【正文】 定哪些用戶、組標(biāo)識確實是不需要的?？赡芤泊嬖谄渌哪赡懿恍枰挠脩艉徒M標(biāo)識。在系統(tǒng)投入生產(chǎn)之前，對可用的用戶、組標(biāo)識進(jìn)行徹底地檢查。 2 身分驗證 設(shè)定 BIOS 通行碼 編號： 6007 名稱： 設(shè)置 BIOS 密碼 重要等級： 高 基本信息： BIOS 密碼是進(jìn)入系統(tǒng)的第一道防線。如果不能確定系統(tǒng)是否會經(jīng)未授權(quán)的人員訪問，請設(shè)定良好的 BIOS 密碼以阻止其對系統(tǒng)基本設(shè)置的訪問。 檢測內(nèi)容： 進(jìn)入系統(tǒng)的 BIOS 并設(shè)定密碼，以防止未經(jīng) 授權(quán)者進(jìn)入系統(tǒng)或進(jìn)入系統(tǒng)的BIOS 設(shè)定。 關(guān)閉硬盤以外其它裝置的 booting 功能，以建立一個高度安全的環(huán)境。 建議操作： 啟動機(jī)器后，進(jìn)入 BIOS 或 SMC的控制選單，設(shè)定訪問密碼。 操作結(jié)果： 未經(jīng)授權(quán)的人員將無法訪問系統(tǒng)基本硬件設(shè)定功能。 設(shè)定賬戶密碼 編號： 6008 名稱： 設(shè)定帳戶密碼 重要等級： 高 基本信息： 在未使用生物認(rèn)證技術(shù)的環(huán)境中，用戶得以進(jìn)入系統(tǒng)基本憑證就是密碼。目前廣泛使用的 shadow 方式的密碼存放方式。 檢測內(nèi)容： 良好的密碼是抵御未授權(quán)進(jìn)入系統(tǒng)的 第一道有效防線，它們是以下類型： 大小寫字母的混合； 字母、數(shù)字或標(biāo)點符號的組合。此外，它們可以包含特殊字符，如 ~!@$%^amp。*()_=+[]{}|\。:39。,.?/ 空格 ； 未寫在任何地方； 如果使用 /etc/security/passwd 文件，那么長度最少為 7 個字符最大 8 個字符（象 LDAP 那樣使用注冊表實施的認(rèn)證，可以使用超出此最大長度的密碼）； 不是在字典中可查到的真實單詞； 不是鍵盤上字母的排列模式，例如 qwerty； 不是真實單詞或已知排 列模式的反向拼寫； 不包含任何與您自己、家庭或朋友有關(guān)的個人信息； 不與從前一個密碼的模式相同； 可以較快輸入，這樣邊上的人就不能確定您的密碼； 除了這些機(jī)制，您可以通過限定密碼不可以包含可能猜測到的標(biāo)準(zhǔn) UNIX 單詞，從而進(jìn)一步實施更嚴(yán)格的規(guī)則。該功能使用 dictionlist，它要求您首先安裝 和 文件集。 建議操作： 要實現(xiàn)前面定義的 dictionlist，請編輯 /etc/security/users 文件中的以下行： dictionlist = /usr/share/dict/words /usr/share/dict/words 文件使用 dictionlist 來防止使用標(biāo)準(zhǔn) UNIX 單詞作為密碼。 操作結(jié)果： 用戶被限制使用強(qiáng)可靠性的密碼。并可能被要求定時檢查和更改。 使用 /etc/passwd 文件 編號： 6009 名稱： 使用 passwd 文件 重要等級： 高 基本信息： 傳統(tǒng)上， /etc/passwd 文件是用來記錄每個擁有系統(tǒng)訪問權(quán)的注冊用戶。/etc/passwd 文件以冒號分隔，它包含以下信息： 用戶名 已加密密碼 用戶標(biāo)識號（ UID） 用戶的組標(biāo)識號（ GID） 用戶全名（ GECOS） 用戶主目錄 登錄 shell 以下是一個 /etc/passwd 文件的示例： root:!:0:0::/:/usr/bin/ksh daemon:!:1:1::/etc: bin:!:2:2::/bin: sys:!:3:3::/usr/sys: adm:!:4:4::/var/adm: uucp:!:5:5::/usr/lib/uucp: guest:!:100:100::/home/guest: nobody:!:4294967294:4294967294::/: lpd:!:9:4294967294::/: lp:*:11:11::/var/spool/lp:/bin/false invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico paul:!:201:1::/home/paul:/usr/bin/ksh jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh 缺省情況下 ， AIX 沒有象 UNIX 系 統(tǒng) 那 樣 將 加 密 密 碼 存 儲 在 /etc/password 文件內(nèi) ， 而是在缺省情況下存儲在 /etc/security/password 文件 （ 僅 root 用戶可讀 ） 內(nèi)。 