【正文】 測密碼的難度。系統(tǒng)安全性可能被惡意的或有缺陷的代碼輕易破壞。 創(chuàng)建新的帳戶時 ， 使用者的 home directory 是屬于該使用者 ， 而且目錄的群組會設定為使用者的 primary group。 該變量應該清楚的定義出使用者是用什么系統(tǒng)，及是使用哪些目錄。 .profile 文件中的 PATH 值可以將系統(tǒng)范圍 PATH 值覆蓋，或向它添加額外的目錄。如果指定了全路徑名，將忽略 PATH 環(huán)境變量。 系統(tǒng)管理員不應使用 su 命令從用戶會話中取得 root 用戶特權，因為在 .profile 文件中指定的該用戶 PATH 值是有效的。通過 env檢查用戶環(huán)境變量的設定。 檢測內(nèi)容： 請合理設定 /etc/passwd 中關于用戶等錄初始化程序的設定字段。 檢測內(nèi)容： 要使得較難通過猜測密碼來攻擊系統(tǒng)，請在 /etc/security/ 文件中如下所示設置登錄控制： /etc/security/ 文件的“屬性”及“建議值”。 這些端口限制主要在已連接的串行終端上發(fā)揮作用，而不是在網(wǎng)絡登錄使用的偽終端上。缺省情況下， CDE 登錄屏幕也顯示主機名和操作系統(tǒng)版本。 檢測內(nèi)容： 在設定了此類屬性后，未授權者無法反復嘗試登錄。 建議操作： 要鎖定終端，請使用 lock 命令。 export readonly TMOUT TIMEOUT 在本例中，數(shù)字 600 是以秒為單位，它等于 10 分鐘?？梢圆榭? /var/adm/sulog 文件做到這一點。 你可關閉 root 的登陸除了在控制臺外﹔ chuser ttys=’/dev/console’ rlogin=false root 加 root 到 /etc/ftpusers 檔來拒絕 FTP 存取 root 帳號 操作結(jié)果： 遠程 root 不可存取系統(tǒng)，系統(tǒng)管理者應只在需執(zhí)行 root 權限的功能時使用 root，然后再回復一般使用者身份。 建議操作： 在系統(tǒng)范圍內(nèi)檢查 setuid 和 setgid 程序，評估其使用，限制無意義的此類程序使用。 then endoffile print exit 0 fi if [[ $mand = ]]。 操作結(jié)果： 限制意義不明確的命令自動執(zhí)行。如果權限被拒絕，則徹消聯(lián)機。 AIX 有許多工具可來作一致性檢查，幫助管理者追蹤系統(tǒng)的改變，其通常可檢查目前系統(tǒng)與原始系統(tǒng)間的狀態(tài)改變。 usrck – 檢驗密碼數(shù)據(jù) (password)的完整性 (integrity)。 MD5 使用檔案的內(nèi)容產(chǎn)生一個 128 位加解密摘要值。 檢測內(nèi)容： 標 準 上 ， 系 統(tǒng) 日 志 提 供 系 統(tǒng) 最 低 記 錄 與 錯 誤 信 息 ， 需 修 改 /etc/ 文件以得更多信息。可以通過其檢查到個子系統(tǒng)的軟硬件報錯狀況和簡單 Dump 數(shù)據(jù)。 檢測內(nèi)容： 檢查所有的 cron 任務， 讀取 每一個系統(tǒng)帳戶中的 cron 文件/var/spool/cron/crontabs。 script 應每日從 root 的 crontab 執(zhí)行，而結(jié)果必須存起來。 建議操作： 在 AIX version 之后， 你可以指定操作系統(tǒng)是否接受那些 IP 轉(zhuǎn)送的來源。 建議操作： 設置一個合理的 TIMEOUT 環(huán)境變量值。 檢測內(nèi)容： 檢查 /etc/inittab 文件，明確個啟動項的意義。確定其意義。 操作結(jié)果： 禁止不安全和不必要的程序?qū)ν馓峁┓铡? 然后以手動方式來停止相關的服務程序。 檢測內(nèi)容： TFTP 是允許使用者以 nobody 的身份，未經(jīng)過授權地的存取系統(tǒng)。 /etc/ 編號： 6039 名稱： 文件 重要等級： 高 基本信息： 為持續(xù)執(zhí)行的 (longrunning) TCP/IP 服務程序的起動命令集，它通常使用 System Resource Controller (SRC)。 建議操作： 打上注釋符號， 來使這些不安全或不需要的服務 失效。 手動地停止相關的 daemons。 則不建議直接刪除其執(zhí)行檔?？