AIX主机操作系统加固规范2011年10月
目录
账号管理、认证授权 1
账号 1
SHG-AIX-01-01-01 1
SHG-AIX-0I-0!-02 2
L3 SHG-AIX-0/-0 卜03 3
SHG-AIX-01-01-04 4
SHG-AIX-01-01-05 5
口j 6
SHG-AIX-01-02-01 6
SHG-AIX-01-02-02 7
SHG-AIX-01-02-03 8
SHG-AIX-01-02-04 9
SHG-AIX-01-02-05 10
授权11
SHG-AIX-01-03-01 11
SHG-AIX-Ol-03-02 12
SHG-AIX-01-03-03 13
SHG-AIX-01-03-04 14
SHG-AIX-01-03-05 14
日志配置15
LI SHG-ADC-02-0 丨-01 15
SHG-AIX-02-01-02 16
SHG-AIX-02-01-03 17
SHG-AIX-02-01-04 18
通信协议19
IP协议安全19
SHG-AIX-03-0J-01 19
SHG-AIX-03-0I-02 21
路由协议安全22
SHG-AIX-03-02-01 22
补丁管理24
SHG-AIX-04-01-01 24
服务进程和启动25
SHG-AIX-05-0J-01 25
SHG-AIX-05-01-02 27
设备其他安全要求31
登陆超时策略31
SHG-AIX-06-01-01 31
系统Banner设置32
SHG-AIX-06-02-01 32
内核调整32
SHG-AIX-06-03-0J 32
附录:AIX可被利用的漏洞(截止2009-3-8) 33
本文档是AIX操作系统的对于AIX系统设备账号认证、口志、协议、补丁升级、
文件系统管理等方面的安全配置要求,共27项。对系统的安全配置审计、加M操作起到指导性作用。
1账号管理、认证授权
1-1账号
1.2 口令
1.2.5 SHG-AIX-01-02-2
备注
1-3授权
1. 3. 2 SHG-AIX-01-03-02
2日志配置
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版 本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息................................................................. 错误!未定义书签。前言.................................................................... 错误!未定义书签。 一、编制说明............................................................ 错误!未定义书签。 二、参照标准文件........................................................ 错误!未定义书签。 三、加固原则............................................................ 错误!未定义书签。 1.业务主导原则..................................................... 错误!未定义书签。 2.业务影响最小化原则............................................... 错误!未定义书签。 3.实施风险控制..................................................... 错误!未定义书签。 (一)主机系统............................................................. 错误!未定义书签。 (二)数据库或其他应用 ..................................................... 错误!未定义书签。 4.保护重点......................................................... 错误!未定义书签。 5.灵活实施......................................................... 错误!未定义书签。 6.周期性的安全评估................................................. 错误!未定义书签。 四、安全加固流程........................................................ 错误!未定义书签。 1.主机分析安全加固................................................. 错误!未定义书签。 2.业务系统安全加固................................................. 错误!未定义书签。 五、W INDOWS 2003操作系统加固指南......................................... 错误!未定义书签。 1.系统信息......................................................... 错误!未定义书签。 2.补丁管理......................................................... 错误!未定义书签。 (一)补丁安装............................................................. 错误!未定义书签。 3.账号口令......................................................... 错误!未定义书签。 (一)优化账号............................................................. 错误!未定义书签。 (二)口令策略............................................................. 错误!未定义书签。 4.网络服务......................................................... 错误!未定义书签。 (三)优化服务............................................................. 错误!未定义书签。 (四)关闭共享............................................................. 错误!未定义书签。 (五)网络限制............................................................. 错误!未定义书签。
