freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

aix系統(tǒng)安全配置手冊(存儲版)

2024-12-16 01:59上一頁面

下一頁面
  

【正文】 測密碼的難度。系統(tǒng)安全性可能被惡意的或有缺陷的代碼輕易破壞。 創(chuàng)建新的帳戶時 , 使用者的 home directory 是屬于該使用者 , 而且目錄的群組會設定為使用者的 primary group。 該變量應該清楚的定義出使用者是用什么系統(tǒng),及是使用哪些目錄。 .profile 文件中的 PATH 值可以將系統(tǒng)范圍 PATH 值覆蓋,或向它添加額外的目錄。如果指定了全路徑名,將忽略 PATH 環(huán)境變量。 系統(tǒng)管理員不應使用 su 命令從用戶會話中取得 root 用戶特權,因為在 .profile 文件中指定的該用戶 PATH 值是有效的。通過 env檢查用戶環(huán)境變量的設定。 檢測內(nèi)容: 請合理設定 /etc/passwd 中關于用戶等錄初始化程序的設定字段。 檢測內(nèi)容: 要使得較難通過猜測密碼來攻擊系統(tǒng),請在 /etc/security/ 文件中如下所示設置登錄控制: /etc/security/ 文件的“屬性”及“建議值”。 這些端口限制主要在已連接的串行終端上發(fā)揮作用,而不是在網(wǎng)絡登錄使用的偽終端上。缺省情況下, CDE 登錄屏幕也顯示主機名和操作系統(tǒng)版本。 檢測內(nèi)容: 在設定了此類屬性后,未授權者無法反復嘗試登錄。 建議操作: 要鎖定終端,請使用 lock 命令。 export readonly TMOUT TIMEOUT 在本例中,數(shù)字 600 是以秒為單位,它等于 10 分鐘??梢圆榭? /var/adm/sulog 文件做到這一點。 你可關閉 root 的登陸除了在控制臺外﹔ chuser ttys=’/dev/console’ rlogin=false root 加 root 到 /etc/ftpusers 檔來拒絕 FTP 存取 root 帳號 操作結(jié)果: 遠程 root 不可存取系統(tǒng),系統(tǒng)管理者應只在需執(zhí)行 root 權限的功能時使用 root,然后再回復一般使用者身份。 建議操作: 在系統(tǒng)范圍內(nèi)檢查 setuid 和 setgid 程序,評估其使用,限制無意義的此類程序使用。 then endoffile print exit 0 fi if [[ $mand = ]]。 操作結(jié)果: 限制意義不明確的命令自動執(zhí)行。如果權限被拒絕,則徹消聯(lián)機。 AIX 有許多工具可來作一致性檢查,幫助管理者追蹤系統(tǒng)的改變,其通常可檢查目前系統(tǒng)與原始系統(tǒng)間的狀態(tài)改變。 usrck – 檢驗密碼數(shù)據(jù) (password)的完整性 (integrity)。 MD5 使用檔案的內(nèi)容產(chǎn)生一個 128 位加解密摘要值。 檢測內(nèi)容: 標 準 上 , 系 統(tǒng) 日 志 提 供 系 統(tǒng) 最 低 記 錄 與 錯 誤 信 息 , 需 修 改 /etc/ 文件以得更多信息。可以通過其檢查到個子系統(tǒng)的軟硬件報錯狀況和簡單 Dump 數(shù)據(jù)。 檢測內(nèi)容: 檢查所有的 cron 任務, 讀取 每一個系統(tǒng)帳戶中的 cron 文件/var/spool/cron/crontabs。 script 應每日從 root 的 crontab 執(zhí)行,而結(jié)果必須存起來。 建議操作: 在 AIX version 之后, 你可以指定操作系統(tǒng)是否接受那些 IP 轉(zhuǎn)送的來源。 建議操作: 設置一個合理的 TIMEOUT 環(huán)境變量值。 檢測內(nèi)容: 檢查 /etc/inittab 文件,明確個啟動項的意義。確定其意義。 操作結(jié)果: 禁止不安全和不必要的程序?qū)ν馓峁┓铡? 然后以手動方式來停止相關的服務程序。 檢測內(nèi)容: TFTP 是允許使用者以 nobody 的身份,未經(jīng)過授權地的存取系統(tǒng)。 /etc/ 編號: 6039 名稱: 文件 重要等級: 高 基本信息: 為持續(xù)執(zhí)行的 (longrunning) TCP/IP 服務程序的起動命令集,它通常使用 System Resource Controller (SRC)。 建議操作: 打上注釋符號, 來使這些不安全或不需要的服務 失效。 