【導讀】賬戶是用戶訪問系統(tǒng)的基本憑證。系統(tǒng)通過檢測用戶所擁有的帳戶來識別。用戶的身份，并以此決定用戶的操作權限，同時也產生諸如審計之類的動作。一般帳戶不應該有多余的管理權限，此為AIX默認值且不該被更改；只有特定的授權帳戶可用來檢查使用者狀態(tài)。為防止入侵者存取非公開系。統(tǒng)資料，用戶狀態(tài)資料僅可由特定帳戶取得。檢查登陸的帳戶；只有特定的授權帳戶可用來打印所有群組信息、鎖定或未鎖定的帳戶。使用，一般用戶不可存取此類功能。的授權應保持最低權限；系統(tǒng)提供的管理命令，如passwd、umask等，設定權責明確的用戶和用戶組。組是對共享的資源同一訪問許可權的用戶的集合。由組成員和管理員組成。組的創(chuàng)建者通常就是第一管理員。所有的安全防護措施和。一般情況下，不要將任何用戶標識的admin參數設置為true。設定，確定各個用戶存在的目的，避免存在無意義的用戶和組。檢查密碼字段，防止無密碼。限制某些帳戶進入物理安全區(qū)域。

　　

【正文】 tegrity)。 pwdck 檢驗密碼的完整性 (integrity)。 帳戶資料 (Account information)可以利用 lsgroup 和 lsuser 命令取得。 操作結果： 系統(tǒng)文件和用戶 文件可以得益于此功能。以防止被篡改的危險。 使用 MD5 Checksum 檢查一致性 編號： 6028 名稱： MD5檢查一致性 重要等級： 高 基本信息： 建議使用 MD5 Checksum 來確保“更新程序”或任何“變動程序”未被修改過。 MD5 使用檔案的內容產生一個 128 位加解密摘要值。此值被認定如高可信度般的指紋可用來檢查檔案內容的一致性。一旦有任一位被修改，則 MD5 Checksum 值將不同，要偽造產生同樣 MD5 Checksum 值是極端固難的。 原始程序代碼及其它信息可用 FTP 從 取得。 檢測內容： 使用 md5sum 程序來生成指定文件的 md5 code，通過此方法確保文件的一致性。 建議操作： 使用 md5sum filename來產生文件的 md5 摘要代碼。 操作結果： 可以檢查此摘要代碼來確保文件未被纂改。 5 安全事件記錄 加強系統(tǒng)日志 編號： 6029 名稱： 加強系統(tǒng)日志 重要等級： 高 基本信息： Syslog是 UNIX 系統(tǒng)提供給用戶最基本的日志審計功能。 檢測內容： 標 準 上 ， 系 統(tǒng) 日 志 提 供 系 統(tǒng) 最 低 記 錄 與 錯 誤 信 息 ， 需 修 改 /etc/ 文件以得更多信息。用 root 設置 下列 : *.debug /var/log/syslog 為了記錄的目標 ， 應啟用 syslog daemon， 并且任何在 configuration file所指定的 log files 應該是存在于系統(tǒng)上。 檢查 syslog daemon 在系統(tǒng)開機時是否會起動。在 /etc/ 檔案中不可以把起動 syslog daemon 的命令行給打上批注符號。利用下列指令 ， 來初始 system log 目錄及相關檔案 : mkdir /var/log touch /var/log/syslog 若在 configuration file 中有任何更動 ， 則 syslog daemon 應重新起動 : refresh s syslog 建議操作： 更改 /etc/ 中對于各功能的日志設定。將日志按類別存放到合適的目錄中。 操作結果： 可以在對應的路徑下檢查系統(tǒng)和各守護程序產生的工 作日志。 系統(tǒng)錯誤日志工具 (Systems Error Log) 編號： 6030 名稱： 錯誤日志工具 重要等級： 高 基本信息： AIX 提供的錯誤日志工具?？梢酝ㄟ^其檢查到個子系統(tǒng)的軟硬件報錯狀況和簡單 Dump 數據。 檢測內容： The AIX error log 工具程序，可以在 system log 中記錄它自己的信息。可以通過利用在 ODM 中的 error notify 的對象來完成設定。 