AIX常用命令大全 查看交换区信息: lsps -a 显示交换区的分布信息 lsps -s 显示交换区的使用信息 slibclean 清除处理程序遗留的旧分页信息 smit mkps 建立交换区空间信息 swapon -a 启动所有的分页空间 /etc/swapspaces 存放分页空间表格信息 ------------------------------------------------- 显示卷信息: lsvg 显示卷的名称 lsvg -l rootvg 显示rootvg卷的详细信息 ------------------------------------------------- mount卷的方法: varyonvg datavg 加载datavg卷 mount /dev/data1 加载datavg下的一个data1卷 裸设备类型:raw,jfs jfs可以转变成文件系统,而raw则不行 ------------------------------------------------- 在裸设备上安装oracle系统: 修改裸设备的权限,如裸设备名为system01,安装数据库用户为oracle chown oracle:dba /dev/system01 chown oracle:dba /dev/rsystem01 在使用文件时必须用rsystem01 ------------------------------------------------- smit快速路径名称:(smit:图形方式,smitty:字符方式) dev 设备管理 diag 诊断 jfs 定期档案管理系统 lvm 逻辑卷册系统管理员管理 nfs NFS管理 sinstallp 软件安装及维护 spooler 列印队列管理 system 系统管理
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月
一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是 022, 如果不是用下面命令进行修改: cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp /etc/group /etc/group.bak
Windows 操作系统安全防护 强制性要求 二〇一四年五月
目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest(来宾)帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器
6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11
4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程,防止病毒程序运行 15 6.3.关闭不必要启动项,防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。
一.安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●网络设备与操作系统的安全配置; ●系统安全风险防范; ●提供系统使用和维护建议; ●安装最新安全补丁(根据风险决定是否打补丁); 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 二.加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。 对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
Linux主机操作系统加固规范 目录 第1章概述 (2) 1、1目得..................................... 错误!未定义书签。 1、2适用范围................................. 错误!未定义书签。 1、3适用版本................................. 错误!未定义书签。 1、4实施..................................... 错误!未定义书签。 1、5例外条款................................. 错误!未定义书签。 第2章账号管理、认证授权 (2) 2、1账号 (2) 2、1、1用户口令设置 (2) 2、1、2.......................................................... root用户远程登录限制 3 2、1、3检查就是否存在除root之外UID为0得用户 (3) 2、1、4...................................................... root用户环境变量得安全性 3 2、2认证..................................... 错误!未定义书签。 2、2、1远程连接得安全性配置 (4) 2、2、2用户得umask安全配置 (4) 2、2、3重要目录与文件得权限设置 (5) 2、2、4查找未授权得SUID/SGID文件 (5) 2、2、5检查任何人都有写权限得目录 (6) 2、2、6查找任何人都有写权限得文件 (6) 2、2、7检查没有属主得文件 (7) 2、2、8检查异常隐含文件 (8) 第3章日志审计 (9) 3、1日志 (9) 3、1、1............................................................ syslog登录事件记录 9 3、2审计 (9) 3、2、1........................................................ Syslog、conf得配置审核 9 第4章系统文件 (11) 4、1系统状态 (11) 4、1、1系统core dump状态 (11)
