AIX操作系統(tǒng)的安全管理與優(yōu)化措施

1、AIX操作系統(tǒng)的平安管理與優(yōu)化措施AIX操作系統(tǒng)的平安管理與優(yōu)化措施引言在IBRS6000上運(yùn)行的操作系統(tǒng)AIX是Unix的一種變體。隨著時間的推移和AIX的廣泛使用，系統(tǒng)的平安性越來越重要。目前，AIXVER4.3已經(jīng)提供了強(qiáng)大的平安管理功能。為了保障系統(tǒng)的平安運(yùn)行，有必要深化理解AIX的平安機(jī)制，從而采取有效的平安策略與技術(shù)。在AIX中，平安機(jī)制可分為五類：1保護(hù)私有文件和數(shù)據(jù)不受別人進(jìn)犯；2保護(hù)操作系統(tǒng)中的關(guān)鍵系統(tǒng)文件不受破壞；3保護(hù)機(jī)器的物理平安性；4保護(hù)系統(tǒng)免受黑客的非法入侵；5對系統(tǒng)敏感事件的跟蹤和審計(jì)。1私有數(shù)據(jù)的保護(hù)1.1注冊名和口令在AIX中，平安性的核心是每一個用戶的注冊名

2、LGINS和口令PASSRD。每個用戶都要保護(hù)好自己的口令，以防泄密。尤其是系統(tǒng)管理員一定要保護(hù)好超級用戶RT的口令，否那么，將會造成不可估量的后果?？诹畹倪x擇要注意幾條規(guī)那么：盡量使用數(shù)字與非字母及大小寫字母混用；口令的長度要在6個字符以上；要定期更改自己的口令；制止使用與個人聯(lián)絡(luò)嚴(yán)密的字符，如 、出生年月、姓名等。1.2文件的創(chuàng)立權(quán)限AIX將文件權(quán)限分為三個層次：用戶、同組人員、其他用戶。每一層次都可讀、寫、執(zhí)行。應(yīng)注意缺省的文件權(quán)限unask。unask是對文件權(quán)限的屛蔽，應(yīng)當(dāng)設(shè)置適宜的unask，保證用戶文件的平安。1.3約束shell通過對shell程序功能的限制，例如：不讓用戶更改

3、目錄、用戶受限于主目錄、用戶不能更改PATH變量、不可使用全路經(jīng)命令和文件、不可重定向等來限制用戶的活動。1.4AIX的特色1.5訪問控制列表AL真正表達(dá)AIX平安控制特色的應(yīng)是ALAessntrlLists。AL的提出基于如下需求：假設(shè)用戶A擁有文件file1，是很敏感的私人數(shù)據(jù)，那么，他如何使用戶B很容易擁有file1的讀權(quán)限呢？通常是這樣解決的：rt用戶將文件file1通過hn給用戶B，但這樣用戶A將不能使用file1；用戶A可以給用戶B拷貝一份，但這樣系統(tǒng)中同時存在兩份文件，會帶來數(shù)據(jù)的不一致；用戶A和用戶B同時參加一個新組，但假如經(jīng)常使用這種作法，會給系統(tǒng)管理帶來很大工作量，并且系統(tǒng)

4、管理員很容易掌握使用情況；最好的方法就是用戶A把用戶B參加一個特殊列表，用來指使用戶B可以讀file1，AL正是起這個作用的一個列表本文由論文聯(lián)盟.Ll.搜集整理。AIX提供了三個命令alget、alput、aledit對AL進(jìn)展操作。用命令lse可以看出哪些文件設(shè)置了AL。2保護(hù)系統(tǒng)的平安文件AIX提供兩種方式：D用來存放系統(tǒng)配置信息、設(shè)備及一些重要產(chǎn)品數(shù)據(jù)；TBTrustedputingBase可信計(jì)算基對一些確認(rèn)的文件加以保護(hù)。2.1DbjetDataanager2.2TBTrustedputingBase在AIX中，TB是可選擇安裝的。只有在系統(tǒng)中安裝了bssreseurity，才會被

5、允許使用TB。TB基于系統(tǒng)管理人員受權(quán)的程序充分可信，一組文件或程序被TRUSTED，以后假如有任何非法或可疑的改動，可以通過運(yùn)行TBK命令恢復(fù)，回到被TRUSTED時初始狀態(tài)，或者向系統(tǒng)管理員提出警告不可恢復(fù)。對文件或程序的受權(quán)均通過etseuritysysk。fg來設(shè)置。另外，TB提供一種叫seureattentinkeyask的組合鍵來判斷用戶是否在合法的LGIN畫面，幫助檢測特洛伊木馬trjanhrse的攻擊。2.3保護(hù)機(jī)器的物理平安性分三方面1盡量隔離系統(tǒng)與無關(guān)人員，特別是控制臺的隔離；2盡量隔離與外界網(wǎng)絡(luò)的連接；3防止一些可疑軟件的安裝。2.4保證系統(tǒng)免受黑客的非法入侵常見的是系統(tǒng)

