【正文】 定哪些用戶、組標(biāo)識(shí)確實(shí)是不需要的?？赡芤泊嬖谄渌哪赡懿恍枰挠脩艉徒M標(biāo)識(shí)。在系統(tǒng)投入生產(chǎn)之前，對(duì)可用的用戶、組標(biāo)識(shí)進(jìn)行徹底地檢查。 2 身分驗(yàn)證 設(shè)定 BIOS 通行碼 編號(hào)： 6007 名稱： 設(shè)置 BIOS 密碼 重要等級(jí)： 高 基本信息： BIOS 密碼是進(jìn)入系統(tǒng)的第一道防線。如果不能確定系統(tǒng)是否會(huì)經(jīng)未授權(quán)的人員訪問(wèn)，請(qǐng)?jiān)O(shè)定良好的 BIOS 密碼以阻止其對(duì)系統(tǒng)基本設(shè)置的訪問(wèn)。 檢測(cè)內(nèi)容： 進(jìn)入系統(tǒng)的 BIOS 并設(shè)定密碼，以防止未經(jīng) 授權(quán)者進(jìn)入系統(tǒng)或進(jìn)入系統(tǒng)的BIOS 設(shè)定。 關(guān)閉硬盤以外其它裝置的 booting 功能，以建立一個(gè)高度安全的環(huán)境。 建議操作： 啟動(dòng)機(jī)器后，進(jìn)入 BIOS 或 SMC的控制選單，設(shè)定訪問(wèn)密碼。 操作結(jié)果： 未經(jīng)授權(quán)的人員將無(wú)法訪問(wèn)系統(tǒng)基本硬件設(shè)定功能。 設(shè)定賬戶密碼 編號(hào)： 6008 名稱： 設(shè)定帳戶密碼 重要等級(jí)： 高 基本信息： 在未使用生物認(rèn)證技術(shù)的環(huán)境中，用戶得以進(jìn)入系統(tǒng)基本憑證就是密碼。目前廣泛使用的 shadow 方式的密碼存放方式。 檢測(cè)內(nèi)容： 良好的密碼是抵御未授權(quán)進(jìn)入系統(tǒng)的 第一道有效防線，它們是以下類型： 大小寫字母的混合； 字母、數(shù)字或標(biāo)點(diǎn)符號(hào)的組合。此外，它們可以包含特殊字符，如 ~!@$%^amp。*()_=+[]{}|\。:39。,.?/ 空格 ； 未寫在任何地方； 如果使用 /etc/security/passwd 文件，那么長(zhǎng)度最少為 7 個(gè)字符最大 8 個(gè)字符（象 LDAP 那樣使用注冊(cè)表實(shí)施的認(rèn)證，可以使用超出此最大長(zhǎng)度的密碼）； 不是在字典中可查到的真實(shí)單詞； 不是鍵盤上字母的排列模式，例如 qwerty； 不是真實(shí)單詞或已知排 列模式的反向拼寫； 不包含任何與您自己、家庭或朋友有關(guān)的個(gè)人信息； 不與從前一個(gè)密碼的模式相同； 可以較快輸入，這樣邊上的人就不能確定您的密碼； 除了這些機(jī)制，您可以通過(guò)限定密碼不可以包含可能猜測(cè)到的標(biāo)準(zhǔn) UNIX 單詞，從而進(jìn)一步實(shí)施更嚴(yán)格的規(guī)則。該功能使用 dictionlist，它要求您首先安裝 和 文件集。 建議操作： 要實(shí)現(xiàn)前面定義的 dictionlist，請(qǐng)編輯 /etc/security/users 文件中的以下行： dictionlist = /usr/share/dict/words /usr/share/dict/words 文件使用 dictionlist 來(lái)防止使用標(biāo)準(zhǔn) UNIX 單詞作為密碼。 操作結(jié)果： 用戶被限制使用強(qiáng)可靠性的密碼。并可能被要求定時(shí)檢查和更改。 使用 /etc/passwd 文件 編號(hào)： 6009 名稱： 使用 passwd 文件 重要等級(jí)： 高 基本信息： 傳統(tǒng)上， /etc/passwd 文件是用來(lái)記錄每個(gè)擁有系統(tǒng)訪問(wèn)權(quán)的注冊(cè)用戶。