AIX系統(tǒng)安全配置手冊(cè).doc
《AIX系統(tǒng)安全配置手冊(cè).doc》由會(huì)員分享,可在線閱讀,更多相關(guān)《AIX系統(tǒng)安全配置手冊(cè).doc(74頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
AIX系統(tǒng)安全配置 1 身分識(shí)別 1.1 賬戶設(shè)定 編號(hào): 6001 名稱: 帳戶設(shè)定 重要等級(jí): 高 基本信息: 賬戶是用戶訪問系統(tǒng)的基本憑證。系統(tǒng)通過檢測(cè)用戶所擁有的帳戶來識(shí)別用戶的身份,并以此決定用戶的操作權(quán)限,同時(shí)也產(chǎn)生諸如審計(jì)之類的動(dòng)作。 檢測(cè)內(nèi)容: 只有特定的授權(quán)帳戶可用來增加用戶及群組,此為AIX默認(rèn)值且不應(yīng)被更改; ? 一般帳戶不應(yīng)該有多余的管理權(quán)限,此為AIX默認(rèn)值且不該被更改; ? 只有特定的授權(quán)帳戶可用來刪除用戶及群組、修改及打印所有帳戶資料。以用來防止非法存取系統(tǒng),或集中攻擊有特別權(quán)限的帳戶,此為AIX默認(rèn)值且不該被更改; ? 只有特定的授權(quán)帳戶可用來檢查使用者狀態(tài)。為防止入侵者存取非公開系統(tǒng)資料,用戶狀態(tài)資料僅可由特定帳戶取得。這一點(diǎn)在AIX僅部份可行,因?yàn)槿绻褂谜哝i定,則其它使用者無法看到此使用者,但卻可使用 who 命令來檢查登陸的帳戶; ? 只有特定的授權(quán)帳戶可用來打印所有群組信息、鎖定或未鎖定的帳戶。以用來防止非法存取系統(tǒng),或集中攻擊有特別權(quán)限的群組,此為AIX默認(rèn)值且不該被更改; ? 只有特定的授權(quán)帳戶可用來更改授權(quán)帳戶數(shù)目。太多的用戶同時(shí)使用某應(yīng)用系統(tǒng)可能影響系統(tǒng)穩(wěn)定性,此為AIX默認(rèn)值且不該被更改; ? 系統(tǒng)管理員群組的人員不可存取所有資源,管理群組的人員應(yīng)只能存取工作上所需用的資源。存取所有資源不應(yīng)被允許,此為AIX默認(rèn)值且不該被更改; ? 一般用戶不可存取特定系統(tǒng)文件及命令。系統(tǒng)命令及程序只能被特定帳戶使用,一般用戶不可存取此類功能。應(yīng)通過權(quán)限控制管理來進(jìn)行限制,此為AIX默認(rèn)值且不該被更改; ? 權(quán)限的控制管理應(yīng)在文件產(chǎn)生時(shí)即被設(shè)置,僅有文件的產(chǎn)生者能讀取、寫入、執(zhí)行或刪除此文件,使用者的 umask設(shè)定為僅允許文件產(chǎn)生者存取 (例外:root 用戶可存取系統(tǒng)所有文件)。Umask的設(shè)定控制了文件除了刪除外的權(quán)限,刪除的權(quán)限則根據(jù)文件所在目錄的權(quán)限位來決定; ? 最少權(quán)限機(jī)制應(yīng)被應(yīng)用,以確保應(yīng)用程序以最少權(quán)限執(zhí)行,所有應(yīng)用程序的授權(quán)應(yīng)保持最低權(quán)限; ? 只有特別的授權(quán)帳戶可安裝軟件或加入新設(shè)備到系統(tǒng)中,并安裝安全的更新修正程序,此為AIX默認(rèn)值且不該被更改; 建議操作: 按照系統(tǒng)提供的資源和計(jì)劃運(yùn)行的任務(wù),合理規(guī)劃任務(wù)的屬主,以此利用系統(tǒng)提供的管理命令,如passwd、umask等,設(shè)定權(quán)責(zé)明確的用戶和用戶組。分別對(duì)它們?cè)O(shè)定嚴(yán)格的系統(tǒng)權(quán)限。 操作結(jié)果: ? 存取系統(tǒng)資源取決于使用者及群組的身份,使用者的權(quán)限可能多于其群組的權(quán)限; 1.2 推薦用戶屬性 編號(hào): 6002 名稱: 推薦用戶屬性 重要等級(jí): 高 基本信息: 用戶是系統(tǒng)的主要組成元素。用戶的一個(gè)主要屬性是如何對(duì)他們進(jìn)行認(rèn)證。其屬性控制他們的訪問權(quán)、環(huán)境、如何對(duì)他們進(jìn)行認(rèn)證以及如何、何時(shí)、在哪里可以訪問他們的帳戶。 組是對(duì)共享的資源同一訪問許可權(quán)的用戶的集合。一個(gè)組有一個(gè)標(biāo)識(shí),且由組成員和管理員組成。組的創(chuàng)建者通常就是第一管理員。 可以對(duì)每個(gè)用戶帳戶設(shè)置多個(gè)屬性,包含密碼和登錄屬性。 檢測(cè)內(nèi)容: 推薦以下屬性: ? 每個(gè)用戶應(yīng)有一個(gè)不與其它用戶共享的用戶標(biāo)識(shí)。所有的安全防護(hù)措施和工具僅在每個(gè)用戶都有唯一標(biāo)識(shí)時(shí)起作用; ? 為系統(tǒng)用戶指定一個(gè)對(duì)其有意義的用戶名。最好使用實(shí)際名稱,因?yàn)榇蠖鄶?shù)電子郵件系統(tǒng)使用用戶標(biāo)識(shí)為接收的郵件標(biāo)號(hào); ? 使用基于 Web 的系統(tǒng)管理工具或 SMIT 界面添加、更改和刪除用戶。雖然可以通過命令行來執(zhí)行所有這些任務(wù),但這些界面有助于減少小錯(cuò)誤; ? 在用戶準(zhǔn)備好登錄系統(tǒng)前不要為用戶帳戶提供初始密碼。如果在 /etc/passwd 文件中將密碼字段定義為 *(星號(hào)),雖然帳戶信息得到保存,但不能登錄到該帳戶; ? 不要更改系統(tǒng)正常運(yùn)行所需的由系統(tǒng)定義的用戶標(biāo)識(shí)。系統(tǒng)定義的用戶標(biāo)識(shí)羅列在 /etc/passwd 文件中; ? 一般情況下,不要將任何用戶標(biāo)識(shí)的 admin 參數(shù)設(shè)置為 true。只有 root 用戶可以為在 /etc/security/user 文件中設(shè)置為 admin=true 的用戶更改屬性。 操作系統(tǒng)支持通常出現(xiàn)在 /etc/passwd 和 /etc/group 文件中的標(biāo)準(zhǔn)用戶屬性,例如: 認(rèn)證信息 指定密碼 憑證 指定用戶標(biāo)識(shí)、主體組和補(bǔ)充組標(biāo)識(shí) 環(huán)境 指定主環(huán)境或 shell 環(huán)境。 建議操作: 檢查標(biāo)準(zhǔn)Unix系統(tǒng)用戶、組設(shè)定文件。/etc/passwd和/etc/group中的設(shè)定,確定各個(gè)用戶存在的目的,避免存在無意義的用戶和組。檢查用戶ID,避免無關(guān)用戶擁有root或其他管理用戶的權(quán)限。檢查密碼字段,防止無密碼的用戶存在。檢查用戶屬性,避免不合理的用戶擁有admin的權(quán)限。 操作結(jié)果: 各個(gè)用戶和用戶組依照之前規(guī)劃的目標(biāo)擁有并可以行使各自明確的權(quán)限。 