梢岳靡粋€環(huán)境變量來設定使用該功能， 但它只能在 shell 中發(fā)生作用(例如它不會在應用程序中發(fā)生作 用，如 Oracle)， 而該變量可以由使用者來更改。建 議關閉 IP 轉(zhuǎn)送功能。 檢測內(nèi)容： 用 df – k來確定存放日志的文件系統(tǒng)是否有空間使用上的不 足。 檢查 Cron 文件 編號： 6031 名稱： 檢查 cron 文件 重要等級： 高 基本信息： CRON 是 UNIX 提供的一個定時守護程序。 操作結(jié)果： 可以在對應的路徑下檢查系統(tǒng)和各守護程序產(chǎn)生的工 作日志。 操作結(jié)果： 可以檢查此摘要代碼來確保文件未被纂改。以防止被篡改的危險。 受信任的使用者(Trusted user)可以新增其它使用者的文件至此數(shù)據(jù)庫中，作為以后定期檢查之用。 4 數(shù)據(jù)保護 完整性檢測 (Integrity Checking) 編號： 6027 名稱： 完整性檢測 重要等級： 高 基本信息： 同在標準安全環(huán)境所述，維護系統(tǒng)的一致性是非常重要的。 TCP Wrappers 程序用來控制存取 id 的服務，而 Portmap3 則用來限制 portmapper 或 rpcbind 的服務，如 NFS 及 NIS。 exit|logout) exit 0。 建議操作： 限制性的 shell 類似如下 : !/bin/ksh Restricted shell. Only the specified mands can be executed. COMMANDS=host， ping， passw， exit， logout PATH=/bin:/usr/ucb:/usr/bin:/usr/sbin:/usr/user prompt=`hostname` trap 2 ignore SIGINT while true。 阻止?jié)撛谙到y(tǒng) crackers 的其中一個方法 是防止它們在你的機器上執(zhí)行setuid 程序。如果禁用了遠程 root 登錄，而能使用 su 命令更改到 root 用戶的用戶主文件系統(tǒng)已滿，則 root 用戶可能永遠無法取得對系統(tǒng)的控制。 檢測內(nèi)容： 要避免此類攻擊，可以禁用直接訪問 root 標識，然后要求系統(tǒng)管理員通過使用 su 命令獲取 root 權限。要這樣做，請編輯 /etc/security/.profile 文件，為所有用戶包含自動注銷值，如下例所示： TMOUT=600 。通常，任何時候用戶離開他們的終端時都應該注銷。 操作結(jié)果： 確保系統(tǒng)信息不會無意中暴露給無關人員。 更改公共桌面環(huán)境的登錄屏幕 編號： 6018 名稱： 更改 CDE 的登陸屏幕 重要等級： 中 基本信息： X登錄方式包括多種，其中在 AIX 環(huán)境中 CDE 使用最為普遍。 logindelay Y Y 5 在兩次出現(xiàn)登錄提示之間的以秒為單位的時間間隔。通過不停的猜測密碼，理論上可以突破任何系統(tǒng)。通常登陸的 shell 執(zhí)行程序是 /bin/false，但 /bin/false 并非總是程序，事實上，它可能是一個 shell script ，而使用 shell script 將使系統(tǒng)置于風險中。 建議操作： 參考前面設定用戶屬性一節(jié)。否則，可信的用戶可能做出更改允許無意識的訪問。在這種情況下，任何使用 su 命令的 root 用戶將暴露 root 密碼，而且自己甚至還未意識到。它指定搜索 的目錄來查找命令。 對一般使用者來說， 指那些可以被其它一般使用者有寫入權限的目錄。 檢測內(nèi)容： 若審計系統(tǒng) (audit subsystem)啟用的話， 在 user 和 admin 段落中加入一行， 來設定新使用者的 auditclasses: auditclasses = user， config， mail， chcron， SRC， chtcpip AIX 中創(chuàng)建新的帳戶時， 一個基本示例文件 /etc/profile 會被復制到該使用者的 home directory ， 它的文件名為 .profile。請謹慎對待擴展密碼設置限制。 操作結(jié)果： 系統(tǒng)密碼設定和組成策略得到保證 。 如果 histexpire 屬性的值和 histsize 屬性的值都設置了，則系統(tǒng)保留適用于兩種情況所需的密碼個數(shù)，最多達系統(tǒng)所限制的每個用戶 50 個密碼。 