AIX安全配置规范

AIX 操作系统安全配置规范2011年3月第1章 概述1.1 适用范围适用于中国电信使用AIX操作系统的设备本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考由于版本不同，配置操作有所不同，本规范以AIX 5.X为例，给出参考配置操作第2章 安全配置要求2.1 账号编号： 1要求内容应按照不同的用户分配不同的账号操作指南1、参考配置操作为用户创建账号：#useradd username #创建账号#passwd username #设置密码修改权限：#chmod 750 directory #其中750为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号： 2要求内容应删除或锁定与设备运行、维护等工作无关的账号操作指南1、参考配置操作删除用户：#userdel username; 锁定用户：1)修改/etc/shadow文件，用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。

2、补充操作说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess解锁时间：15分钟编号： 3要求内容限制具备超级管理员权限的用户远程登录需要远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作操作指南1、 参考配置操作编辑/etc/security/user，加上：在root项上输入false作为rlogin的值此项只能限制root用户远程使用telnet登录用ssh登录，修改此项不会看到效果的2、补充操作说明如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务检测方法1、判定条件root远程登录不成功，提示“没有权限”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；普通用户从远程使用telnet登录；root从远程使用ssh登录；普通用户从远程使用ssh登录；3、补充说明限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。

编号：4要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置操作指南1、参考配置操作把如下shell保存后，运行，会修改ssh的安全设置项：unalias cp rm mv case `find /usr /etc -type f | grep -c ssh_config$` in 0) echo "Cannot find ssh_config" ;; 1) DIR=`find /usr /etc -type f 2>/dev/null | \ grep ssh_config$ | sed -e "s:/ssh_config::"` cd $DIR cp ssh_config ssh_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; { print }' ssh_config.tmp > ssh_config if [ "`grep -El ^Protocol ssh_config`" = "" ]; then echo 'Protocol 2' >> ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ;; *) echo "You have multiple sshd_config files. Resolve" echo "before continuing." ;; esac #也可以手动编辑 ssh_config，在 "Host *"后输入 "Protocol 2"，cd $DIR cp sshd_config sshd_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; /^#? *X11Forwarding/ \ { print "X11Forwarding yes"; next }; /^#? *IgnoreRhosts/ \ { print "IgnoreRhosts yes"; next }; /^#? *RhostsAuthentication/ \ { print " RhostsAuthentication no"; next }; /^#? *RhostsRSAAuthentication/ \ { print "RhostsRSAAuthentication no"; next }; /^#? *HostbasedAuthentication/ \ { print "HostbasedAuthentication no"; next }; /^#? *PermitRootLogin/ \ { print "PermitRootLogin no"; next }; /^#? *PermitEmptyPasswords/ \ { print "PermitEmptyPasswords no"; next }; /^#? *Banner/ \ { print "Banner /etc/motd"; next }; {print}' sshd_config.tmp > sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用ssh2版本X11Forwarding yes #允许窗口图形传输使用ssh加密IgnoreRhosts yes#完全禁止SSHD使用.rhosts文件RhostsAuthentication no #不设置使用基于rhosts的安全验证RhostsRSAAuthentication no #不设置使用RSA算法的基于rhosts的安全验证HostbasedAuthentication no #不允许基于主机白名单方式认证PermitRootLogin no #不允许root登录PermitEmptyPasswords no #不允许空密码Banner /etc/motd #设置ssh登录时显示的banner2、补充操作说明查看SSH服务状态：# ps –elf|grep ssh检测方法1、 判定条件# ps –elf|grep ssh是否有ssh进程存在2、检测操作查看SSH服务状态：# ps –elf|grep ssh查看telnet服务状态：# ps –elf|grep telnet2.2 口令编号：1要求内容对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。