6.1.3 用戶帳戶控制 編號(hào): 6003 名稱: 用戶帳戶控制 重要等級(jí): 高 基本信息: 每個(gè)用戶帳戶有一組相關(guān)屬性。當(dāng)使用 mkuser 命令創(chuàng)建用戶時(shí),這些屬性根據(jù)缺省值創(chuàng)建。這些屬性可以通過使用 chuser 命令來修改。 檢測(cè)內(nèi)容: 以下用戶屬性用于控制與密碼有關(guān)的方面: ? account_locked 如果必須明確地鎖定帳戶,則該屬性可以設(shè)置為 true;缺省值是 false。 ? admin 如果設(shè)置為 true,則該用戶無法更改密碼。只有管理員可以更改它。 ? admgroups 列出此用戶具有管理權(quán)限的組。對(duì)于這些組,該用戶可以添加或刪除成員。 ? auth1 用于授權(quán)用戶訪問的認(rèn)證方法。典型地,將它設(shè)置為 SYSTEM,然后將使用較新的方法。 ? auth2 按 auth1 指定的對(duì)用戶進(jìn)行認(rèn)證后運(yùn)行的方法。它無法阻止對(duì)系統(tǒng)的訪問。典型地,將它設(shè)置為 NONE。 ? daemon 此布爾參數(shù)指定是否允許用戶使用 startsrc 命令啟動(dòng)守護(hù)程序或子系統(tǒng)。它也限制對(duì) cron 和 at 設(shè)備的使用。 ? login 指定是否允許該用戶登錄。 ? logintimes 限制用戶何時(shí)可以登錄。例如,用戶可能被限制只能在正常營業(yè)時(shí)間訪問系統(tǒng)。 ? registry 指定用戶注冊(cè)表。可以用于告知系統(tǒng)用戶信息的備用注冊(cè)表,例如 NIS、LDAP 或 Kerberos。 ? rlogin 指定是否允許該用戶通過使用 rlogin 或 telnet 登錄。 ? su 指定其它用戶是否可以使用 su 命令切換至此標(biāo)識(shí)。 ? sugroups 指定允許哪個(gè)組切換至此用戶標(biāo)識(shí)。 ? ttys 限制某些帳戶進(jìn)入物理安全區(qū)域。 ? expires 管理guest帳戶;也可以用于臨時(shí)關(guān)閉帳戶。 ? loginretries 指定用戶標(biāo)識(shí)被系統(tǒng)鎖定之前連續(xù)的可以嘗試登錄失敗的最大次數(shù)。失敗的嘗試記錄在 /etc/security/lastlog 文件中。 ? umask 指定用戶的初始 umask。 建議操作: 所有的用戶屬性在 /etc/security/user、/etc/security/limits、/etc/security/audit/config 和 /etc/security/lastlog 文件中定義。使用 mkuser 命令創(chuàng)建的用戶缺省值在 /usr/lib/security/mkuser.default 文件中指定。只有修改 /etc/security/user 和 /etc/securtiy/limits 文件中的 default 節(jié)中的缺省值的設(shè)置和審計(jì)類必須在 mkuser.default 文件中指定。文件中的一些屬性控制用戶可以如何登錄,且可以通過配置這些屬性,在指定情況下自動(dòng)鎖定用戶帳戶(阻止進(jìn)一步登錄)。 用戶帳戶由系統(tǒng)鎖定后,用戶無法登錄直到系統(tǒng)管理員重新設(shè)置該用戶在 /etc/security/lastlog 文件中的 unsuccessful_login_count 屬性值小于登錄重試值??梢允褂靡韵?chsec 命令完成,如下所示: chsec -f /etc/security/lastlog -s username -a unsuccessful_login_count=0 可以使用 chsec 命令在相應(yīng)安全性文件(/etc/security/user 或 /etc/security/limits 文件)中編輯 default 節(jié)來更改缺省值。將許多缺省值定義為標(biāo)準(zhǔn)行為。要明確地指定每次創(chuàng)建新用戶時(shí)要設(shè)置的屬性,請(qǐng)更改 /usr/lib/security/mkuser.default 中的 user 項(xiàng)。 操作結(jié)果: AIX中各用戶將嚴(yán)格按照chuser設(shè)定的要求,允許或限制各種操作。以此保證系統(tǒng)按照既定的安全規(guī)定訪問。 6.1.4 登錄用戶標(biāo)識(shí) 編號(hào): 6004 名稱: 登陸用戶標(biāo)識(shí) 重要等級(jí): 中 基本信息: 操作系統(tǒng)通過用戶的登錄用戶標(biāo)識(shí)來識(shí)別他們。登錄用戶標(biāo)識(shí)允許系統(tǒng)可以追蹤所有的用戶操作。在用戶登錄系統(tǒng)后,初始用戶程序運(yùn)行前,系統(tǒng)將進(jìn)程的登錄標(biāo)識(shí)設(shè)置為在用戶數(shù)據(jù)庫中找到的用戶標(biāo)識(shí)。登錄會(huì)話過程中所有后繼進(jìn)程都用此標(biāo)識(shí)做標(biāo)記。這些標(biāo)記提供登錄用戶標(biāo)識(shí)執(zhí)行的所有活動(dòng)的蹤跡。用戶可以在會(huì)話過程中重新設(shè)置有效用戶標(biāo)識(shí)、真實(shí)用戶標(biāo)識(shí)、有效組標(biāo)識(shí)、真實(shí)組標(biāo)識(shí)和增補(bǔ)組標(biāo)識(shí),但不能更改登錄用戶標(biāo)識(shí)。 檢測(cè)內(nèi)容: 請(qǐng)參考/etc/passwd和/etc/group文件,用戶在登錄后,系統(tǒng)通過在該文件中的記錄,將用戶標(biāo)示為對(duì)應(yīng)的UID和GID,并以此確定其在系統(tǒng)的身份和權(quán)限。 建議操作: 給予用戶合適的UID并將其分配到合適的一個(gè)或多個(gè)組中。在登錄后使用id或whoami命令檢查自己的身份標(biāo)識(shí)。 操作結(jié)果: 用戶等錄后擁有既定的UID和GID身份。 1.5 使用訪問控制表增強(qiáng)用戶安全性 編號(hào): 6005 名稱: 訪問控制列表 重要等級(jí): 高 基本信息: 要在系統(tǒng)上取得安全性的相應(yīng)水平,要開發(fā)一個(gè)一致的安全性策略來管理用戶帳戶。最常用的安全機(jī)制是訪問控制表(ACL)。有關(guān) ACL 和開發(fā)安全性策略的信息,請(qǐng)參閱訪問控制。 檢測(cè)內(nèi)容: 建議操作: 操作結(jié)果: 1.6 停用無用的賬戶(Unnecessary Accounts) 編號(hào): 6006 名稱: 停掉無用的帳戶 重要等級(jí): 高 基本信息: “Guest”帳戶應(yīng)該在系統(tǒng)上是不被允許的。AIX 內(nèi)含一些使用者ID ,而其密碼是無效的( password (*) )。若ID 含有無效的密碼(invalid password),其意謂者沒有任可使用者可以藉此登入至系統(tǒng)。