手動地停止相關的 daemons。 則不建議直接刪除其執(zhí)行檔??梢岳靡粋€環(huán)境變量來設定使用該功能, 但它只能在 shell 中發(fā)生作用(例如它不會在應用程序中發(fā)生作 用,如 Oracle), 而該變量可以由使用者來更改。建 議關閉 IP 轉(zhuǎn)送功能。 檢測內(nèi)容: 用 df – k來確定存放日志的文件系統(tǒng)是否有空間使用上的不 足。 檢查 Cron 文件 編號: 6031 名稱: 檢查 cron 文件 重要等級: 高 基本信息: CRON 是 UNIX 提供的一個定時守護程序。 操作結(jié)果: 可以在對應的路徑下檢查系統(tǒng)和各守護程序產(chǎn)生的工 作日志。 操作結(jié)果: 可以檢查此摘要代碼來確保文件未被纂改。以防止被篡改的危險。 受信任的使用者(Trusted user)可以新增其它使用者的文件至此數(shù)據(jù)庫中,作為以后定期檢查之用。 4 數(shù)據(jù)保護 完整性檢測 (Integrity Checking) 編號: 6027 名稱: 完整性檢測 重要等級: 高 基本信息: 同在標準安全環(huán)境所述,維護系統(tǒng)的一致性是非常重要的。 TCP Wrappers 程序用來控制存取 id 的服務,而 Portmap3 則用來限制 portmapper 或 rpcbind 的服務,如 NFS 及 NIS。 exit|logout) exit 0。 建議操作: 限制性的 shell 類似如下 : !/bin/ksh Restricted shell. Only the specified mands can be executed. COMMANDS=host, ping, passw, exit, logout PATH=/bin:/usr/ucb:/usr/bin:/usr/sbin:/usr/user prompt=`hostname` trap 2 ignore SIGINT while true。 阻止?jié)撛谙到y(tǒng) crackers 的其中一個方法 是防止它們在你的機器上執(zhí)行setuid 程序。如果禁用了遠程 root 登錄,而能使用 su 命令更改到 root 用戶的用戶主文件系統(tǒng)已滿,則 root 用戶可能永遠無法取得對系統(tǒng)的控制。 檢測內(nèi)容: 要避免此類攻擊,可以禁用直接訪問 root 標識,然后要求系統(tǒng)管理員通過使用 su 命令獲取 root 權限。要這樣做,請編輯 /etc/security/.profile 文件,為所有用戶包含自動注銷值,如下例所示: TMOUT=600 。通常,任何時候用戶離開他們的終端時都應該注銷。 操作結(jié)果: 確保系統(tǒng)信息不會無意中暴露給無關人員。 更改公共桌面環(huán)境的登錄屏幕 編號: 6018 名稱: 更改 CDE 的登陸屏幕 重要等級: 中 基本信息: X登錄方式包括多種,其中在 AIX 環(huán)境中 CDE 使用最為普遍。 logindelay Y Y 5 在兩次出現(xiàn)登錄提示之間的以秒為單位的時間間隔。通過不停的猜測密碼,理論上可以突破任何系統(tǒng)。通常登陸的 shell 執(zhí)行程序是 /bin/false,但 /bin/false 并非總是程序,事實上,它可能是一個 shell script ,而使用 shell script 將使系統(tǒng)置于風險中。 建議操作: 參考前面設定用戶屬性一節(jié)。否則,可信的用戶可能做出更改允許無意識的訪問。在這種情況下,任何使用 su 命令的 root 用戶將暴露 root 密碼,而且自己甚至還未意識到。它指定搜索 的目錄來查找命令。 對一般使用者來說, 指那些可以被其它一般使用者有寫入權限的目錄。 檢測內(nèi)容: 若審計系統(tǒng) (audit subsystem)啟用的話, 在 user 和 admin 段落中加入一行, 來設定新使用者的 auditclasses: auditclasses = user, config, mail, chcron, SRC, chtcpip AIX 中創(chuàng)建新的帳戶時, 一個基本示例文件 /etc/profile 會被復制到該使用者的 home directory , 它的文件名為 .profile。請謹慎對待擴展密碼設置限制。 操作結(jié)果: 系統(tǒng)密碼設定和組成策略得到保證 。 如果 histexpire 屬性的值和 histsize 屬性的值都設置了,則系統(tǒng)保留適用于兩種情況所需的密碼個數(shù),最多達系統(tǒng)所限制的每個用戶 50 個密碼。 