《AIX系统安全配置手册》由会员分享,可在线阅读,更多相关《AIX系统安全配置手册(71页珍藏版)》请在金锄头文库上搜索。
1、AIX系统安全配置1 身分识别1.1 账户设定编号:6001名称:帐户设定重要等级:高基本信息:账户是用户访问系统的基本凭证。系统通过检测用户所拥有的帐户来识别用户的身份,并以此决定用户的操作权限,同时也产生诸如审计之类的动作。检测内容:只有特定的授权帐户可用来增加用户及群组,此为AIX默认值且不应被更改;一般帐户不应该有多余的管理权限,此为AIX默认值且不该被更改;只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。以用来防止非法存取系统,或集中攻击有特别权限的帐户,此为AIX默认值且不该被更改;只有特定的授权帐户可用来检查使用者状态。为防止入侵者存取非公开系统资料,用户状态资料
2、仅可由特定帐户取得。这一点在AIX仅部份可行,因为如果使用者锁定,则其它使用者无法看到此使用者,但却可使用 who 命令来检查登陆的帐户;只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。以用来防止非法存取系统,或集中攻击有特别权限的群组,此为AIX默认值且不该被更改;只有特定的授权帐户可用来更改授权帐户数目。太多的用户同时使用某应用系统可能影响系统稳定性,此为AIX默认值且不该被更改;系统管理员群组的人员不可存取所有资源,管理群组的人员应只能存取工作上所需用的资源。存取所有资源不应被允许,此为AIX默认值且不该被更改;一般用户不可存取特定系统文件及命令。系统命令及程序只能被特定帐
3、户使用,一般用户不可存取此类功能。应通过权限控制管理来进行限制,此为AIX默认值且不该被更改;权限的控制管理应在文件产生时即被设置,仅有文件的产生者能读取、写入、执行或删除此文件,使用者的 umask设定为仅允许文件产生者存取 (例外:root 用户可存取系统所有文件)。Umask的设定控制了文件除了删除外的权限,删除的权限则根据文件所在目录的权限位来决定;最少权限机制应被应用,以确保应用程序以最少权限执行,所有应用程序的授权应保持最低权限;只有特别的授权帐户可安装软件或加入新设备到系统中,并安装安全的更新修正程序,此为AIX默认值且不该被更改;建议操作:按照系统提供的资源和计划运行的任务,合
4、理规划任务的属主,以此利用系统提供的管理命令,如passwd、umask等,设定权责明确的用户和用户组。分别对它们设定严格的系统权限。操作结果:存取系统资源取决于使用者及群组的身份,使用者的权限可能多于其群组的权限;1.2 推荐用户属性编号:6002名称:推荐用户属性重要等级:高基本信息:用户是系统的主要组成元素。用户的一个主要属性是如何对他们进行认证。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。组是对共享的资源同一访问许可权的用户的集合。一个组有一个标识,且由组成员和管理员组成。组的创建者通常就是第一管理员。可以对每个用户帐户设置多个属性,包含密
5、码和登录属性。检测内容:推荐以下属性:每个用户应有一个不与其它用户共享的用户标识。所有的安全防护措施和工具仅在每个用户都有唯一标识时起作用; 为系统用户指定一个对其有意义的用户名。最好使用实际名称,因为大多数电子邮件系统使用用户标识为接收的邮件标号;使用基于 Web 的系统管理工具或 SMIT 界面添加、更改和删除用户。虽然可以通过命令行来执行所有这些任务,但这些界面有助于减少小错误;在用户准备好登录系统前不要为用户帐户提供初始密码。如果在 /etc/passwd 文件中将密码字段定义为 *(星号),虽然帐户信息得到保存,但不能登录到该帐户;不要更改系统正常运行所需的由系统定义的用户标识。系统
6、定义的用户标识罗列在 /etc/passwd 文件中;一般情况下,不要将任何用户标识的 admin 参数设置为 true。只有 root 用户可以为在 /etc/security/user 文件中设置为 admin=true 的用户更改属性。操作系统支持通常出现在 /etc/passwd 和 /etc/group 文件中的标准用户属性,例如:认证信息指定密码 凭证指定用户标识、主体组和补充组标识 环境指定主环境或 shell 环境。建议操作:检查标准Unix系统用户、组设定文件。/etc/passwd和/etc/group中的设定,确定各个用户存在的目的,避免存在无意义的用户和组。检查用户ID
7、,避免无关用户拥有root或其他管理用户的权限。检查密码字段,防止无密码的用户存在。检查用户属性,避免不合理的用户拥有admin的权限。操作结果:各个用户和用户组依照之前规划的目标拥有并可以行使各自明确的权限。6.1.3 用户帐户控制编号:6003名称:用户帐户控制重要等级:高基本信息:每个用户帐户有一组相关属性。当使用 mkuser 命令创建用户时,这些属性根据缺省值创建。这些属性可以通过使用 chuser 命令来修改。检测内容:以下用户属性用于控制与密码有关的方面:account_locked如果必须明确地锁定帐户,则该属性可以设置为 true;缺省值是 false。 admin如果设置为