這些ID 是: daemon Owner of the system daemons bin Owner of the system executable files sys Owner of system devices adm Owner of system accounting utilities uucp Owner of UNIX-to-UNIX Copy Program nuucp For UUCP lpd Owner of printer spooler utility guest Guest account nobody used by NFS 并不建議移除所有無用的帳戶,如: uucp, nuucp, lpd, guest, and nobody等。因?yàn)橛袝r(shí)候當(dāng)安裝更新程序時(shí),安裝程序會(huì)嘗試使用這些系統(tǒng)定義的帳戶,譬如,更改文件的所有權(quán)給自已。假如該帳戶不存在,則安裝可能會(huì)失敗, 并造成更新程序在一個(gè)“未定義”或“broken” 狀態(tài)。這樣是非常困難去檢查先前的錯(cuò)誤。 因此,我們建議,除了guest user,不要移除其它系統(tǒng)帳戶信息。 在操作系統(tǒng)安裝過程中,會(huì)創(chuàng)建許多缺省用戶和組標(biāo)識(shí)。根據(jù)您在系統(tǒng)上運(yùn)行的應(yīng)用程序和系統(tǒng)在網(wǎng)絡(luò)中所處的位置,其中某些用戶和組標(biāo)識(shí)可能成為安全弱點(diǎn),容易被人利用。如果這些用戶和組標(biāo)識(shí)是不必要的,那么您可以將其刪除,以使跟其有關(guān)的安全風(fēng)險(xiǎn)最小化。 檢測(cè)內(nèi)容: 您可能能夠除去的公共缺省用戶標(biāo)識(shí): uucp, nuucp uucp 協(xié)議所用的隱藏文件的所有者。uucp 用戶帳戶是用于“UNIX 到 UNIX 復(fù)制程序”,該程序是在大多數(shù) AIX 系統(tǒng)上存在的一組命令、程序和文件,它們?cè)试S用戶使用專線或電話線與另一 AIX 系統(tǒng)進(jìn)行通信。 lpd 打印子系統(tǒng)所使用文件的所有者 guest 允許那些無權(quán)訪問帳戶的用戶訪問 可能不需要的公共組標(biāo)識(shí): uucp uucp 和 nuucp 用戶所屬的組 printq lpd 用戶所屬的組 建議操作: 分析/etc/passwd,/etc/group中列出的用戶和組,確定其意義。刪除或限制無意義或意義不明確的用戶和組。 操作結(jié)果: 分析您的系統(tǒng)以確定哪些用戶、組標(biāo)識(shí)確實(shí)是不需要的??赡芤泊嬖谄渌哪赡懿恍枰挠脩艉徒M標(biāo)識(shí)。在系統(tǒng)投入生產(chǎn)之前,對(duì)可用的用戶、組標(biāo)識(shí)進(jìn)行徹底地檢查。 2 身分驗(yàn)證 2.1 設(shè)定BIOS通行碼 編號(hào): 6007 名稱: 設(shè)置BIOS密碼 重要等級(jí): 高 基本信息: BIOS密碼是進(jìn)入系統(tǒng)的第一道防線。如果不能確定系統(tǒng)是否會(huì)經(jīng)未授權(quán)的人員訪問,請(qǐng)?jiān)O(shè)定良好的BIOS密碼以阻止其對(duì)系統(tǒng)基本設(shè)置的訪問。 檢測(cè)內(nèi)容: 進(jìn)入系統(tǒng)的 BIOS 并設(shè)定密碼,以防止未經(jīng)授權(quán)者進(jìn)入系統(tǒng)或進(jìn)入系統(tǒng)的BIOS設(shè)定。 關(guān)閉硬盤以外其它裝置的booting功能,以建立一個(gè)高度安全的環(huán)境。 建議操作: 啟動(dòng)機(jī)器后,進(jìn)入BIOS或SMC的控制選單,設(shè)定訪問密碼。 操作結(jié)果: 未經(jīng)授權(quán)的人員將無法訪問系統(tǒng)基本硬件設(shè)定功能。 2.2 設(shè)定賬戶密碼 編號(hào): 6008 名稱: 設(shè)定帳戶密碼 重要等級(jí): 高 基本信息: 在未使用生物認(rèn)證技術(shù)的環(huán)境中,用戶得以進(jìn)入系統(tǒng)基本憑證就是密碼。目前廣泛使用的shadow方式的密碼存放方式。 檢測(cè)內(nèi)容: 良好的密碼是抵御未授權(quán)進(jìn)入系統(tǒng)的第一道有效防線,它們是以下類型: ? 大小寫字母的混合; ? 字母、數(shù)字或標(biāo)點(diǎn)符號(hào)的組合。此外,它們可以包含特殊字符,如 ~!@#$%^&*()-_=+[]{}|\;:'",.<>?/< 空格>; ? 未寫在任何地方; ? 如果使用 /etc/security/passwd 文件,那么長度最少為 7 個(gè)字符最大 8 個(gè)字符(象 LDAP 那樣使用注冊(cè)表實(shí)施的認(rèn)證,可以使用超出此最大長度的密碼); ? 不是在字典中可查到的真實(shí)單詞; ? 不是鍵盤上字母的排列模式,例如 qwerty; ? 不是真實(shí)單詞或已知排列模式的反向拼寫; ? 不包含任何與您自己、家庭或朋友有關(guān)的個(gè)人信息; ? 不與從前一個(gè)密碼的模式相同; ? 可以較快輸入,這樣邊上的人就不能確定您的密碼; 除了這些機(jī)制,您可以通過限定密碼不可以包含可能猜測(cè)到的標(biāo)準(zhǔn) UNIX 單詞,從而進(jìn)一步實(shí)施更嚴(yán)格的規(guī)則。該功能使用 dictionlist,它要求您首先安裝 bos.data 和 bos.txt 文件集。 建議操作: 要實(shí)現(xiàn)前面定義的 dictionlist,請(qǐng)編輯 /etc/security/users 文件中的以下行: dictionlist = /usr/share/dict/words /usr/share/dict/words 文件使用 dictionlist 來防止使用標(biāo)準(zhǔn) UNIX 單詞作為密碼。 操作結(jié)果: 用戶被限制使用強(qiáng)可靠性的密碼。并可能被要求定時(shí)檢查和更改。 2.3 使用 /etc/passwd 文件 編號(hào): 6009 名稱: 使用passwd文件 重要等級(jí): 高 基本信息: 傳統(tǒng)上,/etc/passwd 文件是用來記錄每個(gè)擁有系統(tǒng)訪問權(quán)的注冊(cè)用戶。/etc/passwd 文件以冒號(hào)分隔,它包含以下信息: ? 用戶名 ? 已加密密碼 ? 用戶標(biāo)識(shí)號(hào)(UID) ? 用戶的組標(biāo)識(shí)號(hào)(GID) ? 用戶全名(GECOS) ? 用戶主目錄 ? 