【正文】 測(cè)密碼的難度。系統(tǒng)安全性可能被惡意的或有缺陷的代碼輕易破壞。 創(chuàng)建新的帳戶時(shí) ， 使用者的 home directory 是屬于該使用者 ， 而且目錄的群組會(huì)設(shè)定為使用者的 primary group。 該變量應(yīng)該清楚的定義出使用者是用什么系統(tǒng)，及是使用哪些目錄。 .profile 文件中的 PATH 值可以將系統(tǒng)范圍 PATH 值覆蓋，或向它添加額外的目錄。如果指定了全路徑名，將忽略 PATH 環(huán)境變量。 系統(tǒng)管理員不應(yīng)使用 su 命令從用戶會(huì)話中取得 root 用戶特權(quán)，因?yàn)樵? .profile 文件中指定的該用戶 PATH 值是有效的。通過 env檢查用戶環(huán)境變量的設(shè)定。 檢測(cè)內(nèi)容： 請(qǐng)合理設(shè)定 /etc/passwd 中關(guān)于用戶等錄初始化程序的設(shè)定字段。 檢測(cè)內(nèi)容： 要使得較難通過猜測(cè)密碼來攻擊系統(tǒng)，請(qǐng)?jiān)? /etc/security/ 文件中如下所示設(shè)置登錄控制： /etc/security/ 文件的“屬性”及“建議值”。 這些端口限制主要在已連接的串行終端上發(fā)揮作用，而不是在網(wǎng)絡(luò)登錄使用的偽終端上。缺省情況下， CDE 登錄屏幕也顯示主機(jī)名和操作系統(tǒng)版本。 檢測(cè)內(nèi)容： 在設(shè)定了此類屬性后，未授權(quán)者無法反復(fù)嘗試登錄。 建議操作： 要鎖定終端，請(qǐng)使用 lock 命令。 export readonly TMOUT TIMEOUT 在本例中，數(shù)字 600 是以秒為單位，它等于 10 分鐘?？梢圆榭? /var/adm/sulog 文件做到這一點(diǎn)。 你可關(guān)閉 root 的登陸除了在控制臺(tái)外﹔ chuser ttys=’/dev/console’ rlogin=false root 加 root 到 /etc/ftpusers 檔來拒絕 FTP 存取 root 帳號(hào) 操作結(jié)果： 遠(yuǎn)程 root 不可存取系統(tǒng)，系統(tǒng)管理者應(yīng)只在需執(zhí)行 root 權(quán)限的功能時(shí)使用 root，然后再回復(fù)一般使用者身份。 建議操作： 在系統(tǒng)范圍內(nèi)檢查 setuid 和 setgid 程序，評(píng)估其使用，限制無意義的此類程序使用。 then endoffile print exit 0 fi if [[ $mand = ]]。 操作結(jié)果： 限制意義不明確的命令自動(dòng)執(zhí)行。如果權(quán)限被拒絕，則徹消聯(lián)機(jī)。 AIX 有許多工具可來作一致性檢查，幫助管理者追蹤系統(tǒng)的改變，其通?？蓹z查目前系統(tǒng)與原始系統(tǒng)間的狀態(tài)改變。 usrck – 檢驗(yàn)密碼數(shù)據(jù) (password)的完整性 (integrity)。 MD5 使用檔案的內(nèi)容產(chǎn)生一個(gè) 128 位加解密摘要值。 檢測(cè)內(nèi)容： 標(biāo) 準(zhǔn) 上 ， 系 統(tǒng) 日 志 提 供 系 統(tǒng) 最 低 記 錄 與 錯(cuò) 誤 信 息 ， 需 修 改 /etc/ 文件以得更多信息?？梢酝ㄟ^其檢查到個(gè)子系統(tǒng)的軟硬件報(bào)錯(cuò)狀況和簡(jiǎn)單 Dump 數(shù)據(jù)。 檢測(cè)內(nèi)容： 檢查所有的 cron 任務(wù)， 讀取 每一個(gè)系統(tǒng)帳戶中的 cron 文件/var/spool/cron/crontabs。 script 應(yīng)每日從 root 的 crontab 執(zhí)行，而結(jié)果必須存起來。 建議操作： 在 AIX version 之后， 你可以指定操作系統(tǒng)是否接受那些 IP 轉(zhuǎn)送的來源。 