為您的系統(tǒng)生成審計(jì)安全快照將能夠使系統(tǒng)管理員實(shí)現(xiàn)有效的安全控制，從而確保能夠恰當(dāng)?shù)毓芾砟?AIX 服務(wù)器的安全性。它還展示了當(dāng)前采用的標(biāo)準(zhǔn)安全策略。在了解每月安全報(bào)告和審計(jì)報(bào)告應(yīng)當(dāng)包括哪些內(nèi)容之前，讓我們先來看一下如何呈現(xiàn)它們。雖然這里只討論了一個安全報(bào)告，但是請記住，這種報(bào)告將由大量 AIX 服務(wù)器生成，因此，務(wù)必以準(zhǔn)確、中肯的方式呈現(xiàn)信息，并且各個小節(jié)都要有明確的標(biāo)題。您可能決定使用一個機(jī)器一個報(bào)告 (one box one report) 的方法呈現(xiàn)報(bào)告，或者將所有報(bào)告整合到一個報(bào)告中，您可以自由選擇。這兩種方法我以前都用過，但我更傾向于生成大型報(bào)告的方法。您可以考慮使用 HTML 格式呈現(xiàn)這些信息，信息中包含一些標(biāo)記，因此您可以單擊不同的部分并找到您感興趣的信息。HTML 可以嵌入到電子郵件中或直接生成到 Web 頁面。顯然，具體方式取決于您自己的報(bào)告標(biāo)準(zhǔn)。

在生成報(bào)告時，您可能決定只生關(guān)于成生產(chǎn)服務(wù)器的報(bào)告，而不準(zhǔn)備生產(chǎn)關(guān)于任何開發(fā)、研發(fā)或驗(yàn)收測試服務(wù)器的報(bào)告。我認(rèn)為顯示給管理者的安全報(bào)告應(yīng)當(dāng)只包括生產(chǎn)服務(wù)器，因?yàn)槠渌?wù)器通常沒有生產(chǎn)服務(wù)器那么封閉和保守。

在合并為一個報(bào)告時，您應(yīng)當(dāng)假設(shè)服務(wù)器已經(jīng)采用了某些相關(guān)的安全工具。其中一些標(biāo)準(zhǔn)工具包括：

SSH

TCP 包裝器

AIX Audit 服務(wù)

Sudo

報(bào)告哪些內(nèi)容？

我認(rèn)為報(bào)告應(yīng)當(dāng)側(cè)重于與用戶有關(guān)的生產(chǎn)信息、登錄屬性和有效的 IBM 安全建議。在進(jìn)一步了解這些之前，讓我們先來查看應(yīng)當(dāng)包括在通用安全報(bào)告的一些內(nèi)容：

IBM 安全建議

有關(guān)密碼策略的報(bào)告（設(shè)置和過期）

有關(guān)設(shè)置用戶 ID/組 ID（UID/GID）文件（非 IBM 生成的文件）的報(bào)告

符合應(yīng)用程序策略的正確的組成員關(guān)系

系統(tǒng)流程所有者的鎖定帳戶，比如 lpd 和 bin

在執(zhí)行非登錄活動的指定天數(shù)后鎖定帳戶

任何新用戶或已刪除的用戶

任何新組或已刪除的組

刪除或增加了替代用戶 (su) 權(quán)限的用戶

允許的用戶組成員

允許訪問特權(quán)帳戶（如 root 用戶和應(yīng)用程序所有者）的 su 訪問

登錄屬性，其中 admin 被設(shè)置為 true

狀態(tài)表示，指出是否對遠(yuǎn)程登錄活動禁用 root 訪問

得到許可的用戶能夠使用 File Transfer Protocol (FTP)、Secure Shell (SSH) 和 Secure Copy Protocol (SCP) 訪問 AIX 服務(wù)器

