【正文】 count nobody used by NFS 并不建議移除所有無(wú)用的帳戶，如 : uucp， nuucp， lpd， guest， and nobody 等。 AIX 內(nèi)含一些使用者 ID ，而其密碼是無(wú)效的 ( password (*) )。有關(guān) ACL 和開(kāi)發(fā)安全性策略的信息，請(qǐng)參閱訪問(wèn)控制。 使用訪問(wèn)控制表增強(qiáng)用戶安全性 編號(hào)： 6005 名稱(chēng)： 訪問(wèn)控制列表 重要等級(jí)： 高 基本信息： 要在系統(tǒng)上取得安全性的相應(yīng)水平，要開(kāi)發(fā)一個(gè)一致的安全性策略來(lái)管理用戶帳戶。在登錄后使用id或 whoami 命令檢查自己的身份標(biāo)識(shí)。 檢測(cè)內(nèi)容： 請(qǐng)參考 /etc/passwd 和 /etc/group 文件，用戶在登錄后，系統(tǒng)通過(guò)在該文件中的記錄，將用戶標(biāo)示為對(duì)應(yīng)的 UID 和 GID，并以此確定其在系統(tǒng)的身份和權(quán)限。這些標(biāo)記提供 登錄用戶標(biāo)識(shí)執(zhí)行的所有活動(dòng)的蹤跡。在用戶登錄系統(tǒng)后，初始用戶程序運(yùn)行前，系統(tǒng)將進(jìn)程的登錄標(biāo)識(shí)設(shè)置為在用戶數(shù)據(jù)庫(kù)中找到的用戶標(biāo)識(shí)。 登錄用戶標(biāo)識(shí) 編號(hào)： 6004 名稱(chēng)： 登陸用戶標(biāo)識(shí) 重要等級(jí)： 中 基本信息： 操作系統(tǒng)通過(guò)用戶的登錄用戶標(biāo)識(shí)來(lái)識(shí)別他們。 操作結(jié)果： AIX 中各用戶將嚴(yán)格按照 chuser 設(shè)定的要求，允許或限制各種操作。將許多缺省值定義為標(biāo)準(zhǔn)行為。 用戶帳戶由系統(tǒng)鎖定后，用戶無(wú)法登錄直到系統(tǒng)管理員重新設(shè)置該用戶在 /etc/security/lastlog 文件中的 unsuccessful_login_count 屬性值小于登錄重試值。只有修改 /etc/security/user 和 /etc/securtiy/limits 文件中的 default 節(jié)中的缺省值的設(shè)置和審計(jì)類(lèi)必須在 文件中指定。 建議操作： 所有的用戶屬性在 /etc/security/user、 /etc/security/limits、/etc/security/audit/config 和 /etc/security/lastlog 文件中定義。失敗的嘗試記錄在 /etc/security/lastlog 文件中。 expires 管理 guest 帳戶；也可以用于臨時(shí)關(guān)閉帳戶。 sugroups 指定允許哪個(gè)組切換至此用戶標(biāo)識(shí)。 rlogin 指定是否允許該用戶通過(guò)使用 rlogin 或 tel 登錄。 registry 指定用戶注冊(cè)表。 logintimes 限制用戶何時(shí)可以登錄。它也限制對(duì) cron 和 at 設(shè)備的使用。典型地，將它設(shè)置為 NONE。 auth2 按 auth1 指定的對(duì)用戶進(jìn)行認(rèn)證后運(yùn)行的方法。 auth1 用于授權(quán)用戶訪問(wèn)的認(rèn)證方法。 admgroups 列出此用戶具有管理權(quán)限的組。 admin 如果設(shè)置為 true，則該用戶無(wú)法更改密碼。這些屬性可以通過(guò)使用 chuser 命令來(lái)修改。 用戶帳戶控制 編號(hào)： 6003 名稱(chēng)： 用 戶帳戶控制 重要等級(jí)： 高 基本信息： 每個(gè)用戶帳戶有一組相關(guān)屬性。檢查用戶屬性，避免不合理的用戶擁有 admin 的權(quán)限。檢查用戶 ID，避免無(wú)關(guān)用戶擁有 root 或其他管理用戶的權(quán)限。 建議操作： 檢查標(biāo)準(zhǔn) Unix 系統(tǒng)用戶、組設(shè)定文件。只有 root 用戶可以為在 /etc/security/user 文件中設(shè)置為 admin=true 的用戶更改屬性。