【正文】 可存取所有資源，管理群組的人員應(yīng)只能存取工作上所需用的資源。 AIX系統(tǒng)安全配置 1 身分識(shí)別 賬戶設(shè)定 編號(hào)： 6001 名稱： 帳戶設(shè)定 重要等級(jí)： 高 基本信息： 賬戶是用戶訪問(wèn)系統(tǒng)的基本憑證。存取所有資源不應(yīng)被允許，此為 AIX 默認(rèn)值且不該被更改； 一般用戶不可存取特定系統(tǒng)文件及命令。 組是對(duì)共享的資源同一訪問(wèn)許可權(quán)的用戶的集合。如果在 /etc/passwd 文件中將密碼字段定義為 *（星號(hào)），雖然帳戶信息得到保存，但不能登錄到該帳戶； 不要更改系統(tǒng)正常運(yùn)行所需的由系統(tǒng)定義的用戶標(biāo)識(shí)。檢查用戶屬性，避免不合理的用戶擁有 admin 的權(quán)限。 admgroups 列出此用戶具有管理權(quán)限的組。它也限制對(duì) cron 和 at 設(shè)備的使用。 sugroups 指定允許哪個(gè)組切換至此用戶標(biāo)識(shí)。只有修改 /etc/security/user 和 /etc/securtiy/limits 文件中的 default 節(jié)中的缺省值的設(shè)置和審計(jì)類必須在 文件中指定。 登錄用戶標(biāo)識(shí) 編號(hào)： 6004 名稱： 登陸用戶標(biāo)識(shí) 重要等級(jí)： 中 基本信息： 操作系統(tǒng)通過(guò)用戶的登錄用戶標(biāo)識(shí)來(lái)識(shí)別他們。在登錄后使用id或 whoami 命令檢查自己的身份標(biāo)識(shí)。這些 ID 是 : daemon Owner of the system daemons bin Owner of the system executable files sys Owner of system devices adm Owner of system accounting utilities uucp Owner of UNIXtoUNIX Copy Program nuucp For UUCP lpd Owner of printer spooler utility guest Guest account nobody used by NFS 并不建議移除所有無(wú)用的帳戶，如 : uucp， nuucp， lpd， guest， and nobody 等。 檢測(cè)內(nèi)容： 您可能能夠除去的公共缺省用戶標(biāo)識(shí)： uucp, nuucp uucp 協(xié)議所 用的隱藏文件的所有者。如果不能確定系統(tǒng)是否會(huì)經(jīng)未授權(quán)的人員訪問(wèn)，請(qǐng)?jiān)O(shè)定良好的 BIOS 密碼以阻止其對(duì)系統(tǒng)基本設(shè)置的訪問(wèn)。此外，它們可以包含特殊字符，如 ~!$%^amp。 使用 /etc/passwd 文件 編號(hào)： 6009 名稱： 使用 passwd 文件 重要等級(jí)： 高 基本信息： 傳統(tǒng)上， /etc/passwd 文件是用來(lái)記錄每個(gè)擁有系統(tǒng)訪問(wèn)權(quán)的注冊(cè)用戶。 guest: password = * nobody: password = * lpd: password = * paul: password = eacVScDKri4s6 lastupdate = 1026394230 flags = ADMCHG 用戶標(biāo)識(shí) jdoe 在 /etc/security/passwd 文件中沒(méi)有項(xiàng)，因?yàn)樗? /etc/passwd 文件中沒(méi)有設(shè)置密碼。 檢測(cè)內(nèi)容： 確定 ypserv 和 yppasswd 等守護(hù)程序的正常運(yùn)行。該文件未進(jìn)行加密或加密保護(hù)，這樣它的內(nèi)容象純文本一樣清楚顯示。它們?cè)试S管理員限制用戶選擇的密碼，并強(qiáng)制定期更改密碼。這樣，本地站點(diǎn)策略可添加到操作系統(tǒng)，并由操作系統(tǒng)執(zhí)行該策略。） 2 1 52 maxrepeats 在密碼中可重復(fù)字符的最大數(shù)目 2 8 8 minage 密碼可被更改前的最小星期數(shù)。 系統(tǒng)中密碼的最小長(zhǎng)度由 minlen 屬性的值或 minalpha 屬性的值中的較大者加上 minother 屬性來(lái)設(shè)置。 其它可以與該文件一起使用的命令有 mkuser、 lsuser 和 rmuser 命令。通過(guò)添加方法（在更改密碼過(guò)程中調(diào)用）來(lái)擴(kuò)展限制。 請(qǐng)參考 AIX 程序設(shè)計(jì) 參考。 而 umask 設(shè)定為 077 可以確認(rèn)使用者的 home directories 只可以被該使用者來(lái)存取。 每個(gè)使用者應(yīng)該有一個(gè)唯一的 UID。