AIX系统安全配置手册.doc

AIX系统安全配置1 身分识别1.1 账户设定编号：6001名称：帐户设定重要等级：高基本信息：账户是用户访问系统的基本凭证。系统通过检测用户所拥有的帐户来识别用户的身份，并以此决定用户的操作权限，同时也产生诸如审计之类的动作。检测内容：只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改；一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改；只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改；只有特定的授权帐户可用来检查使用者状态。为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户；只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改；只有特定的授权帐户可用来更改授权帐户数目。太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改；系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。存取所有资源不应被允许，此为AIX默认值且不该被更改；一般用户不可存取特定系统文件及命令。系统命令及程序只能被特定帐户使用，一般用户不可存取此类功能。应通过权限控制管理来进行限制，此为AIX默认值且不该被更改；权限的控制管理应在文件产生时即被设置，仅有文件的产生者能读取、写入、执行或删除此文件，使用者的 umask设定为仅允许文件产生者存取 (例外：root 用户可存取系统所有文件)。Umask的设定控制了文件除了删除外的权限，删除的权限则根据文件所在目录的权限位来决定；最少权限机制应被应用，以确保应用程序以最少权限执行，所有应用程序的授权应保持最低权限；只有特别的授权帐户可安装软件或加入新设备到系统中，并安装安全的更新修正程序，此为AIX默认值且不该被更改；建议操作：按照系统提供的资源和计划运行的任务，合理规划任务的属主，以此利用系统提供的管理命令，如passwd、umask等，设定权责明确的用户和用户组。分别对它们设定严格的系统权限。操作结果：存取系统资源取决于使用者及群组的身份，使用者的权限可能多于其群组的权限；1.2 推荐用户属性编号：6002名称：推荐用户属性重要等级：高基本信息：用户是系统的主要组成元素。用户的一个主要属性是如何对他们进行认证。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。组是对共享的资源同一访问许可权的用户的集合。一个组有一个标识，且由组成员和管理员组成。组的创建者通常就是第一管理员。可以对每个用户帐户设置多个属性，包含密码和登录属性。检测内容：推荐以下属性：每个用户应有一个不与其它用户共享的用户标识。所有的安全防护措施和工具仅在每个用户都有唯一标识时起作用； 为系统用户指定一个对其有意义的用户名。最好使用实际名称，因为大多数电子邮件系统使用用户标识为接收的邮件标号；使用基于 Web 的系统管理工具或 SMIT 界面添加、更改和删除用户。虽然可以通过命令行来执行所有这些任务，但这些界面有助于减少小错误；在用户准备好登录系统前不要为用户帐户提供初始密码。如果在 /etc/passwd 文件中将密码字段定义为 *（星号），虽然帐户信息得到保存，但不能登录到该帐户；不要更改系统正常运行所需的由系统定义的用户标识。系统定义的用户标识罗列在 /etc/passwd 文件中；一般情况下，不要将任何用户标识的 admin 参数设置为 true。只有 root 用户可以为在 /etc/security/user 文件中设置为 admin=true 的用户更改属性。操作系统支持通常出现在 /etc/passwd 和 /etc/group 文件中的标准用户属性，例如：认证信息指定密码 凭证指定用户标识、主体组和补充组标识 环境指定主环境或 shell 环境。建议操作：检查标准Unix系统用户、组设定文件。/etc/passwd和/etc/group中的设定，确定各个用户存在的目的，避免存在无意义的用户和组。检查用户ID，避免无关用户拥有root或其他管理用户的权限。检查密码字段，防止无密码的用户存在。检查用户属性，避免不合理的用户拥有admin的权限。操作结果：各个用户和用户组依照之前规划的目标拥有并可以行使各自明确的权限。6.1.3 用户帐户控制编号：6003名称：用户帐户控制重要等级：高基本信息：每个用户帐户有一组相关属性。当使用 mkuser 命令创建用户时，这些属性根据缺省值创建。这些属性可以通过使用 chuser 命令来修改。检测内容：以下用户属性用于控制与密码有关的方面：account_locked如果必须明确地锁定帐户，则该属性可以设置为 true；缺省值是 false。 admin如果设置为 true，则该用户无法更改密码。只有管理员可以更改它。 admgroups列出此用户具有管理权限的组。对于这些组，该用户可以添加或删除成员。 auth1用于授权用户访问的认证方法。典型地，将它设置为 SYSTEM，然后将使用较新的方法。 