【正文】 Sendmail () X (user initiated) NFS (inittab / ) DNS () ftp () tftp () snmp () finger () 建議操作： 刪除無關(guān)的啟動命令。 檢查 NIS 啟動命令，確保 NIS 主機的配置正確。 /etc/ 編號： 6037 名稱： 文件 重要等級： 高 基本信息： /etc/ 確定 id 守護程序提供的對外服務(wù)。 /etc/inittab 編號： 6036 名稱： Inittab 文件 重要等級： 高 基本信息： /etc/inittab 會在系統(tǒng)啟動時運行，它同時會調(diào)用其他一些啟動腳本來完成啟動時的任務(wù)。 若一些非受信任或不必要的服務(wù)是被包裝成一個與 AIX獨立的程序集， 則應(yīng)移除它， 如同在 “移除多余的組件”中所提示。 利用下面命令，設(shè)定防止 IP 轉(zhuǎn)送的功能 : no o ipsrcrouteforward=0 no o ip6srcrouteforward=0 當重新開機之后， 必需重復(fù)該指令。以 root 登入，修改 crontabs (crontabs – e) 并修改 script 內(nèi)常如下 : 0 3 * * * /usr/sbin/skulker /tmp/ 操作結(jié)果： 必需周期的檢查、移除或修改此文件以防過度增大。 操作結(jié)果： 執(zhí)行對應(yīng)的 CRON 命令，避免無意義的 CRON 任務(wù)的執(zhí)行。 建議操作： 建立一個臨時文件 (例如 /tmp/errlog) ， 然后輸入下列 : errnotify: en_pid = 0 en_name = syslog en_persistenceflg = 1 en_label = en_crcid = 0 en_class = en_type = en_alertflg = en_resource = en_rtype = en_rclass = en_method = /usr/bin/errpt l $1 /usr/bin/tail 1 /usr/bin/logger t errpt p 請注意 : errpt 參數(shù)是 L 而副參數(shù)是 1。在 /etc/ 檔案中不可以把起動 syslog daemon 的命令行給打上批注符號。 原始程序代碼及其它信息可用 FTP 從 取得。 pwdck 檢驗密碼的完整性 (integrity)。以此保證系統(tǒng)的完整性。 檢測內(nèi)容： 檢查 /etc/ 和 /etc/ 文件的內(nèi)容，確定計劃中的受 訪程序可以接受用戶的連接。 建議操作： 可以用下列命令找出 World writable files: find / perm 0002 ( type f o type d ) 針對那些需要 world writable access 的目錄， 如 /tmp，請設(shè)定 sticky bit ， 讓只有目錄的所有者能在目錄下作刪除或更名檔案的動作， 甚至若有其它人對該目錄也有同樣寫入的權(quán)限，也只有所有者才可以作存取。 ping) echo ping c 5 $arg1。使用者環(huán)境 $HOME/.profile 的設(shè)定值可重設(shè)在系統(tǒng)環(huán)境 /etc/profile 的設(shè)定值內(nèi)，如果要避免此，則使用者必須拒絕 shell 的存取或僅可存取限制性的 shell，其變成只能執(zhí)行事先授權(quán)的命令。 這些程序事實上可以不用 setuid and setgid ，并且在不削減使用者權(quán)限之下來完成的工作。在 root 項中指定 false 作為 rlogin 的值。 操作結(jié)果： 當先前的操作允許您對所有用戶強制執(zhí)行自動注銷策略時，系統(tǒng)用戶就能通過編輯他們各自的 .profile 文件來繞過一些限制。 強 制自動注銷 編號： 6021 名稱： 強制自動注銷 重要等級： 高 基本信息： 另一個要關(guān)注的有效安全性問題是用戶長時間將他們的帳戶置于無人照管狀態(tài)造成的后果。 保護無人照管終端 編號： 6020 名稱： 保護無人照管終端 重要等級： 高 基本信息： 防止無人照管用于等錄的可能。 然 后 ， 打 開 /usr/dt/config/C/Xresources 文件并編輯，以除去包含主機名和操作系統(tǒng)版本的歡迎消息。