如果在 /etc/passwd 文件中將密碼字段定義為 *（星號(hào)），雖然帳戶信息得到保存，但不能登錄到該帳戶； 不要更改系統(tǒng)正常運(yùn)行所需的由系統(tǒng)定義的用戶標(biāo)識(shí)。最好使用實(shí)際名稱(chēng)，因?yàn)榇蠖鄶?shù)電子郵件系統(tǒng)使用用戶標(biāo)識(shí)為接收的郵件標(biāo)號(hào)； 使用基于 Web 的系統(tǒng)管理工具或 SMIT 界面添加、更改和刪除用戶。 檢測(cè)內(nèi)容： 推薦以下屬性： 每個(gè)用戶應(yīng)有一個(gè)不與其它用戶共享的用戶標(biāo)識(shí)。組的創(chuàng)建者通常就是第一管理員。 組是對(duì)共享的資源同一訪問(wèn)許可權(quán)的用戶的集合。用戶的一個(gè)主要屬性是如何對(duì)他們進(jìn)行認(rèn)證。分別對(duì)它們?cè)O(shè)定嚴(yán)格的系統(tǒng)權(quán)限。應(yīng)通過(guò)權(quán)限控制管理來(lái)進(jìn)行限制，此為AIX 默認(rèn)值且不該被更改； 權(quán)限的控制管理應(yīng)在文件產(chǎn)生時(shí)即被設(shè)置，僅有文件的產(chǎn)生者能讀取、寫(xiě)入、執(zhí)行或刪除此文件，使用者的 umask 設(shè)定為僅允許文件產(chǎn)生者存取 (例外： root 用戶可存 取系統(tǒng)所有文件 )。存取所有資源不應(yīng)被允許，此為 AIX 默認(rèn)值且不該被更改； 一般用戶不可存取特定系統(tǒng)文件及命令。以用來(lái)防止非法存取系統(tǒng)，或集中攻擊有特別權(quán)限的群組，此為 AIX 默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來(lái)更改授權(quán)帳戶數(shù)目。為防止入侵者存取非公開(kāi)系統(tǒng)資料，用戶狀態(tài)資料僅可由特定帳戶取得。 檢測(cè)內(nèi)容： 只有特定的授權(quán)帳戶可用來(lái)增加用戶及群組，此為 AIX默認(rèn)值且不應(yīng)被更改； 一般帳戶不應(yīng)該有多余的管理權(quán)限，此為 AIX 默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來(lái)刪除用戶及群組、修改及打印所有帳戶資料。 AIX系統(tǒng)安全配置 1 身分識(shí)別 賬戶設(shè)定 編號(hào)： 6001 名稱(chēng)： 帳戶設(shè)定 重要等級(jí)： 高 基本信息： 賬戶是用戶訪問(wèn)系統(tǒng)的基本憑證。系統(tǒng)通過(guò)檢測(cè)用戶所擁有的帳戶來(lái)識(shí)別用戶的身份，并以此決定用戶的操作權(quán)限，同時(shí)也產(chǎn)生諸如審計(jì)之類(lèi)的動(dòng)作。以用來(lái)防止非法存取系統(tǒng)，或集中攻 擊有特別權(quán)限的帳戶，此為 AIX默認(rèn)值且不該被更改； 只有特定的授權(quán)帳戶可用來(lái)檢查使用者狀態(tài)。這一點(diǎn)在 AIX 僅部份可行，因?yàn)槿绻褂谜哝i定，則其它使用者無(wú)法看到此使用者，但卻可使用 who 命令來(lái)檢查登陸的帳戶； 只有特定的授權(quán)帳戶可用來(lái)打印所有群組信息、鎖定或未鎖定的帳戶。太多的用戶同時(shí)使用某應(yīng)用系統(tǒng)可能影響 系統(tǒng)穩(wěn)定性，此為 AIX 默認(rèn)值且不該被更改； 系統(tǒng)管理員群組的人員不可存取所有資源，管理群組的人員應(yīng)只能存取工作上所需用的資源。系統(tǒng)命令及程序只能被特定帳戶使用，一般用戶不可存取此類(lèi)功能。 Umask 的設(shè)定控制了文件除了刪除外的權(quán)限，刪除的權(quán)限則根據(jù)文件所在目錄的權(quán)限位來(lái)決定； 最少權(quán)限機(jī)制應(yīng)被應(yīng)用，以確保應(yīng)用程序以最少權(quán)限執(zhí)行，所有應(yīng)用程序的授權(quán)應(yīng)保持最低權(quán)限； 只有特別的授權(quán)帳戶可安裝軟件或加入新設(shè)備到系統(tǒng)中，并安裝安全的更新修正程序，此為 AIX 默認(rèn)值且不該被更改； 建議操作： 按照系統(tǒng)提供的資源和計(jì)劃運(yùn)行的任務(wù)，合理規(guī)劃任務(wù)的屬主，以此利用系統(tǒng)提供的管理命令，如 passwd、 umask 等，設(shè)定權(quán)責(zé)明確的用戶和用戶組。 