aix系统安全配置手册

aix系统安全配置手册内容摘要：

略得到保证。 用户必须严格按照此策略设定自己的密码。 增大入侵者猜测密码的难度。 扩展密码限制 编号： 6013 名称： 扩展密码限制 重要等级： 高 基本信息： 密码程序是否接受或拒绝密码所使用的规则（密码构成限制），可由系统管理员进行扩展，以提供特定于站点的限制。 通过添加方法（在更改密码过程中调用）来扩展限制。 /etc/security/user 文件中的 pwdchecks 属性指定调用的方法。 检测内容： 《 AIX 5L 技术参考大全》 包含对 pwdrestrict_method 的描述， 它是指定的密码限制方法必须符合的子例程接口。 要正确扩展密码构成限制，则系统管理员必须在编写密码限制方法时对该接口编程。 请谨慎对待扩展密码设置限制。 这些扩展将直接影响 login 命令、 passwd 命令、 su 命令以及其它程序。 系统安全性可能被恶意的或有缺陷的代码轻易破坏。 建议操作： 通过提供附加的编程接口，允许管理员实现定制的密码限制策略。 请参考 AIX 程序设计 参考。 操作结果： 实现用户 定制的密码限制策略。 3 访问控制 保护使用者环境设定 (User Configurations) 编号： 6014 名称： 保护使用者环境设定 重要等级： 中 基本信息： 在 /usr/lib/security/ 文件中包含创建帐户的预设参数， 如使用者的主要群组 (primary group)。 我们建议修改这些参数设定。 检测内容： 若审计系统 (audit subsystem)启用的话， 在 user 和 admin 段落中加入一行， 来设定新使用者的 auditclasses: auditclasses = user， config， mail， chcron， SRC， chtcpip AIX 中创建新的帐户时， 一个基本示例文件 /etc/profile 会被复制到该使用者的 home directory ， 它的文件名为 .profile。 下列的默认值应该被指定在 /etc/profile: PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/local/bin umask=077 PS1=‘$HOSTNAME:$PWD $’ export PATH PS1 要确定 root 设 定 umask 为 077 或 027。 创建新的帐户时 ， 使用者的 home directory 是属于该使用者 ， 而且目录的群组会设定为使用者的 primary group。 一个新使用者的特性文件 (profile)是依照系统管理者的 umask， 来得到档案的存取权限。 而 umask 设定为 077 可以确认使用者的 home directories 只可以被该使用者来存取。 PATH 环境变量是指定在目前作业环境中 ， 寻找执行档案的路径。 请确定 root 拥有一个安全的搜寻路径 ， 如 : /usr/bin:/sbin:/usr/sbin 若针对 PATH 变量 ， 有额外的修改 ， 请遵循下列建议步骤。 它会帮助你避免执行非授权的程序或木马程序 (Trojan horses)： PATH ， 在找寻 home directories 之前 ， 应先找寻标准的系统目录 ； 当前目录 (.)不应在 PATH 之中； PATH 不应包括任何”不受保护” ( “unprotected” ) 的目录。 对一般使用者来说， 指那些可以被其它一般使用者有写入权限的目录。 对系统管理者而言， 指那些可以让非系统管理者可以有写入 权限的目录； PS1 环境变量，该指定系统的”命令显示” (prompt)。 该变量应该清楚的定义出使用者是用什么系统，及是使用哪些目录。 另外，帐户信息是可以利用使用者名称 (user name)以及 user identification number (UID)来识别。 每个使用者应该有一个唯一的 UID。 用 smit (fastpath smit mkuser)命令来增加使用者，会自动地产生唯一的 UID。 使用者的帐户信息应该保密且不该被公开。 PATH 环境变量是一个重要的安全控制。 它指定搜索 的目录来查找命令。 缺省系统范围的 PATH 值在 /etc/profile 文件中进行指定，而且每个用户通常在自己的 $HOME/.profile 文件中都有一个 PATH 值。 .profile 文件中的 PATH 值可以将系统范围 PATH 值覆盖，或向它添加额外的目录。 对 PATH 环境变量的未授权更改可能使得系统中的用户“欺骗”其它用户（包括 root 用户）。 电子欺骗程序（也称为特洛伊木马程序）更换了系统命令，然后捕获给该命令的信息，例如用户密码。 例如，假定用户更改 PATH 值使系统运行命 令时首先查找 /tmp 目录。 然后该用户在 /tmp 目录中放置一个称为 su 的程序，该程序就象 su 命令一样要求 root 密码。 接着，该 /tmp/su 程序将 root 密码邮寄给该用户，并在退出前调用 su 命令。 在这种情况下，任何使用 su 命令的 root 用户将暴露 root 密码，而且自己甚至还未意识到。 系统管理员和用户要防止关于 PATH 环境变量的任何问题，请执行以下操作： 当感到怀疑时，请指定全路径名。 如果指定了全路径名，将忽略 PATH 环境变量。 切勿将当前目录（ 由 . 指定（句点））插入为 root 用户指定的 PATH 值中。 切勿允许在 /etc/profile 中指定当前目录。 root 用户应当在其私有的 .profile 文件中有自己的 PATH 规范。 通常，/etc/profile 中的规范列出了对于所有用户的最少标准，然而 root 用户可能需要比缺省值更多或更少的目录。 警告其它用户在没有咨询系统管理员的情况下，不要更改他们的 .profile 文件。 否则，可信的用户可能做出更改允许无意识的访问。 应将用户 .profile 文件的许可权设置 为 740。 系统管理员不应使用 su 命令从用户会话中取得 root 用户特权，因为在 .profile 文件中指定的该用户 PATH 值是有效的。 