【正文】 密碼。 .profile 文件中的 PATH 值可以將系統(tǒng)范圍 PATH 值覆蓋，或向它添加額外的目錄。使用者的帳戶信息應(yīng)該保密且不該被公開。 該變量應(yīng)該清楚的定義出使用者是用什么系統(tǒng)，及是使用哪些目錄。 請(qǐng)確定 root 擁有一個(gè)安全的搜尋路徑 ， 如 : /usr/bin:/sbin:/usr/sbin 若針對(duì) PATH 變量 ， 有額外的修改 ， 請(qǐng)遵循下列建議步驟。 創(chuàng)建新的帳戶時(shí) ， 使用者的 home directory 是屬于該使用者 ， 而且目錄的群組會(huì)設(shè)定為使用者的 primary group。 3 訪問控制 保護(hù)使用者環(huán)境設(shè)定 (User Configurations) 編號(hào)： 6014 名稱： 保護(hù)使用者環(huán)境設(shè)定 重要等級(jí)： 中 基本信息： 在 /usr/lib/security/ 文件中包含創(chuàng)建帳戶的預(yù)設(shè)參數(shù)， 如使用者的主要群組 (primary group)。系統(tǒng)安全性可能被惡意的或有缺陷的代碼輕易破壞。 檢測(cè)內(nèi)容： 《 AIX 5L 技術(shù)參考大全》 包含對(duì) pwdrestrict_method 的描述， 它是指定的密碼限制方法必須符合的子例程接口。增大入侵者猜測(cè)密碼的難度。要顯示屬性和它們的值，請(qǐng)使用 lsuser 命令。 建議操作： 您可以編輯 /etc/security/user 文件，使之包含您要用 來管理用戶密碼的任何缺省值。 minalpha 屬性的值加上 minother 屬性的值決不能大于 8。在這種情況下，管理員可以設(shè)置 minother 屬性為 0。 0 0 52 minalpha 密碼必須包含字母字符的最小數(shù)目 2 0 8 mindiff 密碼必 須包含唯一字符的最小數(shù)目 4 0 8 minlen 密碼長(zhǎng)度的最小值 6（對(duì) root 用戶是 8） 0 8 minother 密碼必須包含非字母字符的最小數(shù)目 2 0 8 pwdwarntime 系統(tǒng)發(fā)出要求更改密碼警告前的天數(shù) 5 不適用 不適用 pwdchecks 通過使用一個(gè)檢查密碼質(zhì)量的定制代碼，該項(xiàng)可用來增強(qiáng) passwd 命令。 屬性 描述 推薦值 缺省值 最大值 dictionlist 驗(yàn)證密碼不包含標(biāo)準(zhǔn) UNIX 單詞 /usr/share/dict/words 不適用 不適用 histexpire 密碼可重新使用前的星期數(shù) 26 0 260 histsize 可允許的 密碼重復(fù)次數(shù) 20 0 50 maxage 必須更改密碼前的最大星期數(shù) 8 0 52 maxexpired 超過 maxage 后可由用戶更改到期密碼的最大星期數(shù)。過于限制的嘗試，例如限制密碼空間（這將使猜測(cè)密碼更容易），或強(qiáng)制用戶選擇難以記憶的密碼（用 戶可能選擇會(huì)寫下密碼），都會(huì)危及密碼安全性。 管理員還可以擴(kuò)展密碼限制。每當(dāng)為用戶定義新密碼時(shí)，這些限制就會(huì)執(zhí)行。 設(shè)置推薦的密碼選項(xiàng) 編號(hào)： 6012 名稱： 推薦的密碼選項(xiàng) 重要等級(jí)： 高 基本信息： 恰當(dāng)?shù)拿艽a管理只有通過用戶來實(shí)現(xiàn)。{print $6}39。 檢測(cè)內(nèi)容： 為了達(dá)到更高級(jí)別的安全性，請(qǐng)確保用戶標(biāo)識(shí)和密碼在系統(tǒng)內(nèi)是不可見的。 