【正文】 檢測(cè)內(nèi)容： TFTP 是允許使用者以 nobody 的身份，未經(jīng)過(guò)授權(quán)地的存取系統(tǒng)。 操作結(jié)果： 避免無(wú)意義和有潛在危險(xiǎn)的命令運(yùn)行。 若有啟動(dòng)下列任何相關(guān)服務(wù)時(shí)， 應(yīng)該套用在此文件中所提到的設(shè)定準(zhǔn)則， 使得它成為更安全的服務(wù)。 然后以手動(dòng)方式來(lái)停止相關(guān)的服務(wù)程序。 /etc/ 編號(hào)： 6039 名稱： 文件 重要等級(jí)： 高 基本信息： 為持續(xù)執(zhí)行的 (longrunning) TCP/IP 服務(wù)程序的起動(dòng)命令集，它通常使用 System Resource Controller (SRC)。 建議操作： 檢查對(duì)應(yīng)的 NFS 配置文件和 NIS 配置。確保授權(quán)的主機(jī)和用戶才能訪問(wèn)本地的 NFS 系統(tǒng)。 操作結(jié)果： 禁止不安全和不必要的程序?qū)ν馓峁┓?wù)。 建議操作： 打上注釋符號(hào)， 來(lái)使這些不安全或不需要的服務(wù) 失效。 檢測(cè)內(nèi)容： 含有所有相關(guān)會(huì)生效的網(wǎng)絡(luò)服務(wù) (id)的命令集 (not provided by long running daemons)。 操作結(jié)果： 減少潛在的危險(xiǎn)。確定其意義。 手動(dòng)地停止相關(guān)的 daemons。 檢測(cè)內(nèi)容： 含有全部各種的起動(dòng)命令集， 如 和 會(huì)在系統(tǒng)起動(dòng)時(shí)執(zhí)行。 操 作結(jié)果： 避免無(wú)關(guān)的程序在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。 檢測(cè)內(nèi)容： 檢查 /etc/inittab 文件，明確個(gè)啟動(dòng)項(xiàng)的意義。 則不建議直接刪除其執(zhí)行檔。 而 NFS 和 NIS 就是一個(gè)典型的例子。 3 關(guān)閉不必要的服務(wù) 系統(tǒng)起動(dòng)命令集 (StartupScript) 編號(hào)： 6035 名稱： 系統(tǒng)啟動(dòng)命令集 重要等級(jí)： 高 基本信息： 系統(tǒng)啟動(dòng)時(shí)，若含有不必要或不安全的 網(wǎng)絡(luò)服務(wù)， 應(yīng)該停止使用(Disable)。 建議操作： 設(shè)置一個(gè)合理的 TIMEOUT 環(huán)境變量值。可以利用一個(gè)環(huán)境變量來(lái)設(shè)定使用該功能， 但它只能在 shell 中發(fā)生作用(例如它不會(huì)在應(yīng)用程序中發(fā)生作 用，如 Oracle)， 而該變量可以由使用者來(lái)更改。 操作結(jié)果： 限制 IP 封包的轉(zhuǎn)發(fā)。 在 AIX 版本 之后， 你可以指定操作系統(tǒng)是否接受那些經(jīng)轉(zhuǎn)送的IP， 再轉(zhuǎn)送出去至其它的機(jī)器。 建議操作： 在 AIX version 之后， 你可以指定操作系統(tǒng)是否接受那些 IP 轉(zhuǎn)送的來(lái)源。建 議關(guān)閉 IP 轉(zhuǎn)送功能。如有些文件內(nèi)含有安全資料，刪除并必須先備份。任何修改必須小心測(cè)試。 script 應(yīng)每日從 root 的 crontab 執(zhí)行，而結(jié)果必須存起來(lái)。 檢測(cè)內(nèi)容： 用 df – k來(lái)確定存放日志的文件系統(tǒng)是否有空間使用上的不 足。 清除文件及目錄 編號(hào)： 6032 名稱： 清除文件、目錄 重要等級(jí)： 中 基本信息： 為防止日志及檔案系統(tǒng)爆滿，不需要的臨時(shí)文件應(yīng)定期被清除。 建議操作： 可以在 /etc/default/cron 中設(shè)定 CRONLOG=yes。 檢測(cè)內(nèi)容： 檢查所有的 cron 任務(wù)， 讀取 每一個(gè)系統(tǒng)帳戶中的 cron 文件/var/spool/cron/crontabs。 檢查 Cron 文件 編號(hào)： 6031 名稱： 檢查 cron 文件 重要等級(jí)： 高 基本信息： CRON 是 UNIX 提供的一個(gè)定時(shí)守護(hù)程序。 在 ODM 中 ， 加入此檔的內(nèi)容 : odmadd /tmp/errlog 用下列指令測(cè)試 : errlogger testing 應(yīng)該會(huì)在 system log 中出現(xiàn)下列訊息 : Aug 24 15:07:05 nlrc093 errpt: AA8AB241 0824150798 T O OPERATOR OPERATOR NOTIFICATION 操作結(jié)果： Errpt 命令可以檢查此功能的錯(cuò)誤日志?？梢酝ㄟ^(guò)利用在 ODM 中的 error notify 的對(duì)象來(lái)完成設(shè)定?？