Skip to content

Instantly share code, notes, and snippets.

Embed
What would you like to do?
Hardening de Servidores AIX
#!/usr/bin/ksh
# ### AIX Hardening Script ####
#
# _, _, _, _, _ __, __, _, ___ _ _, _ __,
# / ` | /_\ |\ | | \ |_ (_ | | |\ | |_
# \ , | , | | | \| |_/ | , ) | | | \| |
# ~ ~~~ ~ ~ ~ ~ ~ ~~~ ~ ~ ~ ~ ~ ~~~
#
#############################################
echo " 4.4 Adicionar mensagem de Atenção; "
#############################################
chsec –f /etc/security/login.cfg –s default –a herald="
#############################################################################################################################
TERMO DE RESPONSABILIDADE E COMPROMISSO SOBRE INFORMAÇÕES E USO DE RECURSOS COMPUTACIONAIS
#############################################################################################################################
|
|
--adicione sua mensagem de advertencia aqui ---. |
\r\n\r\n\r\nlogin: "
################################
echo " Configurando o login "
#################################
chsec -f /etc/security/login.cfg -s default \
-a herald="Unauthorized use of this system is strictly prohibited\n\n\rlogin:"
###############################################################################
echo " Setting /etc/security/login.cfg settings"
chsec -f /etc/security/login.cfg -s default -a sak_enabled=false
chsec -f /etc/security/login.cfg -s default -a logindisable=3
chsec -f /etc/security/login.cfg -s default -a logininterval=60
chsec -f /etc/security/login.cfg -s default -a loginreenable=30
chsec -f /etc/security/login.cfg -s default -a logindelay=5
#########################################################################################
echo "TMOUT=3600; TIMEOUT=3600; export readonly TMOUT TIMEOUT" >> /etc/security/.profile
#########################################################################################
###########################
echo "Removendo /etc/rc.dt"
###########################
rm /etc/rc.dt
############################################
echo "Restrigindo xwd, xwud, and xhost"
############################################
find /usr -type f -name xwd -exec chown root {} \;
find /usr -type f -name xwud -exec chown root {} \;
find /usr -type f -name xhost -exec chown root {} \;
find /usr -type f -name xwd -exec chmod go-rwx {} \;
find /usr -type f -name xwud -exec chmod go-rwx {} \;
find /usr -type f -name xhost -exec chmod go-rwx {} \;
###############################################################
echo "Restrigindo /etc/security/user defaults e login remoto"
###############################################################
cp -p /etc/security/user /etc/security/user_orig
chsec -f /etc/security/user -s default -a admin=false
chsec -f /etc/security/user -s default -a auth1=SYSTEM
chsec -f /etc/security/user -s default -a auth2=none
chsec -f /etc/security/user -s default -a daemon=false
chsec -f /etc/security/user -s default -a login=true
chsec -f /etc/security/user -s default -a rlogin=false
chsec -f /etc/security/user -s root -a rlogin=false
chsec -f /etc/security/user -s default -a su=true
chsec -f /etc/security/user -s default -a umask=027
chsec -f /etc/security/user -s default -a loginretries=3
chsec -f /etc/security/user -s default -a dictionlist=/usr/share/dict/words
chsec -f /etc/security/user -s default -a histexpire=26
chsec -f /etc/security/user -s default -a histsize=4
chsec -f /etc/security/user -s default -a maxage=13
chsec -f /etc/security/user -s default -a maxexpired=2
chsec -f /etc/security/user -s default -a maxrepeats=3
chsec -f /etc/security/user -s default -a minage=0
chsec -f /etc/security/user -s default -a minalpha=4
chsec -f /etc/security/user -s default -a mindiff=3
chsec -f /etc/security/user -s default -a minlen=8
chsec -f /etc/security/user -s default -a minother=2
chsec -f /etc/security/user -s default -a pwdwarntime=14
#########################################################################
echo "Serviços desnecessários da inicialização devem ser removidos;"
#########################################################################
rmuser -p uucp
rmuser -p nuucp
rmuser -p lpd
rmuser -p lp
rmuser -p imnadm
rmuser -p guest
###########################################
echo "Removendo grupos desnecessarios"
###########################################
rmgroup uucp
rmgroup printq
rmgroup imnadm
rmgroup lp
#################################
echo "Removendo .netrc files"
#################################
find / -type f -name ".netrc" -exec rm -f {} \;
##############################################################
echo ".oO Criando lista para setuid files em /tmp/setuid.list"
##############################################################
find / -perm -04000 > /tmp/setuid.list
################################################################
echo " Criando lista para setgid files in /tmp/setgid.list"
################################################################
find / -perm -02000 > /tmp/setgid.list
#######################################################################################
echo "4.8 Serviços não utilizados do inet/xinet devem ser desabilitados ou removidos."