您可用 chsec 命令或直接編輯文件來更改該參數(shù)。 logindisable N Y 4 在此終端連續(xù) 4 次試圖登錄失敗后，禁止其登錄。執(zhí)行下列以激活 nonshell: 1. 復(fù)制程序到正確的系統(tǒng)目錄 2. 手動安裝 noshell 到正確的系統(tǒng)目錄需 root 權(quán)限： cp p noshell /usr/local/sbin 3. 設(shè)置 noshell 程序為合法的登陸 shell 4. noshell 必須被列入 /etc/shells 系統(tǒng)文件中，以便被承認合法的登入 shell，作法如下： /usr/local/sbin/noshell 5. 加入此行到停用帳戶的 shell 定義中以便激活 noshell。并避免無關(guān)人員的訪問。如果系統(tǒng)管理員在另一用戶會話中以 root 身份操作，則在整個會話中系統(tǒng)管理員應(yīng)當指定全路徑名。 root 用戶應(yīng)當在其私有的 .profile 文件中有自己的 PATH 規(guī)范。 例如，假定用戶更改 PATH 值使系統(tǒng)運行命 令時首先查找 /tmp 目錄。 用 smit (fastpath smit mkuser)命令來增加使用者，會自動地產(chǎn)生唯一的 UID。 PATH 環(huán)境變量是指定在目前作業(yè)環(huán)境中 ， 尋找執(zhí)行檔案的路徑。 操作結(jié)果： 實現(xiàn)用戶 定制的密碼限制策略。 /etc/security/user 文件中的 pwdchecks 屬性指定調(diào)用的方法。mkuser 命令為 /etc/security/user 文件中的每個新建用戶創(chuàng)建一個項，并用 /usr/lib/security/ 文件中定義的屬性初始化該項的屬性。密 碼的最大長度是八個字符。不應(yīng)設(shè)置此項為非零值，除非總是能很容易聯(lián)系到管理員來對一個最近更改過的、意外泄密的密碼進行重新設(shè)置。 應(yīng)用密碼限制要切合實際。密碼選項和擴展用戶屬性位于 /etc/security/user 文件中，此文件是包含用戶屬性節(jié)的 ASCII 文件。 建議操作： 要查找這些文件，運行以下命令： find `awk F: 39。 NIS 中央服務(wù)器的/etc/passwd 和 /etc/group 等文件中存放數(shù)據(jù)的有效性。 建議操作： 可使用 pwdck 命令來檢查 /etc/passwd 文件的一致性。/etc/passwd 文件以冒號分隔，它包含以下信息： 用戶名 已加密密碼 用戶標識號（ UID） 用戶的組標識號（ GID） 用戶全名（ GECOS） 用戶主目錄 登錄 shell 以下是一個 /etc/passwd 文件的示例： root:!:0:0::/:/usr/bin/ksh daemon:!:1:1::/etc: bin:!:2:2::/bin: sys:!:3:3::/usr/sys: adm:!:4:4::/var/adm: uucp:!:5:5::/usr/lib/uucp: guest:!:100:100::/home/guest: nobody:!:4294967294:4294967294::/: lpd:!:9:4294967294::/: lp:*:11:11::/var/spool/lp:/bin/false invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico paul:!:201:1::/home/paul:/usr/bin/ksh jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh 缺省情況下 ， AIX 沒有象 UNIX 系 統(tǒng) 那 樣 將 加 密 密 碼 存 儲 在 /etc/password 文件內(nèi) ， 而是在缺省情況下存儲在 /etc/security/password 文件 （ 僅 root 用戶可讀 ） 內(nèi)。*()_=+[]{}|\。 檢測內(nèi)容： 進入系統(tǒng)的 BIOS 并設(shè)定密碼，以防止未經(jīng) 授權(quán)者進入系統(tǒng)或進入系統(tǒng)的BIOS 設(shè)定。 uucp 用戶帳戶是用于“ UNIX 到 UNIX 復(fù)制程序”，該程序是在大多數(shù) AIX 系統(tǒng)上存在的一組命令、程序和文件，它們允許用戶使用專線或電話線與另一 AIX 系統(tǒng)進行通信。