auth2按 auth1 指定的对用户进行认证后运行的方法。它无法阻止对系统的访问。典型地，将它设置为 NONE。 daemon此布尔参数指定是否允许用户使用 startsrc 命令启动守护程序或子系统。它也限制对 cron 和 at 设备的使用。 login指定是否允许该用户登录。 logintimes限制用户何时可以登录。例如，用户可能被限制只能在正常营业时间访问系统。 registry指定用户注册表。可以用于告知系统用户信息的备用注册表，例如 NIS、LDAP 或 Kerberos。 rlogin指定是否允许该用户通过使用 rlogin 或 telnet 登录。 su指定其它用户是否可以使用 su 命令切换至此标识。 sugroups指定允许哪个组切换至此用户标识。 ttys限制某些帐户进入物理安全区域。 expires管理guest帐户；也可以用于临时关闭帐户。 loginretries指定用户标识被系统锁定之前连续的可以尝试登录失败的最大次数。失败的尝试记录在 /etc/security/lastlog 文件中。 umask指定用户的初始 umask。 建议操作：所有的用户属性在 /etc/security/user、/etc/security/limits、/etc/security/audit/config 和 /etc/security/lastlog 文件中定义。使用 mkuser 命令创建的用户缺省值在 /usr/lib/security/mkuser.default 文件中指定。只有修改 /etc/security/user 和 /etc/securtiy/limits 文件中的 default 节中的缺省值的设置和审计类必须在 mkuser.default 文件中指定。文件中的一些属性控制用户可以如何登录，且可以通过配置这些属性，在指定情况下自动锁定用户帐户（阻止进一步登录）。用户帐户由系统锁定后，用户无法登录直到系统管理员重新设置该用户在 /etc/security/lastlog 文件中的 unsuccessful_login_count 属性值小于登录重试值。可以使用以下 chsec 命令完成，如下所示：chsec -f /etc/security/lastlog -s username -aunsuccessful_login_count=0可以使用 chsec 命令在相应安全性文件（/etc/security/user 或 /etc/security/limits 文件）中编辑 default 节来更改缺省值。将许多缺省值定义为标准行为。要明确地指定每次创建新用户时要设置的属性，请更改 /usr/lib/security/mkuser.default 中的 user 项。操作结果：AIX中各用户将严格按照chuser设定的要求，允许或限制各种操作。以此保证系统按照既定的安全规定访问。6.1.4 登录用户标识编号：6004名称：登陆用户标识重要等级：中基本信息：操作系统通过用户的登录用户标识来识别他们。登录用户标识允许系统可以追踪所有的用户操作。在用户登录系统后，初始用户程序运行前，系统将进程的登录标识设置为在用户数据库中找到的用户标识。登录会话过程中所有后继进程都用此标识做标记。这些标记提供登录用户标识执行的所有活动的踪迹。用户可以在会话过程中重新设置有效用户标识、真实用户标识、有效组标识、真实组标识和增补组标识，但不能更改登录用户标识。检测内容：请参考/etc/passwd和/etc/group文件，用户在登录后，系统通过在该文件中的记录，将用户标示为对应的UID和GID，并以此确定其在系统的身份和权限。建议操作：给予用户合适的UID并将其分配到合适的一个或多个组中。在登录后使用id或whoami命令检查自己的身份标识。操作结果：用户等录后拥有既定的UID和GID身份。1.5使用访问控制表增强用户安全性编号：6005名称：访问控制列表重要等级：高基本信息：要在系统上取得安全性的相应水平，要开发一个一致的安全性策略来管理用户帐户。最常用的安全机制是访问控制表（ACL）。有关 ACL 和开发安全性策略的信息，请参阅访问控制。检测内容：建议操作：操作结果：1.6停用无用的账户(Unnecessary Accounts)编号：6006名称：停掉无用的帐户重要等级：高基本信息：“Guest”帐户应该在系统上是不被允许的。AIX 内含一些使用者ID ，而其密码是无效的( password (*) )。若ID 含有无效的密码(invalid password)，其意谓者没有任可使用者可以藉此登入至系统。这些ID 是:daemonOwner of the system daemonsbinOwner of the system executable filessysOwner of system devicesadmOwner of system accounting utilitiesuucpOwner of UNIX-to-UNIX Copy ProgramnuucpFor UUCPlpdOwner of printer spooler utilityguestGuest accountnobodyused by NFS并不建议移除所有无用的帐户，如: uucp， nuucp， lpd， guest， and nobody等。