操作指南1、参考配置操作chsec -f /etc/security/user -s default -a minlen=8chsec -f /etc/security/user -s default -a minalpha=1chsec -f /etc/security/user -s default -a mindiff=1chsec -f /etc/security/user -s default -a minother=1chsec –f /etc/security/user –s default -a pwdwarntime=5minlen=8 #密码长度最少8位minalpha=1 #包含的字母最少1个mindiff=1 #包含的唯一字符最少1个minother=1#包含的非字母最少1个pwdwarntime=5 #系统在密码过期前5天发出修改密码的警告信息给用户2、补充操作说明 检测方法1、判定条件不符合密码强度的时候，系统对口令强度要求进行提示；符合密码强度的时候，可以成功设置；2、检测操作1、检查口令强度配置选项是否可以进行如下配置：i. 配置口令的最小长度；ii. 将口令配置为强口令。

2、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令、普通复杂口令，查看系统是否可以成功设置编号： 2要求内容对于采用静态口令认证技术的设备，帐户口令的生存期不长于90天操作指南1、 参考配置操作方法一：chsec -f /etc/security/user -s default -a histexpire=13方法二：用vi或其他文本编辑工具修改chsec -f /etc/security/user文件如下值：histexpire=13histexpire=13 #密码可重复使用的星期为13周（91天）2、补充操作说明检测方法1、判定条件密码过期后登录不成功；2、检测操作使用超过90天的帐户口令登录会提示密码过期；编号： 3要求内容对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令操作指南1、参考配置操作方法一：chsec -f /etc/security/user -s default -a histsize=5方法二：用vi或其他文本编辑工具修改chsec -f /etc/security/user文件如下值：histsize=5histexpire=5 #可允许的密码重复次数检测方法1、判定条件设置密码不成功2、检测操作cat /etc/security/user，设置如下histsize=53、补充说明默认没有histsize的标记，即不记录以前的密码。

编号： 4要求内容对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号操作指南1、参考配置操作查看帐户帐户属性： #lsuser username 设置6次登陆失败后帐户锁定阀值： #chuser loginretries=6 username检测方法1、判定条件运行lsuser uasename命令，查看帐户属性中是否设置了6次登陆失败后帐户锁定阀值的策略如未设置或大于6次，则进行设置2.3 授权编号： 1要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限操作指南1、参考配置操作通过chmod命令对目录的权限进行实际设置2、 补充操作说明chown -R root:security /etc/passwd /etc/group /etc/security chown -R root:audit /etc/security/audit chmod 644 /etc/passwd /etc/group chmod 750 /etc/security chmod -R go-w,o-r /etc/security/etc/passwd /etc/group /etc/security的所有者必须是root和security组成员/etc/security/audit的所有者必须是iroot和audit组成员/etc/passwd 所有用户都可读，root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r-------- /etc/group 必须所有用户都可读，root用户可写 –rw-r—r—使用如下命令设置：chmod 644 /etc/passwdchmod 644 /etc/group如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）执行命令#chmod -R go-w,o-r /etc检测方法1、判定条件1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行；2、记录能够配置的权限选项内容；3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。

2、检测操作1、利用管理员账号登录系统，并创建2个不同的用户；2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项；3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现；4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效3、补充说明编号：2要求内容控制FTP进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限操作指南1、参考配置操作a. 限制某些系统帐户不准ftp登录:通过修改ftpusers文件，增加帐户#vi /etc/ftpusers b. 限制用户可使用FTP不能用Telnet，假如用户为ftpxll创建一个/etc/shells文件, 添加一行 /bin/true;修改/etc/passwd文件，ftpxll:x:119:1::/home/ftpxll:/bin/true注：还需要把真实存在的shell目录加入/etc/shells文件，否则没有用户能够登录ftp以上两个步骤可参考如下shell自动执行：lsuser -c ALL | grep -v ^#name | cut -f1 -d: | while read NAME; do if [ `lsuser -f $NAME | grep id | cut -f2 -d=` -lt 200 ]; then echo "Adding $NAME to /etc/ftpusers" echo $NAME >> /etc/ftpusers.new fi done sort -u /etc/ftpusers.new > /etc/ftpusers rm /etc/ftpusers.new chown root:system /etc/ftpusers chmod 600 /etc/ftpusersc. 限制ftp用户登陆后在自己当前目录下活动编辑ftpaccess，加入如下一行restricted-uid *(限制所有)，restricted-uid username（特定用户） ftpaccess文件与ftpusers文件在同一目录 d. 设置ftp用户登录后对文件目录的存取权限，可编辑/etc/ftpaccess。