電子欺騙程序（也稱為特洛伊木馬程序）更換了系統(tǒng)命令，然后捕獲給該命令的信息，例如用戶密碼。切勿允許在 /etc/profile 中指定當(dāng)前目錄。系統(tǒng)管理員應(yīng)當(dāng)作為 root 用戶或最好使用他們自己的標(biāo)識(shí)登錄到用戶的機(jī)器，然后使用以下命令： /usr/bin/su root 這確保在會(huì)話過(guò)程中使用 root 環(huán)境。 操作結(jié)果： 確保用戶基本設(shè)定文件和變量的有效性。 建議操作： 最新版本的 noshell 可用 anonymous ftp 從下列地址得到： 如果 noshell 被使用，而有攻擊者持續(xù)嘗試被停用的帳戶密碼來(lái)激活使用者的 shell，則 noshell 將被執(zhí)行且結(jié)束此使用者的訪問(wèn)。 logintimes N Y 在此處指定允許登錄的次數(shù)。缺省的 herald 包含隨登錄提示一起顯示的歡迎消息。 示 例 中 ， 假 定 $LANG 設(shè) 置 為 C ， 將 該 文 件 復(fù) 制 到 /etc/dt/config/C/Xresources 目 錄 中 。 操作結(jié)果： 防止窮舉法攻擊者的多次等錄嘗試。 操作結(jié)果： 無(wú)人照管的終端被 Lock，未經(jīng)授權(quán)者無(wú)法用于登錄。 建議操作： 設(shè)定合理方便的 TIMEOUT 時(shí)限環(huán)境變量。 建議操作： 要禁止 root 用戶遠(yuǎn)程登錄 訪問(wèn)，編輯 /etc/security/user 文件。 保護(hù) SUID 程序 編號(hào)： 6023 名稱： 保護(hù) SUID 程序 重要等級(jí)： 高 基本信息： 在 AIX 上許多 setuid 和 setgid 程序是只能讓 root 來(lái)使用， 或跟據(jù)其所指定的 user 或 group 才能執(zhí)行。 限制性的 Restricted Shell 編號(hào)： 6024 名稱： 限制性的 shell 重要等級(jí)： 高 基本信息 ： 當(dāng)使用者登入，首先系統(tǒng)環(huán)境 /etc/profile 將被執(zhí)行，其次為使用者環(huán)境 $HOME/.profile 。host $arg1 $arg2 $arg3。所有標(biāo)準(zhǔn) AIX (nonapplication 或 user specific) 目錄，除了 /tmp 之外以及少數(shù)在 /var 下的目 錄之外，應(yīng)該移除 world writable 位。 Wrappers 程序?qū)⑷罩緜魉徒o syslog 程序 (syslogd)，日志的排列乃根據(jù) syslog 的架構(gòu)來(lái)決定 (通常在 /etc/)。通過(guò)它以保證系統(tǒng)文件的完整性。 grpck 檢驗(yàn)群組 (group)的完整性 (integrity)。一旦有任一位被修改，則 MD5 Checksum 值將不同，要偽造產(chǎn)生同樣 MD5 Checksum 值是極端固難的。 檢查 syslog daemon 在系統(tǒng)開(kāi)機(jī)時(shí)是否會(huì)起動(dòng)?？梢酝ㄟ^(guò)利用在 ODM 中的 error notify 的對(duì)象來(lái)完成設(shè)定。 建議操作： 可以在 /etc/default/cron 中設(shè)定 CRONLOG=yes。任何修改必須小心測(cè)試。 在 AIX 版本 之后， 你可以指定操作系統(tǒng)是否接受那些經(jīng)轉(zhuǎn)送的IP， 再轉(zhuǎn)送出去至其它的機(jī)器。 3 關(guān)閉不必要的服務(wù) 系統(tǒng)起動(dòng)命令集 (StartupScript) 編號(hào)： 6035 名稱： 系統(tǒng)啟動(dòng)命令集 重要等級(jí)： 高 基本信息： 系統(tǒng)啟動(dòng)時(shí)，若含有不必要或不安全的 網(wǎng)絡(luò)服務(wù)， 應(yīng)該停止使用(Disable)。 操 作結(jié)果： 避免無(wú)關(guān)的程序在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。 操作結(jié)果： 減少潛在的危險(xiǎn)。確保授權(quán)的主機(jī)和用戶才能訪問(wèn)本地的 NFS 系統(tǒng)。 若有啟動(dòng)下列任何相關(guān)服務(wù)時(shí)， 應(yīng)該套用在此文件中所提到的設(shè)定準(zhǔn)則， 使得它成為更安全的服務(wù)。 操作結(jié)果： 避免無(wú)意義和有潛在危險(xiǎn)的命令運(yùn)行。 建議操作： 檢查對(duì)應(yīng)的 NFS 配置文件和 NIS 配置。 檢測(cè)內(nèi)容： 含有所有相關(guān)會(huì)生效的網(wǎng)絡(luò)服務(wù) (id)的命令集 (not provided by long running daemons)。 