AIX系統(tǒng)安全配置手冊

1、AIX系統(tǒng)安全配置1 身分識別1.1 賬戶設(shè)定編號：6001名稱：帳戶設(shè)定重要等級：高基本信息：賬戶是用戶訪問系統(tǒng)的基本憑證。系統(tǒng)通過檢測用戶所擁有的帳戶來識別用戶的身份，并以此決定用戶的操作權(quán)限，同時也產(chǎn)生諸如審計之類的動作。檢測內(nèi)容：只有特定的授權(quán)帳戶可用來增加用戶及群組，此為AIX默認值且不應(yīng)被更改；Ø一般帳戶不應(yīng)該有多余的管理權(quán)限，此為AIX默認值且不該被更改；Ø只有特定的授權(quán)帳戶可用來刪除用戶及群組、修改及打印所有帳戶資料。以用來防止非法存取系統(tǒng)，或集中攻擊有特別權(quán)限的帳戶，此為AIX默認值且不該被更改；Ø只有特定的授權(quán)帳戶可用來檢查使用者狀態(tài)。為防止入

2、侵者存取非公開系統(tǒng)資料，用戶狀態(tài)資料僅可由特定帳戶取得。這一點在AIX僅部份可行，因為如果使用者鎖定，則其它使用者無法看到此使用者，但卻可使用 who 命令來檢查登陸的帳戶；Ø只有特定的授權(quán)帳戶可用來打印所有群組信息、鎖定或未鎖定的帳戶。以用來防止非法存取系統(tǒng)，或集中攻擊有特別權(quán)限的群組，此為AIX默認值且不該被更改；Ø只有特定的授權(quán)帳戶可用來更改授權(quán)帳戶數(shù)目。太多的用戶同時使用某應(yīng)用系統(tǒng)可能影響系統(tǒng)穩(wěn)定性，此為AIX默認值且不該被更改；Ø系統(tǒng)管理員群組的人員不可存取所有資源，管理群組的人員應(yīng)只能存取工作上所需用的資源。存取所有資源不應(yīng)被允許，此為AIX默認值且不

3、該被更改；Ø一般用戶不可存取特定系統(tǒng)文件及命令。系統(tǒng)命令及程序只能被特定帳戶使用，一般用戶不可存取此類功能。應(yīng)通過權(quán)限控制管理來進行限制，此為AIX默認值且不該被更改；Ø權(quán)限的控制管理應(yīng)在文件產(chǎn)生時即被設(shè)置，僅有文件的產(chǎn)生者能讀取、寫入、執(zhí)行或刪除此文件，使用者的 umask設(shè)定為僅允許文件產(chǎn)生者存取 (例外：root 用戶可存取系統(tǒng)所有文件)。Umask的設(shè)定控制了文件除了刪除外的權(quán)限，刪除的權(quán)限則根據(jù)文件所在目錄的權(quán)限位來決定；Ø最少權(quán)限機制應(yīng)被應(yīng)用，以確保應(yīng)用程序以最少權(quán)限執(zhí)行，所有應(yīng)用程序的授權(quán)應(yīng)保持最低權(quán)限；Ø只有特別的授權(quán)帳戶可安裝軟件或加入

4、新設(shè)備到系統(tǒng)中，并安裝安全的更新修正程序，此為AIX默認值且不該被更改；建議操作：按照系統(tǒng)提供的資源和計劃運行的任務(wù)，合理規(guī)劃任務(wù)的屬主，以此利用系統(tǒng)提供的管理命令，如passwd、umask等，設(shè)定權(quán)責(zé)明確的用戶和用戶組。分別對它們設(shè)定嚴格的系統(tǒng)權(quán)限。操作結(jié)果：Ø存取系統(tǒng)資源取決于使用者及群組的身份，使用者的權(quán)限可能多于其群組的權(quán)限；1.2 推薦用戶屬性編號：6002名稱：推薦用戶屬性重要等級：高基本信息：用戶是系統(tǒng)的主要組成元素。用戶的一個主要屬性是如何對他們進行認證。其屬性控制他們的訪問權(quán)、環(huán)境、如何對他們進行認證以及如何、何時、在哪里可以訪問他們的帳戶。組是對共享的資源同一訪

5、問許可權(quán)的用戶的集合。一個組有一個標識，且由組成員和管理員組成。組的創(chuàng)建者通常就是第一管理員?？梢詫γ總€用戶帳戶設(shè)置多個屬性，包含密碼和登錄屬性。檢測內(nèi)容：推薦以下屬性：Ø每個用戶應(yīng)有一個不與其它用戶共享的用戶標識。所有的安全防護措施和工具僅在每個用戶都有唯一標識時起作用； Ø為系統(tǒng)用戶指定一個對其有意義的用戶名。最好使用實際名稱，因為大多數(shù)電子郵件系統(tǒng)使用用戶標識為接收的郵件標號；Ø使用基于 Web 的系統(tǒng)管理工具或 SMIT 界面添加、更改和刪除用戶。雖然可以通過命令行來執(zhí)行所有這些任務(wù)，但這些界面有助于減少小錯誤；Ø在用戶準備好登錄系統(tǒng)前不要為用戶

6、帳戶提供初始密碼。如果在 /etc/passwd 文件中將密碼字段定義為 *（星號），雖然帳戶信息得到保存，但不能登錄到該帳戶；Ø不要更改系統(tǒng)正常運行所需的由系統(tǒng)定義的用戶標識。系統(tǒng)定義的用戶標識羅列在 /etc/passwd 文件中；Ø一般情況下，不要將任何用戶標識的 admin 參數(shù)設(shè)置為 true。只有 root 用戶可以為在 /etc/security/user 文件中設(shè)置為 admin=true 的用戶更改屬性。操作系統(tǒng)支持通常出現(xiàn)在 /etc/passwd 和 /etc/group 文件中的標準用戶屬性，例如：認證信息指定密碼 憑證指定用戶標識、主體組和補充組標