登錄 shell 以下是一個(gè) /etc/passwd 文件的示例: root:!:0:0::/:/usr/bin/ksh daemon:!:1:1::/etc: bin:!:2:2::/bin: sys:!:3:3::/usr/sys: adm:!:4:4::/var/adm: uucp:!:5:5::/usr/lib/uucp: guest:!:100:100::/home/guest: nobody:!:4294967294:4294967294::/: lpd:!:9:4294967294::/: lp:*:11:11::/var/spool/lp:/bin/false invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico paul:!:201:1::/home/paul:/usr/bin/ksh jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh 缺省情況下,AIX 沒有象 UNIX 系統(tǒng)那樣將加密密碼存儲(chǔ)在 /etc/password 文件內(nèi),而是在缺省情況下存儲(chǔ)在 /etc/security/password 文件(僅 root 用戶可讀)內(nèi)。AIX 使用 /etc/passwd 中歸檔的密碼來表示密碼是否存在或帳戶是否被阻止。 檢測(cè)內(nèi)容: /etc/passwd 文件由 root 用戶擁有,且必須對(duì)所有用戶都是可讀的,但只有 root 用戶有寫許可權(quán),顯示為 -rw-r--r--。如果用戶標(biāo)識(shí)具有密碼,則該密碼字段中會(huì)有一個(gè) !(感嘆號(hào))。如果用戶標(biāo)識(shí)沒有密碼,則該密碼字段中有一個(gè) *(星號(hào))。加密的密碼存儲(chǔ)在 /etc/security/passwd 文件中。以下示例包含 /etc/security/passwd 文件(基于以上所示的 /etc/passwd 文件的項(xiàng))中的最后四個(gè)項(xiàng)。 guest: password = * nobody: password = * lpd: password = * paul: password = eacVScDKri4s6 lastupdate = 1026394230 flags = ADMCHG 用戶標(biāo)識(shí) jdoe 在 /etc/security/passwd 文件中沒有項(xiàng),因?yàn)樗?/etc/passwd 文件中沒有設(shè)置密碼。 建議操作: 可使用 pwdck 命令來檢查 /etc/passwd 文件的一致性。pwdck 命令通過檢查全部用戶或指定用戶的定義來驗(yàn)證用戶數(shù)據(jù)庫文件中密碼信息的正確性。 操作結(jié)果: /etc/passwd的一致性得到保證,用戶登錄后的身份標(biāo)識(shí)將反映出來。 2.4 使用 /etc/passwd 文件和網(wǎng)絡(luò)環(huán)境 編號(hào): 6010 名稱: 網(wǎng)絡(luò)環(huán)境 重要等級(jí): 高 基本信息: 在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中,用戶必須在每個(gè)系統(tǒng)中有一個(gè)帳戶才能獲得對(duì)該系統(tǒng)的訪問權(quán)。這通常意味著用戶要在每個(gè)系統(tǒng)上的每個(gè) /etc/passwd 文件中有一個(gè)項(xiàng)。然而,在分布式環(huán)境中,要確保每個(gè)系統(tǒng)都有相同的 /etc/passwd 文件不是件容易的事情。要解決這個(gè)問題,有若干種方法(包括網(wǎng)絡(luò)信息系統(tǒng)(NIS)和 NIS+)可以使 /etc/passwd 文件中的信息在整個(gè)網(wǎng)絡(luò)中可用。 檢測(cè)內(nèi)容: 確定ypserv和yppasswd等守護(hù)程序的正常運(yùn)行。NIS中央服務(wù)器的/etc/passwd和/etc/group等文件中存放數(shù)據(jù)的有效性。 建議操作: 將網(wǎng)絡(luò)范圍內(nèi)的用戶認(rèn)證數(shù)據(jù)機(jī)中存放到NIS主服務(wù)器上,并發(fā)布到個(gè)從服務(wù)器上,用戶等錄通過NIS客戶端的支持完成。 操作結(jié)果: 用戶登錄通過NIS服務(wù)器上統(tǒng)一的用戶資料庫的支持來完成。因此在各個(gè)客戶端上實(shí)現(xiàn)統(tǒng)一透明的登錄過程。 2.5 隱藏用戶名和密碼 編號(hào): 6011 名稱: 隱藏用戶名、密碼 重要等級(jí): 高 基本信息: 在某些通信方法中,本地某些文件會(huì)暴露出用戶的ID和密碼。 檢測(cè)內(nèi)容: 為了達(dá)到更高級(jí)別的安全性,請(qǐng)確保用戶標(biāo)識(shí)和密碼在系統(tǒng)內(nèi)是不可見的。.netrc 文件包含用戶標(biāo)識(shí)和密碼。該文件未進(jìn)行加密或加密保護(hù),這樣它的內(nèi)容象純文本一樣清楚顯示。 建議操作: 要查找這些文件,運(yùn)行以下命令: # find `awk -F: '{print $6}' /etc/passwd` -name .netrc -ls 找到這些文件后,請(qǐng)刪除它們。保存密碼的一個(gè)更有效的方法是設(shè)置 Kerberos。 操作結(jié)果: 無意暴露密碼和用戶名的可能降到最低。 2.6 設(shè)置推薦的密碼選項(xiàng) 編號(hào): 6012 名稱: 推薦的密碼選項(xiàng) 重要等級(jí): 高 基本信息: 恰當(dāng)?shù)拿艽a管理只有通過用戶來實(shí)現(xiàn)。為提供某些額外的安全性,操作系統(tǒng)提供了可配置的密碼限制。它們?cè)试S管理員限制用戶選擇的密碼,并強(qiáng)制定期更改密碼。密碼選項(xiàng)和擴(kuò)展用戶屬性位于 /etc/security/user 文件中,此文件是包含用戶屬性節(jié)的 ASCII 文件。每當(dāng)為用戶定義新密碼時(shí),這些限制就會(huì)執(zhí)行。所有密碼限制都是按照用戶來定義的。通過在 /etc/security/user 文件的缺省節(jié)中保存限制,對(duì)所有用戶執(zhí)行相同限制。為了維護(hù)密碼安全性,所有密碼必須受到相似的保護(hù)。 管理員還可以擴(kuò)展密碼限制。使用 /etc/security/user 文件中的 pwdchecks 屬性,管理員可以將新的子例程(稱為方法)添加到密碼限制代碼中。這樣,本地站點(diǎn)策略可添加到操作系統(tǒng),并由操作系統(tǒng)執(zhí)行該策略。 應(yīng)用密碼限制要切合實(shí)際。過于限制的嘗試,例如限制密碼空間(這將使猜測(cè)密碼更容易),或強(qiáng)制用戶選擇難以記憶的密碼(用戶可能選擇會(huì)寫下密碼),都會(huì)危及密碼安全性。密碼安全性最終要依靠用戶。簡單的密碼限制結(jié)合合理的指導(dǎo)和偶爾的審查(以驗(yàn)證當(dāng)前密碼是否唯一)是最好的策略。 檢測(cè)內(nèi)容: 以下列出與 /etc/security/user 文件中用戶密碼相關(guān)的一些安全屬性的推薦值。 