操作結(jié)果 ： 存取系統(tǒng)資源取決于使用者及群組的身份，使用者的權(quán)限可能多于其群組的權(quán)限； 推薦用戶屬性 編號(hào)： 6002 名稱(chēng)： 推薦用戶屬性 重要等級(jí)： 高 基本信息： 用戶是系統(tǒng)的主要組成元素。其屬性控制他們的訪問(wèn)權(quán)、環(huán)境、如何對(duì)他們進(jìn)行認(rèn)證以及如何、何時(shí)、在哪里可以訪問(wèn)他們的帳戶。一個(gè)組有一個(gè)標(biāo)識(shí)，且由組成員和管理員組成。 可以對(duì)每個(gè)用戶帳戶設(shè)置多個(gè)屬性，包含密碼和登錄屬性 。所有的安全防護(hù)措施和工具僅在每個(gè)用戶都有唯一標(biāo)識(shí)時(shí)起作用； 為系統(tǒng)用戶指定一個(gè)對(duì)其有意義的用戶名。雖然可以通過(guò)命令行來(lái)執(zhí)行所有這些任務(wù)，但這些界面有助于減少小錯(cuò)誤； 在用戶準(zhǔn)備好登錄系統(tǒng)前不要為用戶帳戶提供初始密碼。系統(tǒng)定義的用戶標(biāo)識(shí)羅列在 /etc/passwd 文件中； 一般情況下，不要將任何用戶標(biāo)識(shí)的 admin 參數(shù)設(shè)置為 true。 操作系統(tǒng)支持通常出現(xiàn)在 /etc/passwd 和 /etc/group 文件中的標(biāo)準(zhǔn)用戶屬性，例如： 認(rèn)證信息 指定密碼 憑證 指定 用戶標(biāo)識(shí)、主體組和補(bǔ)充組標(biāo)識(shí) 環(huán)境 指定主環(huán)境或 shell 環(huán)境。 /etc/passwd 和 /etc/group 中的設(shè)定，確定各個(gè)用戶存在的目的，避免存在無(wú)意義的用戶和組。檢查密碼字段，防止無(wú)密碼的用戶存在。 操作結(jié)果： 各個(gè)用戶和用戶組依照之前規(guī)劃的目標(biāo)擁有并可以行使各自明確的權(quán)限。當(dāng)使用 mkuser 命令創(chuàng)建用戶時(shí)，這些屬性根據(jù)缺省值創(chuàng)建。 檢測(cè)內(nèi)容： 以下用戶屬性用于控制與密碼有關(guān)的方面： account_locked 如果必須明確地鎖定帳戶，則該屬性可以設(shè)置為 true；缺省值是 false。只有管理員可以更改它。對(duì)于這些組， 該用戶可以添加或刪除成員。典型地，將它設(shè)置為 SYSTEM，然后將使用較新的方法。它無(wú)法阻止對(duì)系統(tǒng)的訪問(wèn)。 daemon 此布爾參數(shù)指定是否允許用戶使用 startsrc 命令啟動(dòng)守護(hù)程序或子系統(tǒng)。 login 指定是否允許該用戶登錄。例如，用戶 可能被限制只能在正常營(yíng)業(yè)時(shí)間訪問(wèn)系統(tǒng)?？梢杂糜诟嬷到y(tǒng)用戶信息的備用注冊(cè)表，例如 NIS、LDAP 或 Kerberos。 su 指定其它用戶是否可以使用 su 命令切換至此標(biāo)識(shí)。 ttys 限制某些帳戶進(jìn)入物理安全區(qū)域。 loginretries 指定用戶標(biāo)識(shí)被系統(tǒng)鎖定之前連續(xù)的可以嘗試登錄失敗的最大次數(shù)。 umask 指定用戶的初始 umask。使用 mkuser 命令創(chuàng)建的用戶缺省值在 /usr/lib/security/ 文件中指定。文件中的一些屬性控制用戶可以如何登錄，且可以通過(guò)配置這些屬性，在指定情況下自動(dòng)鎖定用戶帳戶（阻止進(jìn)一步登錄）?？梢允褂靡韵? chsec 命令完成，如下所示： chsec f /etc/security/lastlog s username a unsuccessful_login_count=0 可以使用 chsec 命令在相應(yīng)安全性文件（ /etc/security/user 或 /etc/security/limits 文件）中編輯 default 節(jié)來(lái)更改缺省值。