【正文】 c 命令啟動(dòng)守護(hù)程序或子系統(tǒng)。使用 mkuser 命令創(chuàng)建的用戶(hù)缺省值在 /usr/lib/security/ 文件中指定。 建議操作： 給予用戶(hù)合適的 UID 并將其分配到合適的一個(gè)或多個(gè)組中。如果這些用戶(hù)和組標(biāo)識(shí)是不必要的，那么您可以將其刪除，以使跟其有關(guān)的安全風(fēng)險(xiǎn)最小化。 檢測(cè)內(nèi)容： 良好的密碼是抵御未授權(quán)進(jìn)入系統(tǒng)的 第一道有效防線，它們是以下類(lèi)型： 大小寫(xiě)字母的混合； 字母、數(shù)字或標(biāo)點(diǎn)符號(hào)的組合。以下示例包含 /etc/security/passwd 文件（基于以上所示的 /etc/passwd 文件的項(xiàng)）中的最后四個(gè)項(xiàng)。 .rc 文件包含用戶(hù)標(biāo)識(shí)和密碼。使用 /etc/security/user 文件中的 pwdchecks 屬性，管理員可以將新的子例程（稱(chēng)為方法）添加到密碼限制代碼中。這是因?yàn)樽值湮募械拇蠖鄶?shù)單詞不包含屬于 minother 屬性類(lèi)別中的字符，把 minother 屬性設(shè)置為 1 或更大將消除對(duì)這個(gè)字典文件中絕大多數(shù)單詞的需要。 擴(kuò)展密碼限制 編號(hào)： 6013 名稱(chēng)： 擴(kuò)展密碼限制 重要等級(jí)： 高 基本信息： 密碼程序是否接受或拒絕密碼所使用的規(guī)則（密碼構(gòu)成限制），可由系統(tǒng)管理員進(jìn)行擴(kuò)展，以提供特定于站點(diǎn)的限制。 一個(gè)新使用者的特性文件 (profile)是依照系統(tǒng)管理者的 umask， 來(lái)得到檔案的存取權(quán)限。 對(duì) PATH 環(huán)境變量的未授權(quán)更改可能使得系統(tǒng)中的用戶(hù)“欺騙”其它用戶(hù)（包括 root 用戶(hù)）。用戶(hù)可以設(shè)置他們自己的 .profile 文件。用安全的 nonshell 方式 予以替代。您可在該文件中指定顯式終端，例如： /dev/tty0: logintimes = 06002200 logindisable = 5 logininterval = 80 loginreenable = 20 建議操作： 操作結(jié)果： 更改登錄屏幕的歡迎消息 編號(hào)： 6017 名稱(chēng)： 更改登陸的歡迎信息 重 要等級(jí)： 中 基本信息： 檢測(cè)內(nèi)容： 為防止在登錄屏幕上顯示某些信息，請(qǐng)編輯 /etc/security/ 文件中的 herald 參數(shù)。 建議操作： 要為許多登錄參數(shù)設(shè)置基本缺省值，例如那些可能需要為新用戶(hù)設(shè)置的參數(shù) （ 登 錄 重 試 次 數(shù) 、 登 錄 重 新 啟 用 和 登 錄 內(nèi) 部 ）， 請(qǐng) 編 輯 /etc/security/ 文件。但是，該方法只在 shell 中生效。持續(xù)使用 root 帳戶(hù)可能會(huì)造成破壞，因其權(quán)限蓋過(guò)許多安全措施，故建議管理者應(yīng)先以一般使用者登入再使用 su 來(lái)得到 root 權(quán)限。 then null mand continue fi case $mand in host) echo host $arg1 $arg2 $arg3。建議安裝及架構(gòu) TCP Wrappers 及 Portmap3。 它檢查每個(gè)user (存在于 /etc/passwd) 是否有對(duì)應(yīng)資料也存在于 /etc/security/user， /etc/security/limits 以及 /etc/security/passwd 文件。用 root 設(shè)置 下列 : *.debug /var/log/syslog 為了記錄的目標(biāo) ， 應(yīng)啟用 syslog daemon， 并且任何在 configuration file所指定的 log files 應(yīng)該是存在于系統(tǒng)上。并且考慮對(duì)所有的 cron 事件記錄。