對于受控訪問保護概要文件和評定保證級別 4+( CAPP/EAL4+)系統(tǒng),請使用用戶 與端口配置中推薦的值。簡單的密碼限制結(jié)合合理的指導和偶爾的審查(以驗證當前密碼是否唯一)是最好的策略。通過在 /etc/security/user 文件的缺省節(jié)中保存限制,對所有用戶執(zhí)行相同限制。保存密碼的一個 更有效的方法是設置 Kerberos。因此在各個客戶端上實現(xiàn)統(tǒng)一透明的登錄過程。 使用 /etc/passwd 文件和網(wǎng)絡環(huán)境 編號: 6010 名稱: 網(wǎng)絡環(huán)境 重要等級: 高 基本信息: 在傳統(tǒng)的網(wǎng)絡環(huán)境中,用戶必須在每個系統(tǒng)中有一個帳戶才能獲得對該系統(tǒng)的訪問權。如果用戶標識具有密碼,則該密碼字段中會有一個 !(感嘆號) 。該功能使用 dictionlist,它要求您首先安裝 和 文件集。 操作結(jié)果: 未經(jīng)授權的人員將無法訪問系統(tǒng)基本硬件設定功能。 操作結(jié)果: 分析您的系統(tǒng)以確定哪些用戶、組標識確實是不需要的。 因此,我們建議,除了 guest user,不要移除其它系統(tǒng)帳戶信息。有關 ACL 和開發(fā)安全性策略的信息,請參閱訪問控制。這些標記提供 登錄用戶標識執(zhí)行的所有活動的蹤跡。將許多缺省值定義為標準行為。失敗的嘗試記錄在 /etc/security/lastlog 文件中。 registry 指定用戶注冊表。 auth2 按 auth1 指定的對用戶進行認證后運行的方法。這些屬性可以通過使用 chuser 命令來修改。 建議操作: 檢查標準 Unix 系統(tǒng)用戶、組設定文件。 檢測內(nèi)容: 推薦以下屬性: 每個用戶應有一個不與其它用戶共享的用戶標識。分別對它們設定嚴格的系統(tǒng)權限。為防止入侵者存取非公開系統(tǒng)資料,用戶狀態(tài)資料僅可由特定帳戶取得。以用來防止非法存取系統(tǒng),或集中攻 擊有特別權限的帳戶,此為 AIX默認值且不該被更改; 只有特定的授權帳戶可用來檢查使用者狀態(tài)。 Umask 的設定控制了文件除了刪除外的權限,刪除的權限則根據(jù)文件所在目錄的權限位來決定; 最少權限機制應被應用,以確保應用程序以最少權限執(zhí)行,所有應用程序的授權應保持最低權限; 只有特別的授權帳戶可安裝軟件或加入新設備到系統(tǒng)中,并安裝安全的更新修正程序,此為 AIX 默認值且不該被更改; 建議操作: 按照系統(tǒng)提供的資源和計劃運行的任務,合理規(guī)劃任務的屬主,以此利用系統(tǒng)提供的管理命令,如 passwd、 umask 等,設定權責明確的用戶和用戶組。 可以對每個用戶帳戶設置多個屬性,包含密碼和登錄屬性 。 操作系統(tǒng)支持通常出現(xiàn)在 /etc/passwd 和 /etc/group 文件中的標準用戶屬性,例如: 認證信息 指定密碼 憑證 指定 用戶標識、主體組和補充組標識 環(huán)境 指定主環(huán)境或 shell 環(huán)境。當使用 mkuser 命令創(chuàng)建用戶時,這些屬性根據(jù)缺省值創(chuàng)建。典型地,將它設置為 SYSTEM,然后將使用較新的方法。例如,用戶 可能被限制只能在正常營業(yè)時間訪問系統(tǒng)。 loginretries 指定用戶標識被系統(tǒng)鎖定之前連續(xù)的可以嘗試登錄失敗的最大次數(shù)??梢允褂靡韵? chsec 命令完成,如下所示: chsec f /etc/security/lastlog s username a unsuccessful_login_count=0 可以使用 chsec 命令在相應安全性文件( /etc/security/user 或 /etc/security/limits 文件)中編輯 default 節(jié)來更改缺省值。登錄會話過程中所有后繼進程都用此標識做標記。最常用的安全機制是訪問控制表( ACL)。這樣是非常困難去檢查先前的錯誤。刪除或限制無意 義或意義不明確的用戶和組。 建議操作: 啟動機器后,進入 BIOS 或 SMC的控制選單,設定訪問密碼。,.?/ 空格 ; 未寫在任何地方; 如果使用 /etc/security/passwd 文件,那么長度最少為 7 個字符最大 8 個字符(象 LDAP 那樣使用注冊表實施的認證,可以使用超出此最大長度的密碼); 不是在字典中可查到的真實單詞; 不是鍵盤上字母的排列
點擊復制文檔內(nèi)容
環(huán)評公示相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1