【正文】 含可能猜測到的標準 UNIX 單詞，從而進一步實施更嚴格的規(guī)則。 建議操作： 要實現(xiàn)前面定義的 dictionlist，請編輯 /etc/security/users 文件中的以下行： dictionlist = /usr/share/dict/words /usr/share/dict/words 文件使用 dictionlist 來防止使用標準 UNIX 單詞作為密碼。并可能被要求定時檢查和更改。/etc/passwd 文件以冒號分隔，它包含以下信息： 用戶名 已加密密碼 用戶標識號（ UID） 用戶的組標識號（ GID） 用戶全名（ GECOS） 用戶主目錄 登錄 shell 以下是一個 /etc/passwd 文件的示例： root:!:0:0::/:/usr/bin/ksh daemon:!:1:1::/etc: bin:!:2:2::/bin: sys:!:3:3::/usr/sys: adm:!:4:4::/var/adm: uucp:!:5:5::/usr/lib/uucp: guest:!:100:100::/home/guest: nobody:!:4294967294:4294967294::/: lpd:!:9:4294967294::/: lp:*:11:11::/var/spool/lp:/bin/false invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico paul:!:201:1::/home/paul:/usr/bin/ksh jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh 缺省情況下 ， AIX 沒有象 UNIX 系 統(tǒng) 那 樣 將 加 密 密 碼 存 儲 在 /etc/password 文件內(nèi) ， 而是在缺省情況下存儲在 /etc/security/password 文件 （ 僅 root 用戶可讀 ） 內(nèi)。 檢測內(nèi)容： /etc/passwd 文件由 root 用戶擁有，且必須對所有用戶都是可讀的，但只有 root 用戶有寫許可權(quán)，顯示為 rwrr。如果用戶標識沒有密碼，則該密碼字段中有一個 *（星號）。以下示例包含 /etc/security/passwd 文件（基于以上所示的 /etc/passwd 文件的項）中的最后四個項。 建議操作： 可使用 pwdck 命令來檢查 /etc/passwd 文件的一致性。 操作結(jié)果： /etc/passwd 的一致 性得到保證，用戶登錄后的身份標識將反映出來。這通常意味著用戶要在每個系統(tǒng)上的每個 /etc/passwd 文件中有一個項。要解決這個問題，有若干種方法（包括網(wǎng)絡信息系統(tǒng)（ NIS）和 NIS+）可以使 /etc/passwd 文件中的信息在整個網(wǎng)絡中可用。 NIS 中央服務器的/etc/passwd 和 /etc/group 等文件中存放數(shù)據(jù)的有效性。 操作結(jié)果： 用戶登錄通過 NIS 服務器上統(tǒng)一的用戶資料庫的支持來完成。 隱藏用戶名和密碼 編號： 6011 名稱： 隱藏用戶名、密碼 重要等級： 高 基本信息： 在某些通信方法中，本地某些文件會暴露出用戶的 ID和密碼。 .rc 文件包含用戶標識和密碼。 建議操作： 要查找這些文件，運行以下命令： find `awk F: 39。 /etc/passwd` name .rc ls 找到這些文件后，請刪除它們。 操作結(jié)果： 無意暴露密碼和用戶名的可能降到最低。為提供某些額外的安全性，操作系統(tǒng)提供了可配置的密碼限制。密碼選項和擴展用戶屬性位于 /etc/security/user 文件中，此文件是包含用戶屬性節(jié)的 ASCII 文件。所有密碼 限制都是按照用戶來定義的。為了維護密碼安全性，所有密碼必須受到相似的保護。使用 /etc/security/user 文件中的 pwdchecks 屬性，管理員可以將新的子例程（稱為方法）添加到密碼限制代碼中。 應用密碼限制要切合實際。密碼安全性最終要依靠用戶。 檢測內(nèi)容： 以下列出與 /etc/security/user 文件中用戶密碼相關(guān)的一些安全屬性的推薦值。（ root 用戶例外。不應設(shè)置此項為非零值，除非總是能很容易聯(lián)系到管理員來對一個最近更改過的、意外泄密的密碼進行重新設(shè)置。 