因为有时候当安装更新程序时，安装程序会尝试使用这些系统定义的帐户，譬如，更改文件的所有权给自已。假如该帐户不存在，则安装可能会失败， 并造成更新程序在一个“未定义”或“broken” 状态。这样是非常困难去检查先前的错误。 因此，我们建议，除了guest user，不要移除其它系统帐户信息。在操作系统安装过程中，会创建许多缺省用户和组标识。根据您在系统上运行的应用程序和系统在网络中所处的位置，其中某些用户和组标识可能成为安全弱点，容易被人利用。如果这些用户和组标识是不必要的，那么您可以将其删除，以使跟其有关的安全风险最小化。检测内容：您可能能够除去的公共缺省用户标识：uucp, nuucpuucp协议所用的隐藏文件的所有者。uucp 用户帐户是用于“UNIX 到 UNIX 复制程序”，该程序是在大多数 AIX 系统上存在的一组命令、程序和文件，它们允许用户使用专线或电话线与另一 AIX 系统进行通信。lpd打印子系统所使用文件的所有者guest允许那些无权访问帐户的用户访问可能不需要的公共组标识：uucpuucp 和 nuucp 用户所属的组printqlpd 用户所属的组建议操作：分析/etc/passwd，/etc/group中列出的用户和组，确定其意义。删除或限制无意义或意义不明确的用户和组。操作结果：分析您的系统以确定哪些用户、组标识确实是不需要的。可能也存在其它的您可能不需要的用户和组标识。在系统投入生产之前，对可用的用户、组标识进行彻底地检查。2身分验证2.1设定BIOS通行码编号：6007名称：设置BIOS密码重要等级：高基本信息：BIOS密码是进入系统的第一道防线。如果不能确定系统是否会经未授权的人员访问，请设定良好的BIOS密码以阻止其对系统基本设置的访问。检测内容：进入系统的 BIOS 并设定密码，以防止未经授权者进入系统或进入系统的BIOS设定。关闭硬盘以外其它装置的booting功能，以建立一个高度安全的环境。建议操作：启动机器后，进入BIOS或SMC的控制选单，设定访问密码。操作结果：未经授权的人员将无法访问系统基本硬件设定功能。2.2设定账户密码编号：6008名称：设定帐户密码重要等级：高基本信息：在未使用生物认证技术的环境中，用户得以进入系统基本凭证就是密码。目前广泛使用的shadow方式的密码存放方式。检测内容：良好的密码是抵御未授权进入系统的第一道有效防线，它们是以下类型：大小写字母的混合；字母、数字或标点符号的组合。此外，它们可以包含特殊字符，如 !#$%&*()-_=+|;:,.?/；未写在任何地方；如果使用 /etc/security/passwd 文件，那么长度最少为 7 个字符最大 8 个字符（象 LDAP 那样使用注册表实施的认证，可以使用超出此最大长度的密码）；不是在字典中可查到的真实单词；不是键盘上字母的排列模式，例如 qwerty；不是真实单词或已知排列模式的反向拼写；不包含任何与您自己、家庭或朋友有关的个人信息；不与从前一个密码的模式相同；可以较快输入，这样边上的人就不能确定您的密码；除了这些机制，您可以通过限定密码不可以包含可能猜测到的标准 UNIX 单词，从而进一步实施更严格的规则。该功能使用 dictionlist，它要求您首先安装 bos.data 和 bos.txt 文件集。建议操作：要实现前面定义的 dictionlist，请编辑 /etc/security/users 文件中的以下行：dictionlist = /usr/share/dict/words/usr/share/dict/words 文件使用 dictionlist 来防止使用标准 UNIX 单词作为密码。操作结果：用户被限制使用强可靠性的密码。并可能被要求定时检查和更改。2.3使用 /etc/passwd 文件编号：6009名称：使用passwd文件重要等级：高基本信息：传统上，/etc/passwd 文件是用来记录每个拥有系统访问权的注册用户。/etc/passwd 文件以冒号分隔，它包含以下信息：用户名 已加密密码 用户标识号（UID） 用户的组标识号（GID） 用户全名（GECOS） 用户主目录 登录 shell以下是一个 /etc/passwd 文件的示例：root:!:0:0:/:/usr/bin/kshdaemon:!:1:1:/etc:bin:!:2:2:/bin:sys:!:3:3:/usr/sys: adm:!:4:4:/var/adm:uucp:!:5:5:/usr/lib/uucp: guest:!:100:100:/home/guest:nobody:!:4294967294:4294967294:/:lpd:!:9:4294967294:/:lp:*:11:11:/var/spool/lp:/bin/false invscout:*:200:1:/var/adm/invscout:/usr/bin/kshnuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucicopaul:!:201:1:/home/paul:/usr/bin/kshjdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh 缺省情况下，AIX 没有象 UNIX 系统那样将加密密码存储在 /etc/password 文件内，而是在缺省情况下存储在 /etc/security/password 文件（仅 root 用户可读）内。