AIX系统安全配置手册讲解.doc

AIX系统安全配置 1 身分识别 1.1 账户设定 编号： 6001 名称： 帐户设定 重要等级： 高 基本信息： 账户是用户访问系统的基本凭证。系统通过检测用户所拥有的帐户来识别用户的身份，并以此决定用户的操作权限，同时也产生诸如审计之类的动作。 检测内容： 只有特定的授权帐户可用来增加用户及群组，此为AIX默认值且不应被更改； ? 一般帐户不应该有多余的管理权限，此为AIX默认值且不该被更改； ? 只有特定的授权帐户可用来删除用户及群组、修改及打印所有帐户资料。以用来防止非法存取系统，或集中攻击有特别权限的帐户，此为AIX默认值且不该被更改； ? 只有特定的授权帐户可用来检查使用者状态。为防止入侵者存取非公开系统资料，用户状态资料仅可由特定帐户取得。这一点在AIX仅部份可行，因为如果使用者锁定，则其它使用者无法看到此使用者，但却可使用 who 命令来检查登陆的帐户； ? 只有特定的授权帐户可用来打印所有群组信息、锁定或未锁定的帐户。以用来防止非法存取系统，或集中攻击有特别权限的群组，此为AIX默认值且不该被更改； ? 只有特定的授权帐户可用来更改授权帐户数目。太多的用户同时使用某应用系统可能影响系统稳定性，此为AIX默认值且不该被更改； ? 系统管理员群组的人员不可存取所有资源，管理群组的人员应只能存取工作上所需用的资源。存取所有资源不应被允许，此为AIX默认值且不该被更改； ? 一般用户不可存取特定系统文件及命令。系统命令及程序只能被特定帐户使用，一般用户不可存取此类功能。应通过权限控制管理来进行限制，此为AIX默认值且不该被更改； ? 权限的控制管理应在文件产生时即被设置，仅有文件的产生者能读取、写入、执行或删除此文件，使用者的 umask设定为仅允许文件产生者存取 (例外：root 用户可存取系统所有文件)。Umask的设定控制了文件除了删除外的权限，删除的权限则根据文件所在目录的权限位来决定； ? 最少权限机制应被应用，以确保应用程序以最少权限执行，所有应用程序的授权应保持最低权限； ? 只有特别的授权帐户可安装软件或加入新设备到系统中，并安装安全的更新修正程序，此为AIX默认值且不该被更改； 建议操作： 按照系统提供的资源和计划运行的任务，合理规划任务的属主，以此利用系统提供的管理命令，如passwd、umask等，设定权责明确的用户和用户组。分别对它们设定严格的系统权限。 操作结果： ? 存取系统资源取决于使用者及群组的身份，使用者的权限可能多于其群组的权限； 1.2 推荐用户属性 编号： 6002 名称： 推荐用户属性 重要等级： 高 基本信息： 用户是系统的主要组成元素。用户的一个主要属性是如何对他们进行认证。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。 组是对共享的资源同一访问许可权的用户的集合。一个组有一个标识，且由组成员和管理员组成。组的创建者通常就是第一管理员。 可以对每个用户帐户设置多个属性，包含密码和登录属性。 检测内容： 推荐以下属性： ? 每个用户应有一个不与其它用户共享的用户标识。所有的安全防护措施和工具仅在每个用户都有唯一标识时起作用； ? 为系统用户指定一个对其有意义的用户名。最好使用实际名称，因为大多数电子邮件系统使用用户标识为接收的邮件标号； ? 使用基于 Web 的系统管理工具或 SMIT 界面添加、更改和删除用户。虽然可以通过命令行来执行所有这些任务，但这些界面有助于减少小错误； ? 在用户准备好登录系统前不要为用户帐户提供初始密码。如果在 /etc/passwd 文件中将密码字段定义为 *（星号），虽然帐户信息得到保存，但不能登录到该帐户； ? 不要更改系统正常运行所需的由系统定义的用户标识。系统定义的用户标识罗列在 /etc/passwd 文件中； ? 一般情况下，不要将任何用户标识的 admin 参数设置为 true。只有 root 用户可以为在 /etc/security/user 文件中设置为 admin=true 的用户更改属性。 操作系统支持通常出现在 /etc/passwd 和 /etc/group 文件中的标准用户属性，例如： 认证信息 指定密码 凭证 指定用户标识、主体组和补充组标识 环境 指定主环境或 shell 环境。 建议操作： 检查标准Unix系统用户、组设定文件。/etc/passwd和/etc/group中的设定，确定各个用户存在的目的，避免存在无意义的用户和组。检查用户ID，避免无关用户拥有root或其他管理用户的权限。检查密码字段，防止无密码的用户存在。检查用户属性，避免不合理的用户拥有admin的权限。 操作结果： 各个用户和用户