屬性 描述 推薦值 缺省值 最大值 dictionlist 驗(yàn)證密碼不包含標(biāo)準(zhǔn) UNIX 單詞 /usr/share/dict/words 不適用 不適用 histexpire 密碼可重新使用前的星期數(shù) 26 0 260 histsize 可允許的密碼重復(fù)次數(shù) 20 0 50 maxage 必須更改密碼前的最大星期數(shù) 8 0 52 maxexpired 超過 maxage 后可由用戶更改到期密碼的最大星期數(shù)。(root 用戶例外。) 2 -1 52 maxrepeats 在密碼中可重復(fù)字符的最大數(shù)目 2 8 8 minage 密碼可被更改前的最小星期數(shù)。不應(yīng)設(shè)置此項(xiàng)為非零值,除非總是能很容易聯(lián)系到管理員來對(duì)一個(gè)最近更改過的、意外泄密的密碼進(jìn)行重新設(shè)置。 0 0 52 minalpha 密碼必須包含字母字符的最小數(shù)目 2 0 8 mindiff 密碼必須包含唯一字符的最小數(shù)目 4 0 8 minlen 密碼長度的最小值 6(對(duì) root 用戶是 8) 0 8 minother 密碼必須包含非字母字符的最小數(shù)目 2 0 8 pwdwarntime 系統(tǒng)發(fā)出要求更改密碼警告前的天數(shù) 5 不適用 不適用 pwdchecks 通過使用一個(gè)檢查密碼質(zhì)量的定制代碼,該項(xiàng)可用來增強(qiáng) passwd 命令。 不適用 不適用 注: histexpir的最大值最多保留 50 個(gè)密碼。 對(duì)于受控訪問保護(hù)概要文件和評(píng)定保證級(jí)別 4+(CAPP/EAL4+)系統(tǒng),請(qǐng)使用用戶與端口配置中推薦的值。 如果在系統(tǒng)上安裝了文本處理程序,管理員可以使用 /usr/share/dict/words文件作為 dictionlist 字典文件。在這種情況下,管理員可以設(shè)置 minother 屬性為 0。這是因?yàn)樽值湮募械拇蠖鄶?shù)單詞不包含屬于 minother 屬性類別中的字符,把 minother 屬性設(shè)置為 1 或更大將消除對(duì)這個(gè)字典文件中絕大多數(shù)單詞的需要。 系統(tǒng)中密碼的最小長度由 minlen 屬性的值或 minalpha 屬性的值中的較大者加上 minother 屬性來設(shè)置。密碼的最大長度是八個(gè)字符。minalpha 屬性的值加上 minother 屬性的值決不能大于 8。如果 minalpha 的值加上 minother 屬性的值大于 8,則 minother 屬性的值會(huì)減少為 8 減去 minalpha 屬性的值。 如果 histexpire 屬性的值和 histsize 屬性的值都設(shè)置了,則系統(tǒng)保留適用于兩種情況所需的密碼個(gè)數(shù),最多達(dá)系統(tǒng)所限制的每個(gè)用戶 50 個(gè)密碼。不保留空密碼。 建議操作: 您可以編輯 /etc/security/user 文件,使之包含您要用來管理用戶密碼的任何缺省值?;蛘?,您也可以通過使用 chuser 命令更改屬性值。 其它可以與該文件一起使用的命令有 mkuser、lsuser 和 rmuser 命令。mkuser 命令為 /etc/security/user 文件中的每個(gè)新建用戶創(chuàng)建一個(gè)項(xiàng),并用 /usr/lib/security/mkuser.default 文件中定義的屬性初始化該項(xiàng)的屬性。要顯示屬性和它們的值,請(qǐng)使用 lsuser 命令。要除去一個(gè)用戶,請(qǐng)使用 rmuser 命令。 操作結(jié)果: 系統(tǒng)密碼設(shè)定和組成策略得到保證。用戶必須嚴(yán)格按照此策略設(shè)定自己的密碼。增大入侵者猜測(cè)密碼的難度。 2.7 擴(kuò)展密碼限制 編號(hào): 6013 名稱: 擴(kuò)展密碼限制 重要等級(jí): 高 基本信息: 密碼程序是否接受或拒絕密碼所使用的規(guī)則(密碼構(gòu)成限制),可由系統(tǒng)管理員進(jìn)行擴(kuò)展,以提供特定于站點(diǎn)的限制。通過添加方法(在更改密碼過程中調(diào)用)來擴(kuò)展限制。/etc/security/user 文件中的 pwdchecks 屬性指定調(diào)用的方法。 檢測(cè)內(nèi)容: 《AIX 5L 技術(shù)參考大全》 包含對(duì) pwdrestrict_method 的描述,它是指定的密碼限制方法必須符合的子例程接口。要正確擴(kuò)展密碼構(gòu)成限制,則系統(tǒng)管理員必須在編寫密碼限制方法時(shí)對(duì)該接口編程。請(qǐng)謹(jǐn)慎對(duì)待擴(kuò)展密碼設(shè)置限制。這些擴(kuò)展將直接影響 login 命令、passwd 命令、su 命令以及其它程序。系統(tǒng)安全性可能被惡意的或有缺陷的代碼輕易破壞。 建議操作: 通過提供附加的編程接口,允許管理員實(shí)現(xiàn)定制的密碼限制策略。 請(qǐng)參考AIX程序設(shè)計(jì)參考。 操作結(jié)果: 實(shí)現(xiàn)用戶定制的密碼限制策略。 3 訪問控制 3.1 保護(hù)使用者環(huán)境設(shè)定(User Configurations) 編號(hào): 6014 名稱: 保護(hù)使用者環(huán)境設(shè)定 重要等級(jí): 中 基本信息: 在 /usr/lib/security/mkuser.default 文件中包含創(chuàng)建帳戶的預(yù)設(shè)參數(shù), 如使用者的主要群組(primary group)。 我們建議修改這些參數(shù)設(shè)定。 檢測(cè)內(nèi)容: 若審計(jì)系統(tǒng)(audit subsystem)啟用的話, 在user 和 admin 段落中加入一行, 來設(shè)定新使用者的 auditclasses: auditclasses = user,config,mail,chcron,SRC,chtcpip AIX中創(chuàng)建新的帳戶時(shí), 一個(gè)基本示例文件 /etc/profile 會(huì)被復(fù)制到該使用者的 home directory , 它的文件名為 .profile。 下列的默認(rèn)值應(yīng)該被指定在 /etc/profile: PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/local/bin umask=077 PS1=‘$HOSTNAME:$PWD $’ export PATH PS1 要確定root 設(shè)定umask 為077 或 027。 創(chuàng)建新的帳戶時(shí), 使用者的home directory 是屬于該使用者,而且目錄的群組會(huì)設(shè)定為使用者的primary group。 一個(gè)新使用者的特性文件(profile)是依照系統(tǒng)管理者的umask, 來得到檔案的存取權(quán)限。 