7、識 環(huán)境指定主環(huán)境或 shell 環(huán)境。建議操作：檢查標準Unix系統(tǒng)用戶、組設(shè)定文件。/etc/passwd和/etc/group中的設(shè)定，確定各個用戶存在的目的，避免存在無意義的用戶和組。檢查用戶ID，避免無關(guān)用戶擁有root或其他管理用戶的權(quán)限。檢查密碼字段，防止無密碼的用戶存在。檢查用戶屬性，避免不合理的用戶擁有admin的權(quán)限。操作結(jié)果：各個用戶和用戶組依照之前規(guī)劃的目標擁有并可以行使各自明確的權(quán)限。6.1.3 用戶帳戶控制編號：6003名稱：用戶帳戶控制重要等級：高基本信息：每個用戶帳戶有一組相關(guān)屬性。當使用 mkuser 命令創(chuàng)建用戶時，這些屬性根據(jù)缺省值創(chuàng)建。這些屬性可以通過使

8、用 chuser 命令來修改。檢測內(nèi)容：以下用戶屬性用于控制與密碼有關(guān)的方面：Øaccount_locked如果必須明確地鎖定帳戶，則該屬性可以設(shè)置為 true；缺省值是 false。 Øadmin如果設(shè)置為 true，則該用戶無法更改密碼。只有管理員可以更改它。 Øadmgroups列出此用戶具有管理權(quán)限的組。對于這些組，該用戶可以添加或刪除成員。 Øauth1用于授權(quán)用戶訪問的認證方法。典型地，將它設(shè)置為 SYSTEM，然后將使用較新的方法。 Øauth2按 auth1 指定的對用戶進行認證后運行的方法。它無法阻止對系統(tǒng)的訪問。典型地，將它

9、設(shè)置為 NONE。 Ødaemon此布爾參數(shù)指定是否允許用戶使用 startsrc 命令啟動守護程序或子系統(tǒng)。它也限制對 cron 和 at 設(shè)備的使用。 Ølogin指定是否允許該用戶登錄。 Ølogintimes限制用戶何時可以登錄。例如，用戶可能被限制只能在正常營業(yè)時間訪問系統(tǒng)。 Øregistry指定用戶注冊表?？梢杂糜诟嬷到y(tǒng)用戶信息的備用注冊表，例如 NIS、LDAP 或 Kerberos。 Ørlogin指定是否允許該用戶通過使用 rlogin 或 telnet 登錄。 Øsu指定其它用戶是否可以使用 su 命令切換至此

10、標識。 Øsugroups指定允許哪個組切換至此用戶標識。 Øttys限制某些帳戶進入物理安全區(qū)域。 Øexpires管理guest帳戶；也可以用于臨時關(guān)閉帳戶。 Øloginretries指定用戶標識被系統(tǒng)鎖定之前連續(xù)的可以嘗試登錄失敗的最大次數(shù)。失敗的嘗試記錄在 /etc/security/lastlog 文件中。 Øumask指定用戶的初始 umask。 建議操作：所有的用戶屬性在 /etc/security/user、/etc/security/limits、/etc/security/audit/config 和 /etc/secur

11、ity/lastlog 文件中定義。使用 mkuser 命令創(chuàng)建的用戶缺省值在 /usr/lib/security/mkuser.default 文件中指定。只有修改 /etc/security/user 和 /etc/securtiy/limits 文件中的 default 節(jié)中的缺省值的設(shè)置和審計類必須在 mkuser.default 文件中指定。文件中的一些屬性控制用戶可以如何登錄，且可以通過配置這些屬性，在指定情況下自動鎖定用戶帳戶（阻止進一步登錄）。用戶帳戶由系統(tǒng)鎖定后，用戶無法登錄直到系統(tǒng)管理員重新設(shè)置該用戶在 /etc/security/lastlog 文件中的 unsucces

12、sful_login_count 屬性值小于登錄重試值?？梢允褂靡韵?chsec 命令完成，如下所示：chsec -f /etc/security/lastlog -s username -aunsuccessful_login_count=0可以使用 chsec 命令在相應(yīng)安全性文件（/etc/security/user 或 /etc/security/limits 文件）中編輯 default 節(jié)來更改缺省值。將許多缺省值定義為標準行為。要明確地指定每次創(chuàng)建新用戶時要設(shè)置的屬性，請更改 /usr/lib/security/mkuser.default 中的 user 項。操作結(jié)果：AIX中

13、各用戶將嚴格按照chuser設(shè)定的要求，允許或限制各種操作。以此保證系統(tǒng)按照既定的安全規(guī)定訪問。6.1.4 登錄用戶標識編號：6004名稱：登陸用戶標識重要等級：中基本信息：操作系統(tǒng)通過用戶的登錄用戶標識來識別他們。登錄用戶標識允許系統(tǒng)可以追蹤所有的用戶操作。在用戶登錄系統(tǒng)后，初始用戶程序運行前，系統(tǒng)將進程的登錄標識設(shè)置為在用戶數(shù)據(jù)庫中找到的用戶標識。登錄會話過程中所有后繼進程都用此標識做標記。這些標記提供登錄用戶標識執(zhí)行的所有活動的蹤跡。用戶可以在會話過程中重新設(shè)置有效用戶標識、真實用戶標識、有效組標識、真實組標識和增補組標識，但不能更改登錄用戶標識。檢測內(nèi)容：請參考/etc/passwd和