用户可以设置他们自己的 .profile 文件。 系统管理员应当作为 root 用户或最好使用他们自己的标识登录到用户的机器，然后使用以下命令： /usr/bin/su root 这确保在会话过程中使用 root 环境。 如果系统管理员在另一用户会话中以 root 身份操作，则在整个会话中系统管理员应当指定全路径名。 保护输入字段分隔符（ IFS）环 境变量以免在 /etc/profile 文件中更改。 .profile 中的 IFS 环境变量可以用于修改 PATH 值。 建议操作： 参考前面设定用户属性一节。 通过 lsuser 命令检查用户属性。 通过 env检查用户环境变量的设定。 通过 ls – l命令检查用户 .profile 文件的访问权限。 操作结果： 确保用户基本设定文件和变量的有效性。 并避免无关人员的访问。 使用 Noshell 编号： 6015 名称： 使用 noshell 重要等级： 高 基本信息： 从过去历史来看，当一帐号被 停用，此帐户的登陆 shell 将截取任何登陆并结束，而不作任何进一步行动。 这样，可防止此帐户被攻击并作进一步存取。 通常登陆的 shell 执行程序是 /bin/false，但 /bin/false 并非总是程序，事实上，它可能是一个 shell script ，而使用 shell script 将使系统置于风险中。 nonshell 被发展来提供管理者有监督这类存取停用帐户企图的能力。 检测内容： 请合理设定 /etc/passwd 中关于用户等录初始化程序的设定字段。 用安全的 nonshell 方式 予以替代。 建议操作： 最新版本的 noshell 可用 anonymous ftp 从下列地址得到： 如果 noshell 被使用，而有攻击者持续尝试被停用的帐户密码来激活使用者的 shell，则 noshell 将被执行且结束此使用者的访问。 执行下列以激活 nonshell: 1. 复制程序到正确的系统目录 2. 手动安装 noshell 到正确的系统目录需 root 权限： cp p noshell /usr/local/sbin 3. 设置 noshell 程序为合法的登陆 shell 4. noshell 必须被列入 /etc/shells 系统文件中，以便被承认合法的登入 shell，作法如下： /usr/local/sbin/noshell 5. 加入此行到停用帐户的 shell 定义中以便激活 noshell。 操作结果： 停用用户的登录被确保受到了限制。 设置登录控制 编号： 6016 名称： 设置登陆控制 重要等级： 高 基本信息： 暴力法是一般最常用的攻击方式。 通过不停的猜测密码，理论上可以突破任何系统。 因此限制用户的登录次数是限制此类攻击的有效手段。 检测内容： 要使得较难通过猜测密码来攻击系统，请在 /etc/security/ 文件中如下所示设置登录控制： /etc/security/ 文件的“属性”及“建议值”。 属性 用于 PtYs（网络） 用于 TTYs 建议值 注释 sak_enabled Y Y false 很少需要“安全注意键”。 logintimes N Y 在此处指定允许登录的次数。 logindisable N Y 4 在此终端连续 4 次试图登录失败后，禁止其登录。 logininterval N Y 60 在 60 秒内进行了指定的无效尝试后，禁用终端。 loginreenable N Y 30 在自动禁用终端 30 分钟后重新启用该终端。 logindelay Y Y 5 在两次出现登录提示之间的以秒为单位的时间间隔。 这将随着尝试失败的次数成倍地增加；例如，初始值为 5 时，该时间间隔就为 5 秒、 10 秒、 15 秒、 20 秒。 这些端口限制主要在已连接的串行终端上发挥作用，而不是在网络登录使用的伪终端上。 您可在该文件中指定显式终端，例如： /dev/tty0: logintimes = 06002200 logindisable = 5 logininterval = 80 loginreenable = 20 建议操作： 操作结果： 更改登录屏幕的欢迎消息 编号： 6017 名称： 更改登陆的欢迎信息 重 要等级： 中 基本信息： 检测内容： 为防止在登录屏幕上显示某些信息，请编辑 /etc/security/ 文件中的 herald 参数。 缺省的 herald 包含随登录提示一起显示的欢迎消息。 您可用 chsec 命令或直接编辑文件来更改该参数。 建议操作： 以下示例用 chsec 命令更改缺省的 herald 参数： chsec f /etc/security/ a default herald Unauthorized use of this system is prohibited.\n\nlogin: 要直接编辑文件，请打开 /etc/security/ 文件并更新 herald 参数如下： 缺省值： herald =禁止未授权使用本系统 \n\n登录： sak_enable = false logintimes = logindisable = 0 logininterval = 0 loginreenable = 0 logindelay = 0 注 : 要使得该系统更安全 ， 请将 logindisable 和 logindelay 变量的值设置为大于 0（ 0）。 操作结果： 防止了攻击者的此类穷举式攻击。 更改公共桌面环境的登录屏幕 编号： 6018 名称： 更改 CDE 的登陆屏幕 重要等级： 中 基本信息： X登录方式包括多种，其中在 AIX 环境中 CDE 使用最为普遍。 检测内容： 该安全性说明影响公共桌面环境（ CDE）的用户。 缺省情况下， CDE 登录屏幕也显示主机名和操作系统版本。 要防止显示此信息，请编辑 /usr/dt/config/$LANG/Xresources 文件，其中 $LANG 指的是安装在您的机器上的本地语言。 示 例 中 ， 假 定 $LANG 设 置 为 C ， 将 该 文 件 复 制 到 /etc/dt/config/C/Xresources。