報(bào)告是否在 /etc/ineted.conf 中禁用 rexec

報(bào)告找到的所有 .rhosts 文件

現(xiàn)在，我們將詳細(xì)了解上面提到的各項(xiàng)內(nèi)容。

注意

IBM 建議包括 IBM 通過詳細(xì)的電子郵件發(fā)送的安全漏洞說明，告知您在特定操作條件下某個流程或服務(wù)存在的潛在缺陷、補(bǔ)丁或解決方案。您需要自己判斷這一缺陷是否會影響到您，以及您是否希望解決這個問題。這些電子郵件應(yīng)當(dāng)記錄在單獨(dú)的表格或數(shù)據(jù)庫中，這樣就可以生成這些建議的歷史記錄（提供詳細(xì)信息、出現(xiàn)問題的時間和采取了哪些操作，如果有的話）。關(guān)于這些建議的說明應(yīng)當(dāng)包含在報(bào)告中。

密碼策略

擁有良好的密碼策略（密碼過期和密碼規(guī)則）非常重要。您在生產(chǎn)環(huán)境中使用的密碼策略應(yīng)當(dāng)是一項(xiàng)嚴(yán)格的標(biāo)準(zhǔn)。例如，對于普通支持用戶，他們的密碼可能會在一段時間（比如 35 天）后過期。然而，對于應(yīng)用程序或批處理用戶，這會帶來一些問題。沒人希望半夜運(yùn)行批處理程序時密碼過期，因此可能會將這些密碼設(shè)置為永不過期。然而，所有用戶都應(yīng)當(dāng)使用相同的規(guī)則來選擇密碼，比如可重復(fù)字符和密碼的最小長度。使用 /etc/security 中的默認(rèn)值時，您應(yīng)當(dāng)針對當(dāng)前采用的標(biāo)準(zhǔn)策略檢查默認(rèn)設(shè)置，您會注意到所有不一致的地方。如果這些不一致的地方是已知的異常，那么應(yīng)當(dāng)使用一個排除列表，隨報(bào)告一起提供。如果使用的是網(wǎng)絡(luò)認(rèn)證，如 Lightweight Directory Access Protocol (LDAP) 或 Kerberos，那么應(yīng)當(dāng)檢查這些擴(kuò)展的屬性。

清單 1 演示的方法中，可以對帳戶屬性的報(bào)告進(jìn)行比較和顯示。將包含標(biāo)準(zhǔn)屬性策略的模板文件與遠(yuǎn)程 AIX 服務(wù)器上 /etc/security/user 中的默認(rèn)屬性進(jìn)行比較，就會發(fā)現(xiàn)所有不一致的地方。清單 1 還列出了此檢查中發(fā)現(xiàn)的所有例外用戶。

清單 1. 帳戶屬性

Standard attributes:     Current attributes:

admin  =            admin  =  false

login  =  true            login  =  true

su     =  true          su      =  true

daemon  =  true    daemon  =  true

rlogin  =  true    rlogin  =  true

sugroups  =          sugroups   =  ALL

admgroups  =    admgroups =

ttys  =     ttys  =  ALL

auth1  =     auth1  =  SYSTEM

auth2  =     auth2  =  NONE

umask  =  022          umask  =  022

expires  =    expires  =  0

SYSTEM  =     SYSTEM  =  "compat"

pwdwarntime  = 5    pwdwarntime  =  5

account_locked  = false    account_locked =  false

loginretries  =  3          loginretries  =  3

histexpire  = 26    histexpire  =  26

histsize    =  15  histsize  =  15

minage    =  1    minage  =  1

maxage    =  5    maxage  =  5

maxexpired =  -1    maxexpired  =  -1

minalpha  =  1  minalpha  =  1

minother  =  1  minother  =  1

minlen  =  8    minlen  =  8

mindiff  =  2  mindiff  =  2

maxrepeats =  2    maxrepeats =  2

Excluded users for this host: ukpen01dd

user1,user2,..