因為有時候當安裝更新程序時，安裝程序會嘗試使用這些系統(tǒng)定義的帳戶，譬如，更改文件的所有權(quán)給自已。 操作結(jié)果： 用戶等錄后擁有既定的 UID 和 GID 身份 。登錄用戶標識允許系統(tǒng)可以追蹤所有的用戶操作。文件中的一些屬性控制用戶可以如何登錄，且可以通過配置這些屬性，在指定情況下自動鎖定用戶帳戶（阻止進一步登錄）。 ttys 限制某些帳戶進入物理安全區(qū)域。 login 指定是否允許該用戶登錄。對于這些組， 該用戶可以添加或刪除成員。 操作結(jié)果： 各個用戶和用戶組依照之前規(guī)劃的目標擁有并可以行使各自明確的權(quán)限。系統(tǒng)定義的用戶標識羅列在 /etc/passwd 文件中； 一般情況下，不要將任何用戶標識的 admin 參數(shù)設(shè)置為 true。一個組有一個標識，且由組成員和管理員組成。系統(tǒng)命令及程序只能被特定帳戶使用，一般用戶不可存取此類功能。系統(tǒng)通過檢測用戶所擁有的帳戶來識別用戶的身份，并以此決定用戶的操作權(quán)限，同時也產(chǎn)生諸如審計之類的動作。以用來防止非法存取系統(tǒng)，或集中攻擊有特別權(quán)限的群組，此為 AIX 默認值且不該被更改； 只有特定的授權(quán)帳戶可用來更改授權(quán)帳戶數(shù)目。用戶的一個主要屬性是如何對他們進行認證。最好使用實際名稱，因為大多數(shù)電子郵件系統(tǒng)使用用戶標識為接收的郵件標號； 使用基于 Web 的系統(tǒng)管理工具或 SMIT 界面添加、更改和刪除用戶。檢查用戶 ID，避免無關(guān)用戶擁有 root 或其他管理用戶的權(quán)限。 admin 如果設(shè)置為 true，則該用戶無法更改密碼。典型地，將它設(shè)置為 NONE。 rlogin 指定是否允許該用戶通過使用 rlogin 或 tel 登錄。 建議操作： 所有的用戶屬性在 /etc/security/user、 /etc/security/limits、/etc/security/audit/config 和 /etc/security/lastlog 文件中定義。 操作結(jié)果： AIX 中各用戶將嚴格按照 chuser 設(shè)定的要求，允許或限制各種操作。 檢測內(nèi)容： 請參考 /etc/passwd 和 /etc/group 文件，用戶在登錄后，系統(tǒng)通過在該文件中的記錄，將用戶標示為對應(yīng)的 UID 和 GID，并以此確定其在系統(tǒng)的身份和權(quán)限。 AIX 內(nèi)含一些使用者 ID ，而其密碼是無效的 ( password (*) )。根據(jù)您在系統(tǒng)上運行的應(yīng)用程序和系統(tǒng)在網(wǎng)絡(luò)中所處的位置，其中某些用戶和組標識可能成為安全弱點，容易被人利用。在系統(tǒng)投入生產(chǎn)之前，對可用的用戶、組標識進行徹底地檢查。目前廣泛使用的 shadow 方式的密碼存放方式。 操作結(jié)果： 用戶被限制使用強可靠性的密碼。加密的密碼存儲在 /etc/security/passwd 文件中。然而，在分布式環(huán)境中，要確保每個系統(tǒng)都有相同的 /etc/passwd 文件不是件容易的事情。 檢測內(nèi)容： 為了達到更高級別的安全性，請確保用戶標識和密碼在系統(tǒng)內(nèi)是不可見的。 設(shè)置推薦的密碼選項 編號： 6012 名稱： 推薦的密碼選項 重要等級： 高 基本信息： 恰當?shù)拿艽a管理只有通過用戶來實現(xiàn)。 管理員還可以擴展密碼限制。 屬性 描述 推薦值 缺省值 最大值 dictionlist 驗證密碼不包含標準 UNIX 單詞 /usr/share/dict/words 不適用 不適用 histexpire 密碼可重新使用前的星期數(shù) 26 0 260 histsize 可允許的 密碼重復(fù)次數(shù) 20 0 50 maxage 必須更改密碼前的最大星期數(shù) 8 0 52 maxexpired 超過 maxage 后可由用戶更改到期密碼的最大星期數(shù)。在這種情況下，管理員可以設(shè)置 minother 屬性為 0。 建議操作： 您可以編輯 /etc/security/user 文件，使之包含您要用 來管理用戶密碼的任何缺省值。增大入侵者猜