梢酝ㄟ^(guò)其檢查到個(gè)子系統(tǒng)的軟硬件報(bào)錯(cuò)狀況和簡(jiǎn)單 Dump 數(shù)據(jù)。 操作結(jié)果： 可以在對(duì)應(yīng)的路徑下檢查系統(tǒng)和各守護(hù)程序產(chǎn)生的工 作日志。利用下列指令 ， 來(lái)初始 system log 目錄及相關(guān)檔案 : mkdir /var/log touch /var/log/syslog 若在 configuration file 中有任何更動(dòng) ， 則 syslog daemon 應(yīng)重新起動(dòng) : refresh s syslog 建議操作： 更改 /etc/ 中對(duì)于各功能的日志設(shè)定。 檢查 syslog daemon 在系統(tǒng)開(kāi)機(jī)時(shí)是否會(huì)起動(dòng)。 檢測(cè)內(nèi)容： 標(biāo) 準(zhǔn) 上 ， 系 統(tǒng) 日 志 提 供 系 統(tǒng) 最 低 記 錄 與 錯(cuò) 誤 信 息 ， 需 修 改 /etc/ 文件以得更多信息。 操作結(jié)果： 可以檢查此摘要代碼來(lái)確保文件未被纂改。 檢測(cè)內(nèi)容： 使用 md5sum 程序來(lái)生成指定文件的 md5 code，通過(guò)此方法確保文件的一致性。一旦有任一位被修改，則 MD5 Checksum 值將不同，要偽造產(chǎn)生同樣 MD5 Checksum 值是極端固難的。 MD5 使用檔案的內(nèi)容產(chǎn)生一個(gè) 128 位加解密摘要值。以防止被篡改的危險(xiǎn)。 帳戶資料 (Account information)可以利用 lsgroup 和 lsuser 命令取得。 grpck 檢驗(yàn)群組 (group)的完整性 (integrity)。 usrck – 檢驗(yàn)密碼數(shù)據(jù) (password)的完整性 (integrity)。 受信任的使用者(Trusted user)可以新增其它使用者的文件至此數(shù)據(jù)庫(kù)中，作為以后定期檢查之用。 建議操作： tcbck tcbck 程序檢查在 AIX 安裝時(shí)時(shí)所列出的文件， 其檢查包含文件的所有權(quán) (File ownership)， 群組所有權(quán) (group ownership)， 以及檔案權(quán)限位的設(shè)定 (bit settings) 和 checksum 之值。通過(guò)它以保證系統(tǒng)文件的完整性。 AIX 有許多工具可來(lái)作一致性檢查，幫助管理者追蹤系統(tǒng)的改變，其通常可檢查目前系統(tǒng)與原始系統(tǒng)間的狀態(tài)改變。 4 數(shù)據(jù)保護(hù) 完整性檢測(cè) (Integrity Checking) 編號(hào)： 6027 名稱： 完整性檢測(cè) 重要等級(jí)： 高 基本信息： 同在標(biāo)準(zhǔn)安全環(huán)境所述，維護(hù)系統(tǒng)的一致性是非常重要的。 建議操作： 使用 /etc/ 文件當(dāng)模板來(lái)修改，如要求從外部存取系統(tǒng)則應(yīng)以 IP地址或 sub 群組來(lái)加入。 Wrappers 程序?qū)⑷罩緜魉徒o syslog 程序 (syslogd)，日志的排列乃根據(jù) syslog 的架構(gòu)來(lái)決定 (通常在 /etc/)。如果權(quán)限被拒絕，則徹消聯(lián)機(jī)。 TCP Wrappers 程序用來(lái)控制存取 id 的服務(wù)，而 Portmap3 則用來(lái)限制 portmapper 或 rpcbind 的服務(wù)，如 NFS 及 NIS。這可以由指令 chmod 的 t flag 來(lái)完成 chmod +t directory_name 操作結(jié)果： 限制此類文件和目錄的存在。所有標(biāo)準(zhǔn) AIX (nonapplication 或 user specific) 目錄，除了 /tmp 之外以及少數(shù)在 /var 下的目 錄之外，應(yīng)該移除 world writable 位。 操作結(jié)果： 限制意義不明確的命令自動(dòng)執(zhí)行。 exit|logout) exit 0。ping c 5 $arg1。host $arg1 $arg2 $arg3。 then endoffile print exit 0 fi if [[ $mand = ]]。 建議操作： 限制性的 shell 類似如下 : !/bin/ksh Restricted shell. Only the specified mands can be executed. COMMANDS=host， ping， passw， exit， logout PATH=/bin:/usr/ucb:/usr/bin:/usr/sbin:/usr/user prompt=`hostname` trap 2 ignore SIGINT while true。 檢測(cè)內(nèi)容： 檢查登錄時(shí)自動(dòng)執(zhí)行的命令。 