我擁有哪些用戶 set-uID

所有非 IBM set-uID 程序都應(yīng)當(dāng)進(jìn)行報(bào)告，通過與以前的運(yùn)行或日志文件比較，您就可以知道是否有新的 set-uID 或修改過的 set-uID 發(fā)生了變化。所有顯示的 set-uID 程序都應(yīng)當(dāng)列出在安全報(bào)告中。您可以考慮結(jié)合使用 fpm 命令。

組成員關(guān)系

擁有正確的組成員關(guān)系可以確保非特權(quán)用戶不會對特權(quán)文件進(jìn)行組訪問。應(yīng)當(dāng)創(chuàng)建一個用于所有組應(yīng)用程序成員的模板。如果有任何不應(yīng)屬于這些組的用戶，則需要進(jìn)行報(bào)告。

鎖定的系統(tǒng)帳戶

系統(tǒng)進(jìn)程帳戶的所有者，如 bin 和 lpd 等，應(yīng)當(dāng)鎖定他們的帳戶。即使 login/rlogin 屬性為 false，也不應(yīng)該公開這些帳戶，這是無需置疑的。報(bào)告應(yīng)當(dāng)列出這些未鎖定帳戶的進(jìn)程帳戶所有者的所有違規(guī)行為。

非活動帳戶

有必要找出長期未登錄 AIX 系統(tǒng)的用戶，并檢查他們是否需要帳戶。經(jīng)過一段時間后（建議 40 天），應(yīng)當(dāng)鎖定（而不是刪除）這些帳戶。當(dāng)用戶導(dǎo)致產(chǎn)生一個事件處理過程票據(jù) (incident process ticket)，且應(yīng)用程序棧持有者準(zhǔn)許時，可以解鎖帳戶。經(jīng)過一個比較長的非活動期后，可以刪除用戶。但是，執(zhí)行此操作時必須小心謹(jǐn)慎，因?yàn)槿绻脩襞c應(yīng)用程序支持有關(guān)，那么他們可能通過 GUI 與應(yīng)用程序相連。因此，AIX 會無法更新該用戶的登錄屬性，在這種情況下，需要采用其他機(jī)制進(jìn)行檢查，或者使用用戶的排除列表。

用戶和組填充

報(bào)告有關(guān)任何新用戶或已刪除用戶的信息可以展示您管理系統(tǒng)的方式，方法就是始終保持用戶群處于最新狀態(tài)。任何新的用戶或組都可以通過一個變更控制請求來創(chuàng)建，并記錄這個事件。刪除用戶很有可能通過發(fā)出請求來完成，或者根據(jù)不斷更新的離職員工列表來刪除用戶，甚至有可能根據(jù)休眠帳戶 (dormant account) 來刪除用戶。維護(hù)用戶的過程會確保系統(tǒng)不會充滿非活動用戶。

su和sudo

在 sudoers 文件中查找 su 訪問和 sugroup，特權(quán)訪問能夠夠確保只有已授權(quán)用戶才能夠轉(zhuǎn)換用戶權(quán)限。經(jīng)常發(fā)生的情況是會留下臨時的 su 訪問授權(quán)，因此該授權(quán)變?yōu)橛谰眯缘氖跈?quán)。通過對 su 組進(jìn)行報(bào)告，您可以快速確定應(yīng)當(dāng)為哪些用戶取消 su 訪問。您至少應(yīng)當(dāng)向以下用戶報(bào)告 su 訪問：root 用戶、應(yīng)用程序所有者、批處理調(diào)度程序的所有者。

下面顯示了主機(jī) ukpen01dd 上 IBM DB2? 組（db2grp）成員的一個典型條目，無需密碼即可將用戶權(quán)限轉(zhuǎn)換為 DB2 實(shí)例用戶 db2inst1：