不適用 不適用 注 : histexpir 的最大值最多保留 50 個密碼。 如果在系統(tǒng)上安裝了文本處理程序，管理員可以使用 /usr/share/dict/words 文件作為 dictionlist 字典文件。這是因為字典文件中的大多數(shù)單詞不包含屬于 minother 屬性類別中的字符，把 minother 屬性設(shè)置為 1 或更大將消除對這個字典文件中絕大多數(shù)單詞的需要。密 碼的最大長度是八個字符。如果 minalpha 的值加上 minother 屬性的值大于 8，則 minother 屬性的值會減少為 8 減去 minalpha 屬性的值。不保留空密碼?；蛘撸部梢酝ㄟ^使用 chuser 命令更改屬性值。mkuser 命令為 /etc/security/user 文件中的每個新建用戶創(chuàng)建一個項，并用 /usr/lib/security/ 文件中定義的屬性初始化該項的屬性。要除去一個用戶，請使用 rmuser 命令。用戶必須嚴格按照此策略設(shè)定自己的密碼。 擴展密碼限制 編號： 6013 名稱： 擴展密碼限制 重要等級： 高 基本信息： 密碼程序是否接受或拒絕密碼所使用的規(guī)則（密碼構(gòu)成限制），可由系統(tǒng)管理員進行擴展，以提供特定于站點的限制。 /etc/security/user 文件中的 pwdchecks 屬性指定調(diào)用的方法。要正確擴展密碼構(gòu)成限制，則系統(tǒng)管理員必須在編寫密碼限制方法時對該接口編程。這些擴展將直接影響 login 命令、 passwd 命令、 su 命令以及其它程序。 建議操作： 通過提供附加的編程接口，允許管理員實現(xiàn)定制的密碼限制策略。 操作結(jié)果： 實現(xiàn)用戶 定制的密碼限制策略。 我們建議修改這些參數(shù)設(shè)定。 下列的默認值應該被指定在 /etc/profile: PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/local/bin umask=077 PS1=‘$HOSTNAME:$PWD $’ export PATH PS1 要確定 root 設(shè) 定 umask 為 077 或 027。 一個新使用者的特性文件 (profile)是依照系統(tǒng)管理者的 umask， 來得到檔案的存取權(quán)限。 PATH 環(huán)境變量是指定在目前作業(yè)環(huán)境中 ， 尋找執(zhí)行檔案的路徑。 它會幫助你避免執(zhí)行非授權(quán)的程序或木馬程序 (Trojan horses)： PATH ， 在找尋 home directories 之前 ， 應先找尋標準的系統(tǒng)目錄 ； 當前目錄 (.)不應在 PATH 之中； PATH 不應包括任何”不受保護” ( “unprotected” ) 的目錄。 對系統(tǒng)管理者而言， 指那些可以讓非系統(tǒng)管理者可以有寫入 權(quán)限的目錄； PS1 環(huán)境變量，該指定系統(tǒng)的”命令顯示” (prompt)。 另外，帳戶信息是可以利用使用者名稱 (user name)以及 user identification number (UID)來識別。 用 smit (fastpath smit mkuser)命令來增加使用者，會自動地產(chǎn)生唯一的 UID。 PATH 環(huán)境變量是一個重要的安全控制。缺省系統(tǒng)范圍的 PATH 值在 /etc/profile 文件中進行指定，而且每個用戶通常在自己的 $HOME/.profile 文件中都有一個 PATH 值。 對 PATH 環(huán)境變量的未授權(quán)更改可能使得系統(tǒng)中的用戶“欺騙”其它用戶（包括 root 用戶）。 例如，假定用戶更改 PATH 值使系統(tǒng)運行命 令時首先查找 /tmp 目錄。接著，該 /tmp/su 程序?qū)? root 密碼郵寄給該用戶，并在退出前調(diào)用 su 命令。 系統(tǒng)管理員和用戶要防止關(guān)于 PATH 環(huán)境變量的任何問題，請執(zhí)行以下操作： 當感到懷疑時，請指定全路徑名。 切勿將當前目錄（ 由 . 指定（句點））插入為 root 用戶指定的 PATH 值中。 