【正文】 Sendmail () X (user initiated) NFS (inittab / ) DNS () ftp () tftp () snmp () finger () 建議操作： 刪除無(wú)關(guān)的啟動(dòng)命令。 檢查 NIS 啟動(dòng)命令，確保 NIS 主機(jī)的配置正確。 /etc/ 編號(hào)： 6037 名稱： 文件 重要等級(jí)： 高 基本信息： /etc/ 確定 id 守護(hù)程序提供的對(duì)外服務(wù)。 /etc/inittab 編號(hào)： 6036 名稱： Inittab 文件 重要等級(jí)： 高 基本信息： /etc/inittab 會(huì)在系統(tǒng)啟動(dòng)時(shí)運(yùn)行，它同時(shí)會(huì)調(diào)用其他一些啟動(dòng)腳本來(lái)完成啟動(dòng)時(shí)的任務(wù)。 若一些非受信任或不必要的服務(wù)是被包裝成一個(gè)與 AIX獨(dú)立的程序集， 則應(yīng)移除它， 如同在 “移除多余的組件”中所提示。 利用下面命令，設(shè)定防止 IP 轉(zhuǎn)送的功能 : no o ipsrcrouteforward=0 no o ip6srcrouteforward=0 當(dāng)重新開(kāi)機(jī)之后， 必需重復(fù)該指令。以 root 登入，修改 crontabs (crontabs – e) 并修改 script 內(nèi)常如下 : 0 3 * * * /usr/sbin/skulker /tmp/ 操作結(jié)果： 必需周期的檢查、移除或修改此文件以防過(guò)度增大。 操作結(jié)果： 執(zhí)行對(duì)應(yīng)的 CRON 命令，避免無(wú)意義的 CRON 任務(wù)的執(zhí)行。 建議操作： 建立一個(gè)臨時(shí)文件 (例如 /tmp/errlog) ， 然后輸入下列 : errnotify: en_pid = 0 en_name = syslog en_persistenceflg = 1 en_label = en_crcid = 0 en_class = en_type = en_alertflg = en_resource = en_rtype = en_rclass = en_method = /usr/bin/errpt l $1 /usr/bin/tail 1 /usr/bin/logger t errpt p 請(qǐng)注意 : errpt 參數(shù)是 L 而副參數(shù)是 1。在 /etc/ 檔案中不可以把起動(dòng) syslog daemon 的命令行給打上批注符號(hào)。 原始程序代碼及其它信息可用 FTP 從 取得。 pwdck 檢驗(yàn)密碼的完整性 (integrity)。以此保證系統(tǒng)的完整性。 檢測(cè)內(nèi)容： 檢查 /etc/ 和 /etc/ 文件的內(nèi)容，確定計(jì)劃中的受 訪程序可以接受用戶的連接。 建議操作： 可以用下列命令找出 World writable files: find / perm 0002 ( type f o type d ) 針對(duì)那些需要 world writable access 的目錄， 如 /tmp，請(qǐng)?jiān)O(shè)定 sticky bit ， 讓只有目錄的所有者能在目錄下作刪除或更名檔案的動(dòng)作， 甚至若有其它人對(duì)該目錄也有同樣寫(xiě)入的權(quán)限，也只有所有者才可以作存取。 ping) echo ping c 5 $arg1。使用者環(huán)境 $HOME/.profile 的設(shè)定值可重設(shè)在系統(tǒng)環(huán)境 /etc/profile 的設(shè)定值內(nèi)，如果要避免此，則使用者必須拒絕 shell 的存取或僅可存取限制性的 shell，其變成只能執(zhí)行事先授權(quán)的命令。 這些程序事實(shí)上可以不用 setuid and setgid ，并且在不削減使用者權(quán)限之下來(lái)完成的工作。在 root 項(xiàng)中指定 false 作為 rlogin 的值。 操作結(jié)果： 當(dāng)先前的操作允許您對(duì)所有用戶強(qiáng)制執(zhí)行自動(dòng)注銷策略時(shí)，系統(tǒng)用戶就能通過(guò)編輯他們各自的 .profile 文件來(lái)繞過(guò)一些限制。 強(qiáng) 制自動(dòng)注銷 編號(hào)： 6021 名稱： 強(qiáng)制自動(dòng)注銷 重要等級(jí)： 高 基本信息： 另一個(gè)要關(guān)注的有效安全性問(wèn)題是用戶長(zhǎng)時(shí)間將他們的帳戶置于無(wú)人照管狀態(tài)造成的后果。 保護(hù)無(wú)人照管終端 編號(hào)： 6020 名稱： 保護(hù)無(wú)人照管終端 重要等級(jí)： 高 基本信息： 防止無(wú)人照管用于等錄的可能。 然 后 ， 打 開(kāi) /usr/dt/config/C/Xresources 文件并編輯，以除去包含主機(jī)名和操作系統(tǒng)版本的歡迎消息。