14、/etc/group文件，用戶在登錄后，系統(tǒng)通過在該文件中的記錄，將用戶標示為對應(yīng)的UID和GID，并以此確定其在系統(tǒng)的身份和權(quán)限。建議操作：給予用戶合適的UID并將其分配到合適的一個或多個組中。在登錄后使用id或whoami命令檢查自己的身份標識。操作結(jié)果：用戶等錄后擁有既定的UID和GID身份。1.5使用訪問控制表增強用戶安全性編號：6005名稱：訪問控制列表重要等級：高基本信息：要在系統(tǒng)上取得安全性的相應(yīng)水平，要開發(fā)一個一致的安全性策略來管理用戶帳戶。最常用的安全機制是訪問控制表（ACL）。有關(guān) ACL 和開發(fā)安全性策略的信息，請參閱訪問控制。檢測內(nèi)容：建議操作：操作結(jié)果：1.6停用無用

15、的賬戶(Unnecessary Accounts)編號：6006名稱：停掉無用的帳戶重要等級：高基本信息：“Guest”帳戶應(yīng)該在系統(tǒng)上是不被允許的。AIX 內(nèi)含一些使用者ID ，而其密碼是無效的( password (*) )。若ID 含有無效的密碼(invalid password)，其意謂者沒有任可使用者可以藉此登入至系統(tǒng)。這些ID 是:daemonOwner of the system daemonsbinOwner of the system executable filessysOwner of system devicesadmOwner of system accounting

16、 utilitiesuucpOwner of UNIX-to-UNIX Copy ProgramnuucpFor UUCPlpdOwner of printer spooler utilityguestGuest accountnobodyused by NFS并不建議移除所有無用的帳戶，如: uucp， nuucp， lpd， guest， and nobody等。因為有時候當安裝更新程序時，安裝程序會嘗試使用這些系統(tǒng)定義的帳戶，譬如，更改文件的所有權(quán)給自已。假如該帳戶不存在，則安裝可能會失敗， 并造成更新程序在一個“未定義”或“broken” 狀態(tài)。這樣是非常困難去檢查先前的錯誤。 因此，

17、我們建議，除了guest user，不要移除其它系統(tǒng)帳戶信息。在操作系統(tǒng)安裝過程中，會創(chuàng)建許多缺省用戶和組標識。根據(jù)您在系統(tǒng)上運行的應(yīng)用程序和系統(tǒng)在網(wǎng)絡(luò)中所處的位置，其中某些用戶和組標識可能成為安全弱點，容易被人利用。如果這些用戶和組標識是不必要的，那么您可以將其刪除，以使跟其有關(guān)的安全風(fēng)險最小化。檢測內(nèi)容：您可能能夠除去的公共缺省用戶標識：uucp, nuucpuucp協(xié)議所用的隱藏文件的所有者。uucp 用戶帳戶是用于“UNIX 到 UNIX 復(fù)制程序”，該程序是在大多數(shù) AIX 系統(tǒng)上存在的一組命令、程序和文件，它們允許用戶使用專線或電話線與另一 AIX 系統(tǒng)進行通信。lpd打印子系統(tǒng)所

18、使用文件的所有者guest允許那些無權(quán)訪問帳戶的用戶訪問可能不需要的公共組標識：uucpuucp 和 nuucp 用戶所屬的組printqlpd 用戶所屬的組建議操作：分析/etc/passwd，/etc/group中列出的用戶和組，確定其意義。刪除或限制無意義或意義不明確的用戶和組。操作結(jié)果：分析您的系統(tǒng)以確定哪些用戶、組標識確實是不需要的?？赡芤泊嬖谄渌哪赡懿恍枰挠脩艉徒M標識。在系統(tǒng)投入生產(chǎn)之前，對可用的用戶、組標識進行徹底地檢查。2身分驗證2.1設(shè)定BIOS通行碼編號：6007名稱：設(shè)置BIOS密碼重要等級：高基本信息：BIOS密碼是進入系統(tǒng)的第一道防線。如果不能確定系統(tǒng)是否會經(jīng)未

19、授權(quán)的人員訪問，請設(shè)定良好的BIOS密碼以阻止其對系統(tǒng)基本設(shè)置的訪問。檢測內(nèi)容：進入系統(tǒng)的 BIOS 并設(shè)定密碼，以防止未經(jīng)授權(quán)者進入系統(tǒng)或進入系統(tǒng)的BIOS設(shè)定。關(guān)閉硬盤以外其它裝置的booting功能，以建立一個高度安全的環(huán)境。建議操作：啟動機器后，進入BIOS或SMC的控制選單，設(shè)定訪問密碼。操作結(jié)果：未經(jīng)授權(quán)的人員將無法訪問系統(tǒng)基本硬件設(shè)定功能。2.2設(shè)定賬戶密碼編號：6008名稱：設(shè)定帳戶密碼重要等級：高基本信息：在未使用生物認證技術(shù)的環(huán)境中，用戶得以進入系統(tǒng)基本憑證就是密碼。目前廣泛使用的shadow方式的密碼存放方式。檢測內(nèi)容：良好的密碼是抵御未授權(quán)進入系統(tǒng)的第一道有效防線，它們