利用下面命令，設(shè)定 防止接受 IP 轉(zhuǎn)送的功能 : no o ipsrcrouterecv=0 當(dāng)重新開(kāi)機(jī)之后， 必需重復(fù)該指令。 建議操作： 刪除無(wú)關(guān)的項(xiàng)目。 /etc/ 編號(hào)： 6038 名稱(chēng)： 文件 重要等級(jí)： 中 基本信息： NFS and NIS 起動(dòng)執(zhí)行命令文件 檢測(cè)內(nèi)容： 檢查 NFS 文件系統(tǒng)對(duì)外提供服務(wù)的規(guī)劃。 停用 TFTP 編號(hào)： 6040 名稱(chēng)： 停用 TFTP 重要等級(jí)： 高 基本信息： 提供可選的 FTP 服務(wù)。 每一項(xiàng)目會(huì)列出哪些網(wǎng)絡(luò)服務(wù)以及所執(zhí)行的系統(tǒng)命令。 若一些非受信任或不必要的服務(wù)， 不是被包裝成一個(gè)與 AIX 獨(dú)立的程序集。 6 網(wǎng)絡(luò)服務(wù)設(shè)定 1 防止 IP 轉(zhuǎn)送及主機(jī)欺騙 (Host Spoofing) 編號(hào)： 6033 名稱(chēng)： 防止主機(jī)欺騙 重要等級(jí)： 高 基本信息： 幾乎任何使用 IP 為網(wǎng)絡(luò)的機(jī)器有轉(zhuǎn)送封包的能力，此讓惡意使用者藉你的機(jī)器轉(zhuǎn)送封包到內(nèi)部網(wǎng)絡(luò)或其它安全但信任你機(jī)器的系統(tǒng)。用戶(hù)可以通過(guò)它了解系統(tǒng)狀況。 建議操作： 使用 md5sum filename來(lái)產(chǎn)生文件的 md5 摘要代碼。 它也指出哪些是已新增至setuid/setgid 但還未經(jīng)確認(rèn)為是受信任的 (trusted)。 使用 TCP Wrappers 限制存取 編號(hào)： 6026 名稱(chēng)： TCP Wrappers 重要等級(jí)： 高 基本信息： TCP Wrappers 可通過(guò)存取控制列表來(lái)限制系統(tǒng)的存取。確定各自動(dòng)執(zhí)行命令的目的和執(zhí)行權(quán)限。例如，如果用戶(hù)的主文件系統(tǒng)已滿(mǎn)，該用戶(hù)將無(wú)法登錄。 檢測(cè)內(nèi)容： 要預(yù)防這類(lèi)潛在的安全威脅，您可在系統(tǒng)中啟用自動(dòng)注銷(xiāo)功能。防止暴露多余信息給潛在的攻擊者。 loginreenable N Y 30 在自動(dòng)禁用終端 30 分鐘后重新啟用該終端。這樣，可防止此帳戶(hù)被攻擊并作進(jìn)一步存取。 警告其它用戶(hù)在沒(méi)有咨詢(xún)系統(tǒng)管理員的情況下，不要更改他們的 .profile 文件。 PATH 環(huán)境變量是一個(gè)重要的安全控制。 我們建議修改這些參數(shù)設(shè)定。要除去一個(gè)用戶(hù)，請(qǐng)使用 rmuser 命令。 不適用 不適用 注 : histexpir 的最大值最多保留 50 個(gè)密碼。所有密碼 限制都是按照用戶(hù)來(lái)定義的。 操作結(jié)果： 用戶(hù)登錄通過(guò) NIS 服務(wù)器上統(tǒng)一的用戶(hù)資料庫(kù)的支持來(lái)完成。 檢測(cè)內(nèi)容： /etc/passwd 文件由 root 用戶(hù)擁有，且必須對(duì)所有用戶(hù)都是可讀的，但只有 root 用戶(hù)有寫(xiě)許可權(quán)，顯示為 rwrr。 建議操作： 啟動(dòng)機(jī)器后，進(jìn)入 BIOS 或 SMC的控制選單，設(shè)定訪問(wèn)密碼。這樣是非常困難去檢查先前的錯(cuò)誤。登錄會(huì)話(huà)過(guò)程中所有后繼進(jìn)程都用此標(biāo)識(shí)做標(biāo)記。 loginretries 指定用戶(hù)標(biāo)識(shí)被系統(tǒng)鎖定之前連續(xù)的可以嘗試登錄失敗的最大次數(shù)。典型地，將它設(shè)置為 SYSTEM，然后將使用較新的方法。 