【正文】 e logintimes = logindisable = 0 logininterval = 0 loginreenable = 0 logindelay = 0 注 : 要使得該系統(tǒng)更安全 ， 請(qǐng)將 logindisable 和 logindelay 變量的值設(shè)置為大于 0（ 0） 。缺省的 herald 包含隨登錄提示一起顯示的歡迎消息。 這些端口限制主要在已連接的串行終端上發(fā)揮作用，而不是在網(wǎng)絡(luò)登錄使用的偽終端上。 logindelay Y Y 5 在兩次出現(xiàn)登錄提示之間的以秒為單位的時(shí)間間隔。 logininterval N Y 60 在 60 秒內(nèi)進(jìn)行了指定的無(wú)效嘗試后，禁用終端。 logintimes N Y 在此處指定允許登錄的次數(shù)。 檢測(cè)內(nèi)容： 要使得較難通過(guò)猜測(cè)密碼來(lái)攻擊系統(tǒng)，請(qǐng)?jiān)? /etc/security/ 文件中如下所示設(shè)置登錄控制： /etc/security/ 文件的“屬性”及“建議值”。通過(guò)不停的猜測(cè)密碼，理論上可以突破任何系統(tǒng)。 操作結(jié)果： 停用用戶的登錄被確保受到了限制。 建議操作： 最新版本的 noshell 可用 anonymous ftp 從下列地址得到： 如果 noshell 被使用，而有攻擊者持續(xù)嘗試被停用的帳戶密碼來(lái)激活使用者的 shell，則 noshell 將被執(zhí)行且結(jié)束此使用者的訪問(wèn)。 檢測(cè)內(nèi)容： 請(qǐng)合理設(shè)定 /etc/passwd 中關(guān)于用戶等錄初始化程序的設(shè)定字段。通常登陸的 shell 執(zhí)行程序是 /bin/false，但 /bin/false 并非總是程序，事實(shí)上，它可能是一個(gè) shell script ，而使用 shell script 將使系統(tǒng)置于風(fēng)險(xiǎn)中。 使用 Noshell 編號(hào)： 6015 名稱： 使用 noshell 重要等級(jí)： 高 基本信息： 從過(guò)去歷史來(lái)看，當(dāng)一帳號(hào)被 停用，此帳戶的登陸 shell 將截取任何登陸并結(jié)束，而不作任何進(jìn)一步行動(dòng)。 操作結(jié)果： 確保用戶基本設(shè)定文件和變量的有效性。通過(guò) env檢查用戶環(huán)境變量的設(shè)定。 建議操作： 參考前面設(shè)定用戶屬性一節(jié)。 保護(hù)輸入字段分隔符（ IFS）環(huán) 境變量以免在 /etc/profile 文件中更改。系統(tǒng)管理員應(yīng)當(dāng)作為 root 用戶或最好使用他們自己的標(biāo)識(shí)登錄到用戶的機(jī)器，然后使用以下命令： /usr/bin/su root 這確保在會(huì)話過(guò)程中使用 root 環(huán)境。 系統(tǒng)管理員不應(yīng)使用 su 命令從用戶會(huì)話中取得 root 用戶特權(quán)，因?yàn)樵? .profile 文件中指定的該用戶 PATH 值是有效的。否則，可信的用戶可能做出更改允許無(wú)意識(shí)的訪問(wèn)。通常，/etc/profile 中的規(guī)范列出了對(duì)于所有用戶的最少標(biāo)準(zhǔn)，然而 root 用戶可能需要比缺省值更多或更少的目錄。切勿允許在 /etc/profile 中指定當(dāng)前目錄。如果指定了全路徑名，將忽略 PATH 環(huán)境變量。在這種情況下，任何使用 su 命令的 root 用戶將暴露 root 密碼，而且自己甚至還未意識(shí)到。然后該用戶在 /tmp 目錄中放置一個(gè)稱為 su 的程序，該程序就象 su 命令一樣要求 root 密碼。電子欺騙程序（也稱為特洛伊木馬程序）更換了系統(tǒng)命令，然后捕獲給該命令的信息，例如用戶密碼。 .profile 文件中的 PATH 值可以將系統(tǒng)范圍 PATH 值覆蓋，或向它添加額外的目錄。它指定搜索 的目錄來(lái)查找命令。使用者的帳戶信息應(yīng)該保密且不該被公開(kāi)。 每個(gè)使用者應(yīng)該有一個(gè)唯一的 UID。 該變量應(yīng)該清楚的定義出使用者是用什么系統(tǒng)，及是使用哪些目錄。 對(duì)一般使用者來(lái)說(shuō)， 指那些可以被其它一般使用者有寫入權(quán)限的目錄。 請(qǐng)確定 root 擁有一個(gè)安全的搜尋路徑 ， 如 : /usr/bin:/sbin:/usr/sbin 若針對(duì) PATH 變量 ， 有額外的修改 ， 請(qǐng)遵循下列建議步驟。 而 umask 設(shè)定為 077 可以確認(rèn)使用者的 home directories 只可以被該使用者來(lái)存取。 創(chuàng)建新的帳戶時(shí) ， 使用者的 home directory 是屬于該使用者 ， 而且目錄的群組會(huì)設(shè)定為使用者的 primary group。 檢測(cè)內(nèi)容： 若審計(jì)系統(tǒng) (audit subsystem)啟用的話， 在 user 和 admin 段落中加入一行， 來(lái)設(shè)定新使用者的 auditclasses: auditclasses = user， config， mail， chcron， SRC， chtcpip AIX 中創(chuàng)建新的帳戶時(shí)， 一個(gè)基本示例文件 /etc/profile 會(huì)被復(fù)制到該使用者的 home directory ， 它的文件名為 .profile。 3 訪問(wèn)控制 保護(hù)使用者環(huán)境設(shè)定 (User Configurations) 編號(hào)： 6014 名稱： 保護(hù)使用者環(huán)境設(shè)定 重要等級(jí)： 中 基本信息： 在 /usr/lib/security/ 文件中包含創(chuàng)建帳戶的預(yù)設(shè)參數(shù)， 如使用者的主要群組 (primary group)。 請(qǐng)參考 AIX 程序設(shè)計(jì) 參考。系統(tǒng)安全性可能被惡意的或有缺陷的代碼輕易破壞。請(qǐng)謹(jǐn)慎對(duì)待擴(kuò)展密碼設(shè)置限制。 檢測(cè)內(nèi)容： 《 AIX 5L 技術(shù)參考大全》 包含對(duì) pwdrestrict_method 的描述， 它是指定的密碼限制方法必須符合的子例程接口。通過(guò)添加方法（在更改密碼過(guò)程中調(diào)用）來(lái)擴(kuò)展限制。增大入侵者猜測(cè)密碼的難度。 操作結(jié)果： 系統(tǒng)密碼設(shè)定和組成策略得到保證 。要顯示屬性和它們的值，請(qǐng)使用 lsuser 命令。 其它可以與該文件一起使用的命令有 mkuser、 lsuser 和 rmuser 命令。 建議操作： 您可以編輯 /etc/security/user 文件，使之包含您要用 來(lái)管理用戶密碼的任何缺省值。 如果 histexpire 屬性的值和 histsize 屬性的值都設(shè)置了，則系統(tǒng)保留適用于兩種情況所需的密碼個(gè)數(shù)，最多達(dá)系統(tǒng)所限制的每個(gè)用戶 50 個(gè)密碼。 minalpha 屬性的值加上 minother 屬性的值決不能大于 8。 系統(tǒng)中密碼的最小長(zhǎng)度由 minlen 屬性的值或 minalpha 屬性的值中的較大者加上 minother 屬性來(lái)設(shè)置。在這種情況下，管理員可以設(shè)置 minother 屬性為 0。 對(duì)于受控訪問(wèn)保護(hù)概要文件和評(píng)定保證級(jí)別 4+（ CAPP/EAL4+）系統(tǒng)，請(qǐng)使用用戶 與端口配置中推薦的值。 