建議操作： 設(shè)置一個(gè)合理的 TIMEOUT 環(huán)境變量值。 檢測(cè)內(nèi)容： 檢查 /etc/inittab 文件，明確個(gè)啟動(dòng)項(xiàng)的意義。確定其意義。 操作結(jié)果： 禁止不安全和不必要的程序?qū)ν馓峁┓?wù)。 然后以手動(dòng)方式來停止相關(guān)的服務(wù)程序。 檢測(cè)內(nèi)容： TFTP 是允許使用者以 nobody 的身份，未經(jīng)過授權(quán)地的存取系統(tǒng)。 /etc/ 編號(hào)： 6039 名稱： 文件 重要等級(jí)： 高 基本信息： 為持續(xù)執(zhí)行的 (longrunning) TCP/IP 服務(wù)程序的起動(dòng)命令集，它通常使用 System Resource Controller (SRC)。 建議操作： 打上注釋符號(hào)， 來使這些不安全或不需要的服務(wù) 失效。 手動(dòng)地停止相關(guān)的 daemons。 則不建議直接刪除其執(zhí)行檔?？梢岳靡粋€(gè)環(huán)境變量來設(shè)定使用該功能， 但它只能在 shell 中發(fā)生作用(例如它不會(huì)在應(yīng)用程序中發(fā)生作 用，如 Oracle)， 而該變量可以由使用者來更改。建 議關(guān)閉 IP 轉(zhuǎn)送功能。 檢測(cè)內(nèi)容： 用 df – k來確定存放日志的文件系統(tǒng)是否有空間使用上的不 足。 檢查 Cron 文件 編號(hào)： 6031 名稱： 檢查 cron 文件 重要等級(jí)： 高 基本信息： CRON 是 UNIX 提供的一個(gè)定時(shí)守護(hù)程序。 操作結(jié)果： 可以在對(duì)應(yīng)的路徑下檢查系統(tǒng)和各守護(hù)程序產(chǎn)生的工 作日志。 操作結(jié)果： 可以檢查此摘要代碼來確保文件未被纂改。以防止被篡改的危險(xiǎn)。 受信任的使用者(Trusted user)可以新增其它使用者的文件至此數(shù)據(jù)庫中，作為以后定期檢查之用。 4 數(shù)據(jù)保護(hù) 完整性檢測(cè) (Integrity Checking) 編號(hào)： 6027 名稱： 完整性檢測(cè) 重要等級(jí)： 高 基本信息： 同在標(biāo)準(zhǔn)安全環(huán)境所述，維護(hù)系統(tǒng)的一致性是非常重要的。 TCP Wrappers 程序用來控制存取 id 的服務(wù)，而 Portmap3 則用來限制 portmapper 或 rpcbind 的服務(wù)，如 NFS 及 NIS。 exit|logout) exit 0。 建議操作： 限制性的 shell 類似如下 : !/bin/ksh Restricted shell. Only the specified mands can be executed. COMMANDS=host， ping， passw， exit， logout PATH=/bin:/usr/ucb:/usr/bin:/usr/sbin:/usr/user prompt=`hostname` trap 2 ignore SIGINT while true。 阻止?jié)撛谙到y(tǒng) crackers 的其中一個(gè)方法 是防止它們?cè)谀愕臋C(jī)器上執(zhí)行setuid 程序。如果禁用了遠(yuǎn)程 root 登錄，而能使用 su 命令更改到 root 用戶的用戶主文件系統(tǒng)已滿，則 root 用戶可能永遠(yuǎn)無法取得對(duì)系統(tǒng)的控制。 檢測(cè)內(nèi)容： 要避免此類攻擊，可以禁用直接訪問 root 標(biāo)識(shí)，然后要求系統(tǒng)管理員通過使用 su 命令獲取 root 權(quán)限。要這樣做，請(qǐng)編輯 /etc/security/.profile 文件，為所有用戶包含自動(dòng)注銷值，如下例所示： TMOUT=600 。通常，任何時(shí)候用戶離開他們的終端時(shí)都應(yīng)該注銷。 