操作系統(tǒng)支持通常出現(xiàn)在 /etc/passwd 和 /etc/group 文件中的標(biāo)準(zhǔn)用戶(hù)屬性，例如： 認(rèn)證信息 指定密碼 憑證 指定 用戶(hù)標(biāo)識(shí)、主體組和補(bǔ)充組標(biāo)識(shí) 環(huán)境 指定主環(huán)境或 shell 環(huán)境。 Umask 的設(shè)定控制了文件除了刪除外的權(quán)限，刪除的權(quán)限則根據(jù)文件所在目錄的權(quán)限位來(lái)決定； 最少權(quán)限機(jī)制應(yīng)被應(yīng)用，以確保應(yīng)用程序以最少權(quán)限執(zhí)行，所有應(yīng)用程序的授權(quán)應(yīng)保持最低權(quán)限； 只有特別的授權(quán)帳戶(hù)可安裝軟件或加入新設(shè)備到系統(tǒng)中，并安裝安全的更新修正程序，此為 AIX 默認(rèn)值且不該被更改； 建議操作： 按照系統(tǒng)提供的資源和計(jì)劃運(yùn)行的任務(wù)，合理規(guī)劃任務(wù)的屬主，以此利用系統(tǒng)提供的管理命令，如 passwd、 umask 等，設(shè)定權(quán)責(zé)明確的用戶(hù)和用戶(hù)組。為防止入侵者存取非公開(kāi)系統(tǒng)資料，用戶(hù)狀態(tài)資料僅可由特定帳戶(hù)取得。 檢測(cè)內(nèi)容： 推薦以下屬性： 每個(gè)用戶(hù)應(yīng)有一個(gè)不與其它用戶(hù)共享的用戶(hù)標(biāo)識(shí)。這些屬性可以通過(guò)使用 chuser 命令來(lái)修改。 registry 指定用戶(hù)注冊(cè)表。將許多缺省值定義為標(biāo)準(zhǔn)行為。有關(guān) ACL 和開(kāi)發(fā)安全性策略的信息，請(qǐng)參閱訪問(wèn)控制。 操作結(jié)果： 分析您的系統(tǒng)以確定哪些用戶(hù)、組標(biāo)識(shí)確實(shí)是不需要的。該功能使用 dictionlist，它要求您首先安裝 和 文件集。 使用 /etc/passwd 文件和網(wǎng)絡(luò)環(huán)境 編號(hào)： 6010 名稱(chēng)： 網(wǎng)絡(luò)環(huán)境 重要等級(jí)： 高 基本信息： 在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，用戶(hù)必須在每個(gè)系統(tǒng)中有一個(gè)帳戶(hù)才能獲得對(duì)該系統(tǒng)的訪問(wèn)權(quán)。保存密碼的一個(gè) 更有效的方法是設(shè)置 Kerberos。簡(jiǎn)單的密碼限制結(jié)合合理的指導(dǎo)和偶爾的審查（以驗(yàn)證當(dāng)前密碼是否唯一）是最好的策略。 如果 histexpire 屬性的值和 histsize 屬性的值都設(shè)置了，則系統(tǒng)保留適用于兩種情況所需的密碼個(gè)數(shù)，最多達(dá)系統(tǒng)所限制的每個(gè)用戶(hù) 50 個(gè)密碼。請(qǐng)謹(jǐn)慎對(duì)待擴(kuò)展密碼設(shè)置限制。 對(duì)一般使用者來(lái)說(shuō)， 指那些可以被其它一般使用者有寫(xiě)入權(quán)限的目錄。在這種情況下，任何使用 su 命令的 root 用戶(hù)將暴露 root 密碼，而且自己甚至還未意識(shí)到。 建議操作： 參考前面設(shè)定用戶(hù)屬性一節(jié)。通過(guò)不停的猜測(cè)密碼，理論上可以突破任何系統(tǒng)。 更改公共桌面環(huán)境的登錄屏幕 編號(hào)： 6018 名稱(chēng)： 更改 CDE 的登陸屏幕 重要等級(jí)： 中 基本信息： X登錄方式包括多種，其中在 AIX 環(huán)境中 CDE 使用最為普遍。通常，任何時(shí)候用戶(hù)離開(kāi)他們的終端時(shí)都應(yīng)該注銷(xiāo)。 檢測(cè)內(nèi)容： 要避免此類(lèi)攻擊，可以禁用直接訪問(wèn) root 標(biāo)識(shí)，然后要求系統(tǒng)管理員通過(guò)使用 su 命令獲取 root 權(quán)限。 阻止?jié)撛谙到y(tǒng) crackers 的其中一個(gè)方法 是防止它們?cè)谀愕臋C(jī)器上執(zhí)行setuid 程序。 exit|logout) exit 0。 