8、 true,则该用户无法更改密码。只有管理员可以更改它。 admgroups列出此用户具有管理权限的组。对于这些组,该用户可以添加或删除成员。 auth1用于授权用户访问的认证方法。典型地,将它设置为 SYSTEM,然后将使用较新的方法。 auth2按 auth1 指定的对用户进行认证后运行的方法。它无法阻止对系统的访问。典型地,将它设置为 NONE。 daemon此布尔参数指定是否允许用户使用 startsrc 命令启动守护程序或子系统。它也限制对 cron 和 at 设备的使用。 login指定是否允许该用户登录。 logintimes限制用户何时可以登录。例如,用户可能被限制只能在正常营
9、业时间访问系统。 registry指定用户注册表。可以用于告知系统用户信息的备用注册表,例如 NIS、LDAP 或 Kerberos。 rlogin指定是否允许该用户通过使用 rlogin 或 telnet 登录。 su指定其它用户是否可以使用 su 命令切换至此标识。 sugroups指定允许哪个组切换至此用户标识。 ttys限制某些帐户进入物理安全区域。 expires管理guest帐户;也可以用于临时关闭帐户。 loginretries指定用户标识被系统锁定之前连续的可以尝试登录失败的最大次数。失败的尝试记录在 /etc/security/lastlog 文件中。 umask指定用户的初
10、始 umask。 建议操作:所有的用户属性在 /etc/security/user、/etc/security/limits、/etc/security/audit/config 和 /etc/security/lastlog 文件中定义。使用 mkuser 命令创建的用户缺省值在 /usr/lib/security/mkuser.default 文件中指定。只有修改 /etc/security/user 和 /etc/securtiy/limits 文件中的 default 节中的缺省值的设置和审计类必须在 mkuser.default 文件中指定。文件中的一些属性控制用户可以如何登录,且可
11、以通过配置这些属性,在指定情况下自动锁定用户帐户(阻止进一步登录)。用户帐户由系统锁定后,用户无法登录直到系统管理员重新设置该用户在 /etc/security/lastlog 文件中的 unsuccessful_login_count 属性值小于登录重试值。可以使用以下 chsec 命令完成,如下所示:chsec -f /etc/security/lastlog -s username -aunsuccessful_login_count=0可以使用 chsec 命令在相应安全性文件(/etc/security/user 或 /etc/security/limits 文件)中编辑 defau
12、lt 节来更改缺省值。将许多缺省值定义为标准行为。要明确地指定每次创建新用户时要设置的属性,请更改 /usr/lib/security/mkuser.default 中的 user 项。操作结果:AIX中各用户将严格按照chuser设定的要求,允许或限制各种操作。以此保证系统按照既定的安全规定访问。6.1.4 登录用户标识编号:6004名称:登陆用户标识重要等级:中基本信息:操作系统通过用户的登录用户标识来识别他们。登录用户标识允许系统可以追踪所有的用户操作。在用户登录系统后,初始用户程序运行前,系统将进程的登录标识设置为在用户数据库中找到的用户标识。登录会话过程中所有后继进程都用此标识做标记
13、。这些标记提供登录用户标识执行的所有活动的踪迹。用户可以在会话过程中重新设置有效用户标识、真实用户标识、有效组标识、真实组标识和增补组标识,但不能更改登录用户标识。检测内容:请参考/etc/passwd和/etc/group文件,用户在登录后,系统通过在该文件中的记录,将用户标示为对应的UID和GID,并以此确定其在系统的身份和权限。建议操作:给予用户合适的UID并将其分配到合适的一个或多个组中。在登录后使用id或whoami命令检查自己的身份标识。操作结果:用户等录后拥有既定的UID和GID身份。1.5使用访问控制表增强用户安全性编号:6005名称:访问控制列表重要等级:高基本信息:要在系统
14、上取得安全性的相应水平,要开发一个一致的安全性策略来管理用户帐户。最常用的安全机制是访问控制表(ACL)。有关 ACL 和开发安全性策略的信息,请参阅访问控制。检测内容:建议操作:操作结果:1.6停用无用的账户(Unnecessary Accounts)编号:6006名称:停掉无用的帐户重要等级:高基本信息:“Guest”帐户应该在系统上是不被允许的。AIX 内含一些使用者ID ,而其密码是无效的( password (*) )。若ID 含有无效的密码(invalid password),其意谓者没有任可使用者可以藉此登入至系统。这些ID 是:daemonOwner of the system
15、 daemonsbinOwner of the system executable filessysOwner of system devicesadmOwner of system accounting utilitiesuucpOwner of UNIX-to-UNIX Copy ProgramnuucpFor UUCPlpdOwner of printer spooler utilityguestGuest accountnobodyused by NFS并不建议移除所有无用的帐户,如: uucp, nuucp, lpd, guest, and nobody等。因为有时候当安装更新程序时,安装程序会尝试使用这些系统定义的帐户,譬如,更改文件的所有权给自已。假如该帐户不存在,则安装可能会失败, 并造成更新程序在一
