AIX系统安全检查(一)（aix系统du）

1、检查是否设置口令生存周期

方法：在文件/etc/login.defs中设置 PASS_MAX_DAYS 不大于标准值

2、检查口令最小长度

方法：在文件/etc/login.defs中设置 PASS_MIN_LEN 不小于标准值

3、检查是否存在空口令账号

方法：按照密码设置策略设置非空密码 命令： passwd [options] [LOGIN]

4、检查是否设置除root之外UID为0的用户

方法：文件/etc/passwd中除root所在行外所有行第二个与第三个冒号之间UID不应设置为0

5、检查是否设置命令行界面超时退出

方法：以root账户执行，vi /etc/profile,增加 export TMOUT=180(单位：秒，可根据具体情况设定超时退出时间，要求不小于180秒),注销用户，再用该用户登录激活该功能

6、检查用户umask设置

（1）检查文件etc/csh.login中umask设置

方法：在文件/etc/csh.login中设置 umask 077或UMASK 077、

（2）检查文件/etc/bashrc（或/etc/bash.bashrc）中umask设置

方法：检查文件/etc/bashrc（或/etc/bash.bashrc）中设置 umask 077或UMASK 077

（3）检查文件/etc/profile中umask设置

方法：在文件/etc/profile中设置umask 077或UMASK 077

7、检查是否禁止root用户远程登录

（1）检查是否禁止root用户远程telnet登录

方法：编辑 /etc/pam.d/login文件，配置auth required pam_securetty.

（2）检查是否禁止root用户远程ssh登录

方法：修改/etc/ssh/sshd_config文件,配置PermitRootLogin no。重启服务，/etc/init.d/sshd restart

8、检查是否修改snmp默认团体字

（1）检查是否安装snmp服务

方法：如果系统未安装snmp服务，则认为合规。

（2）检查snmp团体字是否未使用private

方法：编辑/etc/snmp/snmpd.conf，修改private默认团体字为用户自定义团体字。

（3）检查配置文件/etc/snmp/snmpd.conf是否存在

方法：如果系统安装了snmp服务，请确保该文件存在。如果不存在，则在/etc/snmp/目录下创建该文件

（4）检查snmp团体字是否未使用public

方法：编辑/etc/snmp/snmpd.conf，修改public默认团体字为用户自定义团体字。

9、检查系统是否禁用ctrl+alt+del组合键

方法：编辑/etc/inittab，注释如下行ca::ctrlaltdel:/sbin/shutdown***，之后重启系统。

10、检查使用IP协议远程维护的设备是否配置SSH协议，禁用telnet协议

方法：在/etc/services文件中，注释掉 telnet 23/tcp 一行(如不生效重启telnetd服务或xinetd服务或系统，例如，Red Hat 上重启xinetd：service xinetd restart，根据实际情况操作)

11、检查是否配置远程日志功能

（1）syslog-ng是否配置远程日志功能

方法：在/etc/syslog-ng/syslog-ng.conf中配置destination logserver { udp("10.10.10.10" port(514)); };

log { source(src); destination(logserver); };

可以将此处10.10.10.10替换为实际的IP

（2）syslog是否配置远程日志功能

方法：修改配置文件vi /etc/syslog.conf，

加上这一行：

*.* @192.168.0.1

可以将"*.*"替换为你实际需要的日志信息。比如：kern.* ; mail.* 等等。

可以将此处192.168.0.1替换为实际的IP或域名。