0 0 52 minalpha 密碼必須包含字母字符的最小數(shù)目 2 0 8 mindiff 密碼必 須包含唯一字符的最小數(shù)目 4 0 8 minlen 密碼長(zhǎng)度的最小值 6（對(duì) root 用戶是 8） 0 8 minother 密碼必須包含非字母字符的最小數(shù)目 2 0 8 pwdwarntime 系統(tǒng)發(fā)出要求更改密碼警告前的天數(shù) 5 不適用 不適用 pwdchecks 通過(guò)使用一個(gè)檢查密碼質(zhì)量的定制代碼，該項(xiàng)可用來(lái)增強(qiáng) passwd 命令。） 2 1 52 maxrepeats 在密碼中可重復(fù)字符的最大數(shù)目 2 8 8 minage 密碼可被更改前的最小星期數(shù)。 屬性 描述 推薦值 缺省值 最大值 dictionlist 驗(yàn)證密碼不包含標(biāo)準(zhǔn) UNIX 單詞 /usr/share/dict/words 不適用 不適用 histexpire 密碼可重新使用前的星期數(shù) 26 0 260 histsize 可允許的 密碼重復(fù)次數(shù) 20 0 50 maxage 必須更改密碼前的最大星期數(shù) 8 0 52 maxexpired 超過(guò) maxage 后可由用戶更改到期密碼的最大星期數(shù)。簡(jiǎn)單的密碼限制結(jié)合合理的指導(dǎo)和偶爾的審查（以驗(yàn)證當(dāng)前密碼是否唯一）是最好的策略。過(guò)于限制的嘗試，例如限制密碼空間（這將使猜測(cè)密碼更容易），或強(qiáng)制用戶選擇難以記憶的密碼（用 戶可能選擇會(huì)寫下密碼），都會(huì)危及密碼安全性。這樣，本地站點(diǎn)策略可添加到操作系統(tǒng)，并由操作系統(tǒng)執(zhí)行該策略。 管理員還可以擴(kuò)展密碼限制。通過(guò)在 /etc/security/user 文件的缺省節(jié)中保存限制，對(duì)所有用戶執(zhí)行相同限制。每當(dāng)為用戶定義新密碼時(shí)，這些限制就會(huì)執(zhí)行。它們?cè)试S管理員限制用戶選擇的密碼，并強(qiáng)制定期更改密碼。 設(shè)置推薦的密碼選項(xiàng) 編號(hào)： 6012 名稱： 推薦的密碼選項(xiàng) 重要等級(jí)： 高 基本信息： 恰當(dāng)?shù)拿艽a管理只有通過(guò)用戶來(lái)實(shí)現(xiàn)。保存密碼的一個(gè) 更有效的方法是設(shè)置 Kerberos。{print $6}39。該文件未進(jìn)行加密或加密保護(hù)，這樣它的內(nèi)容象純文本一樣清楚顯示。 檢測(cè)內(nèi)容： 為了達(dá)到更高級(jí)別的安全性，請(qǐng)確保用戶標(biāo)識(shí)和密碼在系統(tǒng)內(nèi)是不可見(jiàn)的。因此在各個(gè)客戶端上實(shí)現(xiàn)統(tǒng)一透明的登錄過(guò)程。 建議操作： 將網(wǎng)絡(luò)范圍內(nèi)的用戶認(rèn)證數(shù)據(jù)機(jī)中存放到 NIS 主服務(wù)器上，并發(fā)布到個(gè)從服務(wù)器上，用戶等錄通過(guò) NIS 客戶端的支持完成。 檢測(cè)內(nèi)容： 確定 ypserv 和 yppasswd 等守護(hù)程序的正常運(yùn)行。然而，在分布式環(huán)境中，要確保每個(gè)系統(tǒng)都有相同的 /etc/passwd 文件不是件容易的事情。 使用 /etc/passwd 文件和網(wǎng)絡(luò)環(huán)境 編號(hào)： 6010 名稱： 網(wǎng)絡(luò)環(huán)境 重要等級(jí)： 高 基本信息： 在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，用戶必須在每個(gè)系統(tǒng)中有一個(gè)帳戶才能獲得對(duì)該系統(tǒng)的訪問(wèn)權(quán)。 