chmod no guest,anonymous delete no guest,anonymous overwrite no guest,anonymous rename no guest,anonymous umask no anonymous2、补充操作说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许ftp登陆的rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody4检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#more /etc/ftpusers #more /etc/passwd#more /etc/ftpaccess 3、补充说明查看# cat ftpusers说明: 在这个列表里边的用户名是不允许ftp登陆的rootdaemonbinsysadmlpuucpnuucplistennobodynoaccessnobody42.4 补丁安全编号：1要求内容应根据需要及时进行补丁装载。

对服务器系统应先进行兼容性测试操作指南1、参考配置操作先把补丁集拷贝到一个目录，如/08update，然后执行#smit update_all选择安装目录/08update默认SOFTWARE to update [_update_all]选择不提交，保存被覆盖的文件，可以回滚操作，接受许可协议 COMMIT software updates? no SAVE replaced files? yes ACCEPT new license agreements? yes然后回车执行安装2、补充操作说明检测方法1、判定条件查看最新的补丁号，确认已打上了最新补丁；2、检测操作检查某一个补丁，比如LY59082是否安装#instfix –a –ivk LY59082检查文件集（filesets）是否安装#lslpp –l bos.adt.libm3、补充说明补丁下载 2.5 日志安全要求编号：1要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

操作指南1、参考配置操作修改配置文件vi /etc/syslog.conf，加上这几行：auth.info\t\t/var/adm/authlog*.info;auth.none\t\t/var/adm/syslog\n" 建立日志文件，如下命令： touch /var/adm/authlog /var/adm/syslog chown root:system /var/adm/authlog 重新启动syslog服务，依次执行下列命令：stopsrc -s syslogd startsrc -s syslogdAIX系统默认不捕获登录信息到syslogd，以上配置增加了验证信息发送到/var/adm/authlog和/var/adm/syslog2、补充操作说明检测方法1、判定条件列出用户账号、登录是否成功、登录时间、远程登录时的IP地址2、检测操作cat /var/adm/authlogcat /var/adm/syslog3、补充说明编号： 2（可选）要求内容启用记录cron行为日志功能和cron/at的使用情况 操作指南1、参考配置操作cron/At的相关文件主要有以下几个： /var/spool/cron/crontabs 存放cron任务的目录 /var/spool/cron/cron.allow 允许使用crontab命令的用户 /var/spool/cron/cron.deny 不允许使用crontab命令的用户 /var/spool/cron/atjobs 存放at任务的目录 /var/spool/cron/at.allow 允许使用at的用户 /var/spool/cron/at.deny 不允许使用at的用户 使用crontab和at命令可以分别对cron和at任务进行控制。

#crontab -l 查看当前的cron任务 #at -l 查看当前的at任务 检测方法1、判定条件2、检测操作查看/var/spool/cron/目录下的文件配置是否按照以上要求进行了安全配置如未配置则建议按照要求进行配置 编号：3要求内容设备应配置权限，控制对日志文件读取、修改和删除等操作操作指南1、参考配置操作配置日志文件权限，如下命令：chmod 600 /var/adm/authlog chmod 640 /var/adm/syslog 并设置了权限为其他用户和组禁止读写日志文件检测方法1、判定条件没有相应权限的用户不能查看或删除日志文件2、检测操作查看syslog.conf文件中配置的日志存放文件：more /etc/syslog.conf使用ls –l /var/adm查看的目录下日志文件的权限，如：authlog、syslog的权限应分别为600、6443、补充说明对于其他日志文件，也应该设置适当的权限，如登录失败事件的日志、操作日志，具体文件查看syslog.conf中的配置2.6 不必要的服务、端口编号：1要求内容列出所需要服务的列表(包括所需的系统服务)，不在此列表的服务需关闭。