/etc/passwd 文件以冒號(hào)分隔，它包含以下信息： 用戶名 已加密密碼 用戶標(biāo)識(shí)號(hào)（ UID） 用戶的組標(biāo)識(shí)號(hào)（ GID） 用戶全名（ GECOS） 用戶主目錄 登錄 shell 以下是一個(gè) /etc/passwd 文件的示例： root:!:0:0::/:/usr/bin/ksh daemon:!:1:1::/etc: bin:!:2:2::/bin: sys:!:3:3::/usr/sys: adm:!:4:4::/var/adm: uucp:!:5:5::/usr/lib/uucp: guest:!:100:100::/home/guest: nobody:!:4294967294:4294967294::/: lpd:!:9:4294967294::/: lp:*:11:11::/var/spool/lp:/bin/false invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico paul:!:201:1::/home/paul:/usr/bin/ksh jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh 缺省情況下 ， AIX 沒(méi)有象 UNIX 系 統(tǒng) 那 樣 將 加 密 密 碼 存 儲(chǔ) 在 /etc/password 文件內(nèi) ， 而是在缺省情況下存儲(chǔ)在 /etc/security/password 文件 （ 僅 root 用戶可讀 ） 內(nèi)。 AIX 使用 /etc/passwd 中歸檔的密碼來(lái)表示密碼是否存在或帳戶是否被阻止。 檢測(cè)內(nèi)容： /etc/passwd 文件由 root 用戶擁有，且必須對(duì)所有用戶都是可讀的，但只有 root 用戶有寫許可權(quán)，顯示為 rwrr。如果用戶標(biāo)識(shí)具有密碼，則該密碼字段中會(huì)有一個(gè) !（感嘆號(hào)） 。如果用戶標(biāo)識(shí)沒(méi)有密碼，則該密碼字段中有一個(gè) *（星號(hào)）。加密的密碼存儲(chǔ)在 /etc/security/passwd 文件中。以下示例包含 /etc/security/passwd 文件（基于以上所示的 /etc/passwd 文件的項(xiàng)）中的最后四個(gè)項(xiàng)。 guest: password = * nobody: password = * lpd: password = * paul: password = eacVScDKri4s6 lastupdate = 1026394230 flags = ADMCHG 用戶標(biāo)識(shí) jdoe 在 /etc/security/passwd 文件中沒(méi)有項(xiàng)，因?yàn)樗? /etc/passwd 文件中沒(méi)有設(shè)置密碼。 建議操作： 可使用 pwdck 命令來(lái)檢查 /etc/passwd 文件的一致性。 pwdck 命令通過(guò)檢查全部用戶或指定用戶的定義來(lái)驗(yàn)證用戶數(shù)據(jù)庫(kù)文件中密碼信息的正確性。 操作結(jié)果： /etc/passwd 的一致 性得到保證，用戶登錄后的身份標(biāo)識(shí)將反映出來(lái)。 使用 /etc/passwd 文件和網(wǎng)絡(luò)環(huán)境 編號(hào)： 6010 名稱： 網(wǎng)絡(luò)環(huán)境 重要等級(jí)： 高 基本信息： 在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，用戶必須在每個(gè)系統(tǒng)中有一個(gè)帳戶才能獲得對(duì)該系統(tǒng)的訪問(wèn)權(quán)。這通常意味著用戶要在每個(gè)系統(tǒng)上的每個(gè) /etc/passwd 文件中有一個(gè)項(xiàng)。