建議操作： 建立一個臨時文件 (例如 /tmp/errlog) ， 然后輸入下列 : errnotify: en_pid = 0 en_name = syslog en_persistenceflg = 1 en_label = en_crcid = 0 en_class = en_type = en_alertflg = en_resource = en_rtype = en_rclass = en_method = /usr/bin/errpt l $1 /usr/bin/tail 1 /usr/bin/logger t errpt p 請注意 : errpt 參數是 L 而副參數是 1。 在 ODM 中 ， 加入此檔的內容 : odmadd /tmp/errlog 用下列指令測試 : errlogger testing 應該會在 system log 中出現下列訊息 : Aug 24 15:07:05 nlrc093 errpt: AA8AB241 0824150798 T O OPERATOR OPERATOR NOTIFICATION 操作結果： Errpt 命令可以檢查此功能的錯誤日志。用戶可以通過它了解系統(tǒng)狀況。 檢查 Cron 文件 編號： 6031 名稱： 檢查 cron 文件 重要等級： 高 基本信息： CRON 是 UNIX 提供的一個定時守護程序?？梢园凑沼脩粢笸瓿梢恍┒〞r任務。 檢測內容： 檢查所有的 cron 任務， 讀取 每一個系統(tǒng)帳戶中的 cron 文件/var/spool/cron/crontabs。并且考慮對所有的 cron 事件記錄。 建議操作： 可以在 /etc/default/cron 中設定 CRONLOG=yes。 操作結果： 執(zhí)行對應的 CRON 命令，避免無意義的 CRON 任務的執(zhí)行。 清除文件及目錄 編號： 6032 名稱： 清除文件、目錄 重要等級： 中 基本信息： 為防止日志及檔案系統(tǒng)爆滿，不需要的臨時文件應定期被清除。這可能影響到一些相關的安全文件，如果 /var 滿了，包含安全信息的日志將不再繼續(xù)記錄，從而破壞則不被注意到。 檢測內容： 用 df – k來確定存放日志的文件系統(tǒng)是否有空間使用上的不 足。 建議操作： 包含可讀信息的臨時文件應被搬走或壓縮，無自動方式可作此，故以手動兩步驟來進行 ： 確保知道暫時檔將被清除 執(zhí)行日常 script 來搬移 此 script 應刪除如 /tmp 、 /var/spool/qftp 或使用者暫時文件如 。 script 應每日從 root 的 crontab 執(zhí)行，而結果必須存起來。檢測結果，如果有需要，修改它，但需小心，因其具 root 權限。任何修改必須小心測試。以 root 登入，修改 crontabs (crontabs – e) 并修改 script 內常如下 : 0 3 * * * /usr/sbin/skulker /tmp/ 操作結果： 必需周期的檢查、移除或修改此文件以防過度增大。如有些文件內含有安全資料，刪除并必須先備份。 6 網絡服務設定 1 防止 IP 轉送及主機欺騙 (Host Spoofing) 編號： 6033 名稱： 防止主機欺騙 重要等級： 高 基本信息： 幾乎任何使用 IP 為網絡的機器有轉送封包的能力，此讓惡意使用者藉你的機器轉送封包到內部網絡或其它安全但信任你機器的系統(tǒng)。建 議關閉 IP 轉送功能。 檢測內容： 確定系統(tǒng)的工作范圍，防止未做 Router 或 Gateway 的主機行使此類功能。 建議操作： 在 AIX version 之后， 你可以指定操作系統(tǒng)是否接受那些 IP 轉送的來源。利用下面命令，設定 防止接受 IP 轉送的功能 : no o ipsrcrouterecv=0 當重新開機之后， 必需重復該指令。 在 AIX 版本 之后， 你可以指定操作系統(tǒng)是否接受那些經轉送的IP， 再轉送出去至其它的機器。 利用下面命令，設定防止 IP 轉送的功能 : no o ipsrcrouteforward=0 no o ip6srcrouteforward=0 當重新開機之后， 必需重復該指令。 操作結果： 限制 IP 封包的轉發(fā)。 2 設定閑置 (Inactive)的 Timeout 值 編號： 6034 名稱： 設置超時值 重要等級： 中 基本信息： 默認的， AIX 并不會在經過一個閑置時間之后， 自動強迫使用者注銷?？梢岳靡粋€環(huán)境變量來設定使用該功能， 但它只能在 shell 中發(fā)生作用(例如它不會在應用程序中發(fā)生作 用，如 Oracle)， 而該變量可以由使用者來更改。 