操作指南1、 参考配置操作查看所有开启的服务：#ps –e -f 方法一：手动方式操作在inetd.conf中关闭不用的服务 首先复制/etc/inet/inetd.conf #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi编辑器编辑inetd.conf文件，对于需要注释掉的服务在相应行开头标记"#"字符，重启inetd服务,即可重新启用该服务，使用命令：refresh –s inetd方法二：自动方式操作A.把以下复制到文本里：for SVC in ftp telnet shell kshell login klogin exec \ echo discard chargen daytime time ttdbserver dtspc; do echo "Disabling $SVC TCP" chsubserver -d -v $SVC -p tcp done for SVC in ntalk rstatd rusersd rwalld sprayd pcnfsd \ echo discard chargen daytime time cmsd; do echo "Disabling $SVC UDP" chsubserver -d -v $SVC -p udp done refresh -s inetdB.执行命令：#sh dis_server.sh2、补充操作说明参考附表，根据具体情况禁止不必要的基本网络服务。

注意：改变了“inetd.conf”文件之后，需要重新启动inetd对必须提供的服务采用tcpwapper来保护并且为了防止服务取消后断线，一定要启用SSHD服务，用以登录操作和文件传输检测方法1、判定条件所需的服务都列出来；没有不必要的服务；2、检测操作查看所有开启的服务:cat /etc/inet/inetd.conf,cat /etc/inet/services3、补充说明在/etc/inetd.conf文件中禁止下列不必要的基本网络服务Tcp服务如下：ftp telnet shell kshell login klogin execUDP服务如下：ntalk rstatd rusersd rwalld sprayd pcnfsd注意：改变了“inetd.conf”文件之后，需要重新启动inetd对必须提供的服务采用tcpwapper来保护2.7 文件与目录权限编号：1要求内容控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录不应有的访问允许权限防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制操作指南1、 参考配置操作A.设置所有存在账户的权限：lsuser -a home ALL | awk '{print $1}' | while read user; do chuser umask=077 $userdonevi /etc/default/login在末尾增加umask 027B.设置默认的profile，用编辑器打开文件/etc/security/user，找到umask这行，修改如下：Umask=0772、补充操作说明如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。

检测方法1、判定条件权限设置符合实际需要；不应有的访问允许权限被屏蔽掉；2、检测操作查看新建的文件或目录的权限，操作举例如下：#ls -l dir ; #查看目录dir的权限#cat /etc/default/login 查看是否有umask 027内容3、补充说明umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限umask的计算：umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值编号： 2要求内容对文件和目录进行权限设置，合理设置重要目录和文件的权限操作指南1、参考配置操作查看重要文件和目录权限：ls –l更改权限：对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/init.d/*这样只有root可以读、写和执行这个目录下的脚本2、补充操作说明检测方法1、判定条件用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作不能够成功即为符合。

2、检测操作查看重要文件和目录权限：ls –l用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作3、补充说明2.8系统Banner设置 要求内容修改系统banner，避免泄漏操作系统名称，版本号，主机名称等，并且给出登陆告警信息操作指南1、参考配置操作设置系统Banner的操作如下： 在/etc/security/login.cfg文件中，在default小节增加： herald = "ATTENTION:You have logged onto a secured server..All accesses logged.\n\nlogin:"检测方法查看/etc/security/login.cfg文件中的配置是否按照以上要求进行了配置2.9登录超时时间设置要求内容对于具备字符交互界面的设备，配置定时帐户自动登出操作指南1、 参考配置操作设置登陆超时时间为300秒，修改/etc/security/.profile文件，增加一行： TMOUT＝300；TIMEOUT=300；export readonly TMOUT TIMEOUT2、补充操作说明检测方法1、判定条件查看/etc/security/.profile文件中的配置，是否存在登陆超时时间的设置。

