【正文】 AIX系統(tǒng)安全配置 1 身分識(shí)別 賬戶設(shè)定 編號(hào)： 6001 名稱(chēng)： 帳戶設(shè)定 重要等級(jí)： 高 基本信息： 賬戶是用戶訪問(wèn)系統(tǒng)的基本憑證。系統(tǒng)通過(guò)檢測(cè)用戶所擁有的帳戶來(lái)識(shí)別用戶的身份，并以此決定用戶的操作權(quán)限，同時(shí)也產(chǎn)生諸如審計(jì)之類(lèi)的動(dòng)作。 檢測(cè)內(nèi)容： 只有特定的授權(quán)帳戶可用來(lái)增加用戶及群組，此為 AIX默認(rèn)值且不應(yīng)被更改； 一般帳戶不應(yīng)該有多余的管理權(quán)限，此為 AIX 默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來(lái)刪除用戶及群組、修改及打印所有帳戶資料。以用來(lái)防止非法存取系統(tǒng)，或集中攻 擊有特別權(quán)限的帳戶，此為 AIX默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來(lái)檢查使用者狀態(tài)。為防止入侵者存取非公開(kāi)系統(tǒng)資料，用戶狀態(tài)資料僅可由特定帳戶取得。這一點(diǎn)在 AIX 僅部份可行，因?yàn)槿绻褂谜哝i定，則其它使用者無(wú)法看到此使用者，但卻可使用 who 命令來(lái)檢查登陸的帳戶； 只有特定的授權(quán)帳戶可用來(lái)打印所有群組信息、鎖定或未鎖定的帳戶。以用來(lái)防止非法存取系統(tǒng)，或集中攻擊有特別權(quán)限的群組，此為 AIX 默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來(lái)更改授權(quán)帳戶數(shù)目。太多的用戶同時(shí)使用某應(yīng)用系統(tǒng)可能影響 系統(tǒng)穩(wěn)定性，此為 AIX 默認(rèn)值且不該被更改； 系統(tǒng)管理員群組的人員不可存取所有資源，管理群組的人員應(yīng)只能存取工作上所需用的資源。存取所有資源不應(yīng)被允許，此為 AIX 默認(rèn)值且不該被更改； 一般用戶不可存取特定系統(tǒng)文件及命令。系統(tǒng)命令及程序只能被特定帳戶使用，一般用戶不可存取此類(lèi)功能。應(yīng)通過(guò)權(quán)限控制管理來(lái)進(jìn)行限制，此為AIX 默認(rèn)值且不該被更改； 權(quán)限的控制管理應(yīng)在文件產(chǎn)生時(shí)即被設(shè)置，僅有文件的產(chǎn)生者能讀取、寫(xiě)入、執(zhí)行或刪除此文件，使用者的 umask 設(shè)定為僅允許文件產(chǎn)生者存取 (例外： root 用戶可存 取系統(tǒng)所有文件 )。 Umask 的設(shè)定控制了文件除了刪除外的權(quán)限，刪除的權(quán)限則根據(jù)文件所在目錄的權(quán)限位來(lái)決定； 最少權(quán)限機(jī)制應(yīng)被應(yīng)用，以確保應(yīng)用程序以最少權(quán)限執(zhí)行，所有應(yīng)用程序的授權(quán)應(yīng)保持最低權(quán)限； 只有特別的授權(quán)帳戶可安裝軟件或加入新設(shè)備到系統(tǒng)中，并安裝安全的更新修正程序，此為 AIX 默認(rèn)值且不該被更改； 建議操作： 按照系統(tǒng)提供的資源和計(jì)劃運(yùn)行的任務(wù)，合理規(guī)劃任務(wù)的屬主，以此利用系統(tǒng)提供的管理命令，如 passwd、 umask 等，設(shè)定權(quán)責(zé)明確的用戶和用戶組。分別對(duì)它們?cè)O(shè)定嚴(yán)格的系統(tǒng)權(quán)限。 操作結(jié)果 ： 存取系統(tǒng)資源取決于使用者及群組的身份，使用者的權(quán)限可能多于其群組的權(quán)限； 推薦用戶屬性 編號(hào)： 6002 名稱(chēng)： 推薦用戶屬性 重要等級(jí)： 高 基本信息： 用戶是系統(tǒng)的主要組成元素。用戶的一個(gè)主要屬性是如何對(duì)他們進(jìn)行認(rèn)證。其屬性控制他們的訪問(wèn)權(quán)、環(huán)境、如何對(duì)他們進(jìn)行認(rèn)證以及如何、何時(shí)、在哪里可以訪問(wèn)他們的帳戶。 