建議操作： 將網(wǎng)絡(luò)范圍內(nèi)的用戶認(rèn)證數(shù)據(jù)機(jī)中存放到 NIS 主服務(wù)器上，并發(fā)布到個(gè)從服務(wù)器上，用戶等錄通過 NIS 客戶端的支持完成。然而，在分布式環(huán)境中，要確保每個(gè)系統(tǒng)都有相同的 /etc/passwd 文件不是件容易的事情。 pwdck 命令通過檢查全部用戶或指定用戶的定義來驗(yàn)證用戶數(shù)據(jù)庫文件中密碼信息的正確性。加密的密碼存儲(chǔ)在 /etc/security/passwd 文件中。 AIX 使用 /etc/passwd 中歸檔的密碼來表示密碼是否存在或帳戶是否被阻止。 操作結(jié)果： 用戶被限制使用強(qiáng)可靠性的密碼。:39。目前廣泛使用的 shadow 方式的密碼存放方式。 關(guān)閉硬盤以外其它裝置的 booting 功能，以建立一個(gè)高度安全的環(huán)境。在系統(tǒng)投入生產(chǎn)之前，對(duì)可用的用戶、組標(biāo)識(shí)進(jìn)行徹底地檢查。 lpd 打印子系統(tǒng)所使用文件的所有者 guest 允許那些無權(quán)訪問帳戶的用戶訪問 可能不需要的公共組標(biāo)識(shí)： uucp uucp 和 nuucp 用戶所屬的組 printq lpd 用戶所屬的組 建議操作： 分析 /etc/passwd， /etc/group 中列出的用戶和組，確定其意義。根據(jù)您在系統(tǒng)上運(yùn)行的應(yīng)用程序和系統(tǒng)在網(wǎng)絡(luò)中所處的位置，其中某些用戶和組標(biāo)識(shí)可能成為安全弱點(diǎn)，容易被人利用。假如該帳戶不存在，則安 裝可能會(huì)失敗， 并造成更新程序在一個(gè)“未定義”或“ broken” 狀態(tài)。 AIX 內(nèi)含一些使用者 ID ，而其密碼是無效的 ( password (*) )。 使用訪問控制表增強(qiáng)用戶安全性 編號(hào)： 6005 名稱： 訪問控制列表 重要等級(jí)： 高 基本信息： 要在系統(tǒng)上取得安全性的相應(yīng)水平，要開發(fā)一個(gè)一致的安全性策略來管理用戶帳戶。 檢測(cè)內(nèi)容： 請(qǐng)參考 /etc/passwd 和 /etc/group 文件，用戶在登錄后，系統(tǒng)通過在該文件中的記錄，將用戶標(biāo)示為對(duì)應(yīng)的 UID 和 GID，并以此確定其在系統(tǒng)的身份和權(quán)限。在用戶登錄系統(tǒng)后，初始用戶程序運(yùn)行前，系統(tǒng)將進(jìn)程的登錄標(biāo)識(shí)設(shè)置為在用戶數(shù)據(jù)庫中找到的用戶標(biāo)識(shí)。 操作結(jié)果： AIX 中各用戶將嚴(yán)格按照 chuser 設(shè)定的要求，允許或限制各種操作。 用戶帳戶由系統(tǒng)鎖定后，用戶無法登錄直到系統(tǒng)管理員重新設(shè)置該用戶在 /etc/security/lastlog 文件中的 unsuccessful_login_count 屬性值小于登錄重試值。 建議操作： 所有的用戶屬性在 /etc/security/user、 /etc/security/limits、/etc/security/audit/config 和 /etc/security/lastlog 文件中定義。 expires 管理 guest 帳戶；也可以用于臨時(shí)關(guān)閉帳戶。 rlogin 指定是否允許該用戶通過使用 rlogin 或 tel 登錄。 logintimes 限制用戶何時(shí)可以登錄。典型地，將它設(shè)置為 NONE。 auth1 用于授權(quán)用戶訪問的認(rèn)證方法。 admin 如果設(shè)置為 true，則該用戶無法更改密碼。 用戶帳戶控制 編號(hào)： 6003 名稱： 用 戶帳戶控制 重要等級(jí)： 高 基本信息： 每個(gè)用戶帳戶有一組相關(guān)屬性。檢查用戶 ID，避免無關(guān)用戶擁有 root 或其他管理用戶的權(quán)限。