如未设置，则建议应按照要求进行配置2.10内核调整（可选）要求内容防止堆栈缓冲溢出操作指南1、参考配置操作编辑/etc/security/limits并且改变core值为0，并增加一行在后面，如下：core 0core_hard = 0保存文件后退出，执行命令： echo "# Added by Nsfocus Security Benchmark" >> /etc/profile echo "ulimit -c 0" >> /etc/profile chdev -l sys0 -a fullcore=false1、 补充操作说明应用程序在发生错误的时候会把自身的敏感信息从内存里DUMP到文件，一旦被攻击者获取容易引发攻击检测方法1、判定条件能够防止core文件产生2、检测操作查看/etc/security/limits文件：cat /etc/security/limits是否有如下两行：core 0core_hard = 0查看/etc/ profile 文件：cat /etc/security/limits是否有如下行：ulimit –c 02.11使用SSH加密协议要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，并安全配置SSHD的设置。

操作指南1、参考配置操作把如下shell保存后，运行，会修改ssh的安全设置项：unalias cp rm mv case `find /usr /etc -type f | grep -c ssh_config$` in 0) echo "Cannot find ssh_config" ;; 1) DIR=`find /usr /etc -type f 2>/dev/null | \ grep ssh_config$ | sed -e "s:/ssh_config::"` cd $DIR cp ssh_config ssh_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; { print }' ssh_config.tmp > ssh_config if [ "`grep -El ^Protocol ssh_config`" = "" ]; then echo 'Protocol 2' >> ssh_config fi rm ssh_config.tmp chmod 600 ssh_config ;; *) echo "You have multiple sshd_config files. Resolve" echo "before continuing." ;; esac #也可以手动编辑 ssh_config，在 "Host *"后输入 "Protocol 2"，cd $DIR cp sshd_config sshd_config.tmp awk '/^#? *Protocol/ { print "Protocol 2"; next }; /^#? *X11Forwarding/ \ { print "X11Forwarding yes"; next }; /^#? *IgnoreRhosts/ \ { print "IgnoreRhosts yes"; next }; /^#? *RhostsAuthentication/ \ { print " RhostsAuthentication no"; next }; /^#? *RhostsRSAAuthentication/ \ { print "RhostsRSAAuthentication no"; next }; /^#? *HostbasedAuthentication/ \ { print "HostbasedAuthentication no"; next }; /^#? *PermitRootLogin/ \ { print "PermitRootLogin no"; next }; /^#? *PermitEmptyPasswords/ \ { print "PermitEmptyPasswords no"; next }; /^#? *Banner/ \ { print "Banner /etc/motd"; next }; {print}' sshd_config.tmp > sshd_config rm sshd_config.tmp chmod 600 sshd_config Protocol 2 #使用ssh2版本X11Forwarding yes #允许窗口图形传输使用ssh加密IgnoreRhosts yes#完全禁止SSHD使用.rhosts文件RhostsAuthentication no #不设置使用基于rhosts的安全验证RhostsRSAAuthentication no #不设置使用RSA算法的基于rhosts的安全验证HostbasedAuthentication no #不允许基于主机白名单方式认证PermitRootLogin no #不允许root登录PermitEmptyPasswords no #不允许空密码Banner /etc/motd #设置ssh登录时显示的banner2、补充操作说明查看SSH服务状态：# ps –elf|grep ssh检测方法2、 判定条件# ps –elf|grep ssh是否有ssh进程存在2、检测操作查看SSH服务状态：# ps –elf|grep ssh查看telnet服务状态：# ps –elf|grep telnet2.12 FTP设置编号1：要求内容禁止root登陆FTP操作指南1、参考配置操作 Echo root >>/etc/ftpusers检测方法使用root 登录ftp编号2：要求内容禁止匿名ftp操作指南1、参考配置操作默认不支持匿名，需要做专门的配置。