組是對(duì)共享的資源同一訪問(wèn)許可權(quán)的用戶的集合。一個(gè)組有一個(gè)標(biāo)識(shí)，且由組成員和管理員組成。組的創(chuàng)建者通常就是第一管理員。 可以對(duì)每個(gè)用戶帳戶設(shè)置多個(gè)屬性，包含密碼和登錄屬性 。 檢測(cè)內(nèi)容： 推薦以下屬性： 每個(gè)用戶應(yīng)有一個(gè)不與其它用戶共享的用戶標(biāo)識(shí)。所有的安全防護(hù)措施和工具僅在每個(gè)用戶都有唯一標(biāo)識(shí)時(shí)起作用； 為系統(tǒng)用戶指定一個(gè)對(duì)其有意義的用戶名。最好使用實(shí)際名稱(chēng)，因?yàn)榇蠖鄶?shù)電子郵件系統(tǒng)使用用戶標(biāo)識(shí)為接收的郵件標(biāo)號(hào)； 使用基于 Web 的系統(tǒng)管理工具或 SMIT 界面添加、更改和刪除用戶。雖然可以通過(guò)命令行來(lái)執(zhí)行所有這些任務(wù)，但這些界面有助于減少小錯(cuò)誤； 在用戶準(zhǔn)備好登錄系統(tǒng)前不要為用戶帳戶提供初始密碼。如果在 /etc/passwd 文件中將密碼字段定義為 *（星號(hào)），雖然帳戶信息得到保存，但不能登錄到該帳戶； 不要更改系統(tǒng)正常運(yùn)行所需的由系統(tǒng)定義的用戶標(biāo)識(shí)。系統(tǒng)定義的用戶標(biāo)識(shí)羅列在 /etc/passwd 文件中； 一般情況下，不要將任何用戶標(biāo)識(shí)的 admin 參數(shù)設(shè)置為 true。只有 root 用戶可以為在 /etc/security/user 文件中設(shè)置為 admin=true 的用戶更改屬性。 操作系統(tǒng)支持通常出現(xiàn)在 /etc/passwd 和 /etc/group 文件中的標(biāo)準(zhǔn)用戶屬性，例如： 認(rèn)證信息 指定密碼 憑證 指定 用戶標(biāo)識(shí)、主體組和補(bǔ)充組標(biāo)識(shí) 環(huán)境 指定主環(huán)境或 shell 環(huán)境。 建議操作： 檢查標(biāo)準(zhǔn) Unix 系統(tǒng)用戶、組設(shè)定文件。 /etc/passwd 和 /etc/group 中的設(shè)定，確定各個(gè)用戶存在的目的，避免存在無(wú)意義的用戶和組。檢查用戶 ID，避免無(wú)關(guān)用戶擁有 root 或其他管理用戶的權(quán)限。檢查密碼字段，防止無(wú)密碼的用戶存在。檢查用戶屬性，避免不合理的用戶擁有 admin 的權(quán)限。 操作結(jié)果： 各個(gè)用戶和用戶組依照之前規(guī)劃的目標(biāo)擁有并可以行使各自明確的權(quán)限。 用戶帳戶控制 編號(hào)： 6003 名稱(chēng)： 用 戶帳戶控制 重要等級(jí)： 高 基本信息： 每個(gè)用戶帳戶有一組相關(guān)屬性。當(dāng)使用 mkuser 命令創(chuàng)建用戶時(shí)，這些屬性根據(jù)缺省值創(chuàng)建。這些屬性可以通過(guò)使用 chuser 命令來(lái)修改。 檢測(cè)內(nèi)容： 以下用戶屬性用于控制與密碼有關(guān)的方面： account_locked 如果必須明確地鎖定帳戶，則該屬性可以設(shè)置為 true；缺省值是 false。 admin 如果設(shè)置為 true，則該用戶無(wú)法更改密碼。只有管理員可以更改它。 admgroups 列出此用戶具有管理權(quán)限的組。對(duì)于這些組， 該用戶可以添加或刪除成員。 auth1 用于授權(quán)用戶訪問(wèn)的認(rèn)證方法。典型地，將它設(shè)置為 SYSTEM，然后將使用較新的方法。 auth2 按 auth1 指定的對(duì)用戶進(jìn)行認(rèn)證后運(yùn)行的方法。它無(wú)法阻止對(duì)系統(tǒng)的訪問(wèn)。典型地，將它設(shè)置為 NONE。 daemon 此布爾參數(shù)指定是否允許用戶使用 startsrc 命令啟動(dòng)守護(hù)程序或子系統(tǒng)。它也限制對(duì) cron 和 at 設(shè)備的使用。 