主机问题解决方案 部分主机未禁用GUEST 账户,需禁用所有主机Guest 账号 (只适用于windows)。旗标曝露操作系统的版本: AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其 他,以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。 超时退出功能,已加固部分服务器,剩余服务器,Windows 设置屏保,时间为10 分钟以内,启用屏保密码功能。HP-UNIX:修改/etc/profile 文件,增加TMOUT值,建议设定600以 内。AIX:编辑/etc/profile 文件,添加TMOUT参数设置,例如TMOUT=600 以内,系统600 秒无操作后将自动执行帐户注销操作。 明文管理方式,部分设备目前还需要使用TELNET 服务,逐步关闭,建议采用SSH ,在网络和主机层面逐步关闭TELNET协议,禁用TELNET启用SSH协议(适用于AIX与HP-UNIX): 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉,然后refresh -s inetd 2.加速ssh 的登录 第一: 如有/etc/resolv.conf ,rm 掉 第二:vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改
为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面,易受本地局域网恶意用户攻击,需转运行后,在网络层面增加访问控制策略。 允许root 账户远程登录,各网省建立专用账号实现远程管理,关闭root 账号运程管理功能在。 主机操作系统提供FTP 服务,匿名用户可访问,易导致病毒的传播,禁用AIX 自身的FTP 服务(适用于AIX 与HP-UNIX) 1、编辑/etc/inetd.conf 将ftpd 一项注释; 2、refresh -s inetd 。 其它FTP服务软件使用注意:先关闭所有FTP服务,用时开启,用完后关闭。
AIX系统基本命令 mkdir:用于创建目录 $ mkdir oracle $ ls oracle $ rm:用于删除文件或目录(rm –r 删除目录时目录内有内容,用-r一起删除)$ rm -r oracle $ ls $ mv:用于改变文件或目录名 $ mkdir ll $ ls ll $ mkdir kk $ ls kk ll $ mv ll kk $ ls kk $ cd kk $ ls ll $ cd:用于进入系统某一级目录中去 $ cd / $ pwd / $ cd /home/oracle $ pwd /home/oracle $ ls 功能:显示目录中的内容,列出当前目录中所有文件的文件名 参数说明: a:列出目录中所有文件 d:列出所有子目录 l:列出长格式文件信息 举例: ls –a:列出当前目录中的所有文件 $ ls -a #UNTITLED# .dt createdbscripts oracle . .dtprofile dead_letter smit.log .. .profile ll smit.script .TTauthority .sh_history make.log websm.log .Xauthority afiedt.buf mbox websm.script $ ls –l:显示文件的详细信息 $ ls -l
-rw------- 1 201 dba 11174 Sep 17 09:15 err*.log drwxr-xr-x 3 201 dba 512 Sep 22 10:21 tra*.log -rw-r--r-- 1 201 dba 8971 Sep 20 11:08 smit.log -rw-r--r-- 1 201 dba 5437 Sep 20 11:08 smit.script -rw-r--r-- 1 201 system 1682 Sep 02 15:18 websm.log -rw-r--r-- 1 201 system 21441 Sep 02 15:10 websm.script (还有ls –rtl,ls –lt 等相关类似命令) $ date 功能:显示当前日期和时间,超级用户可以进行修改 举例:$ date Mon Sep 22 11:22:33 BEIST 2013 $ wc 功能:计算文件中的行数、字数和字符数 参数说明: c:计算字符数 l:计算行数 w:计算字数 举例: # wc profile 13 53 381 profile | | | 行数字数字符数 $ wc smit.log 422 1162 8971 smit.log $ who 功能:列出当前系统注册的用户 举例:$who am i-- 列出当前系统使用者身份 $ who oracle lft0 Sep 22 09:05 oracle pts/0 Sep 22 10:17 (192.168.100.79) oracle pts/4 Sep 22 09:05 (:0.0) $ who am i oracle pts/0 Sep 22 10:17 (192.168.100.79) $ finger 显示当前登陆到系统中的用户的信息 举例: # finger Login Name TTY Idle When Site I nfo oracle ??? *l0 2:02 Mon 09:05 oracle ??? p4 1:59 Mon 09:05 root ??? p0 Mon 11:06 # finger oracle
Linux主机操作系统加固规范