pwdck 命令通過(guò)檢查全部用戶或指定用戶的定義來(lái)驗(yàn)證用戶數(shù)據(jù)庫(kù)文件中密碼信息的正確性。 guest: password = * nobody: password = * lpd: password = * paul: password = eacVScDKri4s6 lastupdate = 1026394230 flags = ADMCHG 用戶標(biāo)識(shí) jdoe 在 /etc/security/passwd 文件中沒(méi)有項(xiàng)，因?yàn)樗? /etc/passwd 文件中沒(méi)有設(shè)置密碼。加密的密碼存儲(chǔ)在 /etc/security/passwd 文件中。如果用戶標(biāo)識(shí)具有密碼，則該密碼字段中會(huì)有一個(gè) !（感嘆號(hào)） 。 AIX 使用 /etc/passwd 中歸檔的密碼來(lái)表示密碼是否存在或帳戶是否被阻止。 使用 /etc/passwd 文件 編號(hào)： 6009 名稱： 使用 passwd 文件 重要等級(jí)： 高 基本信息： 傳統(tǒng)上， /etc/passwd 文件是用來(lái)記錄每個(gè)擁有系統(tǒng)訪問(wèn)權(quán)的注冊(cè)用戶。 操作結(jié)果： 用戶被限制使用強(qiáng)可靠性的密碼。該功能使用 dictionlist，它要求您首先安裝 和 文件集。:39。此外，它們可以包含特殊字符，如 ~!$%^amp。目前廣泛使用的 shadow 方式的密碼存放方式。 操作結(jié)果： 未經(jīng)授權(quán)的人員將無(wú)法訪問(wèn)系統(tǒng)基本硬件設(shè)定功能。 關(guān)閉硬盤以外其它裝置的 booting 功能，以建立一個(gè)高度安全的環(huán)境。如果不能確定系統(tǒng)是否會(huì)經(jīng)未授權(quán)的人員訪問(wèn)，請(qǐng)?jiān)O(shè)定良好的 BIOS 密碼以阻止其對(duì)系統(tǒng)基本設(shè)置的訪問(wèn)。在系統(tǒng)投入生產(chǎn)之前，對(duì)可用的用戶、組標(biāo)識(shí)進(jìn)行徹底地檢查。 操作結(jié)果： 分析您的系統(tǒng)以確定哪些用戶、組標(biāo)識(shí)確實(shí)是不需要的。 lpd 打印子系統(tǒng)所使用文件的所有者 guest 允許那些無(wú)權(quán)訪問(wèn)帳戶的用戶訪問(wèn) 可能不需要的公共組標(biāo)識(shí)： uucp uucp 和 nuucp 用戶所屬的組 printq lpd 用戶所屬的組 建議操作： 分析 /etc/passwd， /etc/group 中列出的用戶和組，確定其意義。 檢測(cè)內(nèi)容： 您可能能夠除去的公共缺省用戶標(biāo)識(shí)： uucp, nuucp uucp 協(xié)議所 用的隱藏文件的所有者。根據(jù)您在系統(tǒng)上運(yùn)行的應(yīng)用程序和系統(tǒng)在網(wǎng)絡(luò)中所處的位置，其中某些用戶和組標(biāo)識(shí)可能成為安全弱點(diǎn)，容易被人利用。 因此，我們建議，除了 guest user，不要移除其它系統(tǒng)帳戶信息。假如該帳戶不存在，則安 裝可能會(huì)失敗， 并造成更新程序在一個(gè)“未定義”或“ broken” 狀態(tài)。這些 ID 是 : daemon Owner of the system daemons bin Owner of the system executable files sys Owner of system devices adm Owner of system accounting utilities uucp Owner of UNIXtoUNIX Copy Program nuucp For UUCP lpd Owner of printer spooler utility guest Guest ac