AIX 使用 /etc/passwd 中归档的密码来表示密码是否存在或帐户是否被阻止。检测内容：/etc/passwd 文件由 root 用户拥有，且必须对所有用户都是可读的，但只有 root 用户有写许可权，显示为 -rw-r-r-。如果用户标识具有密码，则该密码字段中会有一个 !（感叹号）。如果用户标识没有密码，则该密码字段中有一个 *（星号）。加密的密码存储在 /etc/security/passwd 文件中。以下示例包含 /etc/security/passwd 文件（基于以上所示的 /etc/passwd 文件的项）中的最后四个项。guest: password = * nobody: password = * lpd: password = * paul: password = eacVScDKri4s6 lastupdate = 1026394230 flags = ADMCHG 用户标识 jdoe 在 /etc/security/passwd 文件中没有项，因为它在 /etc/passwd 文件中没有设置密码。建议操作：可使用 pwdck 命令来检查 /etc/passwd 文件的一致性。pwdck 命令通过检查全部用户或指定用户的定义来验证用户数据库文件中密码信息的正确性。操作结果：/etc/passwd的一致性得到保证，用户登录后的身份标识将反映出来。2.4使用 /etc/passwd 文件和网络环境编号：6010名称：网络环境重要等级：高基本信息：在传统的网络环境中，用户必须在每个系统中有一个帐户才能获得对该系统的访问权。这通常意味着用户要在每个系统上的每个 /etc/passwd 文件中有一个项。然而，在分布式环境中，要确保每个系统都有相同的 /etc/passwd 文件不是件容易的事情。要解决这个问题，有若干种方法（包括网络信息系统（NIS）和 NIS+）可以使 /etc/passwd 文件中的信息在整个网络中可用。检测内容：确定ypserv和yppasswd等守护程序的正常运行。NIS中央服务器的/etc/passwd和/etc/group等文件中存放数据的有效性。建议操作： 将网络范围内的用户认证数据机中存放到NIS主服务器上，并发布到个从服务器上，用户等录通过NIS客户端的支持完成。操作结果： 用户登录通过NIS服务器上统一的用户资料库的支持来完成。因此在各个客户端上实现统一透明的登录过程。2.5隐藏用户名和密码编号：6011名称：隐藏用户名、密码重要等级：高基本信息：在某些通信方法中，本地某些文件会暴露出用户的ID和密码。检测内容：为了达到更高级别的安全性，请确保用户标识和密码在系统内是不可见的。.netrc 文件包含用户标识和密码。该文件未进行加密或加密保护，这样它的内容象纯文本一样清楚显示。建议操作：要查找这些文件，运行以下命令：# find awk -F: print $6 /etc/passwd -name .netrc -ls找到这些文件后，请删除它们。保存密码的一个更有效的方法是设置 Kerberos。操作结果：无意暴露密码和用户名的可能降到最低。2.6设置推荐的密码选项编号：6012名称：推荐的密码选项重要等级：高基本信息：恰当的密码管理只有通过用户来实现。为提供某些额外的安全性，操作系统提供了可配置的密码限制。它们允许管理员限制用户选择的密码，并强制定期更改密码。密码选项和扩展用户属性位于 /etc/security/user 文件中，此文件是包含用户属性节的 ASCII 文件。每当为用户定义新密码时，这些限制就会执行。所有密码限制都是按照用户来定义的。通过在 /etc/security/user 文件的缺省节中保存限制，对所有用户执行相同限制。为了维护密码安全性，所有密码必须受到相似的保护。管理员还可以扩展密码限制。使用 /etc/security/user 文件中的 pwdchecks 属性，管理员可以将新的子例程（称为方法）添加到密码限制代码中。这样，本地站点策略可添加到操作系统，并由操作系统执行该策略。应用密码限制要切合实际。过于限制的尝试，例如限制密码空间（这将使猜测密码更容易），或强制用户选择难以记忆的密码（用户可能选择会写下密码），都会危及密码安全性。密码安全性最终要依靠用户。简单的密码限制结合合理的指导和偶尔的审查（以验证当前密码是否唯一）是最好的策略。检测内容：以下列出与 /etc/security/user 文件中用户密码相关的一些安全属性的推荐值。属性描述推荐值缺省值最大值dictionlist验证密码不包含标准 UNIX 单词/usr/share/dict/words不适用不适用histexpire密码可重新使用前的星期数260260histsize可允许的密码重复次数20050maxage必须更改密码前的最大星期数8052maxexpired超过 maxage 后可由用户更改到期密码的最大星期数。（root 用户例外。）2-152maxrepeats在密码中可重复字符的最大数目288minage密码可被更改前的最小星期数。不应设置此项为非零值，除非总是能很容易联系到管理员来对一个最近更改过的、意外泄密的密码进行重新设置。