目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误!未定义书签。 1.2 适用范围..................................................................................................... 错误!未定义书签。 1.3 适用版本..................................................................................................... 错误!未定义书签。 1.4 实施............................................................................................................ 错误!未定义书签。 1.5 例外条款..................................................................................................... 错误!未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误!未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)
计算机操作系统的安全加固探析 在当前的信息化社会,由于信息资源传输和共享的需要,计算机技术与计算机网络技术在各个领域和行业中都得到了前所未有的发展。在整个计算机的运行过程中,计算机操作系统的安全直接影响着其性能的有效发挥,也影响着信息传输的稳定和安全。文章对计算机操作系统中存在的安全问题进行了分析,并就相应的安全加固策略进行了研究和阐述。 标签:计算机;操作系统;安全加固 前言 在科学技术快速发展的带动下,计算机网络应用日益普遍,也使得网络安全问题成为社会发展中一个非常重要的问题。计算机操作系统作为用户针对信息进行处理的软件环境,其运行的高效性、安全性和可靠性直接关系着信息处理质量。因此,重视计算机操作系统的安全问题,做好相应的防范和加固措施,切实保障计算机操作系统的运行安全,是需要相关技术人员重点关注的问题。 1 计算机操作系统常见安全问题 在计算机运行过程中,受各种因素的影响,计算机操作系统中经常会出现一些安全问题,影响系统安全,这些问题主要体现在以下几个方面。 1.1 系统漏洞 系统漏洞是指在操作系统内部存在的,可能允许未经授权用户对系统进行访问的软硬件特征,属于操作系统自身的缺陷。系统漏洞表现为三种形式,一是物理漏洞,即未经授权的用户能够对系统中不被允许的内容进行访问,导致系统信息的泄露;二是软件漏洞,主要是由于错误授权的应用程序所导致的漏洞;三是不兼容漏洞,即由于操作系统在开发过程中存在不兼容问题,进而导致的漏洞。计算机漏洞的存在严重影响了系统安全,如果不能及时打上安全补丁,则系统可能会遭受黑客的恶意攻击,从而造成难以估量的损失。 1.2 程序安全 用户程序自身的安全性通常表现在程序的耗时性、兼容性、稳定性、病毒性以及死锁问题等,受各种因素的影响,在用户程序中,或多或少都存在着一定的缺陷,这些缺陷多是由于程序设计或者编程过程中的不合理逻辑造成的,可能是设计人员无意识的误操作,也可能是有意为之。 1.3 数据库安全 操作系统中的数据库安全,通常体现在数据库的完整性、可审计性、访问控
操作系统安全与信息安全 信息安全体系相当于整个信息系统的免疫系统,免疫系统不健全,信息系统不仅是低效的,甚至是危险的。党和国家领导人多次指示:信息安全是个大问题,必须把安全问题放到至关重要的位置上,信息安全问题解决不好,后果不堪设想。 国家计算机信息系统安全保护条例要求,信息安全等级保护要实现五个安全层面(即物理层、网络层、系统层、应用层和管理层)的整体防护。其中系统层面所要求的安全操作系统是全部安全策略中的重要一环,也是国内外安全专家提倡的建立可信计算环境的核心。操作系统的安全是网络系统信息安全的基础。所有的信息化应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当有可能导致整个安全体系的崩溃。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性,必须依赖于操作系统提供的系统软件基础,任何脱离操作系统的应用软件的安全性都是不可能的。目前,普遍采用的国际主流C级操作系统其安全性远远不够,访问控制粒度粗、超级用户的存在以及不断被发现的安全漏洞,是操作系统存在的几个致命性问题。中共中央办公厅、国务院办公厅近期印发的《2006-2020年国家信息化发展战略》中明确指出: “我国信息技术领域存在着自主创新技术不足,核心技术和关键设备主要依赖进口。”长期以来,我国广泛应用的主流操作系统都是进口产品,无安全性可言。如不从根本上解决,长此以往,就无法保障国家安全与经济社会安全。我们国家计算机信息系统中的主流操作系统基本采用的是国外进口的C 级操作系统,即商用操作系统。商用操作系统不是安全的操作系统,它在为我们计算机信息系统带来无限便捷的同时,也为我们的信息安全、通信保密乃至国家安全带来了非常令人担忧的隐患!操作系统是计算机系统软硬件资源和数据的“总管”,担负着计算机系统庞大的资源管理,频繁的输入输出控制以及不可间断的用户与操作系统之间的通信等重要功能。一般来讲,包括病毒在内的各种网络安全问题的根源和症结,主要是由于商用操作系统的安全脆弱性。当今的信息系统产生安全问题的基本原因是操作系统的结构和机制不安全。这样就导致:资源配置可以被篡改、恶意程序被植入执行、利用缓冲区(栈)溢出攻击非法接管系统管理员权限等安全事故。病毒在世界范围内传播泛滥,黑客利用各种漏洞攻击入侵, 非授权者任意窃取信息资源,使得安全防护形成了防火墙、防病毒、入侵检测、漏洞检测和加密这老几样防不胜防的被动局面。 计算机病毒是利用操作系统漏洞,将病毒代码嵌入到执行代码、程序中实现病毒传播的;黑客是利用操作系统漏洞,窃取超级用户权限,植入攻击程序,实现对系统的肆意破坏;更为严重的是由于操作系统没有严格的访问控制,即便是合法用户也可以越权访问,造成不经意的安全事故; 而内部人员犯罪则可以利用操作系统的这种脆弱性,不受任何限制地、轻而易举地达到内外勾结,窃取机密信息等严重犯罪。 特别是,据中科院2003年《中国高新技术成果报告》中所载:有调查证实:美国国家安全局(NSA)对销往全球的信息产品,尤其是大规模集成电路芯片和操作系统安装了NSA所需要的技术后门,用于平时搜集这些信息产品使用国的敏感信息和数据;战时启动后门程序,瘫痪对方的政治、经济、军事等运行系统,使其不战自败。这是令人触目惊心的国家安全和民