20、是以下類型：Ø大小寫字母的混合；Ø字母、數(shù)字或標點符號的組合。此外，它們可以包含特殊字符，如 !#$%&*()-_=+|;:'",.<>?/< 空格>；Ø未寫在任何地方；Ø如果使用 /etc/security/passwd 文件，那么長度最少為 7 個字符最大 8 個字符（象 LDAP 那樣使用注冊表實施的認證，可以使用超出此最大長度的密碼）；Ø不是在字典中可查到的真實單詞；Ø不是鍵盤上字母的排列模式，例如 qwerty；Ø不是真實單詞或已知排列模式的反向拼寫；Ø不

21、包含任何與您自己、家庭或朋友有關(guān)的個人信息；Ø不與從前一個密碼的模式相同；Ø可以較快輸入，這樣邊上的人就不能確定您的密碼；除了這些機制，您可以通過限定密碼不可以包含可能猜測到的標準 UNIX 單詞，從而進一步實施更嚴格的規(guī)則。該功能使用 dictionlist，它要求您首先安裝 bos.data 和 bos.txt 文件集。建議操作：要實現(xiàn)前面定義的 dictionlist，請編輯 /etc/security/users 文件中的以下行：dictionlist = /usr/share/dict/words/usr/share/dict/words 文件使用 diction

22、list 來防止使用標準 UNIX 單詞作為密碼。操作結(jié)果：用戶被限制使用強可靠性的密碼。并可能被要求定時檢查和更改。2.3使用 /etc/passwd 文件編號：6009名稱：使用passwd文件重要等級：高基本信息：傳統(tǒng)上，/etc/passwd 文件是用來記錄每個擁有系統(tǒng)訪問權(quán)的注冊用戶。/etc/passwd 文件以冒號分隔，它包含以下信息：Ø用戶名 Ø已加密密碼 Ø用戶標識號（UID） Ø用戶的組標識號（GID） Ø用戶全名（GECOS） Ø用戶主目錄 Ø登錄 shell以下是一個 /etc/passwd 文件的示

23、例：root:!:0:0:/:/usr/bin/kshdaemon:!:1:1:/etc:bin:!:2:2:/bin:sys:!:3:3:/usr/sys: adm:!:4:4:/var/adm:uucp:!:5:5:/usr/lib/uucp: guest:!:100:100:/home/guest:nobody:!:4294967294:4294967294:/:lpd:!:9:4294967294:/:lp:*:11:11:/var/spool/lp:/bin/false invscout:*:200:1:/var/adm/invscout:/usr/bin/kshnuucp:*:6:

24、5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucicopaul:!:201:1:/home/paul:/usr/bin/kshjdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh 缺省情況下，AIX 沒有象 UNIX 系統(tǒng)那樣將加密密碼存儲在 /etc/password 文件內(nèi)，而是在缺省情況下存儲在 /etc/security/password 文件（僅 root 用戶可讀）內(nèi)。AIX 使用 /etc/passwd 中歸檔的密碼來表示密碼是否存在或帳戶是否被阻止。檢測內(nèi)容：/etc/pa

25、sswd 文件由 root 用戶擁有，且必須對所有用戶都是可讀的，但只有 root 用戶有寫許可權(quán)，顯示為 -rw-r-r-。如果用戶標識具有密碼，則該密碼字段中會有一個 !（感嘆號）。如果用戶標識沒有密碼，則該密碼字段中有一個 *（星號）。加密的密碼存儲在 /etc/security/passwd 文件中。以下示例包含 /etc/security/passwd 文件（基于以上所示的 /etc/passwd 文件的項）中的最后四個項。guest: password = * nobody: password = * lpd: password = * paul: password = eacVS

26、cDKri4s6 lastupdate = 1026394230 flags = ADMCHG 用戶標識 jdoe 在 /etc/security/passwd 文件中沒有項，因為它在 /etc/passwd 文件中沒有設(shè)置密碼。建議操作：可使用 pwdck 命令來檢查 /etc/passwd 文件的一致性。pwdck 命令通過檢查全部用戶或指定用戶的定義來驗證用戶數(shù)據(jù)庫文件中密碼信息的正確性。操作結(jié)果：/etc/passwd的一致性得到保證，用戶登錄后的身份標識將反映出來。2.4使用 /etc/passwd 文件和網(wǎng)絡(luò)環(huán)境編號：6010名稱：網(wǎng)絡(luò)環(huán)境重要等級：高基本信息：在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，

27、用戶必須在每個系統(tǒng)中有一個帳戶才能獲得對該系統(tǒng)的訪問權(quán)。這通常意味著用戶要在每個系統(tǒng)上的每個 /etc/passwd 文件中有一個項。然而，在分布式環(huán)境中，要確保每個系統(tǒng)都有相同的 /etc/passwd 文件不是件容易的事情。要解決這個問題，有若干種方法（包括網(wǎng)絡(luò)信息系統(tǒng)（NIS）和 NIS+）可以使 /etc/passwd 文件中的信息在整個網(wǎng)絡(luò)中可用。檢測內(nèi)容：確定ypserv和yppasswd等守護程序的正常運行。NIS中央服務(wù)器的/etc/passwd和/etc/group等文件中存放數(shù)據(jù)的有效性。建議操作： 將網(wǎng)絡(luò)范圍內(nèi)的用戶認證數(shù)據(jù)機中存放到NIS主服務(wù)器上，并發(fā)布到個從服務(wù)器上