0052minalpha密码必须包含字母字符的最小数目208mindiff密码必须包含唯一字符的最小数目408minlen密码长度的最小值6（对 root 用户是 8）08minother密码必须包含非字母字符的最小数目208pwdwarntime系统发出要求更改密码警告前的天数5不适用不适用pwdchecks通过使用一个检查密码质量的定制代码，该项可用来增强 passwd 命令。 不适用不适用注:histexpir的最大值最多保留 50 个密码。 对于受控访问保护概要文件和评定保证级别 4+（CAPP/EAL4+）系统，请使用用户与端口配置中推荐的值。如果在系统上安装了文本处理程序，管理员可以使用 /usr/share/dict/words文件作为 dictionlist 字典文件。在这种情况下，管理员可以设置 minother 属性为 0。这是因为字典文件中的大多数单词不包含属于 minother 属性类别中的字符，把 minother 属性设置为 1 或更大将消除对这个字典文件中绝大多数单词的需要。系统中密码的最小长度由 minlen 属性的值或 minalpha 属性的值中的较大者加上 minother 属性来设置。密码的最大长度是八个字符。minalpha 属性的值加上 minother 属性的值决不能大于 8。如果 minalpha 的值加上 minother 属性的值大于 8，则 minother 属性的值会减少为 8 减去 minalpha 属性的值。如果 histexpire 属性的值和 histsize 属性的值都设置了，则系统保留适用于两种情况所需的密码个数，最多达系统所限制的每个用户 50 个密码。不保留空密码。建议操作：您可以编辑 /etc/security/user 文件，使之包含您要用来管理用户密码的任何缺省值。或者，您也可以通过使用 chuser 命令更改属性值。其它可以与该文件一起使用的命令有 mkuser、lsuser 和 rmuser 命令。mkuser 命令为 /etc/security/user 文件中的每个新建用户创建一个项，并用 /usr/lib/security/mkuser.default 文件中定义的属性初始化该项的属性。要显示属性和它们的值，请使用 lsuser 命令。要除去一个用户，请使用 rmuser 命令。操作结果：系统密码设定和组成策略得到保证。用户必须严格按照此策略设定自己的密码。增大入侵者猜测密码的难度。2.7扩展密码限制编号：6013名称：扩展密码限制重要等级：高基本信息：密码程序是否接受或拒绝密码所使用的规则（密码构成限制），可由系统管理员进行扩展，以提供特定于站点的限制。通过添加方法（在更改密码过程中调用）来扩展限制。/etc/security/user 文件中的 pwdchecks 属性指定调用的方法。检测内容：AIX 5L 技术参考大全 包含对 pwdrestrict_method 的描述，它是指定的密码限制方法必须符合的子例程接口。要正确扩展密码构成限制，则系统管理员必须在编写密码限制方法时对该接口编程。请谨慎对待扩展密码设置限制。这些扩展将直接影响 login 命令、passwd 命令、su 命令以及其它程序。系统安全性可能被恶意的或有缺陷的代码轻易破坏。建议操作：通过提供附加的编程接口，允许管理员实现定制的密码限制策略。请参考AIX程序设计参考。操作结果： 实现用户定制的密码限制策略。3访问控制3.1保护使用者环境设定(User Configurations)编号：6014名称：保护使用者环境设定重要等级：中基本信息：在 /usr/lib/security/mkuser.default 文件中包含创建帐户的预设参数， 如使用者的主要群组(primary group)。 我们建议修改这些参数设定。检测内容：若审计系统(audit subsystem)启用的话， 在user 和 admin 段落中加入一行， 来设定新使用者的 auditclasses:auditclasses = user，config，mail，chcron，SRC，chtcpipAIX中创建新的帐户时， 一个基本示例文件 /etc/profile 会被复制到该使用者的 home directory ， 它的文件名为 .profile。 下列的默认值应该被指定在 /etc/profile: PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/local/binumask=077PS1=$HOSTNAME:$PWD $export PATH PS1要确定root 设定umask 为077 或 027。 创建新的帐户时， 使用者的home directory 是属于该使用者，而且目录的群组会设定为使用者的primary group。 一个新使用者的特性文件(profile)是依照系统管理者的umask， 来得到档案的存取权限。 而 umask 设定为 077 可以确认使用者的home directories 只可以被该使用者来存取。 PATH 环境变量是指定在目前作业环境中， 寻找执行档案的路径。 请确定root 拥有一个安全的搜寻路径， 如: /usr/bin:/sbin:/usr/sbin若针对PATH变量，有额外的修改， 请遵循下列建议步骤。 