AIX 使用 /etc/passwd 中歸檔的密碼來表示密碼是否存在或帳戶是否被阻止。 檢測內(nèi)容： /etc/passwd 文件由 root 用戶擁有，且必須對所有用戶都是可讀的，但只有 root 用戶有寫許可權(quán)，顯示為 rwrr。如果用戶標(biāo)識具有密碼，則該密碼字段中會有一個 !（感嘆號） 。如果用戶標(biāo)識沒有密碼，則該密碼字段中有一個 *（星號）。加密的密碼存儲在 /etc/security/passwd 文件中。以下示例包含 /etc/security/passwd 文件（基于以上所示的 /etc/passwd 文件的項）中的最后四個項。 guest: password = * nobody: password = * lpd: password = * paul: password = eacVScDKri4s6 lastupdate = 1026394230 flags = ADMCHG 用戶標(biāo)識 jdoe 在 /etc/security/passwd 文件中沒有項，因為它在 /etc/passwd 文件中沒有設(shè)置密碼。 建議操作： 可使用 pwdck 命令來檢查 /etc/passwd 文件的一致性。 pwdck 命令通過檢查全部用戶或指定用戶的定義來驗證用戶數(shù)據(jù)庫文件中密碼信息的正確性。 操作結(jié)果： /etc/passwd 的一致 性得到保證，用戶登錄后的身份標(biāo)識將反映出來。 使用 /etc/passwd 文件和網(wǎng)絡(luò)環(huán)境 編號： 6010 名稱： 網(wǎng)絡(luò)環(huán)境 重要等級： 高 基本信息： 在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，用戶必須在每個系統(tǒng)中有一個帳戶才能獲得對該系統(tǒng)的訪問權(quán)。這通常意味著用戶要在每個系統(tǒng)上的每個 /etc/passwd 文件中有一個項。然而，在分布式環(huán)境中，要確保每個系統(tǒng)都有相同的 /etc/passwd 文件不是件容易的事情。要解決這個問題，有若干種方法（包括網(wǎng)絡(luò)信息系統(tǒng)（ NIS）和 NIS+）可以使 /etc/passwd 文件中的信息在整個網(wǎng)絡(luò)中可用。 檢測內(nèi)容： 確定 ypserv 和 yppasswd 等守護(hù)程序的正常運行。 NIS 中央服務(wù)器的/etc/passwd 和 /etc/group 等文件中存放數(shù)據(jù)的有效性。 建議操作： 將網(wǎng)絡(luò)范圍內(nèi)的用戶認(rèn)證數(shù)據(jù)機(jī)中存放到 NIS 主服務(wù)器上，并發(fā)布到個從服務(wù)器上，用戶等錄通過 NIS 客戶端的支持完成。 操作結(jié)果： 用戶登錄通過 NIS 服務(wù)器上統(tǒng)一的用戶資料庫的支持來完成。因此在各個客戶端上實現(xiàn)統(tǒng)一透明的登錄過程。 隱藏用戶名和密碼 編號： 6011 名稱： 隱藏用戶名、密碼 重要等級： 高 基本信息： 在某些通信方法中，本地某些文件會暴露出用戶的 ID和密碼。 檢測內(nèi)容： 為了達(dá)到更高級別的安全性，請確保用戶標(biāo)識和密碼在系統(tǒng)內(nèi)是不可見的。 .rc 文件包含用戶標(biāo)識和密碼。該文件未進(jìn)行加密或加密保護(hù)，這樣它的內(nèi)容象純文本一樣清楚顯示。 建議操作： 要查找這些文件，運行以下命令： find `awk F: 39。{print $6}39。 /etc/passwd` name .rc ls 找到這些文件后，請刪除它們。保存密碼的一個 更有效的方法是設(shè)置 Kerberos。 操作結(jié)果： 無意暴露密碼和用戶名的可能降到最低。 設(shè)置推薦的密碼選項 編號： 6012 名稱： 推薦的密碼選項 重要等級： 高 基本信息： 恰當(dāng)?shù)拿艽a管理只有通過用戶來實現(xiàn)。為提供某些額外的安全性，操作系統(tǒng)提供了可配置的密碼限制。它們允許管理員限制用戶選擇的密碼，并強(qiáng)制定期更改密碼。密碼選項和擴(kuò)展用戶屬性位于 /etc/security/user 文件中，此文件是包含用戶屬性節(jié)的 ASCII 文件。每當(dāng)為用戶定義新密碼時，這些限制就會執(zhí)行。