28、，用戶等錄通過NIS客戶端的支持完成。操作結(jié)果： 用戶登錄通過NIS服務(wù)器上統(tǒng)一的用戶資料庫的支持來完成。因此在各個客戶端上實現(xiàn)統(tǒng)一透明的登錄過程。2.5隱藏用戶名和密碼編號：6011名稱：隱藏用戶名、密碼重要等級：高基本信息：在某些通信方法中，本地某些文件會暴露出用戶的ID和密碼。檢測內(nèi)容：為了達到更高級別的安全性，請確保用戶標識和密碼在系統(tǒng)內(nèi)是不可見的。.netrc 文件包含用戶標識和密碼。該文件未進行加密或加密保護，這樣它的內(nèi)容象純文本一樣清楚顯示。建議操作：要查找這些文件，運行以下命令：# find awk -F: 'print $6' /etc/passwd -nam

29、e .netrc -ls找到這些文件后，請刪除它們。保存密碼的一個更有效的方法是設(shè)置 Kerberos。操作結(jié)果：無意暴露密碼和用戶名的可能降到最低。2.6設(shè)置推薦的密碼選項編號：6012名稱：推薦的密碼選項重要等級：高基本信息：恰當?shù)拿艽a管理只有通過用戶來實現(xiàn)。為提供某些額外的安全性，操作系統(tǒng)提供了可配置的密碼限制。它們允許管理員限制用戶選擇的密碼，并強制定期更改密碼。密碼選項和擴展用戶屬性位于 /etc/security/user 文件中，此文件是包含用戶屬性節(jié)的 ASCII 文件。每當為用戶定義新密碼時，這些限制就會執(zhí)行。所有密碼限制都是按照用戶來定義的。通過在 /etc/securit

30、y/user 文件的缺省節(jié)中保存限制，對所有用戶執(zhí)行相同限制。為了維護密碼安全性，所有密碼必須受到相似的保護。管理員還可以擴展密碼限制。使用 /etc/security/user 文件中的 pwdchecks 屬性，管理員可以將新的子例程（稱為方法）添加到密碼限制代碼中。這樣，本地站點策略可添加到操作系統(tǒng)，并由操作系統(tǒng)執(zhí)行該策略。應(yīng)用密碼限制要切合實際。過于限制的嘗試，例如限制密碼空間（這將使猜測密碼更容易），或強制用戶選擇難以記憶的密碼（用戶可能選擇會寫下密碼），都會危及密碼安全性。密碼安全性最終要依靠用戶。簡單的密碼限制結(jié)合合理的指導(dǎo)和偶爾的審查（以驗證當前密碼是否唯一）是最好的策略。檢測

31、內(nèi)容：以下列出與 /etc/security/user 文件中用戶密碼相關(guān)的一些安全屬性的推薦值。屬性描述推薦值缺省值最大值dictionlist驗證密碼不包含標準 UNIX 單詞/usr/share/dict/words不適用不適用histexpire密碼可重新使用前的星期數(shù)260260histsize可允許的密碼重復(fù)次數(shù)20050maxage必須更改密碼前的最大星期數(shù)8052maxexpired超過 maxage 后可由用戶更改到期密碼的最大星期數(shù)。（root 用戶例外。）2-152maxrepeats在密碼中可重復(fù)字符的最大數(shù)目288minage密碼可被更改前的最小星期數(shù)。不應(yīng)設(shè)置此項為

32、非零值，除非總是能很容易聯(lián)系到管理員來對一個最近更改過的、意外泄密的密碼進行重新設(shè)置。0052minalpha密碼必須包含字母字符的最小數(shù)目208mindiff密碼必須包含唯一字符的最小數(shù)目408minlen密碼長度的最小值6（對 root 用戶是 8）08minother密碼必須包含非字母字符的最小數(shù)目208pwdwarntime系統(tǒng)發(fā)出要求更改密碼警告前的天數(shù)5不適用不適用pwdchecks通過使用一個檢查密碼質(zhì)量的定制代碼，該項可用來增強 passwd 命令。 不適用不適用注:histexpir的最大值最多保留 50 個密碼。 對于受控訪問保護概要文件和評定保證級別 4+（CAPP/EA

33、L4+）系統(tǒng)，請使用用戶與端口配置中推薦的值。如果在系統(tǒng)上安裝了文本處理程序，管理員可以使用 /usr/share/dict/words文件作為 dictionlist 字典文件。在這種情況下，管理員可以設(shè)置 minother 屬性為 0。這是因為字典文件中的大多數(shù)單詞不包含屬于 minother 屬性類別中的字符，把 minother 屬性設(shè)置為 1 或更大將消除對這個字典文件中絕大多數(shù)單詞的需要。系統(tǒng)中密碼的最小長度由 minlen 屬性的值或 minalpha 屬性的值中的較大者加上 minother 屬性來設(shè)置。密碼的最大長度是八個字符。minalpha 屬性的值加上 minother

34、 屬性的值決不能大于 8。如果 minalpha 的值加上 minother 屬性的值大于 8，則 minother 屬性的值會減少為 8 減去 minalpha 屬性的值。如果 histexpire 屬性的值和 histsize 屬性的值都設(shè)置了，則系統(tǒng)保留適用于兩種情況所需的密碼個數(shù)，最多達系統(tǒng)所限制的每個用戶 50 個密碼。不保留空密碼。建議操作：您可以編輯 /etc/security/user 文件，使之包含您要用來管理用戶密碼的任何缺省值。或者，您也可以通過使用 chuser 命令更改屬性值。其它可以與該文件一起使用的命令有 mkuser、lsuser 和 rmuser 命令。mku