而 umask 設(shè)定為 077 可以確認(rèn)使用者的home directories 只可以被該使用者來存取。 PATH 環(huán)境變量是指定在目前作業(yè)環(huán)境中, 尋找執(zhí)行檔案的路徑。 請(qǐng)確定root 擁有一個(gè)安全的搜尋路徑, 如: /usr/bin:/sbin:/usr/sbin 若針對(duì)PATH變量,有額外的修改, 請(qǐng)遵循下列建議步驟。 它會(huì)幫助你避免執(zhí)行非授權(quán)的程序或木馬程序 (Trojan horses): ? PATH , 在找尋home directories之前, 應(yīng)先找尋標(biāo)準(zhǔn)的系統(tǒng)目錄; ? 當(dāng)前目錄 (.)不應(yīng)在 PATH之中; ? PATH 不應(yīng)包括任何”不受保護(hù)”( “unprotected” ) 的目錄。 對(duì)一般使用者來說, 指那些可以被其它一般使用者有寫入權(quán)限的目錄。 對(duì)系統(tǒng)管理者而言, 指那些可以讓非系統(tǒng)管理者可以有寫入權(quán)限的目錄; ? PS1 環(huán)境變量,該指定系統(tǒng)的”命令顯示”(prompt)。 該變量應(yīng)該清楚的定義出使用者是用什么系統(tǒng),及是使用哪些目錄。 另外,帳戶信息是可以利用使用者名稱(user name)以及 user identification number (UID)來識(shí)別。 每個(gè)使用者應(yīng)該有一個(gè)唯一的UID。 用smit (fastpath smit mkuser)命令來增加使用者,會(huì)自動(dòng)地產(chǎn)生唯一的UID。使用者的帳戶信息應(yīng)該保密且不該被公開。 PATH 環(huán)境變量是一個(gè)重要的安全控制。它指定搜索的目錄來查找命令。缺省系統(tǒng)范圍的 PATH 值在 /etc/profile 文件中進(jìn)行指定,而且每個(gè)用戶通常在自己的 $HOME/.profile 文件中都有一個(gè) PATH 值。.profile 文件中的 PATH 值可以將系統(tǒng)范圍 PATH 值覆蓋,或向它添加額外的目錄。 對(duì) PATH 環(huán)境變量的未授權(quán)更改可能使得系統(tǒng)中的用戶“欺騙”其它用戶(包括 root 用戶)。電子欺騙程序(也稱為特洛伊木馬程序)更換了系統(tǒng)命令,然后捕獲給該命令的信息,例如用戶密碼。 例如,假定用戶更改 PATH 值使系統(tǒng)運(yùn)行命令時(shí)首先查找 /tmp 目錄。然后該用戶在 /tmp 目錄中放置一個(gè)稱為 su 的程序,該程序就象 su 命令一樣要求 root 密碼。接著,該 /tmp/su 程序?qū)?root 密碼郵寄給該用戶,并在退出前調(diào)用 su 命令。在這種情況下,任何使用 su 命令的 root 用戶將暴露 root 密碼,而且自己甚至還未意識(shí)到。 系統(tǒng)管理員和用戶要防止關(guān)于 PATH 環(huán)境變量的任何問題,請(qǐng)執(zhí)行以下操作: ? 當(dāng)感到懷疑時(shí),請(qǐng)指定全路徑名。如果指定了全路徑名,將忽略 PATH 環(huán)境變量。 ? 切勿將當(dāng)前目錄(由 . 指定(句點(diǎn)))插入為 root 用戶指定的 PATH 值中。切勿允許在 /etc/profile 中指定當(dāng)前目錄。 ? root 用戶應(yīng)當(dāng)在其私有的 .profile 文件中有自己的 PATH 規(guī)范。通常,/etc/profile 中的規(guī)范列出了對(duì)于所有用戶的最少標(biāo)準(zhǔn),然而 root 用戶可能需要比缺省值更多或更少的目錄。 警告其它用戶在沒有咨詢系統(tǒng)管理員的情況下,不要更改他們的 .profile 文件。否則,可信的用戶可能做出更改允許無意識(shí)的訪問。應(yīng)將用戶 .profile 文件的許可權(quán)設(shè)置為 740。 ? 系統(tǒng)管理員不應(yīng)使用 su 命令從用戶會(huì)話中取得 root 用戶特權(quán),因?yàn)樵?.profile 文件中指定的該用戶 PATH 值是有效的。用戶可以設(shè)置他們自己的 .profile 文件。系統(tǒng)管理員應(yīng)當(dāng)作為 root 用戶或最好使用他們自己的標(biāo)識(shí)登錄到用戶的機(jī)器,然后使用以下命令: /usr/bin/su - root 這確保在會(huì)話過程中使用 root 環(huán)境。如果系統(tǒng)管理員在另一用戶會(huì)話中以 root 身份操作,則在整個(gè)會(huì)話中系統(tǒng)管理員應(yīng)當(dāng)指定全路徑名。 保護(hù)輸入字段分隔符(IFS)環(huán)境變量以免在 /etc/profile 文件中更改。.profile 中的 IFS 環(huán)境變量可以用于修改 PATH 值。 建議操作: 參考前面設(shè)定用戶屬性一節(jié)。通過lsuser命令檢查用戶屬性。通過env檢查用戶環(huán)境變量的設(shè)定。通過ls –l命令檢查用戶.profile文件的訪問權(quán)限。 操作結(jié)果: 確保用戶基本設(shè)定文件和變量的有效性。并避免無關(guān)人員的訪問。 3.2 使用 Noshell 編號(hào): 6015 名稱: 使用noshell 重要等級(jí): 高 基本信息: 從過去歷史來看,當(dāng)一帳號(hào)被停用,此帳戶的登陸 shell 將截取任何登陸并結(jié)束,而不作任何進(jìn)一步行動(dòng)。這樣,可防止此帳戶被攻擊并作進(jìn)一步存取。通常登陸的 shell 執(zhí)行程序是 /bin/false,但 /bin/false 并非總是程序,事實(shí)上,它可能是一個(gè) shell script ,而使用 shell script 將使系統(tǒng)置于風(fēng)險(xiǎn)中。 nonshell 被發(fā)展來提供管理者有監(jiān)督這類存取停用帳戶企圖的能力。 檢測(cè)內(nèi)容: 請(qǐng)合理設(shè)定/etc/passwd中關(guān)于用戶等錄初始化程序的設(shè)定字段。用安全的nonshell方式予以替代。 建議操作: 最新版本的noshell 可用 anonymous ftp 從下列地址得到: http://www.fish.com/titan/src1/noshell.c. http://www.fish.com/titan/src1/Makefile 如果 noshell 被使用,而有攻擊者持續(xù)嘗試被停用的帳戶密碼來激活使用者的 shell,則 noshell 將被執(zhí)行且結(jié)束此使用者的訪問。執(zhí)行下列以激活 nonshell: 1. 復(fù)制程序到正確的系統(tǒng)目錄 2. 手動(dòng)安裝 noshell 到正確的系統(tǒng)目錄需 root 權(quán)限: # cp -p noshell /usr/local/sbin 3. 