操作結(jié)果： 確保系統(tǒng)信息不會(huì)無意中暴露給無關(guān)人員。 更改公共桌面環(huán)境的登錄屏幕 編號(hào)： 6018 名稱： 更改 CDE 的登陸屏幕 重要等級(jí)： 中 基本信息： X登錄方式包括多種，其中在 AIX 環(huán)境中 CDE 使用最為普遍。 logindelay Y Y 5 在兩次出現(xiàn)登錄提示之間的以秒為單位的時(shí)間間隔。通過不停的猜測(cè)密碼，理論上可以突破任何系統(tǒng)。通常登陸的 shell 執(zhí)行程序是 /bin/false，但 /bin/false 并非總是程序，事實(shí)上，它可能是一個(gè) shell script ，而使用 shell script 將使系統(tǒng)置于風(fēng)險(xiǎn)中。 建議操作： 參考前面設(shè)定用戶屬性一節(jié)。否則，可信的用戶可能做出更改允許無意識(shí)的訪問。在這種情況下，任何使用 su 命令的 root 用戶將暴露 root 密碼，而且自己甚至還未意識(shí)到。它指定搜索 的目錄來查找命令。 對(duì)一般使用者來說， 指那些可以被其它一般使用者有寫入權(quán)限的目錄。 檢測(cè)內(nèi)容： 若審計(jì)系統(tǒng) (audit subsystem)啟用的話， 在 user 和 admin 段落中加入一行， 來設(shè)定新使用者的 auditclasses: auditclasses = user， config， mail， chcron， SRC， chtcpip AIX 中創(chuàng)建新的帳戶時(shí)， 一個(gè)基本示例文件 /etc/profile 會(huì)被復(fù)制到該使用者的 home directory ， 它的文件名為 .profile。請(qǐng)謹(jǐn)慎對(duì)待擴(kuò)展密碼設(shè)置限制。 操作結(jié)果： 系統(tǒng)密碼設(shè)定和組成策略得到保證 。 如果 histexpire 屬性的值和 histsize 屬性的值都設(shè)置了，則系統(tǒng)保留適用于兩種情況所需的密碼個(gè)數(shù)，最多達(dá)系統(tǒng)所限制的每個(gè)用戶 50 個(gè)密碼。 對(duì)于受控訪問保護(hù)概要文件和評(píng)定保證級(jí)別 4+（ CAPP/EAL4+）系統(tǒng)，請(qǐng)使用用戶 與端口配置中推薦的值。簡(jiǎn)單的密碼限制結(jié)合合理的指導(dǎo)和偶爾的審查（以驗(yàn)證當(dāng)前密碼是否唯一）是最好的策略。通過在 /etc/security/user 文件的缺省節(jié)中保存限制，對(duì)所有用戶執(zhí)行相同限制。保存密碼的一個(gè) 更有效的方法是設(shè)置 Kerberos。因此在各個(gè)客戶端上實(shí)現(xiàn)統(tǒng)一透明的登錄過程。 使用 /etc/passwd 文件和網(wǎng)絡(luò)環(huán)境 編號(hào)： 6010 名稱： 網(wǎng)絡(luò)環(huán)境 重要等級(jí)： 高 基本信息： 在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，用戶必須在每個(gè)系統(tǒng)中有一個(gè)帳戶才能獲得對(duì)該系統(tǒng)的訪問權(quán)。如果用戶標(biāo)識(shí)具有密碼，則該密碼字段中會(huì)有一個(gè) !（感嘆號(hào)） 。該功能使用 dictionlist，它要求您首先安裝 和 文件集。 操作結(jié)果： 未經(jīng)授權(quán)的人員將無法訪問系統(tǒng)基本硬件設(shè)定功能。 操作結(jié)果： 分析您的系統(tǒng)以確定哪些用戶、組標(biāo)識(shí)確實(shí)是不需要的。 因此，我們建議，除了 guest user，不要移除其它系統(tǒng)帳戶信息。有關(guān) ACL 和開發(fā)安全性策略的信息，請(qǐng)參閱訪問控制。這些標(biāo)記提供 登錄用戶標(biāo)識(shí)執(zhí)行的所有活動(dòng)的蹤跡。