1minother 最少的非字母数(Number of non-alphabetic characters) 1minlen 密码最小长度(Minimum password length) 8histsize 禁止重复使用密码次数(Number of previous password that can not be used) 24.2密码保护/etc/passwd 必须不能包含密码/etc/security/passwd 包含有经过加密保护的密码信息 此文件和其相关的拷贝文件只能由所有者root拥有读或写的权限。5 TFTP设置 TF
7、TP访问控制 通常情况下,如果应用没有要求,TFTP应该禁止。NFS,NIS 设置通常情况下 NFS,NIS应该禁止。 禁用NFS,NISFTP设置通常情况下,如果应用没有要求,应不允许Anonymous FTP访问对于root和默认系统帐号不能使用FTP服务。 通过在/etc/ftpusers或/etc/vsftpd.ftpusers文件中列举相关的root和默认系统帐号名来实现。1.创建FTP目录/FTP# mkdir /FTP2.建立ftp组 ftpgrp# mkgroup ftpgrp3.建立用户FTP 专门用户4.设定目录属性# chown -R icbc:ftpgrp /icbc#
8、 chmod 755 /FTP5.设置用户密码# passwd FTPUSER6.设置ftp目录权限修改/etc/ftpaccess.ctl对目录权限进行控制 readonly /readwrite /FTPwriteonly /FTP/data权限控制系统默认用户文件创建时缺省值至少X27或027;建议使用下x77或077。AIX:添加umask027到/etc/security/user文件root相关配置段。$HOME 除root用户之外, 用户缺省的home目录 x00或7009备份及恢复策略在/目录下建立/bakcup/db/来存放备份文件9.1 每周执行一次停机器备份9.2 每天执行一次再线备份9.3 备份文件必须异地存储一份9.4 每天检查备份是否成功9.5 每周对备份文件在测试环境中进行一次恢复测试9.6 QAD服务器上备份文件需要保存一周