6、口令的攻擊，應(yīng)引起重視。另一種可能的攻擊來自于特洛伊木馬。這種程序象一陷阱，不小心就會受騙，有時很難覺察。這對于那些分開終端很長時間而不關(guān)掉電源的人來說是一場惡夢，他們將發(fā)現(xiàn)自己的口令太容易失密了。此外，Unix的開放性也容易被用來攻擊系統(tǒng)。例如：利用telnet主機(jī)名這樣的命令，可以操縱對方的郵件效勞器，非法竊取一些信息，系統(tǒng)管理員必須時刻保持警覺，查找可疑事件，發(fā)現(xiàn)問題及時堵漏。3系統(tǒng)性能的調(diào)整建議針對上述軟件運(yùn)行中存在的相關(guān)問題，需要相關(guān)人員結(jié)合著AIX操作系統(tǒng)的相關(guān)優(yōu)勢及存在的問題，有針對性的進(jìn)展優(yōu)化，在進(jìn)步AIX操作系統(tǒng)的的使用性能時，還能確保整個系統(tǒng)的順利運(yùn)行。在對其進(jìn)展調(diào)整的過程

7、中，主要包括幾個方面。第一，在計(jì)算機(jī)系統(tǒng)運(yùn)行的過程中，針對網(wǎng)卡所連接到的網(wǎng)絡(luò)，需要相關(guān)人員結(jié)合著交換機(jī)的實(shí)際數(shù)量及位置進(jìn)展有針對性的調(diào)整，并在調(diào)換的過程中結(jié)合著機(jī)器產(chǎn)生的錯誤日志來進(jìn)展數(shù)據(jù)統(tǒng)計(jì)。假設(shè)在其運(yùn)行的過程中出現(xiàn)網(wǎng)絡(luò)部穩(wěn)定的狀況，那么建議立即更換機(jī)器。第二，在整個網(wǎng)絡(luò)出現(xiàn)故障時，管理人員應(yīng)及時的停頓網(wǎng)絡(luò)使用，找出網(wǎng)絡(luò)故障的根源，同時啟動備份系統(tǒng)，防止網(wǎng)絡(luò)停頓造成整個系統(tǒng)癱瘓，力求將整個系統(tǒng)損失降到最低。而計(jì)算機(jī)操作人員在進(jìn)展修改網(wǎng)絡(luò)配置的過程中，針對網(wǎng)絡(luò)地址及主機(jī)名等程序的修改，一般使用hdev命令進(jìn)展修改，防止在修改的過程中出現(xiàn)程序措施的現(xiàn)象。第三，AIX系統(tǒng)的參數(shù)優(yōu)化。在AIX系統(tǒng)運(yùn)

8、行的過程中，其內(nèi)核一般屬于動態(tài)內(nèi)核，因此在運(yùn)行的過程中可以結(jié)合著實(shí)際運(yùn)行環(huán)境進(jìn)展自動調(diào)整。管理人員在安裝系統(tǒng)完畢后，在修改參數(shù)的過程中，可以從幾個方面出發(fā)：首先，用戶的最大登錄數(shù)axlgin。在確定axlgin的實(shí)際大小時，操作人員可以使用sittyhliense命令進(jìn)展修改，且在修改正后將整個參數(shù)記錄在指定的系統(tǒng)文件中，以便在修改完畢后可以在系統(tǒng)重啟后生效。其次，liits參數(shù)的設(shè)置。管理人員在對其參數(shù)設(shè)置的過程中，可以從etseurityliits文件中，將這些參數(shù)的參數(shù)值設(shè)置為1，同時用使用vi程序?qū)φ麄€文件進(jìn)展修改，以便在用戶重新登錄后可以立即生效。再次，對文件系統(tǒng)的空間設(shè)定。操作人員在設(shè)定文件系統(tǒng)的操作空間時，其使用率不能超過整個文件使用率的80，防止系統(tǒng)文件過多對整個系統(tǒng)的正常運(yùn)行造成干擾，尤其是AIX系統(tǒng)的根本文件，嚴(yán)重時會導(dǎo)致用戶重啟后無法正常登陸。在解決這一問題時，操作人員可以查看AIX的根本文件系統(tǒng)，利用sittyhfs來擴(kuò)展整個文件系統(tǒng)的空間。4完畢語AIX提供