所有密碼 限制都是按照用戶來定義的。通過在 /etc/security/user 文件的缺省節(jié)中保存限制，對所有用戶執(zhí)行相同限制。為了維護(hù)密碼安全性，所有密碼必須受到相似的保護(hù)。 管理員還可以擴(kuò)展密碼限制。使用 /etc/security/user 文件中的 pwdchecks 屬性，管理員可以將新的子例程（稱為方法）添加到密碼限制代碼中。這樣，本地站點策略可添加到操作系統(tǒng)，并由操作系統(tǒng)執(zhí)行該策略。 應(yīng)用密碼限制要切合實際。過于限制的嘗試，例如限制密碼空間（這將使猜測密碼更容易），或強(qiáng)制用戶選擇難以記憶的密碼（用 戶可能選擇會寫下密碼），都會危及密碼安全性。密碼安全性最終要依靠用戶。簡單的密碼限制結(jié)合合理的指導(dǎo)和偶爾的審查（以驗證當(dāng)前密碼是否唯一）是最好的策略。 檢測內(nèi)容： 以下列出與 /etc/security/user 文件中用戶密碼相關(guān)的一些安全屬性的推薦值。 屬性 描述 推薦值 缺省值 最大值 dictionlist 驗證密碼不包含標(biāo)準(zhǔn) UNIX 單詞 /usr/share/dict/words 不適用 不適用 histexpire 密碼可重新使用前的星期數(shù) 26 0 260 histsize 可允許的 密碼重復(fù)次數(shù) 20 0 50 maxage 必須更改密碼前的最大星期數(shù) 8 0 52 maxexpired 超過 maxage 后可由用戶更改到期密碼的最大星期數(shù)。（ root 用戶例外。） 2 1 52 maxrepeats 在密碼中可重復(fù)字符的最大數(shù)目 2 8 8 minage 密碼可被更改前的最小星期數(shù)。不應(yīng)設(shè)置此項為非零值，除非總是能很容易聯(lián)系到管理員來對一個最近更改過的、意外泄密的密碼進(jìn)行重新設(shè)置。 0 0 52 minalpha 密碼必須包含字母字符的最小數(shù)目 2 0 8 mindiff 密碼必 須包含唯一字符的最小數(shù)目 4 0 8 minlen 密碼長度的最小值 6（對 root 用戶是 8） 0 8 minother 密碼必須包含非字母字符的最小數(shù)目 2 0 8 pwdwarntime 系統(tǒng)發(fā)出要求更改密碼警告前的天數(shù) 5 不適用 不適用 pwdchecks 通過使用一個檢查密碼質(zhì)量的定制代碼，該項可用來增強(qiáng) passwd 命令。 不適用 不適用 注 : histexpir 的最大值最多保留 50 個密碼。 對于受控訪問保護(hù)概要文件和評定保證級別 4+（ CAPP/EAL4+）系統(tǒng)，請使用用戶 與端口配置中推薦的值。 如果在系統(tǒng)上安裝了文本處理程序，管理員可以使用 /usr/share/dict/words 文件作為 dictionlist 字典文件。在這種情況下，管理員可以設(shè)置 minother 屬性為 0。這是因為字典文件中的大多數(shù)單詞不包含屬于 minother 屬性類別中的字符，把 minother 屬性設(shè)置為 1 或更大將消除對這個字典文件中絕大多數(shù)單詞的需要。 系統(tǒng)中密碼的最小長度由 minlen 屬性的值或 minalpha 屬性的值中的較大者加上 minother 屬性來設(shè)置。密 碼的最大長度是八個字符。 minalpha 屬性的值加上 minother 屬性的值決不能大于 8。如果 minalpha 的值加上 minother 屬性的值大于 8，則 minother 屬性的值會減少為 8 減去 minalpha 屬性的值。 如果 histexpire 屬性的值和 histsize 屬性的值都設(shè)置了，則系統(tǒng)保留適用于兩種情況所需的密碼個數(shù)，最多達(dá)系統(tǒng)所限制的每個用戶 50 個密碼。不保留空密碼。 建議操作： 您可以編輯 /etc/security/user 文件，使之包含您要用 來管理用戶密碼的任何缺省值?；蛘?，您也可以通過使用 chuser 命令更改屬性值。 其它可以與該文件一起使用的命令有 mkuser、 lsuser 和 rmuser 命令。mkuser 命令為 /etc/security/user 文件中的每個新建用戶創(chuàng)建一個項，并用 /usr/lib/security/ 文件中定義的屬性初始化該項的屬性。要顯示屬性和它們的值，請使用 lsuser 命令。要除去一個用戶，請使用 rmuser 命令。 操作結(jié)果： 系統(tǒng)密碼設(shè)定和組成策