它会帮助你避免执行非授权的程序或木马程序 (Trojan horses)：PATH ， 在找寻home directories之前， 应先找寻标准的系统目录；当前目录 (.)不应在 PATH之中；PATH 不应包括任何”不受保护”( “unprotected” ) 的目录。 对一般使用者来说， 指那些可以被其它一般使用者有写入权限的目录。 对系统管理者而言， 指那些可以让非系统管理者可以有写入权限的目录；PS1 环境变量，该指定系统的”命令显示”(prompt)。 该变量应该清楚的定义出使用者是用什么系统，及是使用哪些目录。另外，帐户信息是可以利用使用者名称(user name)以及 user identification number (UID)来识别。 每个使用者应该有一个唯一的UID。 用smit (fastpath smit mkuser)命令来增加使用者，会自动地产生唯一的UID。使用者的帐户信息应该保密且不该被公开。PATH 环境变量是一个重要的安全控制。它指定搜索的目录来查找命令。缺省系统范围的 PATH 值在 /etc/profile 文件中进行指定，而且每个用户通常在自己的 $HOME/.profile 文件中都有一个 PATH 值。.profile 文件中的 PATH 值可以将系统范围 PATH 值覆盖，或向它添加额外的目录。对 PATH 环境变量的未授权更改可能使得系统中的用户“欺骗”其它用户（包括 root 用户）。电子欺骗程序（也称为特洛伊木马程序）更换了系统命令，然后捕获给该命令的信息，例如用户密码。例如，假定用户更改 PATH 值使系统运行命令时首先查找 /tmp 目录。然后该用户在 /tmp 目录中放置一个称为 su 的程序，该程序就象 su 命令一样要求 root 密码。接着，该 /tmp/su 程序将 root 密码邮寄给该用户，并在退出前调用 su 命令。在这种情况下，任何使用 su 命令的 root 用户将暴露 root 密码，而且自己甚至还未意识到。系统管理员和用户要防止关于 PATH 环境变量的任何问题，请执行以下操作：当感到怀疑时，请指定全路径名。如果指定了全路径名，将忽略 PATH 环境变量。 切勿将当前目录（由 . 指定（句点）插入为 root 用户指定的 PATH 值中。切勿允许在 /etc/profile 中指定当前目录。 root 用户应当在其私有的 .profile 文件中有自己的 PATH 规范。通常，/etc/profile 中的规范列出了对于所有用户的最少标准，然而 root 用户可能需要比缺省值更多或更少的目录。 警告其它用户在没有咨询系统管理员的情况下，不要更改他们的 .profile 文件。否则，可信的用户可能做出更改允许无意识的访问。应将用户 .profile 文件的许可权设置为 740。 系统管理员不应使用 su 命令从用户会话中取得 root 用户特权，因为在 .profile 文件中指定的该用户 PATH 值是有效的。用户可以设置他们自己的 .profile 文件。系统管理员应当作为 root 用户或最好使用他们自己的标识登录到用户的机器，然后使用以下命令： /usr/bin/su - root这确保在会话过程中使用 root 环境。如果系统管理员在另一用户会话中以 root 身份操作，则在整个会话中系统管理员应当指定全路径名。保护输入字段分隔符（IFS）环境变量以免在 /etc/profile 文件中更改。.profile 中的 IFS 环境变量可以用于修改 PATH 值。建议操作：参考前面设定用户属性一节。通过lsuser命令检查用户属性。通过env检查用户环境变量的设定。通过ls l命令检查用户.profile文件的访问权限。操作结果： 确保用户基本设定文件和变量的有效性。并避免无关人员的访问。3.2使用 Noshell编号：6015名称：使用noshell重要等级：高基本信息：从过去历史来看，当一帐号被停用，此帐户的登陆 shell 将截取任何登陆并结束，而不作任何进一步行动。这样，可防止此帐户被攻击并作进一步存取。通常登陆的 shell 执行程序是 /bin/false，但 /bin/false 并非总是程序，事实上，它可能是一个 shell script ，而使用 shell script 将使系统置于风险中。nonshell 被发展来提供管理者有监督这类存取停用帐户企图的能力。检测内容： 请合理设定/etc/passwd中关于用户等录初始化程序的设定字段。用安全的nonshell方式予以替代。建议操作：最新版本的noshell 可用 anonymous ftp 从下列地址得到：http:/www.fish.com/titan/src1/noshell.c. http:/www.fish.com/titan/src1/Makefile如果 noshell 被使用，而有攻击者持续尝试被停用的帐户密码来激活使用者的 shell，则 noshell 将被执行且结束此使用者的访问。执行下列以激活 nonshell:1.复制程序到正确的系统目录2.手动安装 noshell 到正确的系统目录需 root 权限： # cp -p noshell /usr/local/sbin3.设置 noshell 程序为合法的登陆shell4.noshell 必须被列入 /etc/shells 系统文件中，以便被承认合法的登入 shell，作法如下： /usr/local/sbin/noshell5.