root 用戶應當在其私有的 .profile 文件中有自己的 PATH 規(guī)范。 警告其它用戶在沒有咨詢系統(tǒng)管理員的情況下，不要更改他們的 .profile 文件。應將用戶 .profile 文件的許可權(quán)設(shè)置 為 740。用戶可以設(shè)置他們自己的 .profile 文件。如果系統(tǒng)管理員在另一用戶會話中以 root 身份操作，則在整個會話中系統(tǒng)管理員應當指定全路徑名。 .profile 中的 IFS 環(huán)境變量可以用于修改 PATH 值。通過 lsuser 命令檢查用戶屬性。通過 ls – l命令檢查用戶 .profile 文件的訪問權(quán)限。并避免無關(guān)人員的訪問。這樣，可防止此帳戶被攻擊并作進一步存取。 nonshell 被發(fā)展來提供管理者有監(jiān)督這類存取停用帳戶企圖的能力。用安全的 nonshell 方式 予以替代。執(zhí)行下列以激活 nonshell: 1. 復制程序到正確的系統(tǒng)目錄 2. 手動安裝 noshell 到正確的系統(tǒng)目錄需 root 權(quán)限： cp p noshell /usr/local/sbin 3. 設(shè)置 noshell 程序為合法的登陸 shell 4. noshell 必須被列入 /etc/shells 系統(tǒng)文件中，以便被承認合法的登入 shell，作法如下： /usr/local/sbin/noshell 5. 加入此行到停用帳戶的 shell 定義中以便激活 noshell。 設(shè)置登錄控制 編號： 6016 名稱： 設(shè)置登陸控制 重要等級： 高 基本信息： 暴力法是一般最常用的攻擊方式。因此限制用戶的登錄次數(shù)是限制此類攻擊的有效手段。 屬性 用于 PtYs（網(wǎng)絡） 用于 TTYs 建議值 注釋 sak_enabled Y Y false 很少需要“安全注意鍵”。 logindisable N Y 4 在此終端連續(xù) 4 次試圖登錄失敗后，禁止其登錄。 loginreenable N Y 30 在自動禁用終端 30 分鐘后重新啟用該終端。這將隨著嘗試失敗的次數(shù)成倍地增加；例如，初始值為 5 時，該時間間隔就為 5 秒、 10 秒、 15 秒、 20 秒。您可在該文件中指定顯式終端，例如： /dev/tty0: logintimes = 06002200 logindisable = 5 logininterval = 80 loginreenable = 20 建議操作： 操作結(jié)果： 更改登錄屏幕的歡迎消息 編號： 6017 名稱： 更改登陸的歡迎信息 重 要等級： 中 基本信息： 檢測內(nèi)容： 為防止在登錄屏幕上顯示某些信息，請編輯 /etc/security/ 文件中的 herald 參數(shù)。您可用 chsec 命令或直接編輯文件來更改該參數(shù)。 操作結(jié)果： 防止了攻擊者的此類窮舉式攻擊。 檢測內(nèi)容： 該安全性說明影響公共桌面環(huán)境（ CDE）的用戶。要防止顯示此信息，請編輯 /usr/dt/config/$LANG/Xresources 文件，其中 $LANG 指的是安裝在您的機器上的本地語言。 然 后 ， 打 開 /usr/dt/config/C/Xresources 文件并編輯，以除去包含主機名和操作系統(tǒng)版本的歡迎消息。防止暴露多余信息給潛在的攻擊者。 設(shè)置系統(tǒng)缺省登錄參數(shù) 編號： 6019 名稱： 設(shè)置缺省登陸參數(shù) 重要等級： 中 基本信息： 防止窮舉法攻擊者的多次等錄嘗試。 建議操作： 要為許多登錄參數(shù)設(shè)置基本缺省值，例如那些可能需要為新用戶設(shè)置的參數(shù) （ 登 錄 重 試 次 數(shù) 、 登 錄 重 新 啟 用 和 登 錄 內(nèi) 部 ）， 請 編 輯 /etc/security/ 文件。 保護無人照管終端 編號： 6020 名稱： 保護無人照管終端 重要等級： 高 基本信息： 防止無人照管用于等錄的可能。當系統(tǒng)管理員讓用超級權(quán)限開啟的終端處于無人照管狀態(tài)時，就會出現(xiàn)最嚴重的問題。讓系統(tǒng)終端處于非安全狀態(tài)會造成潛在的安全威脅。如果您的界面是 AIXwindows，請使用 xlock 命令。 強 制自動注