然而，在分布式環(huán)境中，要確保每個(gè)系統(tǒng)都有相同的 /etc/passwd 文件不是件容易的事情。要解決這個(gè)問(wèn)題，有若干種方法（包括網(wǎng)絡(luò)信息系統(tǒng)（ NIS）和 NIS+）可以使 /etc/passwd 文件中的信息在整個(gè)網(wǎng)絡(luò)中可用。 檢測(cè)內(nèi)容： 確定 ypserv 和 yppasswd 等守護(hù)程序的正常運(yùn)行。 NIS 中央服務(wù)器的/etc/passwd 和 /etc/group 等文件中存放數(shù)據(jù)的有效性。 建議操作： 將網(wǎng)絡(luò)范圍內(nèi)的用戶認(rèn)證數(shù)據(jù)機(jī)中存放到 NIS 主服務(wù)器上，并發(fā)布到個(gè)從服務(wù)器上，用戶等錄通過(guò) NIS 客戶端的支持完成。 操作結(jié)果： 用戶登錄通過(guò) NIS 服務(wù)器上統(tǒng)一的用戶資料庫(kù)的支持來(lái)完成。因此在各個(gè)客戶端上實(shí)現(xiàn)統(tǒng)一透明的登錄過(guò)程。 隱藏用戶名和密碼 編號(hào)： 6011 名稱： 隱藏用戶名、密碼 重要等級(jí)： 高 基本信息： 在某些通信方法中，本地某些文件會(huì)暴露出用戶的 ID和密碼。 檢測(cè)內(nèi)容： 為了達(dá)到更高級(jí)別的安全性，請(qǐng)確保用戶標(biāo)識(shí)和密碼在系統(tǒng)內(nèi)是不可見(jiàn)的。 .rc 文件包含用戶標(biāo)識(shí)和密碼。該文件未進(jìn)行加密或加密保護(hù)，這樣它的內(nèi)容象純文本一樣清楚顯示。 建議操作： 要查找這些文件，運(yùn)行以下命令： find `awk F: 39。{print $6}39。 /etc/passwd` name .rc ls 找到這些文件后，請(qǐng)刪除它們。保存密碼的一個(gè) 更有效的方法是設(shè)置 Kerberos。 操作結(jié)果： 無(wú)意暴露密碼和用戶名的可能降到最低。 設(shè)置推薦的密碼選項(xiàng) 編號(hào)： 6012 名稱： 推薦的密碼選項(xiàng) 重要等級(jí)： 高 基本信息： 恰當(dāng)?shù)拿艽a管理只有通過(guò)用戶來(lái)實(shí)現(xiàn)。為提供某些額外的安全性，操作系統(tǒng)提供了可配置的密碼限制。它們?cè)试S管理員限制用戶選擇的密碼，并強(qiáng)制定期更改密碼。密碼選項(xiàng)和擴(kuò)展用戶屬性位于 /etc/security/user 文件中，此文件是包含用戶屬性節(jié)的 ASCII 文件。每當(dāng)為用戶定義新密碼時(shí)，這些限制就會(huì)執(zhí)行。所有密碼 限制都是按照用戶來(lái)定義的。通過(guò)在 /etc/security/user 文件的缺省節(jié)中保存限制，對(duì)所有用戶執(zhí)行相同限制。為了維護(hù)密碼安全性，所有密碼必須受到相似的保護(hù)。 管理員還可以擴(kuò)展密碼限制。使用 /etc/security/user 文件中的 pwdchecks 屬性，管理員可以將新的子例程（稱為方法）添加到密碼限制代碼中。這樣，本地站點(diǎn)策略可添加到操作系統(tǒng)，并由操作系統(tǒng)執(zhí)行該策略。 應(yīng)用密碼限制要切合實(shí)際。過(guò)于限制的嘗試，例如限制密碼空間（這將使猜測(cè)密碼更容易），或強(qiáng)制用戶選擇難以記憶的密碼（用 戶可能選擇會(huì)寫下密碼），都會(huì)危及密碼安全性。密碼安全性最終要依靠用戶。簡(jiǎn)單的密碼限制結(jié)合合理的指導(dǎo)和偶爾的審查（以驗(yàn)證當(dāng)前密碼是否唯一）是最好的策略。 檢測(cè)內(nèi)容： 以下列出與 /etc/security/user 文件中用戶密碼相關(guān)的一些安全屬性的推薦值。 