35、ser 命令為 /etc/security/user 文件中的每個新建用戶創(chuàng)建一個項，并用 /usr/lib/security/mkuser.default 文件中定義的屬性初始化該項的屬性。要顯示屬性和它們的值，請使用 lsuser 命令。要除去一個用戶，請使用 rmuser 命令。操作結(jié)果：系統(tǒng)密碼設(shè)定和組成策略得到保證。用戶必須嚴格按照此策略設(shè)定自己的密碼。增大入侵者猜測密碼的難度。2.7擴展密碼限制編號：6013名稱：擴展密碼限制重要等級：高基本信息：密碼程序是否接受或拒絕密碼所使用的規(guī)則（密碼構(gòu)成限制），可由系統(tǒng)管理員進行擴展，以提供特定于站點的限制。通過添加方法（在更改密碼過程中調(diào)

36、用）來擴展限制。/etc/security/user 文件中的 pwdchecks 屬性指定調(diào)用的方法。檢測內(nèi)容：AIX 5L 技術(shù)參考大全 包含對 pwdrestrict_method 的描述，它是指定的密碼限制方法必須符合的子例程接口。要正確擴展密碼構(gòu)成限制，則系統(tǒng)管理員必須在編寫密碼限制方法時對該接口編程。請謹慎對待擴展密碼設(shè)置限制。這些擴展將直接影響 login 命令、passwd 命令、su 命令以及其它程序。系統(tǒng)安全性可能被惡意的或有缺陷的代碼輕易破壞。建議操作：通過提供附加的編程接口，允許管理員實現(xiàn)定制的密碼限制策略。請參考AIX程序設(shè)計參考。操作結(jié)果： 實現(xiàn)用戶定制的密碼限制策

37、略。3訪問控制3.1保護使用者環(huán)境設(shè)定(User Configurations)編號：6014名稱：保護使用者環(huán)境設(shè)定重要等級：中基本信息：在 /usr/lib/security/mkuser.default 文件中包含創(chuàng)建帳戶的預(yù)設(shè)參數(shù)， 如使用者的主要群組(primary group)。 我們建議修改這些參數(shù)設(shè)定。檢測內(nèi)容：若審計系統(tǒng)(audit subsystem)啟用的話， 在user 和 admin 段落中加入一行， 來設(shè)定新使用者的 auditclasses:auditclasses = user，config，mail，chcron，SRC，chtcpipAIX中創(chuàng)建新的帳戶時，

38、 一個基本示例文件 /etc/profile 會被復(fù)制到該使用者的 home directory ， 它的文件名為 .profile。 下列的默認值應(yīng)該被指定在 /etc/profile: PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/local/binumask=077PS1=$HOSTNAME:$PWD $export PATH PS1要確定root 設(shè)定umask 為077 或 027。 創(chuàng)建新的帳戶時， 使用者的home directory 是屬于該使用者，而且目錄的群組會設(shè)定為使用者的primary gro

39、up。 一個新使用者的特性文件(profile)是依照系統(tǒng)管理者的umask， 來得到檔案的存取權(quán)限。 而 umask 設(shè)定為 077 可以確認使用者的home directories 只可以被該使用者來存取。 PATH 環(huán)境變量是指定在目前作業(yè)環(huán)境中， 尋找執(zhí)行檔案的路徑。 請確定root 擁有一個安全的搜尋路徑， 如: /usr/bin:/sbin:/usr/sbin若針對PATH變量，有額外的修改， 請遵循下列建議步驟。 它會幫助你避免執(zhí)行非授權(quán)的程序或木馬程序 (Trojan horses)：ØPATH ， 在找尋home directories之前， 應(yīng)先找尋標準的系統(tǒng)目錄

40、；Ø當前目錄 (.)不應(yīng)在 PATH之中；ØPATH 不應(yīng)包括任何”不受保護”( “unprotected” ) 的目錄。 對一般使用者來說， 指那些可以被其它一般使用者有寫入權(quán)限的目錄。 對系統(tǒng)管理者而言， 指那些可以讓非系統(tǒng)管理者可以有寫入權(quán)限的目錄；ØPS1 環(huán)境變量，該指定系統(tǒng)的”命令顯示”(prompt)。 該變量應(yīng)該清楚的定義出使用者是用什么系統(tǒng)，及是使用哪些目錄。另外，帳戶信息是可以利用使用者名稱(user name)以及 user identification number (UID)來識別。 每個使用者應(yīng)該有一個唯一的UID。 用smit (fa

41、stpath smit mkuser)命令來增加使用者，會自動地產(chǎn)生唯一的UID。使用者的帳戶信息應(yīng)該保密且不該被公開。PATH 環(huán)境變量是一個重要的安全控制。它指定搜索的目錄來查找命令。缺省系統(tǒng)范圍的 PATH 值在 /etc/profile 文件中進行指定，而且每個用戶通常在自己的 $HOME/.profile 文件中都有一個 PATH 值。.profile 文件中的 PATH 值可以將系統(tǒng)范圍 PATH 值覆蓋，或向它添加額外的目錄。對 PATH 環(huán)境變量的未授權(quán)更改可能使得系統(tǒng)中的用戶“欺騙”其它用戶（包括 root 用戶）。電子欺騙程序（也稱為特洛伊木馬程序）更換了系統(tǒng)命令，然后捕獲

42、給該命令的信息，例如用戶密碼。例如，假定用戶更改 PATH 值使系統(tǒng)運行命令時首先查找 /tmp 目錄。然后該用戶在 /tmp 目錄中放置一個稱為 su 的程序，該程序就象 su 命令一樣要求 root 密碼。接著，該 /tmp/su 程序?qū)?root 密碼郵寄給該用戶，并在退出前調(diào)用 su 命令。在這種情況下，任何使用 su 命令的 root 用戶將暴露 root 密碼，而且自己甚至還未意識到。系統(tǒng)管理員和用戶要防止關(guān)于 PATH 環(huán)境變量的任何問題，請執(zhí)行以下操作：Ø當感到懷疑時，請指定全路徑名。如果指定了全路徑名，將忽略 PATH 環(huán)境變量。 Ø切勿將當前目錄（由 .