設(shè)置 noshell 程序?yàn)楹戏ǖ牡顷憇hell 4. noshell 必須被列入 /etc/shells 系統(tǒng)文件中,以便被承認(rèn)合法的登入 shell,作法如下: /usr/local/sbin/noshell 5. 加入此行到停用帳戶的 shell 定義中以便激活 noshell。 操作結(jié)果: 停用用戶的登錄被確保受到了限制。 設(shè)置登錄控制 編號(hào): 6016 名稱: 設(shè)置登陸控制 重要等級(jí): 高 基本信息: 暴力法是一般最常用的攻擊方式。通過不停的猜測(cè)密碼,理論上可以突破任何系統(tǒng)。因此限制用戶的登錄次數(shù)是限制此類攻擊的有效手段。 檢測(cè)內(nèi)容: 要使得較難通過猜測(cè)密碼來攻擊系統(tǒng),請(qǐng)?jiān)?/etc/security/login.cfg 文件中如下所示設(shè)置登錄控制: /etc/security/login.cfg 文件的“屬性”及“建議值”。 屬性 用于 PtYs(網(wǎng)絡(luò)) 用于 TTYs 建議值 注釋 sak_enabled Y Y false 很少需要“安全注意鍵”。 logintimes N Y 在此處指定允許登錄的次數(shù)。 logindisable N Y 4 在此終端連續(xù) 4 次試圖登錄失敗后,禁止其登錄。 logininterval N Y 60 在 60 秒內(nèi)進(jìn)行了指定的無效嘗試后,禁用終端。 loginreenable N Y 30 在自動(dòng)禁用終端 30 分鐘后重新啟用該終端。 logindelay Y Y 5 在兩次出現(xiàn)登錄提示之間的以秒為單位的時(shí)間間隔。這將隨著嘗試失敗的次數(shù)成倍地增加;例如,初始值為 5 時(shí),該時(shí)間間隔就為 5 秒、10 秒、15 秒、20 秒。 這些端口限制主要在已連接的串行終端上發(fā)揮作用,而不是在網(wǎng)絡(luò)登錄使用的偽終端上。您可在該文件中指定顯式終端,例如: /dev/tty0: logintimes = 0600-2200 logindisable = 5 logininterval = 80 loginreenable = 20 建議操作: 操作結(jié)果: 3.4 更改登錄屏幕的歡迎消息 編號(hào): 6017 名稱: 更改登陸的歡迎信息 重要等級(jí): 中 基本信息: 檢測(cè)內(nèi)容: 為防止在登錄屏幕上顯示某些信息,請(qǐng)編輯 /etc/security/login.cfg 文件中的 herald 參數(shù)。缺省的 herald 包含隨登錄提示一起顯示的歡迎消息。您可用 chsec 命令或直接編輯文件來更改該參數(shù)。 建議操作: 以下示例用 chsec 命令更改缺省的 herald 參數(shù): # chsec -f /etc/security/login.cfg -a default -herald "Unauthorized use of this system is prohibited.\n\nlogin: " 要直接編輯文件,請(qǐng)打開 /etc/security/login.cfg 文件并更新 herald 參數(shù)如下: 缺省值: herald ="禁止未授權(quán)使用本系統(tǒng)\n\n登錄:" sak_enable = false logintimes = logindisable = 0 logininterval = 0 loginreenable = 0 logindelay = 0 注: 要使得該系統(tǒng)更安全,請(qǐng)將 logindisable 和 logindelay 變量的值設(shè)置為大于 0(# > 0)。 操作結(jié)果: 防止了攻擊者的此類窮舉式攻擊。 3.5 更改公共桌面環(huán)境的登錄屏幕 編號(hào): 6018 名稱: 更改CDE的登陸屏幕 重要等級(jí): 中 基本信息: X登錄方式包括多種,其中在AIX環(huán)境中CDE使用最為普遍。 檢測(cè)內(nèi)容: 該安全性說明影響公共桌面環(huán)境(CDE)的用戶。缺省情況下,CDE 登錄屏幕也顯示主機(jī)名和操作系統(tǒng)版本。要防止顯示此信息,請(qǐng)編輯 /usr/dt/config/$LANG/Xresources 文件,其中 $LANG 指的是安裝在您的機(jī)器上的本地語言。 示例中,假定 $LANG 設(shè)置為 C,將該文件復(fù)制到 /etc/dt/config/C/Xresources 目錄中。然后,打開 /usr/dt/config/C/Xresources 文件并編輯,以除去包含主機(jī)名和操作系統(tǒng)版本的歡迎消息。 建議操作: 將登錄時(shí)提供的多余信息剔除。防止暴露多余信息給潛在的攻擊者。 操作結(jié)果: 確保系統(tǒng)信息不會(huì)無意中暴露給無關(guān)人員。 3.6 設(shè)置系統(tǒng)缺省登錄參數(shù) 編號(hào): 6019 名稱: 設(shè)置缺省登陸參數(shù) 重要等級(jí): 中 基本信息: 防止窮舉法攻擊者的多次等錄嘗試。 檢測(cè)內(nèi)容: 在設(shè)定了此類屬性后,未授權(quán)者無法反復(fù)嘗試登錄。 建議操作: 要為許多登錄參數(shù)設(shè)置基本缺省值,例如那些可能需要為新用戶設(shè)置的參數(shù)(登錄重試次數(shù)、登錄重新啟用和登錄內(nèi)部),請(qǐng)編輯 /etc/security/login.cfg 文件。 操作結(jié)果: 防止窮舉法攻擊者的多次等錄嘗試。 3.7 保護(hù)無人照管終端 編號(hào): 6020 名稱: 保護(hù)無人照管終端 重要等級(jí): 高 基本信息: 防止無人照管用于等錄的可能。 檢測(cè)內(nèi)容: 如果終端處于登錄狀態(tài)卻無人照管,那么所有的系統(tǒng)都是脆弱的。當(dāng)系統(tǒng)管理員讓用超級(jí)權(quán)限開啟的終端處于無人照管狀態(tài)時(shí),就會(huì)出現(xiàn)最嚴(yán)重的問題。通常,任何時(shí)候用戶離開他們的終端時(shí)都應(yīng)該注銷。讓系統(tǒng)終端處于非安全狀態(tài)會(huì)造成潛在的安全威脅。 建議操作: 要鎖定終端,請(qǐng)使用 lock 命令。如果您的界面是 AIXwindows,請(qǐng)使用 xlock 命令。 操作結(jié)果: 無人照管的終端被Lock,未經(jīng)授權(quán)者無法用于登錄。 3.8 強(qiáng)制自動(dòng)注銷 編號(hào): 6021 名稱: 強(qiáng)制自動(dòng)注銷 重要等級(jí): 高 基本信息: 另一個(gè)要關(guān)注的有效安全性問題是用戶長時(shí)間將他們的帳戶置于無人照管狀態(tài)造成的后果。這種情況使闖入者可以控制用戶的終端,從而潛在地危及系統(tǒng)的安全。 檢測(cè)內(nèi)容: 要預(yù)防這類潛在的安全威脅,您可在系統(tǒng)中啟用自動(dòng)注銷功能。