加入此行到停用帐户的 shell 定义中以便激活 noshell。操作结果： 停用用户的登录被确保受到了限制。设置登录控制编号：6016名称：设置登陆控制重要等级：高基本信息： 暴力法是一般最常用的攻击方式。通过不停的猜测密码，理论上可以突破任何系统。因此限制用户的登录次数是限制此类攻击的有效手段。检测内容：要使得较难通过猜测密码来攻击系统，请在 /etc/security/login.cfg 文件中如下所示设置登录控制：/etc/security/login.cfg 文件的“属性”及“建议值”。 属性用于 PtYs（网络）用于 TTYs建议值注释sak_enabledYYfalse很少需要“安全注意键”。logintimesNY在此处指定允许登录的次数。logindisableNY4在此终端连续 4 次试图登录失败后，禁止其登录。loginintervalNY60在 60 秒内进行了指定的无效尝试后，禁用终端。loginreenableNY30在自动禁用终端 30 分钟后重新启用该终端。logindelayYY5在两次出现登录提示之间的以秒为单位的时间间隔。这将随着尝试失败的次数成倍地增加；例如，初始值为 5 时，该时间间隔就为 5 秒、10 秒、15 秒、20 秒。这些端口限制主要在已连接的串行终端上发挥作用，而不是在网络登录使用的伪终端上。您可在该文件中指定显式终端，例如： /dev/tty0: logintimes = 0600-2200 logindisable = 5 logininterval = 80 loginreenable = 20建议操作：操作结果：3.4更改登录屏幕的欢迎消息编号：6017名称：更改登陆的欢迎信息重要等级：中基本信息：检测内容：为防止在登录屏幕上显示某些信息，请编辑 /etc/security/login.cfg 文件中的 herald 参数。缺省的 herald 包含随登录提示一起显示的欢迎消息。您可用 chsec 命令或直接编辑文件来更改该参数。建议操作：以下示例用 chsec 命令更改缺省的 herald 参数：# chsec -f /etc/security/login.cfg -a default -herald Unauthorized use of this system is prohibited.nnlogin: 要直接编辑文件，请打开 /etc/security/login.cfg 文件并更新 herald 参数如下：缺省值：herald =禁止未授权使用本系统nn登录： sak_enable = false logintimes = logindisable = 0 logininterval = 0 loginreenable = 0 logindelay = 0注:要使得该系统更安全，请将 logindisable 和 logindelay 变量的值设置为大于 0（# 0）。操作结果： 防止了攻击者的此类穷举式攻击。3.5更改公共桌面环境的登录屏幕编号：6018名称：更改CDE的登陆屏幕重要等级：中基本信息： X登录方式包括多种，其中在AIX环境中CDE使用最为普遍。检测内容：该安全性说明影响公共桌面环境（CDE）的用户。缺省情况下，CDE 登录屏幕也显示主机名和操作系统版本。要防止显示此信息，请编辑 /usr/dt/config/$LANG/Xresources 文件，其中 $LANG 指的是安装在您的机器上的本地语言。示例中，假定 $LANG 设置为 C，将该文件复制到 /etc/dt/config/C/Xresources 目录中。然后，打开 /usr/dt/config/C/Xresources 文件并编辑，以除去包含主机名和操作系统版本的欢迎消息。建议操作： 将登录时提供的多余信息剔除。防止暴露多余信息给潜在的攻击者。操作结果： 确保系统信息不会无意中暴露给无关人员。3.6设置系统缺省登录参数编号：6019名称：设置缺省登陆参数重要等级：中基本信息： 防止穷举法攻击者的多次等录尝试。检测内容： 在设定了此类属性后，未授权者无法反复尝试登录。建议操作：要为许多登录参数设置基本缺省值，例如那些可能需要为新用户设置的参数（登录重试次数、登录重新启用和登录内部），请编辑 /etc/security/login.cfg 文件。操作结果： 防止穷举法攻击者的多次等录尝试。3.7保护无人照管终端编号：6020名称：保护无人照管终端重要等级：高基本信息： 防止无人照管用于等录的可能。检测内容：如果终端处于登录状态却无人照管，那么所有的系统都是脆弱的。当系统管理员让用超级权限开启的终端处于无人照管状态时，就会出现最严重的问题。通常，任何时候用户离开他们的终端时都应该注销。让系统终端处于非安全状态会造成潜在的安全威胁。建议操作：要锁定终端，请使用 lock 命令。如果您的界面是 AIXwindows，请使用 xlock 命令。操作结果： 无人照管的终端被Lock，未经授权者无法用于登录。3.8强制自动注销编号：6021名称：强制自动注销重要等级：高基本信息：另一个要关注的有效安全性问题是用户长时间将他们的帐户置于无人照管状态造成的后果。这种情况使闯入者可以控制用户的终端，从而潜在地危及系统的安全。检测内容：要预防这类潜在的安全威胁，您可在系统中启用自动注销功能。