AIX常用的性能监控命令 2009-07-24 10:38 机器性能优化主要从四个方面去考虑:CPU,内存,磁盘I/O,网络。 1, CPU sar命令 可以使用sar命令来查看cpu的使用率。 ibm150:[/]#sar 1 5 AIX ibm150 1 5 000AF70D4C00 01/24/06 13:13:25 %usr %sys %wio %idle 13:13:26 0 0 0 100 13:13:27 0 0 0 100 13:13:28 0 0 0 100 13:13:29 0 0 0 100 13:13:30 0 0 0 100 Average 0 0 0 100 %usr + %sys > 80% 的时候 CPU将是瓶颈 ibm150:[/]#ps aux | head -4 查看前3位占用cpu的进程USER PID %CPU %MEM SZ RSS TTY STAT STIME TIME COMMAND
root 774 49.7 8.0 12 18052 - A 10:07:58 188:24 wait root 516 49.7 8.0 12 18052 - A 10:07:58 188:20 wait root 5688 0.1 0.0 164 168 - A 10:09:13 0:21 /usr/sbin/syncd 6 %CPU表示进程使用cpu时间的百分比;%MEM表示进程使用实际内存的百分比 ps –elf 命令 将查看进程的优先级别 ibm150:[/]#ps -elf F S UID PID PPID C PRI NI ADDR SZ WCHAN STIME TTY TIME CMD 200003 A root 1 0 0 60 20 28034 1876 10:08:23 0:00 /etc/init 240401 A root 2968 4502 0 60 20 2c376 2176 * 10:10:230:00 /usr/sbin/rsct/bin/IBM.ServiceRMd 40001 A root 3192 1 0 60 20 3417a 1472 10:09:00 - 0:00 /usr/dt/bin/dtlogin -daemon 240001 A root 3730 4158 3 61 20 321b9 2568 10:10:19 - 0:20 dtgreet PRI值越小,优先级越大。
AIX系统常用的命令 1、系统性能 (1)看CPU个数#lsdev -C|grepproc#几条记录就是几个CPU (注意考虑AIX 5.3的SMP) (2)看每个CPU的大小#lsattr -El proc0 (3)看内存条数#lsdev -C|grepmem (4)看内存大小#lsattr -El mem0 (5)看硬盘#lsdev -Cc disk (6)查看系统性能#top 或 #topas 2、系统重启:#shutdowm -Fr 3、配网址和路由 (1)配置网址 #smittytcpip #ifconfig en0
5、/etc/inittab中的环境变量只引用/etc/enviormant文件中的设置,其余的如/etc/profile,/.profile中的不引用。 6、磁带机的相关操作: tctlfsf 1 tctlbsf 1 dd if=/temp1 pf=/dev/rmt1 tctl -f /dev/rmt1 rewind tctl -f /dev/rmt1 offline tapeutil -f /dev/rmt1 unmount 2 tapeutil -d /dev/rmt1 mount 2 7、查看硬盘的大小 lspv hdisk4 or lspv -p hdisk3 8、查看操作系统的版本 oslevel -r可以查看AIX当前版本和ML(维护层次), 也可以使用# instfix |grep ML 9、查看Os的bit 1 local364or bootinfo -y
AIX常用命令 一.目录和文件操作 1.ls命令列出指定目录下的文件,缺省目录为当前目录 #ls -a 列出所有文件,包括隐藏文件 #ls –l 显示文件详细信息 2.pwd显示出当前的工作目录 3.cd改变当前的工作目录 #cd /tmp 进入/tmp 目录 #cd .. 进入上级目录 4.mkdir 建立目录 #mkdir tmp 在当前目录下建立子目录tmp #mkdir -p /tmp/a/b/c 建立目录/tmp/a/b/c ,若不存在目录/tmp/a 及/tmp/a/b 则建立 5.rm 删除文件或目录 - f 删除文件时不作提示 - r 删除目录及其所有子目录 [例子]: #rm file1 删除文件file1 #rm -r /mytmp 删除目录/mytmp 6.cp 拷贝文件 [语法]: cp [ -p ] [ -r ] 文件1 [ 文件2 ...] 目标 文件1(文件2 ...)拷贝到目标上,目标不能与文件同名。 [参数]:
- p 不仅拷贝文件内容,还有修改时间,存取模式,存取控制表 - r 若文件名为目录,则拷贝目录下所有文件及子目录和它们的文件 [例子]: #cp file1 file2 将文件file1 拷贝到文件file2 #cp file1 file2 /tmp 将文件file1 和文件file2 拷贝到目录/tmp 下 #cp -r /tmp /mytmp 将目录/tmp 下所有文件及其子目录拷贝至目录/mytmp 7.mv 移动文件 将文件移动至目标,若目标是文件名,则相当于文件改名 #mv file1 file2 将文件file1 改名为file2 #mv file1 file2 /tmp 将文件file1 和文件file2 移动到目录/tmp 下 8.chmod 文件权限设置 [语法]: chmod [-R] 模式文件. #chmod 777 file1将文件file1存取权限置为所有用户可读可写可执行 #chmod 755 file1 文件的属主对文件file1有可读可写可执行的权限,文件所归属的用户组有可读可执行的权限,其它用户有可读可执行的权限。 9.Chown 文件属性设置 [语法]: chown [-R] 文件属主文件... [参数]: -R 改变所有子目录下所有文件的存取模式 [例子]: chown tom file1 将文件file1 的文件属主改为用户tom chown –R oracle /oracle 将/oracle属主改为用户oracle 10.vi 文本编辑 vi是unix上最常用的文本编辑工具 vi filename :打开或新建文件,并将光标置于第一行首 插入命令:i 从光标所在位置前面开始插入资料