將許多缺省值定義為標(biāo)準(zhǔn)行為。失敗的嘗試記錄在 /etc/security/lastlog 文件中。 registry 指定用戶注冊(cè)表。 auth2 按 auth1 指定的對(duì)用戶進(jìn)行認(rèn)證后運(yùn)行的方法。這些屬性可以通過使用 chuser 命令來修改。 建議操作： 檢查標(biāo)準(zhǔn) Unix 系統(tǒng)用戶、組設(shè)定文件。 檢測(cè)內(nèi)容： 推薦以下屬性： 每個(gè)用戶應(yīng)有一個(gè)不與其它用戶共享的用戶標(biāo)識(shí)。分別對(duì)它們?cè)O(shè)定嚴(yán)格的系統(tǒng)權(quán)限。為防止入侵者存取非公開系統(tǒng)資料，用戶狀態(tài)資料僅可由特定帳戶取得。以用來防止非法存取系統(tǒng)，或集中攻 擊有特別權(quán)限的帳戶，此為 AIX默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來檢查使用者狀態(tài)。 Umask 的設(shè)定控制了文件除了刪除外的權(quán)限，刪除的權(quán)限則根據(jù)文件所在目錄的權(quán)限位來決定； 最少權(quán)限機(jī)制應(yīng)被應(yīng)用，以確保應(yīng)用程序以最少權(quán)限執(zhí)行，所有應(yīng)用程序的授權(quán)應(yīng)保持最低權(quán)限； 只有特別的授權(quán)帳戶可安裝軟件或加入新設(shè)備到系統(tǒng)中，并安裝安全的更新修正程序，此為 AIX 默認(rèn)值且不該被更改； 建議操作： 按照系統(tǒng)提供的資源和計(jì)劃運(yùn)行的任務(wù)，合理規(guī)劃任務(wù)的屬主，以此利用系統(tǒng)提供的管理命令，如 passwd、 umask 等，設(shè)定權(quán)責(zé)明確的用戶和用戶組。 可以對(duì)每個(gè)用戶帳戶設(shè)置多個(gè)屬性，包含密碼和登錄屬性 。 操作系統(tǒng)支持通常出現(xiàn)在 /etc/passwd 和 /etc/group 文件中的標(biāo)準(zhǔn)用戶屬性，例如： 認(rèn)證信息 指定密碼 憑證 指定 用戶標(biāo)識(shí)、主體組和補(bǔ)充組標(biāo)識(shí) 環(huán)境 指定主環(huán)境或 shell 環(huán)境。當(dāng)使用 mkuser 命令創(chuàng)建用戶時(shí)，這些屬性根據(jù)缺省值創(chuàng)建。典型地，將它設(shè)置為 SYSTEM，然后將使用較新的方法。例如，用戶 可能被限制只能在正常營業(yè)時(shí)間訪問系統(tǒng)。 loginretries 指定用戶標(biāo)識(shí)被系統(tǒng)鎖定之前連續(xù)的可以嘗試登錄失敗的最大次數(shù)?？梢允褂靡韵? chsec 命令完成，如下所示： chsec f /etc/security/lastlog s username a unsuccessful_login_count=0 可以使用 chsec 命令在相應(yīng)安全性文件（ /etc/security/user 或 /etc/security/limits 文件）中編輯 default 節(jié)來更改缺省值。登錄會(huì)話過程中所有后繼進(jìn)程都用此標(biāo)識(shí)做標(biāo)記。最常用的安全機(jī)制是訪問控制表（ ACL）。這樣是非常困難去檢查先前的錯(cuò)誤。刪除或限制無意 義或意義不明確的用戶和組。 建議操作： 啟動(dòng)機(jī)器后，進(jìn)入 BIOS 或 SMC的控制選單，設(shè)定訪問密碼。,.?/ 空格 ； 未寫在任何地方； 如果使用 /etc/security/passwd 文件，那么長(zhǎng)度最少為 7 個(gè)字符最大 8 個(gè)字符（象 LDAP 那樣使用注冊(cè)表實(shí)施的認(rèn)證，可以使用超出此最大長(zhǎng)度的密碼）； 不是在字典中可查到的真實(shí)單詞； 不是鍵盤上字母的排列