屬性 描述 推薦值 缺省值 最大值 dictionlist 驗(yàn)證密碼不包含標(biāo)準(zhǔn) UNIX 單詞 /usr/share/dict/words 不適用 不適用 histexpire 密碼可重新使用前的星期數(shù) 26 0 260 histsize 可允許的 密碼重復(fù)次數(shù) 20 0 50 maxage 必須更改密碼前的最大星期數(shù) 8 0 52 maxexpired 超過(guò) maxage 后可由用戶更改到期密碼的最大星期數(shù)。（ root 用戶例外。） 2 1 52 maxrepeats 在密碼中可重復(fù)字符的最大數(shù)目 2 8 8 minage 密碼可被更改前的最小星期數(shù)。不應(yīng)設(shè)置此項(xiàng)為非零值，除非總是能很容易聯(lián)系到管理員來(lái)對(duì)一個(gè)最近更改過(guò)的、意外泄密的密碼進(jìn)行重新設(shè)置。 0 0 52 minalpha 密碼必須包含字母字符的最小數(shù)目 2 0 8 mindiff 密碼必 須包含唯一字符的最小數(shù)目 4 0 8 minlen 密碼長(zhǎng)度的最小值 6（對(duì) root 用戶是 8） 0 8 minother 密碼必須包含非字母字符的最小數(shù)目 2 0 8 pwdwarntime 系統(tǒng)發(fā)出要求更改密碼警告前的天數(shù) 5 不適用 不適用 pwdchecks 通過(guò)使用一個(gè)檢查密碼質(zhì)量的定制代碼，該項(xiàng)可用來(lái)增強(qiáng) passwd 命令。 不適用 不適用 注 : histexpir 的最大值最多保留 50 個(gè)密碼。 對(duì)于受控訪問(wèn)保護(hù)概要文件和評(píng)定保證級(jí)別 4+（ CAPP/EAL4+）系統(tǒng)，請(qǐng)使用用戶 與端口配置中推薦的值。 如果在系統(tǒng)上安裝了文本處理程序，管理員可以使用 /usr/share/dict/words 文件作為 dictionlist 字典文件。在這種情況下，管理員可以設(shè)置 minother 屬性為 0。這是因?yàn)樽值湮募械拇蠖鄶?shù)單詞不包含屬于 minother 屬性類別中的字符，把 minother 屬性設(shè)置為 1 或更大將消除對(duì)這個(gè)字典文件中絕大多數(shù)單詞的需要。 系統(tǒng)中密碼的最小長(zhǎng)度由 minlen 屬性的值或 minalpha 屬性的值中的較大者加上 minother 屬性來(lái)設(shè)置。密 碼的最大長(zhǎng)度是八個(gè)字符。 minalpha 屬性的值加上 minother 屬性的值決不能大于 8。如果 minalpha 的值加上 minother 屬性的值大于 8，則 minother 屬性的值會(huì)減少為 8 減去 minalpha 屬性的值。 如果 histexpire 屬性的值和 histsize 屬性的值都設(shè)置了，則系統(tǒng)保留適用于兩種情況所需的密碼個(gè)數(shù)，最多達(dá)系統(tǒng)所限制的每個(gè)用戶 50 個(gè)密碼。不保留空密碼。 建議操作： 您可以編輯 /etc/security/user 文件，使之包含您要用 來(lái)管理用戶密碼的任何缺省值?；蛘?，您也可以通過(guò)使用 chuser 命令更改屬性值。 其它可以與該文件一起使用的命令有 mkuser、 lsuser 和 rmuser 命令。mkuser 命令為 /etc/security/user 文件中的每個(gè)新建用戶創(chuàng)建一個(gè)項(xiàng)，并用 /usr/lib/security/ 文件中定義的屬性初始化該項(xiàng)的屬性。要顯示屬性和它們的值，請(qǐng)使用 lsuser 命令。要除去一個(gè)用戶，請(qǐng)使用 rmuser 命令。 操作結(jié)果： 系統(tǒng)密碼設(shè)定和組成策