限制性的 Restricted Shell 編號(hào)： 6024 名稱： 限制性的 shell 重要等級(jí)： 高 基本信息 ： 當(dāng)使用者登入，首先系統(tǒng)環(huán)境 /etc/profile 將被執(zhí)行，其次為使用者環(huán)境 $HOME/.profile 。 建議操作： 在系統(tǒng)范圍內(nèi)檢查 setuid 和 setgid 程序，評(píng)估其使用，限制無(wú)意義的此類程序使用。 阻止?jié)撛谙到y(tǒng) crackers 的其中一個(gè)方法 是防止它們?cè)谀愕臋C(jī)器上執(zhí)行setuid 程序。 在考慮到系統(tǒng)上這些個(gè)別的程序， 使用命令 “ find / perm – 4000 – print” 來(lái)找出這些程序。 保護(hù) SUID 程序 編號(hào)： 6023 名稱： 保護(hù) SUID 程序 重要等級(jí)： 高 基本信息： 在 AIX 上許多 setuid 和 setgid 程序是只能讓 root 來(lái)使用， 或跟據(jù)其所指定的 user 或 group 才能執(zhí)行。 你可關(guān)閉 root 的登陸除了在控制臺(tái)外﹔ chuser ttys=’/dev/console’ rlogin=false root 加 root 到 /etc/ftpusers 檔來(lái)拒絕 FTP 存取 root 帳號(hào) 操作結(jié)果： 遠(yuǎn)程 root 不可存取系統(tǒng)，系統(tǒng)管理者應(yīng)只在需執(zhí)行 root 權(quán)限的功能時(shí)使用 root，然后再回復(fù)一般使用者身份。如果禁用了遠(yuǎn)程 root 登錄，而能使用 su 命令更改到 root 用戶的用戶主文件系統(tǒng)已滿，則 root 用戶可能永遠(yuǎn)無(wú)法取得對(duì)系統(tǒng)的控制。 在禁用遠(yuǎn)程 root 登錄之前，請(qǐng)檢查并準(zhǔn)備可能使系統(tǒng)管理員用非 root 用戶標(biāo)識(shí)無(wú)法登錄的情況。 建議操作： 要禁止 root 用戶遠(yuǎn)程登錄 訪問(wèn)，編輯 /etc/security/user 文件?？梢圆榭? /var/adm/sulog 文件做到這一點(diǎn)。 檢測(cè)內(nèi)容： 要避免此類攻擊，可以禁用直接訪問(wèn) root 標(biāo)識(shí)，然后要求系統(tǒng)管理員通過(guò)使用 su 命令獲取 root 權(quán)限。為了完全實(shí)現(xiàn)自動(dòng)注銷策略，必須采取權(quán)威的措施，即給用戶提供適當(dāng)?shù)? .profile 文件，阻止對(duì)這些文件的寫(xiě)訪問(wèn)權(quán)。 建議操作： 設(shè)定合理方便的 TIMEOUT 時(shí)限環(huán)境變量。 export readonly TMOUT TIMEOUT 在本例中，數(shù)字 600 是以秒為單位，它等于 10 分鐘。要這樣做，請(qǐng)編輯 /etc/security/.profile 文件，為所有用戶包含自動(dòng)注銷值，如下例所示： TMOUT=600 。這種情況使闖入者可以控制用戶的終端，從而潛在地危及系統(tǒng)的安全。 操作結(jié)果： 無(wú)人照管的終端被 Lock，未經(jīng)授權(quán)者無(wú)法用于登錄。 建議操作： 要鎖定終端，請(qǐng)使用 lock 命令。通常，任何時(shí)候用戶離開(kāi)他們的終端時(shí)都應(yīng)該注銷。 檢測(cè)內(nèi)容： 如果終端處于登錄狀態(tài)卻無(wú)人照管，那么所有的系統(tǒng)都是脆弱的。 操作結(jié)果： 防止窮舉法攻擊者的多次等錄嘗試。 檢測(cè)內(nèi)容： 在設(shè)定了此類屬性后，未授權(quán)者無(wú)法反復(fù)嘗試登錄。 操作結(jié)果： 確保系統(tǒng)信息不會(huì)無(wú)意中暴露給無(wú)關(guān)人員。 建議操作： 將登錄時(shí)提供的多余信息剔除。 示 例 中 ， 假 定 $LANG 設(shè) 置 為 C ， 將 該 文 件 復(fù) 制 到 /etc/dt/config/C/Xresources 目 錄 中 。缺省情況下， CDE 登錄屏幕也顯示主機(jī)名和操作系統(tǒng)版本。 更改公共桌面環(huán)境的登錄屏幕 編號(hào)： 6018 名稱： 更改 CDE 的登陸屏幕 重要等級(jí)： 中 基本信息： X登錄方式包括多種，其中在 AIX 環(huán)境中 CDE 使用最為普遍。 建議操作： 以下示例用 chsec 命令更改缺省的 herald 參數(shù)： chsec f /etc/security/ a default herald Unauthorized use of this system is prohibited.\n\nlogin: 要直接編輯文件，請(qǐng)打開(kāi) /etc/security/ 文件并更新 herald 參數(shù)如下： 缺省值： herald =禁止未授權(quán)使用本系統(tǒng) \n\n登錄： sak_enable = fals