等保2.0测评 — AIX 系统

知识宝库在此藏，一键关注获宝藏

付费文章均会免费移至知识星球，有需要的朋友可查看"加入我的知识星球，开启知识学习之旅"！

AIX是IBM公司开发的专门用于IBM Power Systems服务器的UNIX操作系统，因为AIX是专为IBM Power 架构设计的操作系统，所以无法直接在普通个人计算机上安装AIX系统，因为个人计算机通常采用x86架构，而非IBM Power 架构。

下文如有描述不对的地方，欢迎进行指正。

一、身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

1. 身份标识和鉴别

一般通过用户名+口令的方式

2. 身份标识唯一性

查看 /etc/passwd 文件，确认是否存在同名或同UID账户

3. 身份鉴别信息具有复杂度及定期更换

1）当前实际情况

确认正在使用的账户口令复杂度情况以及修改周期，要求长度至少8位，且包含大小写字母、数字和特殊字符，同时避免包含个人信息和常见密码。

2）强制密码策略

配置文件：/etc/security/user

histexpires       口令可重新使用前的天数 

histsize            允许的口令重复次数 

maxage            必须更改口令的最大天数 

maxexpired      超过maxage后由用户更改到期口令到天数

maxexpired maxrepeats    在口令中可重复字符的最大数目 

minage            口令可被更改前的最小天数 

minalpha         口令必须包含字母的最小数目 

minother         口令必须包含非字母字符的最小数目

mindiff            新密码与旧密码不同的字符数

minlen             口令最小长度  

具体内容：

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

1. 登录失败处理功能

配置文件：/etc/security/user

涉及参数：logindisable、logininterval、loginreenable、logindelay 

具体含义：

2. 操作超时自动退出功能

配置文件：一般为 /etc/profile

查看对应TMOUT值，默认时间单位为秒，例如上述配置无操作600S后自动退出系统0

c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

netstat -ano|more

查看是否使用SSH协议进行远程管理，一般为22端口；是否关闭telnet服务，一般为23端口

d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

现场核查，一般仅采用用户名+口令的方式进行登录。

二、访问控制

a）应对登录的用户分配账户和权限

该条我们结合对应文件确认账户权限设置情况，以及是否限制了默认root账户的访问权限。

1.  用户相关文件

1） /etc/passwd

文件包含有合法用户列表，包括用户id、主用户组、宿主目录、默认登录shell等

username : password flag : UID : GID : GECOS : HOME : Shell/Command

● username：用户名

● password flag：该字段可包含*或!，如果显示!，那么已经为此用户设置了密码，如果未设置密码就会出现*，密码本身存储在/etc/security/passwd中

● UID：用户数字标识

● GID：用户组ID

● GECOS：账户备注信息

● HOME：用户家目录

● Shell/Command：通常情况下，最后一个字段包含在用户登录时启动的 shell。管理员也可以通过修改这个字段执行其他命令而不是 shell（例如 /bin/false），从而限制访问。

原文始发于微信公众号（等保不好做啊）：等保2.0测评 — AIX 系统