檢測(cè)內(nèi)容： 含有全部各種的起動(dòng)命令集， 如 和 會(huì)在系統(tǒng)起動(dòng)時(shí)執(zhí)行。 而 NFS 和 NIS 就是一個(gè)典型的例子。 操作結(jié)果： 限制 IP 封包的轉(zhuǎn)發(fā)。如有些文件內(nèi)含有安全資料，刪除并必須先備份。 清除文件及目錄 編號(hào)： 6032 名稱： 清除文件、目錄 重要等級(jí)： 中 基本信息： 為防止日志及檔案系統(tǒng)爆滿，不需要的臨時(shí)文件應(yīng)定期被清除。 在 ODM 中 ， 加入此檔的內(nèi)容 : odmadd /tmp/errlog 用下列指令測(cè)試 : errlogger testing 應(yīng)該會(huì)在 system log 中出現(xiàn)下列訊息 : Aug 24 15:07:05 nlrc093 errpt: AA8AB241 0824150798 T O OPERATOR OPERATOR NOTIFICATION 操作結(jié)果： Errpt 命令可以檢查此功能的錯(cuò)誤日志。利用下列指令 ， 來(lái)初始 system log 目錄及相關(guān)檔案 : mkdir /var/log touch /var/log/syslog 若在 configuration file 中有任何更動(dòng) ， 則 syslog daemon 應(yīng)重新起動(dòng) : refresh s syslog 建議操作： 更改 /etc/ 中對(duì)于各功能的日志設(shè)定。 檢測(cè)內(nèi)容： 使用 md5sum 程序來(lái)生成指定文件的 md5 code，通過(guò)此方法確保文件的一致性。 帳戶資料 (Account information)可以利用 lsgroup 和 lsuser 命令取得。 建議操作： tcbck tcbck 程序檢查在 AIX 安裝時(shí)時(shí)所列出的文件， 其檢查包含文件的所有權(quán) (File ownership)， 群組所有權(quán) (group ownership)， 以及檔案權(quán)限位的設(shè)定 (bit settings) 和 checksum 之值。 建議操作： 使用 /etc/ 文件當(dāng)模板來(lái)修改，如要求從外部存取系統(tǒng)則應(yīng)以 IP地址或 sub 群組來(lái)加入。這可以由指令 chmod 的 t flag 來(lái)完成 chmod +t directory_name 操作結(jié)果： 限制此類文件和目錄的存在。ping c 5 $arg1。 檢測(cè)內(nèi)容： 檢查登錄時(shí)自動(dòng)執(zhí)行的命令。 在考慮到系統(tǒng)上這些個(gè)別的程序， 使用命令 “ find / perm – 4000 – print” 來(lái)找出這些程序。 在禁用遠(yuǎn)程 root 登錄之前，請(qǐng)檢查并準(zhǔn)備可能使系統(tǒng)管理員用非 root 用戶標(biāo)識(shí)無(wú)法登錄的情況。為了完全實(shí)現(xiàn)自動(dòng)注銷策略，必須采取權(quán)威的措施，即給用戶提供適當(dāng)?shù)? .profile 文件，阻止對(duì)這些文件的寫(xiě)訪問(wèn)權(quán)。這種情況使闖入者可以控制用戶的終端，從而潛在地危及系統(tǒng)的安全。 檢測(cè)內(nèi)容： 如果終端處于登錄狀態(tài)卻無(wú)人照管，那么所有的系統(tǒng)都是脆弱的。 建議操作： 將登錄時(shí)提供的多余信息剔除。 建議操作： 以下示例用 chsec 命令更改缺省的 herald 參數(shù)： chsec f /etc/security/ a default herald Unauthorized use of this system is prohibited.\n\nlogin: 要直接編輯文件，請(qǐng)打開(kāi) /etc/security/ 文件并更新 herald 參數(shù)如下： 缺省值： herald =禁止未授權(quán)使用本系統(tǒng) \n\n登錄： sak_enable = false logintimes = logindisable = 0 logininterval = 0 loginreenable = 0 logindelay = 0 注 : 要使得該系統(tǒng)更安全 ， 請(qǐng)將 logindisable 和 logindelay 變量的值設(shè)置為大于 0（ 0） 。 logininterval N Y 60 在 60 秒內(nèi)進(jìn)行了指定的無(wú)效嘗試后，禁用終端。 操作結(jié)果： 停用用戶的登錄被確保受到了限制。 使用 Noshell 編號(hào)： 6015 名稱： 使用 noshell 重要等級(jí)： 高 基本信息： 從過(guò)去歷史來(lái)看，當(dāng)一帳號(hào)被 停用，此帳戶的登陸 shell