AIX 4.3.3 Security

* root 권한 관리

 

* shell 제한

 

* su 제한

 

* 필요없는 유저삭제
rmuser [ lp | uucp | nuucp ]
“/etc/security/user” 파일에 아래 내용을 설정

 

* 로그인 설정 /etc/security/user
minlen = 8 (패스워드길이)
maxage = 8 (패스워드 변경기간)
minage = 1 (패스워드 최소변경기간)

 

* umask을 “022” 또는 “027”로 변경하여야 함.

 

* /dev 에 불필요한 파일 검색
find /dev -type f -exec ls -al {} \;

 

* Setuid, Setgid 설정
find / -user root -type f \( -perm -4000 -o -perm -2000 \) -exec ls -lg {} \;
제거 방법의 예 : # chmod -s file-name
일반 사용자의 Setuid 사용을 제한함 (임의의 그룹만 가능함)
/usr/bin/chgrp <Group_Name> <Setuid_File_Name>
/usr/bin/chmod 4750 <Setuid_File_Name>

 

* passwd 파일 권한 설정
ls -l /etc/passwd
chown root /etc/passwd
chmod 444 /etc/passwd

 

* shadow 파일 권한 설정
ls -al /etc/security/passwd
chown root /etc/security/passwd
chmod 400 /etc/security/passwd

 

* inetd.conf 파일 권한 설정
ls -al /etc/inetd.conf
chmod o-w /etc/inetd.conf

 

* profile 파일 권한 설정
/etc/profile 파일에 타 사용자 쓰기권한 제거.
ls -al /etc/profile
chown root /etc/profile
chmod o-w /etc/profile

 

* hosts 파일 권한 설정
ls -al /etc/hosts
chown root /etc/hosts
chmod o-w /etc/hosts

 

* 홈디렉토리 환경변수 파일 권한 설정

 

* 필요없는 서비스 제거
/etc/rc.tcpip

 

* PATH 환경변수 설정 ./

 

* RPC 서비스 설정

 

* NFS 설정
/etc/exports

 

*‘r’ commands 설정
shell(514) login(513) exec(512)
/etc/inetd.conf

 

* /etc/hosts.equiv
.rhosts

 

* banner 설정
/etc/motd(AIX)

 

* session timeout 설정
/etc/profile
./profile
TMOUT = 300
export TMOUT

 

* root 계정의 telnet 제한
“/etc/security/user” 파일 수정
root:
rlogin = false

 

* Su 로그 설정
/var/adm/sulog

 

* syslog 설정
*.emerg                                                 *
*.alert                                                 /var/adm/alert.log
*.err                                                   /var/adm/error.log
mail.info                                               /var/adm/mail.log
auth,authpriv.info                                      /var/adm/auth.log
daemon.info                                             /var/adm/daemon.log
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info  /var/adm/messages

이렇게 /etc/syslog.conf 파일을 수정한 후에는 이것이 적용되도록 다음의 명령을 사용하여 syslogd 를 refresh 시켜준다.

# refresh -s syslogd
혹은 kill ?HUP 명령을 사용한다.

# ps -ef |grep syslogd
root  7524  6970   0   Apr 23      -  0:02 /usr/sbin/syslogd

# kill ?HUP 7524

wtmpx, utmpx
wtmp, utmp
btmp
syslog
sulog
pacct
authlog
messages
loginlog
lastlog

 

* FTP 서비스 사용자 제한
vi로 “/etc/ftpusers”를 열어 root 를 넣어줌

 

* Anonymous FTP 제한
cat /etc/passwd | grep ftp

* root 권한 관리

 

* shell 제한

 

* su 제한

 

* 필요없는 유저삭제
rmuser [ lp | uucp | nuucp ]
“/etc/security/user” 파일에 아래 내용을 설정

 

* 로그인 설정 /etc/security/user
minlen = 8 (패스워드길이)
maxage = 8 (패스워드 변경기간)
minage = 1 (패스워드 최소변경기간)

 

* umask을 “022” 또는 “027”로 변경하여야 함.

 

* /dev 에 불필요한 파일 검색
find /dev -type f -exec ls -al {} \;

 

* Setuid, Setgid 설정
find / -user root -type f \( -perm -4000 -o -perm -2000 \) -exec ls -lg {} \;
제거 방법의 예 : # chmod -s file-name
일반 사용자의 Setuid 사용을 제한함 (임의의 그룹만 가능함)
/usr/bin/chgrp <Group_Name> <Setuid_File_Name>
/usr/bin/chmod 4750 <Setuid_File_Name>

 

* passwd 파일 권한 설정
ls -l /etc/passwd
chown root /etc/passwd
chmod 444 /etc/passwd

 

* shadow 파일 권한 설정
ls -al /etc/security/passwd
chown root /etc/security/passwd
chmod 400 /etc/security/passwd

 

* inetd.conf 파일 권한 설정
ls -al /etc/inetd.conf
chmod o-w /etc/inetd.conf

 

* profile 파일 권한 설정
/etc/profile 파일에 타 사용자 쓰기권한 제거.
ls -al /etc/profile
chown root /etc/profile
chmod o-w /etc/profile

 

* hosts 파일 권한 설정
ls -al /etc/hosts
chown root /etc/hosts
chmod o-w /etc/hosts

 

* 홈디렉토리 환경변수 파일 권한 설정

 

* 필요없는 서비스 제거
/etc/rc.tcpip

 

* PATH 환경변수 설정 ./

 

* RPC 서비스 설정

 

* NFS 설정
/etc/exports

 

*‘r’ commands 설정
shell(514) login(513) exec(512)
/etc/inetd.conf

 

* /etc/hosts.equiv
.rhosts

 

* banner 설정
/etc/motd(AIX)

 

* session timeout 설정
/etc/profile
./profile
TMOUT = 300
export TMOUT

 

* root 계정의 telnet 제한
“/etc/security/user” 파일 수정
root:
rlogin = false

 

* Su 로그 설정
/var/adm/sulog

 

* syslog 설정
*.emerg                                                 *
*.alert                                                 /var/adm/alert.log
*.err                                                   /var/adm/error.log
mail.info                                               /var/adm/mail.log
auth,authpriv.info                                      /var/adm/auth.log
daemon.info                                             /var/adm/daemon.log
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info  /var/adm/messages

이렇게 /etc/syslog.conf 파일을 수정한 후에는 이것이 적용되도록 다음의 명령을 사용하여 syslogd 를 refresh 시켜준다.

# refresh -s syslogd
혹은 kill ?HUP 명령을 사용한다.

# ps -ef |grep syslogd
root  7524  6970   0   Apr 23      -  0:02 /usr/sbin/syslogd

# kill ?HUP 7524

wtmpx, utmpx
wtmp, utmp
btmp
syslog
sulog
pacct
authlog
messages
loginlog
lastlog

 

* FTP 서비스 사용자 제한
vi로 “/etc/ftpusers”를 열어 root 를 넣어줌

 

* Anonymous FTP 제한
cat /etc/passwd | grep ftp

 

* SMTP Abuse 방지
/etc/rc.tcpip

 

*‘xhost +’ 설정

 

* 패치 버전확인
instfix -iv | grep ML

 

* SMTP Abuse 방지
/etc/rc.tcpip

 

*‘xhost +’ 설정

 

* 패치 버전확인
instfix -iv | grep ML