檢測內容： 在 Korn shell 中， 是使用 TMOUT 變量， 在 Bourne shell 中，是使用TIMEOUT 變量。 建議操作： 設置一個合理的 TIMEOUT 環(huán)境變量值。 操作結果： 一定時間未操作后，用戶被強制 logout。 3 關閉不必要的服務 系統(tǒng)起動命令集 (StartupScript) 編號： 6035 名稱： 系統(tǒng)啟動命令集 重要等級： 高 基本信息： 系統(tǒng)啟動時，若含有不必要或不安全的 網絡服務， 應該停止使用(Disable)。 若一些非受信任或不必要的服務是被包裝成一個與 AIX獨立的程序集， 則應移除它， 如同在 “移除多余的組件”中所提示。 而 NFS 和 NIS 就是一個典型的例子。 若一些非受信任或不必要的服務， 不是被包裝成一個與 AIX 獨立的程序集。 則不建議直接刪除其執(zhí)行檔。 反之，應停止使用它， 在系統(tǒng)起動命令集中， 利用批注符號， 來使它失效。 檢測內容： 檢查 /etc/inittab 文件，明確個啟動項的意義。 建議操作： 刪除無關的項目。 操 作結果： 避免無關的程序在系統(tǒng)啟動時運行。 /etc/inittab 編號： 6036 名稱： Inittab 文件 重要等級： 高 基本信息： /etc/inittab 會在系統(tǒng)啟動時運行，它同時會調用其他一些啟動腳本來完成啟動時的任務。 檢測內容： 含有全部各種的起動命令集， 如 和 會在系統(tǒng)起動時執(zhí)行。 應移除不必要的命令集。 手動地停止相關的 daemons。 建議操作： 檢查所有相關的腳本。確定其意義。刪除有潛在危害的命 令。 操作結果： 減少潛在的危險。 /etc/ 編號： 6037 名稱： 文件 重要等級： 高 基本信息： /etc/ 確定 id 守護程序提供的對外服務。 檢測內容： 含有所有相關會生效的網絡服務 (id)的命令集 (not provided by long running daemons)。 每一項目會列出哪些網絡服務以及所執(zhí)行的系統(tǒng)命令。 建議操作： 打上注釋符號， 來使這些不安全或不需要的服務 失效。 在變更這檔案之后， 執(zhí)行 refresh s id ， 讓系統(tǒng)變更生效。 操作結果： 禁止不安全和不必要的程序對外提供服務。 /etc/ 編號： 6038 名稱： 文件 重要等級： 中 基本信息： NFS and NIS 起動執(zhí)行命令文件 檢測內容： 檢查 NFS 文件系統(tǒng)對外提供服務的規(guī)劃。確保授權的主機和用戶才能訪問本地的 NFS 系統(tǒng)。 檢查 NIS 啟動命令，確保 NIS 主機的配置正確。 建議操作： 檢查對應的 NFS 配置文件和 NIS 配置。 操作結果： 確保此腳本中沒有無關的啟動命令存在。 /etc/ 編號： 6039 名稱： 文件 重要等級： 高 基本信息： 為持續(xù)執(zhí)行的 (longrunning) TCP/IP 服務程序的起動命令集，它通常使用 System Resource Controller (SRC)。 檢測內容： 打上注釋符號， 來使這些不安全或不需要的服務失效。 然后以手動方式來停止相關的服務程序。 某些網絡服務程序是非常不安全的，而且應避免使用， 例如 :: NIS/yp (inittab / ) pfsd () rexd ( rstatd () rwalld () rwhod () shell () login () 所有其它的網絡服務程序，應該只啟動其運作所需要的相關服務。 若有啟動下列任何相關服務時， 應該套用在此文件中所提到的設定準則， 使得它成為更安全的服務。 Sendmail () X (user initiated) NFS (inittab / ) DNS () ftp () tftp () snmp () finger () 建議操作： 刪除無關的啟動命令。 操作結果： 避免無意義和有潛在危險的命令運行。 停用 TFTP 編號： 6040 名稱： 停用 TFTP 重要等級： 高 基本信息： 提供可選的 FTP 服務。 檢測內容： TFTP 是允許使用者以 nobody 的身份，未經過授權地的存取系統(tǒng)。它應該停用，除非被利用來加載 XWINDOW 系統(tǒng)，在這種情形下，它應該