一 AIX 服務(wù)器 1 1 1 配置密碼策略 參考配置操作 當(dāng)前系統(tǒng)管理員密碼為弱密碼 建議其更換強密碼 編輯 etc security user 設(shè)置以下參考數(shù)值設(shè)定 vi etc security user minalpha 1 口令必須包含 1 個字母 minother 2 口令必須包含 2 個非字母字符 minlen 8 口令不得少于 8 個字符 maxage 4 口令可使用周期 4 周 maxexpired 1 達到使用周期后 1 周內(nèi)必須更改口令 pwdwarntime 7 在達到使用周期前 7 天提示修改口 令 histsize 5 不能使用上 5 次用過的口令 1 2 啟用登錄失敗處理功能 參考配置操作 編輯 etc security user 文件 并修改以下內(nèi)容 loginretries 3 口令重試 3 次后鎖定 解鎖方法 以 user 用戶為例 執(zhí)行命令 lsuser user 檢查 unsuccessful login count 參數(shù) 登錄失敗次數(shù) chuser unsuccessful login count 0 user 重置 user 用戶登錄失敗次數(shù) 1 3 遠程訪問加密措施 參考配置操作 1 在官網(wǎng)下載 Openssl 和 OPenSSH 軟件 2 上傳文件 將 openssh 5 2p1 aix61 tar Z 用 ftp 傳到 tmp openssh 目錄下 將 openssl 0 9 8 1103 tar Z 用 ftp 傳到 tmp openssl 目錄下 3 解壓文件 cd tmp openssh uncompress openssh 5 2p1 aix61 tar Z tar xvf openssh 5 2p1 aix61 tar cd tmp openssl uncompress openssl 0 9 8 1103 tar Z tar xvf openssl 0 9 8 1103 tar 4 安裝 openssl 進入 openssl 目錄 cd tmp openssl 開始安裝 smitty install 順序選擇 Install and Update Software Install Software INPUT device directory for software tmp openssl 輸入 openssl 目 錄 選中 SOFTWARE to install all latest 行 按 F4 選擇 openssl license 回車 選中 ACCEPT new license agreements 行 按 Teb 鍵 選擇 yes 回車 執(zhí)行安裝 Command OK 表示安裝完成 5 安裝 openssh 進入 openssh 目錄 cd tmp openssh 刪除目錄下 openssh 5 2p1 aix61 tar 包 rm rf openssh 5 2p1 aix61 tar 開始安裝 smitty install 順序選擇 Install and Update Software Install Software INPUT device directory for software tmp openssh 輸入 openssl 目錄 選中 SOFTWARE to install all latest 行 按 F4 選擇查看可安裝的 選項 F3 返回 選中 ACCEPT new license agreements 行 按 Teb 鍵 選擇 yes 回車 執(zhí)行安裝 Command OK 表示安裝完成 6 安裝完成后 SSH 服務(wù)會自動啟動 確認(rèn) lssrc s sshd 7 禁用 telnet 服務(wù) stopsrc t telnet 8 查看 telnet 服務(wù)狀態(tài) lssrc t telnet 9 禁止 telnet 開機啟動 vi etc inetd conf 在 telnet stream tcp6 nowait root usr sbin telnetd telnetd a 前加 注 開啟 telnet 服務(wù)命令為 startsrc t telnet openssh 官方網(wǎng)站 openssl 官方網(wǎng)站 https www openssl org 2 2 1 修改 UMASK 值 參考配置操作 1 編輯 etc security user 文件 設(shè)置 umask 值 vi etc security user umask 027 缺省文件權(quán)限為 750 3 3 1 設(shè)定管理登陸地址 參考配置操作 1 檢查系統(tǒng)中是否安裝了 IPSec 的軟件包 lslpp l grep ipsec ipsec keymgt ipsec rte ipsec websm ipsec keymgt ipsec rte ipsec websm 2 檢查 Ipsec 策略 lsfilt s v4 O 檢查 ipsec 策略 有三條默認(rèn)策略 若無多余策略可進行下一步 若存在多余策略 按以 下方式刪除多余策略 smitty tcpip Configure IP Security IPv4 Advanced IP Security Configuration Configure IP Security Filter Rules Delete IP Security Filter Rules 選中某一策略 回車策略將被刪除 3 啟動 IPsec smitty tcpip Configure IP Security IPv4 Start Stop IP Security Start IP Security Start IP Securit Now and After Reboot 4 配置策略 對于 IP 地址是 10 19 0 252 的 AIX 服務(wù)器 我們希望只有來自于 10 19 6 212 的終端才可以通過 SSH 訪問它 拒絕來自其他網(wǎng)段的 SSH 請求 在 aix 操作系統(tǒng)中 SSH 缺省使用的端口號是 22 所以在 10 19 6 212 服務(wù)器上需要設(shè)置以下 2 條過濾規(guī)則 一條是 permit 規(guī)則 一條是 deny 規(guī) 則 注意 permit 規(guī)則要在 deny 規(guī)則之前 genfilt v 4 a P s 10 19 6 212 m 255 255 255 255 d 10 19 0 252 M 255 255 255 0 g y c all o any p 0 O eq P 22 r B w B l N t 0 i all genfilt v 4 a D s 0 0 0 0 m 0 0 0 0 d 10 19 0 252 M 255 255 255 255 g y c all o any p 0 O eq P 22 r B w B l N t 0 i all 執(zhí)行命令 lsfilt s v4 O 驗證 ipsec 策略 若無沖突 則進行下一步驟 5 使 IP 過濾規(guī)則生效 mkfilt v4 u 3 2 設(shè)置登錄超時策略 參考配置操作 1 檢查 etc profile 讀寫權(quán)限 ls l etc profile 檢查是否有修改權(quán)限 2 修改 etc profile 權(quán)限 chmod 655 etc profile 3 設(shè)置登陸超時時間為 300 秒 取消掉 TMOUT 120 前 修改 TMOUT 值為 300 保存并注銷當(dāng)前賬 戶 4 查看 TMOUT 值 echo TMOUT 5 修改修改 etc profile 權(quán)限 chmod 555 etc profile 修改回文件默認(rèn)權(quán)限