h主机安全 一、身份鉴别(S3) 本项要求包括: a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;设置登陆密码 b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的情况:1)复杂性要求-启用、2)长度最小值-大于8、3)最长存留期-不为0、4)最短存留期-不为0、5)强制密码历史-大于3。 c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略]; d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;如果是本地管理或KVM等硬件管理方式,此要求默认满足; 如果采用远程管理,则需采用带加密管理的远程管理方式,如启用了加密功能的3389(RDP 客户端使用ssl加密)远程管理桌面或修改远程登录端口。
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。Windows Server 2003默认不存在相同用户名的用户,但应防止多人使用同一个账号。(访谈时无多人共用一个账号) f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 动态口令、数字证书、生物信息识别等 二、访问控制(S3) 本项要求包括: a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; 制定用户权限表,管理员账号仅由系统管理员登陆删除默认共享? b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; 系统管理员、安全管理员、安全审计员由不同的人员和用户担当 c) 应实现操作系统和数据库系统特权用户的权限分离; 应保证操作系统管理员和审计员不为同一个账号,且不为同一个人访谈时候注意 d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;重命名系统默认账户,禁用guest、SUPPORT_388945a0这些用户名 e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。 清理已离职员工的账户确保木有多余账号,确保木有多人共享账号 f) 应对重要信息资源设置敏感标记; Server2003无法做到 g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作; Server2003无法做到 三、安全审计(G3) 本项要求包括: a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; 依次展开[开始]->([控制面板] ->) [管理工具]->[本地安全策略]->[本地策略]->[审核策略];全部开启
AIX常用命令 目录操作 命令名功能描述使用举例 mkdir 创建一个目录mkdir dirname "mkdir yaohc/test" rmdir 删除一个目录rmdir dirname "rmdir yaohc/test" mvdir 移动或重命名一个目录mvdir dir1 dir2 "mvdir test testcopy" cd 改变当前目录cd dirname pwd 显示当前目录的路径名pwd ls 显示当前目录的内容ls -la dircmp 比较两个目录的内容dircmp dir1 dir2 文件操作 命令名功能描述使用举例 cat 显示或连接文件cat filename pg 分页格式化显示文件内容pg filename more 分屏显示文件内容more filename od 显示非文本文件的内容od -c filename cp 复制文件或目录cp file1 file2 rm 删除文件或目录rm filename "rm -r test" mv 改变文件名或所在目录mv file1 file2 "mv copytest copy" ln 联接文件ln -s file1 file2 find 使用匹配表达式查找文件find . -name "*.c" -print
file 显示文件类型file filename 选择操作 命令名功能描述使用举例 head 显示文件的最初几行head -20 filename tail 显示文件的最后几行tail -15 filename cut 显示文件每行中的某些域cut -f1,7 -d: /etc/passwd colrm 从标准输入中删除若干列colrm 8 20 file2 paste 横向连接文件paste file1 file2 diff 比较并显示两个文件的差异diff file1 file2 sed 非交互方式流编辑器sed "s/red/green/g" filename grep 在文件中按模式查找grep "^[a-zA-Z]" filename awk 在文件中查找并处理模式awk '{print $1 $1}' filename sort 排序或归并文件sort -d -f -u file1 uniq 去掉文件中的重复行uniq file1 file2 wc 统计文件的字符数、词数和行数wc filename nl 给文件加上行号nl file1 >file2 安全操作 命令名功能描述使用举例 passwd 修改用户密码passwd chmod 改变文件或目录的权限chmod ug+x filename