要這樣做,請(qǐng)編輯 /etc/security/.profile 文件,為所有用戶包含自動(dòng)注銷值,如下例所示: TMOUT=600 ; TIMEOUT=600 ; export readonly TMOUT TIMEOUT 在本例中,數(shù)字 600 是以秒為單位,它等于 10 分鐘。但是,該方法只在 shell 中生效。 建議操作: 設(shè)定合理方便的TIMEOUT時(shí)限環(huán)境變量。 操作結(jié)果: 當(dāng)先前的操作允許您對(duì)所有用戶強(qiáng)制執(zhí)行自動(dòng)注銷策略時(shí),系統(tǒng)用戶就能通過編輯他們各自的 .profile 文件來繞過一些限制。為了完全實(shí)現(xiàn)自動(dòng)注銷策略,必須采取權(quán)威的措施,即給用戶提供適當(dāng)?shù)?.profile 文件,阻止對(duì)這些文件的寫訪問權(quán)。 3.9 限制Root只可從控制臺(tái)存取 編號(hào): 6022 名稱: 限制root存取 重要等級(jí): 高 基本信息: 潛在黑客的一個(gè)常見攻擊方法是獲取 root 密碼。 檢測(cè)內(nèi)容: 要避免此類攻擊,可以禁用直接訪問 root 標(biāo)識(shí),然后要求系統(tǒng)管理員通過使用 su - 命令獲取 root 權(quán)限。除了允許刪除作為攻擊對(duì)象的 root 用戶,限制直接的 root 訪問使您可以監(jiān)視哪些用戶獲取了 root 訪問權(quán)及他們操作的時(shí)間??梢圆榭?/var/adm/sulog 文件做到這一點(diǎn)。另一種方法是啟用系統(tǒng)審計(jì),這將報(bào)告此類活動(dòng)。 建議操作: 要禁止 root 用戶遠(yuǎn)程登錄訪問,編輯 /etc/security/user 文件。在 root 項(xiàng)中指定 false 作為 rlogin 的值。 在禁用遠(yuǎn)程 root 登錄之前,請(qǐng)檢查并準(zhǔn)備可能使系統(tǒng)管理員用非 root 用戶標(biāo)識(shí)無法登錄的情況。例如,如果用戶的主文件系統(tǒng)已滿,該用戶將無法登錄。如果禁用了遠(yuǎn)程 root 登錄,而能使用 su - 命令更改到 root 用戶的用戶主文件系統(tǒng)已滿,則 root 用戶可能永遠(yuǎn)無法取得對(duì)系統(tǒng)的控制。系統(tǒng)管理員可以通過為他們自己創(chuàng)建比一般用戶文件系統(tǒng)大的主文件系統(tǒng)繞過此問題。 你可關(guān)閉 root 的登陸除了在控制臺(tái)外﹔ chuser ttys=’/dev/console’ rlogin=false root 加root 到 /etc/ftpusers 檔來拒絕 FTP 存取 root 帳號(hào) 操作結(jié)果: 遠(yuǎn)程 root 不可存取系統(tǒng),系統(tǒng)管理者應(yīng)只在需執(zhí)行root權(quán)限的功能時(shí)使用root,然后再回復(fù)一般使用者身份。持續(xù)使用root帳戶可能會(huì)造成破壞,因其權(quán)限蓋過許多安全措施,故建議管理者應(yīng)先以一般使用者登入再使用 su 來得到 root 權(quán)限。 3.10 保護(hù)SUID 程序 編號(hào): 6023 名稱: 保護(hù)SUID程序 重要等級(jí): 高 基本信息: 在AIX上許多setuid 和 setgid 程序是只能讓root來使用, 或跟據(jù)其所指定的 user 或 group才能執(zhí)行。 這些程序事實(shí)上可以不用 setuid and setgid ,并且在不削減使用者權(quán)限之下來完成的工作。 在考慮到系統(tǒng)上這些個(gè)別的程序, 使用命令 “find / -perm –4000 –print” 來找出這些程序。 檢測(cè)內(nèi)容: 建立一個(gè)主要的清單, 其中列出保留使用 setuid/setgid ,并且定期作程序清單的檢查。 阻止?jié)撛谙到y(tǒng)crackers的其中一個(gè)方法 是防止它們?cè)谀愕臋C(jī)器上執(zhí)行setuid 程序。 進(jìn)行這個(gè)步驟后, 使得任何人想要從你的機(jī)器上, 得到一個(gè)非經(jīng)授權(quán)的setuid程序是不可能的。 建議操作: 在系統(tǒng)范圍內(nèi)檢查setuid和setgid程序,評(píng)估其使用,限制無意義的此類程序使用。 操作結(jié)果: 防止對(duì)應(yīng)的緩沖區(qū)溢出攻擊。 3.11 限制性的Restricted Shell 編號(hào): 6024 名稱: 限制性的shell 重要等級(jí): 高 基本信息: 當(dāng)使用者登入,首先系統(tǒng)環(huán)境 /etc/profile 將被執(zhí)行,其次為使用者環(huán)境 $HOME/.profile 。使用者環(huán)境 $HOME/.profile的設(shè)定值可重設(shè)在系統(tǒng)環(huán)境 /etc/profile的設(shè)定值內(nèi),如果要避免此,則使用者必須拒絕shell的存取或僅可存取限制性的 shell,其變成只能執(zhí)行事先授權(quán)的命令。 檢測(cè)內(nèi)容: 檢查登錄時(shí)自動(dòng)執(zhí)行的命令。確定各自動(dòng)執(zhí)行命令的目的和執(zhí)行權(quán)限。 建議操作: 限制性的 shell 類似如下: #!/bin/ksh # Restricted shell. Only the specified commands can be executed. COMMANDS="host,ping,passw,exit,logout" PATH="/bin:/usr/ucb:/usr/bin:/usr/sbin:/usr/user" prompt=`hostname` trap "" 2 # ignore SIGINT while true; do print -n "$prompt: " read command arg1 arg2 arg3 if [[ $? -ne 0 ]]; then # end-of-file print exit 0 fi if [[ "$command" = "" ]]; then # null command continue fi case $command in host) echo host $arg1 $arg2 $arg3;host $arg1 $arg2 $arg3;; ping) echo ping -c 5 $arg1;ping -c 5 $arg1;; passwd) passwd;; exit|logout) exit 0;;- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
5 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- AIX 系統(tǒng)安全 配置 手冊(cè)
鏈接地址:http://m.appdesigncorp.com/p-1490239.html