检查方法:使用ftp 做匿名登录尝试，如能登录，则删除/etc/passwd下的ftp账号检测方法检查方法:使用ftp 做匿名登录尝试编号3：要求内容修改FTP banner 信息操作指南1、参考配置操作cat << EOF >> /etc/ftpmotd Authorized uses only. All activity may be monitored and reported EOF检测方法1、 判断依据ftp登录尝试2、 检查操作附表：端口及服务服务名称端口应用说明关闭方法处置建议daytime13/tcpRFC867 白天协议#daytime stream tcp nowait root internal建议关闭13/udpRFC867 白天协议#daytime dgram udp nowait root internaltime37/tcp时间协议#time stream tcp nowait root internalecho7/tcpRFC862_回声协议#echo stream tcp nowait root internal7/udpRFC862_回声协议#echo dgram udp nowait root internaldiscard9/tcpRFC863 废除协议#discard stream tcp nowait root internal9/udp#discard dgram udp nowait root internalchargen19/tcpRFC864 字符产生协议#chargen stream tcp nowait root internal19/udp#chargen dgram udp nowait root internalftp21/tcp文件传输协议(控制)#ftp stream tcp nowait root /usr/lbin/ftpd根据情况选择开放telnet23/tcp虚拟终端协议#telnet stream tcp nowait root /usr/lbin/telnetd telnetd 根据情况选择开放sendmail25/tcp简单邮件发送协议rc.tcpip/sendmail 建议关闭names53/udp域名服务/etc/rc.tcpip根据情况选择开放53/tcp域名服务/etc/rc.tcpip根据情况选择开放login513/tcp远程登录#login stream tcp nowait root /usr/lbin/rlogind rlogind根据情况选择开放shell514/tcp远程命令, no passwd used#shell stream tcp nowait root /usr/lbin/remshd remshd根据情况选择开放exec512/tcpremote execution, passwd required#exec stream tcp nowait root /usr/lbin/rexecd rexecd根据情况选择开放ntalk518/udpnew talk, conversation#ntalk dgram udp wait root /usr/lbin/ntalkd ntalkd建议关闭ident113/tcpauth#ident stream tcp wait bin /usr/lbin/identd identd建议关闭lpd515/tcp远程打印缓存#printer stream tcp nowait root /usr/sbin/rlpdaemon rlpdaemon -i强烈建议关闭tftp69/udp普通文件传输协议#tftp dgram udp nowait root internal强烈建议关闭kshell544/tcpKerberos remote shell -kfall#kshell stream tcp nowait root /usr/lbin/remshd remshd -K建议关闭klogin543/tcpKerberos rlogin -kfall#klogin stream tcp nowait root /usr/lbin/rlogind rlogind -K建议关闭recserv7815/tcpX共享接收服务#recserv stream tcp nowait root /usr/lbin/recserv recserv -display :0建议关闭dtspcd6112/tcp子进程控制#dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd强烈建议关闭registrar1712/tcp资源监控服务#registrar stream tcp nowait root /etc/opt/resmon/lbin/registrar #/etc/opt/resmon/lbin/registrar根据情况选择开放1712/udp资源监控服务#registrar stream tcp nowait root /etc/opt/resmon/lbin/registrar /etc/opt/resmon/lbin/registrar根据情况选择开放动态端口资源监控服务#registrar stream tcp nowait root /etc/opt/resmon/lbin/registrar #/etc/opt/resmon/lbin/registrar根据情况选择开放portmap111/tcp端口映射/etc/rc.tcpip 根据情况选择开放snmp161/udp简单网络管理协议（Agent）rc.tcpip/snmpd根据情况选择开放snmp7161/tcp简单网络管理协议（Agent）rc.tcpip/snmpd根据情况选择开放snmp-trap162/udp简单网络管理协议（Traps）rc.tcpip/snmpd根据情况选择开放dtlogin177/udp启动图形控制usr/dt/config/Xaccess根据情况选择开放6000/tcpX 窗口服务usr/dt/config/Xaccess根据情况选择开放动态端口启动图形控制usr/dt/config/Xaccess根据情况选择开放syslogd514/udp系统日志服务/etc/rc.tcpip 建议保留nfs2049/tcpNFS远程文件系统/etc/rc.nfs 强烈建议关闭2049/udpNFS远程文件系统/etc/rc.nfs 强烈建议关闭rpc.ttdbserver动态端口HP-UX ToolTalkdatabase server#rpc xti tcp swait root /usr/dt/bin/rpc.ttdbserver 100083 1 /usr/dt/bin/rpc.ttdbserver强烈建议关闭rpc.cmsd动态端口后台进程管理服务#rpc dgram udp wait root /usr/dt/bin/rpc.cmsd 100068 2-5 rpc.cmsd强烈建议关闭。