#######################################################################################
cp -p /etc/inetd.conf /etc/inetd.conf.orig
cat /etc/inetd.conf | sed -e 's/^/\#/g' > /tmp/inetd.conf.good
cp /tmp/inetd.conf.good /etc/inetd.conf
touch -r /etc/inetd.conf.orig /etc/inetd.conf
################################
echo "Parando o inetd SRC"
################################
stopsrc -s inetd
#####################################
echo ".oO Removendo /etc/hosts.equiv"
#####################################
rm /etc/hosts.equiv
#############################################################################
echo " Removendo piobe, qdaemon, writesrv, and uprintfd from /etc/inittab"
#############################################################################
rmitab piobe
rmitab qdaemon
rmitab writesrv
rmitab uprintfd
##############################################################################
echo "Garantir que apenas usuários administradores possuam shell válido"
##############################################################################
/usr/sbin/no -p -o bcastping=0
/usr/sbin/no -p -o clean_partial_conns=1
/usr/sbin/no -p -o icmpaddressmask=0
/usr/sbin/no -p -o ip6srcrouteforward=0
/usr/sbin/no -p -o ipforwarding=0
/usr/sbin/no -p -o ipignoreredirects=1
/usr/sbin/no -p -o ipsendredirects=0
/usr/sbin/no -p -o ipsrcrouteforward=0
/usr/sbin/no -p -o ipsrcrouterecv=0
/usr/sbin/no -p -o nonlocsrcroute=0
/usr/sbin/no -p -o tcp_pmtu_discover=0
/usr/sbin/no -p -o udp_pmtu_discover=0
#####################################################
echo " Segurança do NFS (put in /etc/rc.local)"
#####################################################
echo "/usr/sbin/nfso -o portcheck=1" >> /etc/rc.local
#####################################################
chown root /etc/rc.local
chmod 755 /etc/rc.local
mkitab "rclocal:2:once:/etc/rc.local"
# /etc/rc.tcpip
#######################################################################################
echo " limpando o /etc/rc.tcpip. Original file is backed up at /etc/rc.tcpip.ORIG"
#######################################################################################
cp -p /etc/rc.tcpip /etc/rc.tcpip.ORIG
cat /etc/rc.tcpip | sed -e 's/start \/usr\/sbin\/ndpd-host/#start \/usr\/sbin\/ndpd-host/g' |\
sed -e 's/start \/usr\/sbin\/autoconf6/#start \/usr\/sbin\/autoconf6/g' |\
sed -e 's/start \/usr\/sbin\/binld/#start \/usr\/sbin\/binld/g' |\
sed -e 's/start \/usr\/sbin\/dhcpcd/#start \/usr\/sbin\/dhcpcd/g' |\
sed -e 's/start \/usr\/sbin\/dhcprd/#start \/usr\/sbin\/dhcprd/g' |\
sed -e 's/start \/usr\/sbin\/dhcpsd/#start \/usr\/sbin\/dhcpsd/g' |\
sed -e 's/start \/usr\/sbin\/dpid2/#start \/usr\/sbin\/dpid2/g' |\
sed -e 's/start \/usr\/sbin\/gated/#start \/usr\/sbin\/gated/g' |\
sed -e 's/start \/usr\/sbin\/hostmibd/#start \/usr\/sbin\/hostmibd/g' |\
sed -e 's/start \/usr\/sbin\/inetd/#start \/usr\/sbin\/inetd/g' |\
sed -e 's/start \/usr\/sbin\/lpd/#start \/usr\/sbin\/lpd/g' |\
sed -e 's/start \/usr\/sbin\/mrouted/#start \/usr\/sbin\/mrouted/g' |\
sed -e 's/start \/usr\/sbin\/named/#start \/usr\/sbin\/named/g' |\
sed -e 's/start \/usr\/sbin\/ndpd-router/#start \/usr\/sbin\/ndpd-router/g' |\
sed -e 's/start \/usr\/sbin\/pxed/#start \/usr\/sbin\/pxed/g' |\
sed -e 's/start \/usr\/sbin\/routed/#start \/usr\/sbin\/routed/g' |\
sed -e 's/start \/usr\/sbin\/rwhod/#start \/usr\/sbin\/rwhod/g' |\
sed -e 's/start \/usr\/sbin\/snmpd/#start \/usr\/sbin\/snmpd/g' |\
sed -e 's/start \/usr\/sbin\/timed/#start \/usr\/sbin\/timed/g' |\
> /tmp/rctcp
cp /tmp/rctcp /etc/rc.tcpip
touch -r /etc/rc.tcpip.ORIG /etc/rc.tcpip
# ### AIX Hardening Script ####
#
# _, _, _, _, _ __, __, _, ___ _ _, _ __,
# / ` | /_\ |\ | | \ |_ (_ | | |\ | |_
# \ , | , | | | \| |_/ | , ) | | | \| |
# ~ ~~~ ~ ~ ~ ~ ~ ~~~ ~ ~ ~ ~ ~ ~~~
#
#
#
echo "Completo hardening aix"
exit 0
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
You can’t perform that action at this time.