43、 指定（句點）插入為 root 用戶指定的 PATH 值中。切勿允許在 /etc/profile 中指定當前目錄。 Øroot 用戶應(yīng)當在其私有的 .profile 文件中有自己的 PATH 規(guī)范。通常，/etc/profile 中的規(guī)范列出了對于所有用戶的最少標準，然而 root 用戶可能需要比缺省值更多或更少的目錄。 警告其它用戶在沒有咨詢系統(tǒng)管理員的情況下，不要更改他們的 .profile 文件。否則，可信的用戶可能做出更改允許無意識的訪問。應(yīng)將用戶 .profile 文件的許可權(quán)設(shè)置為 740。 Ø系統(tǒng)管理員不應(yīng)使用 su 命令從用戶會話中取得 root 用戶特權(quán)，

44、因為在 .profile 文件中指定的該用戶 PATH 值是有效的。用戶可以設(shè)置他們自己的 .profile 文件。系統(tǒng)管理員應(yīng)當作為 root 用戶或最好使用他們自己的標識登錄到用戶的機器，然后使用以下命令： /usr/bin/su - root這確保在會話過程中使用 root 環(huán)境。如果系統(tǒng)管理員在另一用戶會話中以 root 身份操作，則在整個會話中系統(tǒng)管理員應(yīng)當指定全路徑名。保護輸入字段分隔符（IFS）環(huán)境變量以免在 /etc/profile 文件中更改。.profile 中的 IFS 環(huán)境變量可以用于修改 PATH 值。建議操作：參考前面設(shè)定用戶屬性一節(jié)。通過lsuser命令檢查用戶屬

45、性。通過env檢查用戶環(huán)境變量的設(shè)定。通過ls l命令檢查用戶.profile文件的訪問權(quán)限。操作結(jié)果： 確保用戶基本設(shè)定文件和變量的有效性。并避免無關(guān)人員的訪問。3.2使用 Noshell編號：6015名稱：使用noshell重要等級：高基本信息：從過去歷史來看，當一帳號被停用，此帳戶的登陸 shell 將截取任何登陸并結(jié)束，而不作任何進一步行動。這樣，可防止此帳戶被攻擊并作進一步存取。通常登陸的 shell 執(zhí)行程序是 /bin/false，但 /bin/false 并非總是程序，事實上，它可能是一個 shell script ，而使用 shell script 將使系統(tǒng)置于風(fēng)險中。non

46、shell 被發(fā)展來提供管理者有監(jiān)督這類存取停用帳戶企圖的能力。檢測內(nèi)容： 請合理設(shè)定/etc/passwd中關(guān)于用戶等錄初始化程序的設(shè)定字段。用安全的nonshell方式予以替代。建議操作：最新版本的noshell 可用 anonymous ftp 從下列地址得到： 如果 noshell 被使用，而有攻擊者持續(xù)嘗試被停用的帳戶密碼來激活使用者的 shell，則 noshell 將被執(zhí)行且結(jié)束此使用者的訪問。執(zhí)行下列以激活 nonshell:1.復(fù)制程序到正確的系統(tǒng)目錄2.手動安裝 noshell 到正確的系統(tǒng)目錄需 root 權(quán)限： # cp -p noshell /usr/local/sb

47、in3.設(shè)置 noshell 程序為合法的登陸shell4.noshell 必須被列入 /etc/shells 系統(tǒng)文件中，以便被承認合法的登入 shell，作法如下： /usr/local/sbin/noshell5.加入此行到停用帳戶的 shell 定義中以便激活 noshell。操作結(jié)果： 停用用戶的登錄被確保受到了限制。設(shè)置登錄控制編號：6016名稱：設(shè)置登陸控制重要等級：高基本信息： 暴力法是一般最常用的攻擊方式。通過不停的猜測密碼，理論上可以突破任何系統(tǒng)。因此限制用戶的登錄次數(shù)是限制此類攻擊的有效手段。檢測內(nèi)容：要使得較難通過猜測密碼來攻擊系統(tǒng)，請在 /etc/security/l

48、ogin.cfg 文件中如下所示設(shè)置登錄控制：/etc/security/login.cfg 文件的“屬性”及“建議值”。 屬性用于 PtYs（網(wǎng)絡(luò)）用于 TTYs建議值注釋sak_enabledYYfalse很少需要“安全注意鍵”。logintimesNY在此處指定允許登錄的次數(shù)。logindisableNY4在此終端連續(xù) 4 次試圖登錄失敗后，禁止其登錄。loginintervalNY60在 60 秒內(nèi)進行了指定的無效嘗試后，禁用終端。loginreenableNY30在自動禁用終端 30 分鐘后重新啟用該終端。logindelayYY5在兩次出現(xiàn)登錄提示之間的以秒為單位的時間間隔。這將隨

49、著嘗試失敗的次數(shù)成倍地增加；例如，初始值為 5 時，該時間間隔就為 5 秒、10 秒、15 秒、20 秒。這些端口限制主要在已連接的串行終端上發(fā)揮作用，而不是在網(wǎng)絡(luò)登錄使用的偽終端上。您可在該文件中指定顯式終端，例如： /dev/tty0: logintimes = 0600-2200 logindisable = 5 logininterval = 80 loginreenable = 20建議操作：操作結(jié)果：3.4更改登錄屏幕的歡迎消息編號：6017名稱：更改登陸的歡迎信息重要等級：中基本信息：檢測內(nèi)容：為防止在登錄屏幕上顯示某些信息，請編輯 /etc/security/login.cfg