login 指定是否允許該用戶登錄。 logintimes 限制用戶何時(shí)可以登錄。例如，用戶 可能被限制只能在正常營(yíng)業(yè)時(shí)間訪問(wèn)系統(tǒng)。 registry 指定用戶注冊(cè)表?？梢杂糜诟嬷到y(tǒng)用戶信息的備用注冊(cè)表，例如 NIS、LDAP 或 Kerberos。 rlogin 指定是否允許該用戶通過(guò)使用 rlogin 或 tel 登錄。 su 指定其它用戶是否可以使用 su 命令切換至此標(biāo)識(shí)。 sugroups 指定允許哪個(gè)組切換至此用戶標(biāo)識(shí)。 ttys 限制某些帳戶進(jìn)入物理安全區(qū)域。 expires 管理 guest 帳戶；也可以用于臨時(shí)關(guān)閉帳戶。 loginretries 指定用戶標(biāo)識(shí)被系統(tǒng)鎖定之前連續(xù)的可以嘗試登錄失敗的最大次數(shù)。失敗的嘗試記錄在 /etc/security/lastlog 文件中。 umask 指定用戶的初始 umask。 建議操作： 所有的用戶屬性在 /etc/security/user、 /etc/security/limits、/etc/security/audit/config 和 /etc/security/lastlog 文件中定義。使用 mkuser 命令創(chuàng)建的用戶缺省值在 /usr/lib/security/ 文件中指定。只有修改 /etc/security/user 和 /etc/securtiy/limits 文件中的 default 節(jié)中的缺省值的設(shè)置和審計(jì)類(lèi)必須在 文件中指定。文件中的一些屬性控制用戶可以如何登錄，且可以通過(guò)配置這些屬性，在指定情況下自動(dòng)鎖定用戶帳戶（阻止進(jìn)一步登錄）。 用戶帳戶由系統(tǒng)鎖定后，用戶無(wú)法登錄直到系統(tǒng)管理員重新設(shè)置該用戶在 /etc/security/lastlog 文件中的 unsuccessful_login_count 屬性值小于登錄重試值?？梢允褂靡韵? chsec 命令完成，如下所示： chsec f /etc/security/lastlog s username a unsuccessful_login_count=0 可以使用 chsec 命令在相應(yīng)安全性文件（ /etc/security/user 或 /etc/security/limits 文件）中編輯 default 節(jié)來(lái)更改缺省值。將許多缺省值定義為標(biāo)準(zhǔn)行為。要明確地指定每次創(chuàng)建新用戶時(shí)要設(shè)置的屬性，請(qǐng)更改 /usr/lib/security/ 中的 user 項(xiàng)。 操作結(jié)果： AIX 中各用戶將嚴(yán)格按照 chuser 設(shè)定的要求，允許或限制各種操作。以此保證系統(tǒng)按照既定的安全規(guī)定訪問(wèn)。 登錄用戶標(biāo)識(shí) 編號(hào)： 6004 名稱(chēng)： 登陸用戶標(biāo)識(shí) 重要等級(jí)： 中 基本信息： 操作系統(tǒng)通過(guò)用戶的登錄用戶標(biāo)識(shí)來(lái)識(shí)別他們。登錄用戶標(biāo)識(shí)允許系統(tǒng)可以追蹤所有的用戶操作。在用戶登錄系統(tǒng)后，初始用戶程序運(yùn)行前，系統(tǒng)將進(jìn)程的登錄標(biāo)識(shí)設(shè)置為在用戶數(shù)據(jù)庫(kù)中找到的用戶標(biāo)識(shí)。登錄會(huì)話過(guò)程中所有后繼進(jìn)程都用此標(biāo)識(shí)做標(biāo)記。這些標(biāo)記提供 登錄用戶標(biāo)識(shí)執(zhí)行的所有活動(dòng)的蹤跡。用戶可以在會(huì)話過(guò)程中重新設(shè)置有效用戶標(biāo)識(shí)、真實(shí)用戶標(biāo)識(shí)、有效組標(biāo)識(shí)、真實(shí)組標(biāo)識(shí)和增補(bǔ)組標(biāo)識(shí)，但不能更改登錄用戶標(biāo)識(shí)。 