只有 root 用戶可以為在 /etc/security/user 文件中設(shè)置為 admin=true 的用戶更改屬性。最好使用實(shí)際名稱，因?yàn)榇蠖鄶?shù)電子郵件系統(tǒng)使用用戶標(biāo)識(shí)為接收的郵件標(biāo)號(hào)； 使用基于 Web 的系統(tǒng)管理工具或 SMIT 界面添加、更改和刪除用戶。組的創(chuàng)建者通常就是第一管理員。用戶的一個(gè)主要屬性是如何對(duì)他們進(jìn)行認(rèn)證。應(yīng)通過權(quán)限控制管理來進(jìn)行限制，此為AIX 默認(rèn)值且不該被更改； 權(quán)限的控制管理應(yīng)在文件產(chǎn)生時(shí)即被設(shè)置，僅有文件的產(chǎn)生者能讀取、寫入、執(zhí)行或刪除此文件，使用者的 umask 設(shè)定為僅允許文件產(chǎn)生者存取 (例外： root 用戶可存 取系統(tǒng)所有文件 )。以用來防止非法存取系統(tǒng)，或集中攻擊有特別權(quán)限的群組，此為 AIX 默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來更改授權(quán)帳戶數(shù)目。 檢測(cè)內(nèi)容： 只有特定的授權(quán)帳戶可用來增加用戶及群組，此為 AIX默認(rèn)值且不應(yīng)被更改； 一般帳戶不應(yīng)該有多余的管理權(quán)限，此為 AIX 默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來刪除用戶及群組、修改及打印所有帳戶資料。系統(tǒng)通過檢測(cè)用戶所擁有的帳戶來識(shí)別用戶的身份，并以此決定用戶的操作權(quán)限，同時(shí)也產(chǎn)生諸如審計(jì)之類的動(dòng)作。這一點(diǎn)在 AIX 僅部份可行，因?yàn)槿绻褂谜哝i定，則其它使用者無法看到此使用者，但卻可使用 who 命令來檢查登陸的帳戶； 只有特定的授權(quán)帳戶可用來打印所有群組信息、鎖定或未鎖定的帳戶。系統(tǒng)命令及程序只能被特定帳戶使用，一般用戶不可存取此類功能。 操作結(jié)果 ： 存取系統(tǒng)資源取決于使用者及群組的身份，使用者的權(quán)限可能多于其群組的權(quán)限； 推薦用戶屬性 編號(hào)： 6002 名稱： 推薦用戶屬性 重要等級(jí)： 高 基本信息： 用戶是系統(tǒng)的主要組成元素。一個(gè)組有一個(gè)標(biāo)識(shí)，且由組成員和管理員組成。所有的安全防護(hù)措施和工具僅在每個(gè)用戶都有唯一標(biāo)識(shí)時(shí)起作用； 為系統(tǒng)用戶指定一個(gè)對(duì)其有意義的用戶名。系統(tǒng)定義的用戶標(biāo)識(shí)羅列在 /etc/passwd 文件中； 一般情況下，不要將任何用戶標(biāo)識(shí)的 admin 參數(shù)設(shè)置為 true。 /etc/passwd 和 /etc/group 中的設(shè)定，確定各個(gè)用戶存在的目的，避免存在無意義的用戶和組。 操作結(jié)果： 各個(gè)用戶和用戶組依照之前規(guī)劃的目標(biāo)擁有并可以行使各自明確的權(quán)限。 檢測(cè)內(nèi)容： 以下用戶屬性用于控制與密碼有關(guān)的方面： account_locked 如果必須明確地鎖定帳戶，則該屬性可以設(shè)置為 true；缺省值是 false。對(duì)于這些組， 該用戶可以添加或刪除成員。它無法阻止對(duì)系統(tǒng)的訪問。 login 指定是否允許該用戶登錄?？梢杂糜诟嬷到y(tǒng)用戶信息的備用注冊(cè)表，例如 NIS、LDAP 或 Kerberos。 ttys 限制某些帳戶進(jìn)入物理安全區(qū)域。 umask 指定用戶的初始 umask。