您可用 chsec 命令或直接編輯文件來(lái)更改該參數(shù)。 logindisable N Y 4 在此終端連續(xù) 4 次試圖登錄失敗后，禁止其登錄。執(zhí)行下列以激活 nonshell: 1. 復(fù)制程序到正確的系統(tǒng)目錄 2. 手動(dòng)安裝 noshell 到正確的系統(tǒng)目錄需 root 權(quán)限： cp p noshell /usr/local/sbin 3. 設(shè)置 noshell 程序?yàn)楹戏ǖ牡顷?shell 4. noshell 必須被列入 /etc/shells 系統(tǒng)文件中，以便被承認(rèn)合法的登入 shell，作法如下： /usr/local/sbin/noshell 5. 加入此行到停用帳戶的 shell 定義中以便激活 noshell。并避免無(wú)關(guān)人員的訪問(wèn)。如果系統(tǒng)管理員在另一用戶會(huì)話中以 root 身份操作，則在整個(gè)會(huì)話中系統(tǒng)管理員應(yīng)當(dāng)指定全路徑名。 root 用戶應(yīng)當(dāng)在其私有的 .profile 文件中有自己的 PATH 規(guī)范。 例如，假定用戶更改 PATH 值使系統(tǒng)運(yùn)行命 令時(shí)首先查找 /tmp 目錄。 用 smit (fastpath smit mkuser)命令來(lái)增加使用者，會(huì)自動(dòng)地產(chǎn)生唯一的 UID。 PATH 環(huán)境變量是指定在目前作業(yè)環(huán)境中 ， 尋找執(zhí)行檔案的路徑。 操作結(jié)果： 實(shí)現(xiàn)用戶 定制的密碼限制策略。 /etc/security/user 文件中的 pwdchecks 屬性指定調(diào)用的方法。mkuser 命令為 /etc/security/user 文件中的每個(gè)新建用戶創(chuàng)建一個(gè)項(xiàng)，并用 /usr/lib/security/ 文件中定義的屬性初始化該項(xiàng)的屬性。密 碼的最大長(zhǎng)度是八個(gè)字符。不應(yīng)設(shè)置此項(xiàng)為非零值，除非總是能很容易聯(lián)系到管理員來(lái)對(duì)一個(gè)最近更改過(guò)的、意外泄密的密碼進(jìn)行重新設(shè)置。 應(yīng)用密碼限制要切合實(shí)際。密碼選項(xiàng)和擴(kuò)展用戶屬性位于 /etc/security/user 文件中，此文件是包含用戶屬性節(jié)的 ASCII 文件。 建議操作： 要查找這些文件，運(yùn)行以下命令： find `awk F: 39。 NIS 中央服務(wù)器的/etc/passwd 和 /etc/group 等文件中存放數(shù)據(jù)的有效性。 建議操作： 可使用 pwdck 命令來(lái)檢查 /etc/passwd 文件的一致性。/etc/passwd 文件以冒號(hào)分隔，它包含以下信息： 用戶名 已加密密碼 用戶標(biāo)識(shí)號(hào)（ UID） 用戶的組標(biāo)識(shí)號(hào)（ GID） 用戶全名（ GECOS） 用戶主目錄 登錄 shell 以下是一個(gè) /etc/passwd 文件的示例： root:!:0:0::/:/usr/bin/ksh daemon:!:1:1::/etc: bin:!:2:2::/bin: sys:!:3:3::/usr/sys: adm:!:4:4::/var/adm: uucp:!:5:5::/usr/lib/uucp: guest:!:100:100::/home/guest: nobody:!:4294967294:4294967294::/: lpd:!:9:4294967294::/: lp:*:11:11::/var/spool/lp:/bin/false invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico paul:!:201:1::/home/paul:/usr/bin/ksh jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh 缺省情況下 ， AIX 沒(méi)有象 UNIX 系 統(tǒng) 那 樣 將 加 密 密 碼 存 儲(chǔ) 在 /etc/password 文件內(nèi) ， 而是在缺省情況下存儲(chǔ)在 /etc/security/password 文件 （ 僅 root 用戶可讀 ） 內(nèi)。*()_=+[]{}|\。 檢測(cè)內(nèi)容： 進(jìn)入系統(tǒng)的 BIOS 并設(shè)定密碼，以防止未經(jīng) 授權(quán)者進(jìn)入系統(tǒng)或進(jìn)入系統(tǒng)的BIOS 設(shè)定。 uucp 用戶帳戶是用于“ UNIX 到 UNIX 復(fù)制程序”，該程序是在大多數(shù) AIX 系統(tǒng)上存在的一組命令、程序和文件，它們?cè)试S用戶使用專線或電話線與另一 AIX 系統(tǒng)進(jìn)行通信。因?yàn)橛袝r(shí)候當(dāng)安裝更新程序時(shí)，安裝程序會(huì)嘗試使用這些系統(tǒng)定義的帳戶，譬如，更改文件的所有權(quán)給自已。 