要明確地指定每次創(chuàng)建新用戶時(shí)要設(shè)置的屬性，請(qǐng)更改 /usr/lib/security/ 中的 user 項(xiàng)。以此保證系統(tǒng)按照既定的安全規(guī)定訪問(wèn)。登錄用戶標(biāo)識(shí)允許系統(tǒng)可以追蹤所有的用戶操作。登錄會(huì)話過(guò)程中所有后繼進(jìn)程都用此標(biāo)識(shí)做標(biāo)記。用戶可以在會(huì)話過(guò)程中重新設(shè)置有效用戶標(biāo)識(shí)、真實(shí)用戶標(biāo)識(shí)、有效組標(biāo)識(shí)、真實(shí)組標(biāo)識(shí)和增補(bǔ)組標(biāo)識(shí)，但不能更改登錄用戶標(biāo)識(shí)。 建議操作： 給予用戶合適的 UID 并將其分配到合適的一個(gè)或多個(gè)組中。 操作結(jié)果： 用戶等錄后擁有既定的 UID 和 GID 身份 。最常用的安全機(jī)制是訪問(wèn)控制表（ ACL）。 檢測(cè)內(nèi)容： 建議操作： 操作結(jié)果： 停用無(wú)用的賬戶 (Unnecessary Accounts) 編號(hào)： 6006 名稱(chēng)： 停掉無(wú)用的帳戶 重要等級(jí)： 高 基本信息： “ Guest”帳戶應(yīng)該在 系統(tǒng)上是不被允許的。若 ID 含有無(wú)效的密碼 (invalid password)，其意謂者沒(méi)有任可使用者可以藉此登入至系統(tǒng)。因?yàn)橛袝r(shí)候當(dāng)安裝更新程序時(shí)，安裝程序會(huì)嘗試使用這些系統(tǒng)定義的帳戶，譬如，更改文件的所有權(quán)給自已。這樣是非常困難去檢查先前的錯(cuò)誤。 在操作系統(tǒng)安裝過(guò)程中，會(huì)創(chuàng)建許多缺省用戶和組標(biāo)識(shí)。如果這些用戶和組標(biāo)識(shí)是不必要的，那么您可以將其刪除，以使跟其有關(guān)的安全風(fēng)險(xiǎn)最小化。 uucp 用戶帳戶是用于“ UNIX 到 UNIX 復(fù)制程序”，該程序是在大多數(shù) AIX 系統(tǒng)上存在的一組命令、程序和文件，它們?cè)试S用戶使用專(zhuān)線或電話線與另一 AIX 系統(tǒng)進(jìn)行通信。刪除或限制無(wú)意 義或意義不明確的用戶和組?？赡芤泊嬖谄渌哪赡懿恍枰挠脩艉徒M標(biāo)識(shí)。 2 身分驗(yàn)證 設(shè)定 BIOS 通行碼 編號(hào)： 6007 名稱(chēng)： 設(shè)置 BIOS 密碼 重要等級(jí)： 高 基本信息： BIOS 密碼是進(jìn)入系統(tǒng)的第一道防線。 檢測(cè)內(nèi)容： 進(jìn)入系統(tǒng)的 BIOS 并設(shè)定密碼，以防止未經(jīng) 授權(quán)者進(jìn)入系統(tǒng)或進(jìn)入系統(tǒng)的BIOS 設(shè)定。 建議操作： 啟動(dòng)機(jī)器后，進(jìn)入 BIOS 或 SMC的控制選單，設(shè)定訪問(wèn)密碼。 設(shè)定賬戶密碼 編號(hào)： 6008 名稱(chēng)： 設(shè)定帳戶密碼 重要等級(jí)： 高 基本信息： 在未使用生物認(rèn)證技術(shù)的環(huán)境中，用戶得以進(jìn)入系統(tǒng)基本憑證就是密碼。 檢測(cè)內(nèi)容： 良好的密碼是抵御未授權(quán)進(jìn)入系統(tǒng)的 第一道有效防線，它們是以下類(lèi)型： 大小寫(xiě)字母的混合； 字母、數(shù)字或標(biāo)點(diǎn)符號(hào)的組合。*()_=+[]{}|\。,.?/ 空格 ； 未寫(xiě)在任何地方； 如果使用 /etc/security/passwd 文件，那么長(zhǎng)度最少為 7 個(gè)字符最大 8 個(gè)字符（象 LDAP 那樣使用注冊(cè)表實(shí)施的認(rèn)證，可以使用超出此最大長(zhǎng)度的密碼）； 不是在字典中可查到的真實(shí)單詞； 不是鍵盤(pán)上字母的排列模式，例如 qwerty； 不是真實(shí)單詞或已知排 列模式的反向拼寫(xiě)； 不包含任何與您自己、家庭或朋友有關(guān)的個(gè)人信息； 不與從前一個(gè)密碼的模式相同； 可以較快輸入，這樣邊上的人就不能確定您的密碼； 除了這些機(jī)制，您可以通過(guò)限定密碼不可以包