AIX系统安全配置手册 - 图文

AIX系统安全配置

1 身分识别 1.1 账户设定 编号： 基本信息： 账户是用户访问系统的基本凭证。系统通过检测用户所拥有的帐户来识别用户的身份，并以此决定用户的操作权限，同时也产生诸如审计之类的动作。 检测内容： 只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改； ? 一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改； ? 只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改； ? 只有特定的授权帐户可用来检查使用者状态。为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户； ? 只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改； ? 只有特定的授权帐户可用来更改授权帐户数目。太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改； ? 系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。存取所有资源不应被允许，此为AIX默认值且不该被更改； ? 一般用户不可存取特定系统文件及命令。系统命令及程序只能被特定帐户使用，一般用户不可存取此类功能。应通过权限控制管理来进行限制，此为6001 名称： 帐户设定 重要等级： 高 AIX默认值且不该被更改； ? 权限的控制管理应在文件产生时即被设置，仅有文件的产生者能读取、写入、执行或删除此文件，使用者的 umask设定为仅允许文件产生者存取 (例外：root 用户可存取系统所有文件)。Umask的设定控制了文件除了删除外的权限，删除的权限则根据文件所在目录的权限位来决定； ? 最少权限机制应被应用，以确保应用程序以最少权限执行，所有应用程序的授权应保持最低权限； ? 只有特别的授权帐户可安装软件或加入新设备到系统中，并安装安全的更新修正程序，此为AIX默认值且不该被更改； 建议操作： 按照系统提供的资源和计划运行的任务，合理规划任务的属主，以此利用系统提供的管理命令，如passwd、umask等，设定权责明确的用户和用户组。分别对它们设定严格的系统权限。 操作结果： ? 存取系统资源取决于使用者及群组的身份，使用者的权限可能多于其群组的权限； 1.2 推荐用户属性 编号： 基本信息： 用户是系统的主要组成元素。用户的一个主要属性是如何对他们进行认6002 名称： 推荐用户属性 重要等级： 高 证。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。 组是对共享的资源同一访问许可权的用户的集合。一个组有一个标识，且由组成员和管理员组成。组的创建者通常就是第一管理员。 可以对每个用户帐户设置多个属性，包含密码和登录属性。 检测内容： 推荐以下属性： ? 每个用户应有一个不与其它用户共享的用户标识。所有的安全防护措施和工具仅在每个用户都有唯一标识时起作用； ? 为系统用户指定一个对其有意义的用户名。最好使用实际名称，因为大多数电子邮件系统使用用户标识为接收的邮件标号； ? 使用基于 Web 的系统管理工具或 SMIT 界面添加、更改和删除用户。虽然可以通过命令行来执行所有这些任务，但这些界面有助于减少小错误； ? 在用户准备好登录系统前不要为用户帐户提供初始密码。如果在 /etc/passwd 文件中将密码字段定义为 *（星号），虽然帐户信息得到保存，但不能登录到该帐户； ? 不要更改系统正常运行所需的由系统定义的用户标识。系统定义的用户标识罗列在 /etc/passwd 文件中； ? 一般情况下，不要将任何用户标识的 admin 参数设置为 true。只有 root 用户可以为在 /etc/security/user 文件中设置为 admin=true 的用户更改属性。 操作系统支持通常出现在 /etc/passwd 和 /etc/group 文件中的标准用户属性，例如： 认证信息 凭证 环境 指定密码 指定用户标识、主体组和补充组标识 指定主环境或 shell 环境。 建议操作： 检查标准Unix系统用户、组设定文件。/etc/passwd和/etc/group中的设定，确定各个用户存在的目的，避免存在无意义的用户和组。检查用户ID，避免无关用户拥有root或其他管理用户的权限。检查密码字段，防止无密码的用户存在。检查用户属性，避免不合理的用户拥有admin的权限。 操作结果： 各个用户和用户组依照之前规划的目标拥有并可以行使各自明确的权限。 6.1.3 用户帐户控制 编号： 基本信息： 每个用户帐户有一组相关属性。当使用 mkuser 命令创建用户时，这些属6003 名称： 用户帐户控制 重要等级： 高 性根据缺省值创建。这些属性可以通过使用 chuser 命令来修改。 检测内容： 以下用户属性用于控制与密码有关的方面： ? account_locked 如果必须明确地锁定帐户，则该属性可以设置为 true；缺省值是 false。 ? admin 如果设置为 true，则该用户无法更改密码。只有管理员可以更改它。 ? admgroups 列出此用户具有管理权限的组。对于这些组，该用户可以添加或删除成员。 ? auth1 用于授权用户访问的认证方法。典型地，将它设置为 SYSTEM，然后将使用较新的方法。 ? auth2 按 auth1 指定的对用户进行认证后运行的方法。它无法阻止对系统的访问。典型地，将它设置为 NONE。 ? daemon 此布尔参数指定是否允许用户使用 startsrc 命令启动守护程序或子系统。它也限制对 cron 和 at 设备的使用。 ? login 指定是否允许该用户登录。 ? logintimes 限制用户何时可以登录。例如，用户可能被限制只能在正常营业时间访问系统。 ? registry 指定用户注册表。可以用于告知系统用户信息的备用注册表，例如 NIS、LDAP 或 Kerberos。 ? rlogin 指定是否允许该用户通过使用 rlogin 或 telnet 登录。 ? su 指定其它用户是否可以使用 su 命令切换至此标识。 ? sugroups 指定允许哪个组切换至此用户标识。