AIX賬戶安全設定學習總結

AIX賬戶安全設定學習總結
 本文主要總結了在AIX作業系統中的賬戶安全性策略和設定,希望為關注AIX系統安全的人士提供參考。
  www.2cto.com  一、帳戶、口令安全設定
1)刪除或注釋掉無用帳號；
2)建議鎖定除root外的其它不常用帳號
#chuser account_locked=true user1 #鎖定user1使用者
  www.2cto.com  
3)修改預設密碼原則(樣本)
#vi /etc/security/user

二.登入策略更改登入策略主要在/etc/security/login.cfg中定義，可以通過以下三種方式調整
1)#vi /etc/security/login.cfg

logindelay=2  *失敗登入後延遲2秒顯示提示符
logindisable=5   *5次失敗登入後鎖定連接埠
logininterval=60     *在60秒內5次失敗登入才鎖定連接埠
loginreenable＝30 *連接埠鎖定30分鐘後解鎖
logintimeout = 60  *60秒不活動將會退出目前使用者

2)#lssec -f /etc/security/login.cfg -s default   *列出預設登入策略
  #chsec -f /etc/security/login.cfg -s /dev/lft0 -a logindisable=5   *五次連續失敗登入後鎖定連接埠lft0
3)通過smit查看和更改登入策略（smit chsec）  www.2cto.com  
三.禁止root帳戶建立遠端連線
1)對root使用者遠程登入(telnet或rlogin)的限制可以在檔案/etc/security/user中指定
#vi /etc/security/user
rlogin=false
或者使用lsuser和chuser命令
#lsuser -a rlogin root  *查看root的rlogin屬性（預設為true）
#chuser rlogin=false root  *禁止root遠程登入
2)禁止root帳戶ftp到系統，編輯/etc/ftpusers，所有希望被禁止ftp登入的帳戶都添加在該檔案中。
#vi /etc/ftpusers
root
3)禁止root賬戶ssh到系統，編輯/etc/ssh/sshd_config
Protocol 2
PermitRootLogin no補充:應該特彆強調的是對於root特權的控制：
 1、 應嚴格限制使用root特權的人數；
 2、 root口令應由系統管理員以不公開的周期更改；
  3、不同的機器採用不同的root口令；
  4、即使系統管理員也應以普通使用者的身份登入，然後用su命令進入特權；
 5、 root所用的PATH環境變數與系統安全性關係重大。
安全性日誌是系統安全的重要保障，有經驗的系統管理員經常使用其做安全性檢查。Su命令執行的結果存放在/var/adm/sulog中；使用者登入和退出登入的記錄存放在/var/adm/wtmp和/etc/utmp中，可用who命令查看；非法和失敗登入的記錄存放在/etc/security/failedlogin中，同樣用who命令查看，未知的登入名稱記為unknown。四、賬戶鎖定與解鎖   www.2cto.com  
例如：密碼多次被輸錯，鎖定後的提示資訊
Password: 
530-There have been too many unsuccessful login attempts; please see
  the system administrator.
1、如果你可以登陸到ROOT賬戶，比較簡單
使用這個命令即可解鎖
#chsec -f  /etc/security/lastlog -a unsuccessful_login_count=0 -s  user1 
通過重設未成功登陸的次數即可解鎖2、如果是通過設定來鎖定的使用者，可以這樣解鎖
#smit user 3、命令解鎖#chuser account_locked=TRUE oracle  給使用者加鎖
#chuser accout_locked=FALSE oracle  給使用者解鎖但是這種加鎖和解鎖方式是有別於因多次密碼輸錯登入失敗而被鎖住的使用者鎖定4、如果你當前的使用者被鎖，你還可以用一個別的沒鎖的賬戶登陸並切到ROOT進行解鎖5、如果是ROOT被鎖，則比較麻煩需要用救援光碟片進行密碼重設或等賬戶自行解鎖後用正確的密碼再登進去。五、密碼設定1、設定強密碼
良好的密碼是抵禦未授權進入系統的第一道有效防線，它們是以下類型：
 大小寫字母的混合
 字母、數字或標點符號的組合。此外，它們可以包含特殊字元，如
~!@#$%^&*()-_=+[]{}|\;:'",.<>?/< 空格>
 未寫在任何明顯能讓別人看到的地方
 如果使用 /etc/security/passwd 檔案，那麼長度最少為 7 個字元最大 8
個字元（象 LDAP 那樣使用註冊表實施的認證，可以使用超出此最大長
度的密碼）
 不是在字典中可查到的真實單詞
 不是鍵盤上字母的排列模式，比如 qwerty
 不是真實單詞或已知排列模式的反向拼字
 不包含任何與您自己、家庭或朋友有關的個人資訊
 不與從前一個密碼的模式相同
 可以較快輸入，這樣邊上的人就不能確定您的密碼
2. 設定密碼原則
猜測密碼是系統最常遇到的攻擊方法之一。因此，控制和監視您的密碼限制
策略是不可缺少的。
 設定良好的密碼
 #vi /etc/security/user 編輯密碼原則，參看前面的參數進行設定
 使用 /etc/passwd 檔案，傳統上/etc/passwd 檔案是用來記錄每個擁有系統訪問權的註冊使用者，使用者必須在每個系統中有一個帳戶才能獲得對該系統的訪問權
 隱藏使用者名稱和密碼
 為了達到更進階別的安全性，請確保使用者標識和密碼在系統內是不可見
的。
 設定建議的密碼選項
 強制定期更改密碼
 擴充密碼限制
 3、密碼位元的BUGAIX 5.3的 系統，設使用者密碼的時候，即便你設了12位密碼，可是只用前8位就可以登陸，這是一個小BUG，因為AIX 5L只檢查前8位密碼，一直以來這都是AIX的一個限制。直到AIX 5L V5.3 TL7 和 AIX V6.1，才引入了 LPA（Loadable Password Algorithm），消除了密碼只有8位字元有效限制，密碼長度的最大值根據各種LPA演算法的不同而不同，最大可以達到255位。但要主要需要啟用這個LPA功能。啟用命令如下  www.2cto.com  #chsec -f /etc/security/login.cfg -s usw -a pwd_algorithm=ssha256  最後，重視安全是一切的根本。