檢測(cè)內(nèi)容： 請(qǐng)參考 /etc/passwd 和 /etc/group 文件，用戶在登錄后，系統(tǒng)通過(guò)在該文件中的記錄，將用戶標(biāo)示為對(duì)應(yīng)的 UID 和 GID，并以此確定其在系統(tǒng)的身份和權(quán)限。 建議操作： 給予用戶合適的 UID 并將其分配到合適的一個(gè)或多個(gè)組中。在登錄后使用id或 whoami 命令檢查自己的身份標(biāo)識(shí)。 操作結(jié)果： 用戶等錄后擁有既定的 UID 和 GID 身份 。 使用訪問(wèn)控制表增強(qiáng)用戶安全性 編號(hào)： 6005 名稱(chēng)： 訪問(wèn)控制列表 重要等級(jí)： 高 基本信息： 要在系統(tǒng)上取得安全性的相應(yīng)水平，要開(kāi)發(fā)一個(gè)一致的安全性策略來(lái)管理用戶帳戶。最常用的安全機(jī)制是訪問(wèn)控制表（ ACL）。有關(guān) ACL 和開(kāi)發(fā)安全性策略的信息，請(qǐng)參閱訪問(wèn)控制。 檢測(cè)內(nèi)容： 建議操作： 操作結(jié)果： 停用無(wú)用的賬戶 (Unnecessary Accounts) 編號(hào)： 6006 名稱(chēng)： 停掉無(wú)用的帳戶 重要等級(jí)： 高 基本信息： “ Guest”帳戶應(yīng)該在 系統(tǒng)上是不被允許的。 AIX 內(nèi)含一些使用者 ID ，而其密碼是無(wú)效的 ( password (*) )。若 ID 含有無(wú)效的密碼 (invalid password)，其意謂者沒(méi)有任可使用者可以藉此登入至系統(tǒng)。這些 ID 是 : daemon Owner of the system daemons bin Owner of the system executable files sys Owner of system devices adm Owner of system accounting utilities uucp Owner of UNIXtoUNIX Copy Program nuucp For UUCP lpd Owner of printer spooler utility guest Guest account nobody used by NFS 并不建議移除所有無(wú)用的帳戶，如 : uucp， nuucp， lpd， guest， and nobody 等。因?yàn)橛袝r(shí)候當(dāng)安裝更新程序時(shí)，安裝程序會(huì)嘗試使用這些系統(tǒng)定義的帳戶，譬如，更改文件的所有權(quán)給自已。假如該帳戶不存在，則安 裝可能會(huì)失敗， 并造成更新程序在一個(gè)“未定義”或“ broken” 狀態(tài)。這樣是非常困難去檢查先前的錯(cuò)誤。 因此，我們建議，除了 guest user，不要移除其它系統(tǒng)帳戶信息。 在操作系統(tǒng)安裝過(guò)程中，會(huì)創(chuàng)建許多缺省用戶和組標(biāo)識(shí)。根據(jù)您在系統(tǒng)上運(yùn)行的應(yīng)用程序和系統(tǒng)在網(wǎng)絡(luò)中所處的位置，其中某些用戶和組標(biāo)識(shí)可能成為安全弱點(diǎn)，容易被人利用。如果這些用戶和組標(biāo)識(shí)是不必要的，那么您可以將其刪除，以使跟其有關(guān)的安全風(fēng)險(xiǎn)最小化。 檢測(cè)內(nèi)容： 您可能能夠除去的公共缺省用戶標(biāo)識(shí)： uucp, nuucp uucp 協(xié)議所 用的隱藏文件的所有者。 uucp 用戶帳戶是用于“ UNIX 到 UNIX 復(fù)制程序”，該程序是在大多數(shù) AIX 系統(tǒng)上存在的一組命令、程序和文件，它們?cè)试S用戶使用專(zhuān)線或電話線與另一 AIX 系統(tǒng)進(jìn)行通信。 lpd 打印子系統(tǒng)所使用文件的所有者 guest 允許那些無(wú)權(quán)訪問(wèn)帳戶的用戶訪問(wèn) 可能不需要的公共組標(biāo)識(shí)： uucp uucp 和 nuucp 用戶所屬的組 printq lpd 用戶所屬的組 建議操作： 分析 /etc/passwd， /etc/group 中列出的用戶和組，確定其意義。刪除或限制無(wú)意 義或意義不明確的用戶和組。 操作結(jié)果： 分析您的系統(tǒng)以確