要这样做，请编辑 /etc/security/.profile 文件，为所有用户包含自动注销值，如下例所示：TMOUT=600 ; TIMEOUT=600 ; export readonly TMOUT TIMEOUT在本例中，数字 600 是以秒为单位，它等于 10 分钟。但是，该方法只在 shell 中生效。建议操作： 设定合理方便的TIMEOUT时限环境变量。操作结果：当先前的操作允许您对所有用户强制执行自动注销策略时，系统用户就能通过编辑他们各自的 .profile 文件来绕过一些限制。为了完全实现自动注销策略，必须采取权威的措施，即给用户提供适当的 .profile 文件，阻止对这些文件的写访问权。3.9限制Root只可从控制台存取编号：6022名称：限制root存取重要等级：高基本信息：潜在黑客的一个常见攻击方法是获取 root 密码。检测内容：要避免此类攻击，可以禁用直接访问 root 标识，然后要求系统管理员通过使用 su - 命令获取 root 权限。除了允许删除作为攻击对象的 root 用户，限制直接的 root 访问使您可以监视哪些用户获取了 root 访问权及他们操作的时间。可以查看 /var/adm/sulog 文件做到这一点。另一种方法是启用系统审计，这将报告此类活动。建议操作：要禁止 root 用户远程登录访问，编辑 /etc/security/user 文件。在 root 项中指定 false 作为 rlogin 的值。在禁用远程 root 登录之前，请检查并准备可能使系统管理员用非 root 用户标识无法登录的情况。例如，如果用户的主文件系统已满，该用户将无法登录。如果禁用了远程 root 登录，而能使用 su - 命令更改到 root 用户的用户主文件系统已满，则 root 用户可能永远无法取得对系统的控制。系统管理员可以通过为他们自己创建比一般用户文件系统大的主文件系统绕过此问题。你可关闭 root 的登陆除了在控制台外chuser ttys=/dev/console rlogin=false root加root 到 /etc/ftpusers 档来拒绝 FTP 存取 root 帐号操作结果：远程 root 不可存取系统，系统管理者应只在需执行root权限的功能时使用root，然后再回复一般使用者身份。持续使用root帐户可能会造成破坏，因其权限盖过许多安全措施，故建议管理者应先以一般使用者登入再使用 su 来得到 root 权限。3.10保护SUID 程序编号：6023名称：保护SUID程序重要等级：高基本信息：在AIX上许多setuid 和 setgid 程序是只能让root来使用， 或跟据其所指定的 user 或 group才能执行。 这些程序事实上可以不用 setuid and setgid ，并且在不削减使用者权限之下来完成的工作。 在考虑到系统上这些个别的程序， 使用命令 “find / -perm 4000 print” 来找出这些程序。检测内容：建立一个主要的清单， 其中列出保留使用 setuid/setgid ，并且定期作程序清单的检查。 阻止潜在系统crackers的其中一个方法 是防止它们在你的机器上执行setuid 程序。 进行这个步骤后， 使得任何人想要从你的机器上， 得到一个非经授权的setuid程序是不可能的。建议操作： 在系统范围内检查setuid和setgid程序，评估其使用，限制无意义的此类程序使用。操作结果： 防止对应的缓冲区溢出攻击。3.11限制性的Restricted Shell编号：6024名称：限制性的shell重要等级：高基本信息：当使用者登入，首先系统环境 /etc/profile 将被执行，其次为使用者环境 $HOME/.profile 。使用者环境 $HOME/.profile的设定值可重设在系统环境 /etc/profile的设定值内，如果要避免此，则使用者必须拒绝shell的存取或仅可存取限制性的 shell，其变成只能执行事先授权的命令。检测内容： 检查登录时自动执行的命令。确定各自动执行命令的目的和执行权限。建议操作：限制性的 shell 类似如下:#!/bin/ksh# Restricted shell. Only the specified commands can be executed. COMMANDS=host，ping，passw，exit，logoutPATH=/bin:/usr/ucb:/usr/bin:/usr/sbin:/usr/userprompt=hostnametrap 2# ignore SIGINTwhile true; do print -n $prompt: read command arg1 arg2 arg3 if $? -ne 0 ; then# end-of-file print exit 0 fi if $command = ; then# null command continue fi case $command in host) echo host $arg1 $arg2 $arg3;host $arg1 $arg2 $arg3; ping) echo ping -c 5 $arg1;ping -c 5 $arg1; passwd) passwd; exit|logout) exit 0;