文件中的一些屬性控制用戶可以如何登錄，且可以通過配置這些屬性，在指定情況下自動(dòng)鎖定用戶帳戶（阻止進(jìn)一步登錄）。要明確地指定每次創(chuàng)建新用戶時(shí)要設(shè)置的屬性，請(qǐng)更改 /usr/lib/security/ 中的 user 項(xiàng)。登錄用戶標(biāo)識(shí)允許系統(tǒng)可以追蹤所有的用戶操作。用戶可以在會(huì)話過程中重新設(shè)置有效用戶標(biāo)識(shí)、真實(shí)用戶標(biāo)識(shí)、有效組標(biāo)識(shí)、真實(shí)組標(biāo)識(shí)和增補(bǔ)組標(biāo)識(shí)，但不能更改登錄用戶標(biāo)識(shí)。 操作結(jié)果： 用戶等錄后擁有既定的 UID 和 GID 身份 。 檢測(cè)內(nèi)容： 建議操作： 操作結(jié)果： 停用無用的賬戶 (Unnecessary Accounts) 編號(hào)： 6006 名稱： 停掉無用的帳戶 重要等級(jí)： 高 基本信息： “ Guest”帳戶應(yīng)該在 系統(tǒng)上是不被允許的。因?yàn)橛袝r(shí)候當(dāng)安裝更新程序時(shí)，安裝程序會(huì)嘗試使用這些系統(tǒng)定義的帳戶，譬如，更改文件的所有權(quán)給自已。 在操作系統(tǒng)安裝過程中，會(huì)創(chuàng)建許多缺省用戶和組標(biāo)識(shí)。 uucp 用戶帳戶是用于“ UNIX 到 UNIX 復(fù)制程序”，該程序是在大多數(shù) AIX 系統(tǒng)上存在的一組命令、程序和文件，它們?cè)试S用戶使用專線或電話線與另一 AIX 系統(tǒng)進(jìn)行通信?？赡芤泊嬖谄渌哪赡懿恍枰挠脩艉徒M標(biāo)識(shí)。 檢測(cè)內(nèi)容： 進(jìn)入系統(tǒng)的 BIOS 并設(shè)定密碼，以防止未經(jīng) 授權(quán)者進(jìn)入系統(tǒng)或進(jìn)入系統(tǒng)的BIOS 設(shè)定。 設(shè)定賬戶密碼 編號(hào)： 6008 名稱： 設(shè)定帳戶密碼 重要等級(jí)： 高 基本信息： 在未使用生物認(rèn)證技術(shù)的環(huán)境中，用戶得以進(jìn)入系統(tǒng)基本憑證就是密碼。*()_=+[]{}|\。 建議操作： 要實(shí)現(xiàn)前面定義的 dictionlist，請(qǐng)編輯 /etc/security/users 文件中的以下行： dictionlist = /usr/share/dict/words /usr/share/dict/words 文件使用 dictionlist 來防止使用標(biāo)準(zhǔn) UNIX 單詞作為密碼。/etc/passwd 文件以冒號(hào)分隔，它包含以下信息： 用戶名 已加密密碼 用戶標(biāo)識(shí)號(hào)（ UID） 用戶的組標(biāo)識(shí)號(hào)（ GID） 用戶全名（ GECOS） 用戶主目錄 登錄 shell 以下是一個(gè) /etc/passwd 文件的示例： root:!:0:0::/:/usr/bin/ksh daemon:!:1:1::/etc: bin:!:2:2::/bin: sys:!:3:3::/usr/sys: adm:!:4:4::/var/adm: uucp:!:5:5::/usr/lib/uucp: guest:!:100:100::/home/guest: nobody:!:4294967294:4294967294::/: lpd:!:9:4294967294::/: lp:*:11:11::/var/spool/lp:/bin/false invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico paul:!:201:1::/home/paul:/usr/bin/ksh jdoe:*:202:1:John Doe:/home/jdoe:/usr/bi