操作結(jié)果： 用戶等錄后擁有既定的 UID 和 GID 身份 。登錄用戶標(biāo)識(shí)允許系統(tǒng)可以追蹤所有的用戶操作。文件中的一些屬性控制用戶可以如何登錄，且可以通過(guò)配置這些屬性，在指定情況下自動(dòng)鎖定用戶帳戶（阻止進(jìn)一步登錄）。 ttys 限制某些帳戶進(jìn)入物理安全區(qū)域。 login 指定是否允許該用戶登錄。對(duì)于這些組， 該用戶可以添加或刪除成員。 操作結(jié)果： 各個(gè)用戶和用戶組依照之前規(guī)劃的目標(biāo)擁有并可以行使各自明確的權(quán)限。系統(tǒng)定義的用戶標(biāo)識(shí)羅列在 /etc/passwd 文件中； 一般情況下，不要將任何用戶標(biāo)識(shí)的 admin 參數(shù)設(shè)置為 true。一個(gè)組有一個(gè)標(biāo)識(shí)，且由組成員和管理員組成。系統(tǒng)命令及程序只能被特定帳戶使用，一般用戶不可存取此類功能。系統(tǒng)通過(guò)檢測(cè)用戶所擁有的帳戶來(lái)識(shí)別用戶的身份，并以此決定用戶的操作權(quán)限，同時(shí)也產(chǎn)生諸如審計(jì)之類的動(dòng)作。以用來(lái)防止非法存取系統(tǒng)，或集中攻擊有特別權(quán)限的群組，此為 AIX 默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來(lái)更改授權(quán)帳戶數(shù)目。用戶的一個(gè)主要屬性是如何對(duì)他們進(jìn)行認(rèn)證。最好使用實(shí)際名稱，因?yàn)榇蠖鄶?shù)電子郵件系統(tǒng)使用用戶標(biāo)識(shí)為接收的郵件標(biāo)號(hào)； 使用基于 Web 的系統(tǒng)管理工具或 SMIT 界面添加、更改和刪除用戶。檢查用戶 ID，避免無(wú)關(guān)用戶擁有 root 或其他管理用戶的權(quán)限。 admin 如果設(shè)置為 true，則該用戶無(wú)法更改密碼。典型地，將它設(shè)置為 NONE。 rlogin 指定是否允許該用戶通過(guò)使用 rlogin 或 tel 登錄。 建議操作： 所有的用戶屬性在 /etc/security/user、 /etc/security/limits、/etc/security/audit/config 和 /etc/security/lastlog 文件中定義。 操作結(jié)果： AIX 中各用戶將嚴(yán)格按照 chuser 設(shè)定的要求，允許或限制各種操作。 檢測(cè)內(nèi)容： 請(qǐng)參考 /etc/passwd 和 /etc/group 文件，用戶在登錄后，系統(tǒng)通過(guò)在該文件中的記錄，將用戶標(biāo)示為對(duì)應(yīng)的 UID 和 GID，并以此確定其在系統(tǒng)的身份和權(quán)限。 AIX 內(nèi)含一些使用者 ID ，而其密碼是無(wú)效的 ( password (*) )。根據(jù)您在系統(tǒng)上運(yùn)行的應(yīng)用程序和系統(tǒng)在網(wǎng)絡(luò)中所處的位置，其中某些用戶和組標(biāo)識(shí)可能成為安全弱點(diǎn)，容易被人利用。在系統(tǒng)投入生產(chǎn)之前，對(duì)可用的用戶、組標(biāo)識(shí)進(jìn)行徹底地檢查。目前廣泛使用的 shadow 方式的密碼存放方式。 操作結(jié)果： 用戶被限制使用強(qiáng)可靠性的密碼。加密的密碼存儲(chǔ)在 /etc/security/passwd 文件中。然而，在分布式環(huán)境中，要確保每個(gè)系統(tǒng)都有相同的 /etc/passwd 文件不是件容易的事情。 檢測(cè)內(nèi)容： 為了達(dá)到更高級(jí)別的安全性，請(qǐng)確保用戶標(biāo)識(shí)和密碼在系統(tǒng)內(nèi)是不可見(jiàn)的。 設(shè)置推薦的密碼選項(xiàng) 編號(hào)： 6012 名稱： 推薦的密碼選項(xiàng) 重要等級(jí)： 高 基本信息： 恰當(dāng)?shù)拿艽a管理只有通過(guò)用戶來(lái)實(shí)現(xiàn)。 管理員還可以擴(kuò)展密碼限制。 屬性 描述 推薦值 缺省值 最大值 dictionlist 驗(yàn)證密碼不包含標(biāo)準(zhǔn) UNIX 單詞 /usr/share/dict/words 不適用 不適用 histexpire 密碼可重新使用前的星期數(shù) 26 0 260 histsize 可允許的 密碼重復(fù)次數(shù) 20 0 50 maxage 必須更改密碼前的最大星期數(shù) 8 0 52 maxexpired 超過(guò) maxage 后可由用戶更改到期密碼的最大星期數(shù)。在這種情況下，管理員可以設(shè)置 minother 屬性為 0。 建議操作： 您可以編輯 /etc/security/user 文件，使之包含您要用 來(lái)管理用戶密碼的任何缺省值。增大入侵者猜