50、 文件中的 herald 參數(shù)。缺省的 herald 包含隨登錄提示一起顯示的歡迎消息。您可用 chsec 命令或直接編輯文件來更改該參數(shù)。建議操作：以下示例用 chsec 命令更改缺省的 herald 參數(shù)：# chsec -f /etc/security/login.cfg -a default -herald "Unauthorized use of this system is prohibited.nnlogin: "要直接編輯文件，請打開 /etc/security/login.cfg 文件并更新 herald 參數(shù)如下：缺省值：herald ="禁止

51、未授權(quán)使用本系統(tǒng)nn登錄：" sak_enable = false logintimes = logindisable = 0 logininterval = 0 loginreenable = 0 logindelay = 0注:要使得該系統(tǒng)更安全，請將 logindisable 和 logindelay 變量的值設(shè)置為大于 0（# > 0）。操作結(jié)果： 防止了攻擊者的此類窮舉式攻擊。3.5更改公共桌面環(huán)境的登錄屏幕編號：6018名稱：更改CDE的登陸屏幕重要等級：中基本信息： X登錄方式包括多種，其中在AIX環(huán)境中CDE使用最為普遍。檢測內(nèi)容：該安全性說明影響公共桌面環(huán)境（

52、CDE）的用戶。缺省情況下，CDE 登錄屏幕也顯示主機名和操作系統(tǒng)版本。要防止顯示此信息，請編輯 /usr/dt/config/$LANG/Xresources 文件，其中 $LANG 指的是安裝在您的機器上的本地語言。示例中，假定 $LANG 設(shè)置為 C，將該文件復(fù)制到 /etc/dt/config/C/Xresources 目錄中。然后，打開 /usr/dt/config/C/Xresources 文件并編輯，以除去包含主機名和操作系統(tǒng)版本的歡迎消息。建議操作： 將登錄時提供的多余信息剔除。防止暴露多余信息給潛在的攻擊者。操作結(jié)果： 確保系統(tǒng)信息不會無意中暴露給無關(guān)人員。3.6設(shè)置系統(tǒng)缺省

53、登錄參數(shù)編號：6019名稱：設(shè)置缺省登陸參數(shù)重要等級：中基本信息： 防止窮舉法攻擊者的多次等錄嘗試。檢測內(nèi)容： 在設(shè)定了此類屬性后，未授權(quán)者無法反復(fù)嘗試登錄。建議操作：要為許多登錄參數(shù)設(shè)置基本缺省值，例如那些可能需要為新用戶設(shè)置的參數(shù)（登錄重試次數(shù)、登錄重新啟用和登錄內(nèi)部），請編輯 /etc/security/login.cfg 文件。操作結(jié)果： 防止窮舉法攻擊者的多次等錄嘗試。3.7保護無人照管終端編號：6020名稱：保護無人照管終端重要等級：高基本信息： 防止無人照管用于等錄的可能。檢測內(nèi)容：如果終端處于登錄狀態(tài)卻無人照管，那么所有的系統(tǒng)都是脆弱的。當系統(tǒng)管理員讓用超級權(quán)限開啟的終端處于無

54、人照管狀態(tài)時，就會出現(xiàn)最嚴重的問題。通常，任何時候用戶離開他們的終端時都應(yīng)該注銷。讓系統(tǒng)終端處于非安全狀態(tài)會造成潛在的安全威脅。建議操作：要鎖定終端，請使用 lock 命令。如果您的界面是 AIXwindows，請使用 xlock 命令。操作結(jié)果： 無人照管的終端被Lock，未經(jīng)授權(quán)者無法用于登錄。3.8強制自動注銷編號：6021名稱：強制自動注銷重要等級：高基本信息：另一個要關(guān)注的有效安全性問題是用戶長時間將他們的帳戶置于無人照管狀態(tài)造成的后果。這種情況使闖入者可以控制用戶的終端，從而潛在地危及系統(tǒng)的安全。檢測內(nèi)容：要預(yù)防這類潛在的安全威脅，您可在系統(tǒng)中啟用自動注銷功能。要這樣做，請編輯 /

55、etc/security/.profile 文件，為所有用戶包含自動注銷值，如下例所示：TMOUT=600 ; TIMEOUT=600 ; export readonly TMOUT TIMEOUT在本例中，數(shù)字 600 是以秒為單位，它等于 10 分鐘。但是，該方法只在 shell 中生效。建議操作： 設(shè)定合理方便的TIMEOUT時限環(huán)境變量。操作結(jié)果：當先前的操作允許您對所有用戶強制執(zhí)行自動注銷策略時，系統(tǒng)用戶就能通過編輯他們各自的 .profile 文件來繞過一些限制。為了完全實現(xiàn)自動注銷策略，必須采取權(quán)威的措施，即給用戶提供適當?shù)?.profile 文件，阻止對這些文件的寫訪問權(quán)。3.9限制Root只可從控制臺存取編號：6022名稱：限制root存取重要等級：高基本信息：潛在黑客的一個常見攻擊方法是獲取 root 密碼。檢測內(nèi)容：要避免此類攻擊，可以禁用直接訪問 root 標識，然后要求系統(tǒng)管理員通過使用 su - 命令獲取 root 權(quán)限。除了允許刪除作為攻擊對象的 root 用戶，限制直接的 root 訪問使您可以監(jiān)視哪些