4 數(shù)據(jù)保護(hù) 完整性檢測(cè) (Integrity Checking) 編號(hào)： 6027 名稱(chēng)： 完整性檢測(cè) 重要等級(jí)： 高 基本信息： 同在標(biāo)準(zhǔn)安全環(huán)境所述，維護(hù)系統(tǒng)的一致性是非常重要的。以防止被篡改的危險(xiǎn)。 操作結(jié)果： 可以在對(duì)應(yīng)的路徑下檢查系統(tǒng)和各守護(hù)程序產(chǎn)生的工 作日志。 檢測(cè)內(nèi)容： 用 df – k來(lái)確定存放日志的文件系統(tǒng)是否有空間使用上的不 足?？梢岳靡粋€(gè)環(huán)境變量來(lái)設(shè)定使用該功能， 但它只能在 shell 中發(fā)生作用(例如它不會(huì)在應(yīng)用程序中發(fā)生作 用，如 Oracle)， 而該變量可以由使用者來(lái)更改。 手動(dòng)地停止相關(guān)的 daemons。 /etc/ 編號(hào)： 6039 名稱(chēng)： 文件 重要等級(jí)： 高 基本信息： 為持續(xù)執(zhí)行的 (longrunning) TCP/IP 服務(wù)程序的起動(dòng)命令集，它通常使用 System Resource Controller (SRC)。 然后以手動(dòng)方式來(lái)停止相關(guān)的服務(wù)程序。確定其意義。 建議操作： 設(shè)置一個(gè)合理的 TIMEOUT 環(huán)境變量值。 script 應(yīng)每日從 root 的 crontab 執(zhí)行，而結(jié)果必須存起來(lái)。可以通過(guò)其檢查到個(gè)子系統(tǒng)的軟硬件報(bào)錯(cuò)狀況和簡(jiǎn)單 Dump 數(shù)據(jù)。 MD5 使用檔案的內(nèi)容產(chǎn)生一個(gè) 128 位加解密摘要值。 AIX 有許多工具可來(lái)作一致性檢查，幫助管理者追蹤系統(tǒng)的改變，其通常可檢查目前系統(tǒng)與原始系統(tǒng)間的狀態(tài)改變。 操作結(jié)果： 限制意義不明確的命令自動(dòng)執(zhí)行。 建議操作： 在系統(tǒng)范圍內(nèi)檢查 setuid 和 setgid 程序，評(píng)估其使用，限制無(wú)意義的此類(lèi)程序使用?？梢圆榭? /var/adm/sulog 文件做到這一點(diǎn)。 建議操作： 要鎖定終端，請(qǐng)使用 lock 命令。缺省情況下， CDE 登錄屏幕也顯示主機(jī)名和操作系統(tǒng)版本。 檢測(cè)內(nèi)容： 要使得較難通過(guò)猜測(cè)密碼來(lái)攻擊系統(tǒng)，請(qǐng)?jiān)? /etc/security/ 文件中如下所示設(shè)置登錄控制： /etc/security/ 文件的“屬性”及“建議值”。通過(guò) env檢查用戶(hù)環(huán)境變量的設(shè)定。如果指定了全路徑名，將忽略 PATH 環(huán)境變量。 該變量應(yīng)該清楚的定義出使用者是用什么系統(tǒng)，及是使用哪些目錄。系統(tǒng)安全性可能被惡意的或有缺陷的代碼輕易破壞。 建議操作： 您可以編輯 /etc/security/user 文件，使之包含您要用 來(lái)管理用戶(hù)密碼的任何缺省值。 屬性 描述 推薦值 缺省值 最大值 dictionlist 驗(yàn)證密碼不包含標(biāo)準(zhǔn) UNIX 單詞 /usr/share/dict/words 不適用 不適用 histexpire 密碼可重新使用前的星期數(shù) 26 0 260 histsize 可允許的 密碼重復(fù)次數(shù) 20 0 50 maxage 必須更改密碼前的最大星期數(shù) 8 0 52 maxexpired 超過(guò) maxage 后可由用戶(hù)更改到期密碼的最大星期數(shù)。 設(shè)置推薦的密碼選項(xiàng) 編號(hào)： 6012 名稱(chēng)： 推薦的密碼選項(xiàng) 重要等級(jí)： 高 基本信息： 恰當(dāng)?shù)拿艽a管理只有通過(guò)用戶(hù)來(lái)實(shí)現(xiàn)。然而，在分布式環(huán)境中，要確保每個(gè)系統(tǒng)都有相同的 /etc/passwd 文件不是件容易的事情。 操作結(jié)