對于受控訪問保護概要文件和評定保證級別 4+（ CAPP/EAL4+）系統(tǒng)，請使用用戶 與端口配置中推薦的值。簡單的密碼限制結(jié)合合理的指導和偶爾的審查（以驗證當前密碼是否唯一）是最好的策略。通過在 /etc/security/user 文件的缺省節(jié)中保存限制，對所有用戶執(zhí)行相同限制。保存密碼的一個 更有效的方法是設置 Kerberos。因此在各個客戶端上實現(xiàn)統(tǒng)一透明的登錄過程。 使用 /etc/passwd 文件和網(wǎng)絡環(huán)境 編號： 6010 名稱： 網(wǎng)絡環(huán)境 重要等級： 高 基本信息： 在傳統(tǒng)的網(wǎng)絡環(huán)境中，用戶必須在每個系統(tǒng)中有一個帳戶才能獲得對該系統(tǒng)的訪問權。如果用戶標識具有密碼，則該密碼字段中會有一個 !（感嘆號） 。該功能使用 dictionlist，它要求您首先安裝 和 文件集。 操作結(jié)果： 未經(jīng)授權的人員將無法訪問系統(tǒng)基本硬件設定功能。 操作結(jié)果： 分析您的系統(tǒng)以確定哪些用戶、組標識確實是不需要的。 因此，我們建議，除了 guest user，不要移除其它系統(tǒng)帳戶信息。有關 ACL 和開發(fā)安全性策略的信息，請參閱訪問控制。這些標記提供 登錄用戶標識執(zhí)行的所有活動的蹤跡。將許多缺省值定義為標準行為。失敗的嘗試記錄在 /etc/security/lastlog 文件中。 registry 指定用戶注冊表。 auth2 按 auth1 指定的對用戶進行認證后運行的方法。這些屬性可以通過使用 chuser 命令來修改。 建議操作： 檢查標準 Unix 系統(tǒng)用戶、組設定文件。 檢測內(nèi)容： 推薦以下屬性： 每個用戶應有一個不與其它用戶共享的用戶標識。分別對它們設定嚴格的系統(tǒng)權限。為防止入侵者存取非公開系統(tǒng)資料，用戶狀態(tài)資料僅可由特定帳戶取得。以用來防止非法存取系統(tǒng)，或集中攻 擊有特別權限的帳戶，此為 AIX默認值且不該被更改； 只有特定的授權帳戶可用來檢查使用者狀態(tài)。 Umask 的設定控制了文件除了刪除外的權限，刪除的權限則根據(jù)文件所在目錄的權限位來決定； 最少權限機制應被應用，以確保應用程序以最少權限執(zhí)行，所有應用程序的授權應保持最低權限； 只有特別的授權帳戶可安裝軟件或加入新設備到系統(tǒng)中，并安裝安全的更新修正程序，此為 AIX 默認值且不該被更改； 建議操作： 按照系統(tǒng)提供的資源和計劃運行的任務，合理規(guī)劃任務的屬主，以此利用系統(tǒng)提供的管理命令，如 passwd、 umask 等，設定權責明確的用戶和用戶組。 可以對每個用戶帳戶設置多個屬性，包含密碼和登錄屬性 。 操作系統(tǒng)支持通常出現(xiàn)在 /etc/passwd 和 /etc/group 文件中的標準用戶屬性，例如： 認證信息 指定密碼 憑證 指定 用戶標識、主體組和補充組標識 環(huán)境 指定主環(huán)境或 shell 環(huán)境。當使用 mkuser 命令創(chuàng)建用戶時，這些屬性根據(jù)缺省值創(chuàng)建。典型地，將它設置為 SYSTEM，然后將使用較新的方法。例如，用戶 可能被限制只能在正常營業(yè)時間訪問系統(tǒng)。 loginretries 指定用戶標識被系統(tǒng)鎖定之前連續(xù)的可以嘗試登錄失敗的最大次數(shù)?？梢允褂靡韵? chsec 命令完成，如下所示： chsec f /etc/security/lastlog s username a unsuccessful_login_count=0 可以使用 chsec 命令在相應安全性文件（ /etc/security/user 或 /etc/security/limits 文件）中編輯 default 節(jié)來更改缺省值。登錄會話過程中所有后繼進程都用此標識做標記。最常用的安全機制是訪問控制表（ ACL）。這樣是非常困難去檢查先前的錯誤。刪除或限制無意 義或意義不明確的用戶和組。 建議操作： 啟動機器后，進入 BIOS 或 SMC的控制選單，設定訪問密碼。,.?/ 空格 ； 未寫在任何地方； 如果使用 /etc/security/passwd 文件，那么長度最少為 7 個字符最大 8 個字符（象 LDAP 那樣使用注冊表實施的認證，可以使用超出此最大長度的密碼）； 不是在字典中可查到的真實單詞； 不是鍵盤上字母的排列