%db2grp  ukpen01dd  = NOPASSWD:/usr/bin/su - db2inst1

管理員帳戶

您應(yīng)當(dāng)創(chuàng)建一個報(bào)告，其中包含所有在帳戶屬性中將 admin 設(shè)置為 true 的用戶的列表。這通常包括系統(tǒng)帳戶。其中一些用戶為：root 用戶、daemon、bin、sys 和 lpd。然而，您可以將這一權(quán)限委托給特定用戶，因此還應(yīng)當(dāng)報(bào)告這些用戶。

對root用戶禁用rlogin

我認(rèn)為應(yīng)當(dāng)對 root 用戶禁用所有 rlogin。您應(yīng)當(dāng)只能從 su/sudo 進(jìn)程或通過指定服務(wù)器上的直接 SSH 連接進(jìn)行 root 訪問。這種方法可以有效地鎖定 root 訪問。對 root 執(zhí)行的惟一的登錄訪問應(yīng)當(dāng)通過系統(tǒng)控制臺或 Hardware Management Console (HMC) 來實(shí)現(xiàn)。

FTP/SCP訪問

需要謹(jǐn)慎考慮是否允許從遠(yuǎn)程服務(wù)器進(jìn)行 SCP/FTP 訪問，因?yàn)槟幌Ｍ拗菩枰獋鬏斘募挠脩?。整理好用戶列表后，您可以使用該列表填?/etc/ssh/sshd.conf 文件中允許使用的用戶條目。另外，不要忘記 ftpaccess.ctl 文件，可以通過該文件了解允許使用 FTP 的用戶和 FTP 限制。還可以生成禁用 FTP 訪問的用戶的列表，這些內(nèi)容包含在 /etc/ftpusers 中。我認(rèn)為應(yīng)當(dāng)只允許 root 用戶進(jìn)行 SCP 訪問，并且只能從指定的（首推）服務(wù)器訪問。

不安全的命令

還應(yīng)該進(jìn)行一項(xiàng)檢查，確定 /etc/inetd.conf 中是否沒有注釋掉 rexec。我不會解釋這樣做的安全原因，因?yàn)樗?Linux?、UNIX? 或 AIX 安全文檔對此都有詳細(xì)的解釋。我認(rèn)為如今仍然使用不安全命令的惟一原因可能是因?yàn)?Network Installation Management (NIM) 的推出，并且應(yīng)當(dāng)只允許臨時使用它們。還應(yīng)該運(yùn)行一個查找命令，識別用戶的 HOME 目錄中的所有 .rhosts 文件。除非有特殊的原因要求在不安全的連接中使用 .rhosts 文件，否者應(yīng)當(dāng)報(bào)告這些內(nèi)容，并實(shí)現(xiàn)一個流程，將用戶移動到 SCP。

檢查密碼和組文件的有效性

作為每月報(bào)告的一部分，您可以使用 grpchk 和 pwdck 命令來確定您的組和密碼文件是正確的，不存在任何格式問題或無效的用戶或組。

將所有環(huán)節(jié)銜接起來

從一個中央服務(wù)器運(yùn)行安全報(bào)告腳本，或者，將腳本推向每個必要的遠(yuǎn)程主機(jī)，然后運(yùn)行它。通過這種方式，如果腳本需要進(jìn)行修改，那么只需要在一臺主機(jī)上進(jìn)行修改即可。

在比較只在特定組中才準(zhǔn)許使用的用戶時，我認(rèn)為最好創(chuàng)建一個用戶模板文件，用它來進(jìn)行比較。這個模板文件會在運(yùn)行報(bào)告之前從一個中央服務(wù)器推出，因?yàn)槟總€月都要定期更新這個中央文件，指定用戶或用戶所屬的組或子組。該文件的格式可以與 /etc/group 的格式相同。

groupname1: usera,userb,..

groupname2: usera,userb,..

之后的流程就簡單了很多，遍歷這個文件，將它與 AIX 服務(wù)器上現(xiàn)有的組進(jìn)行比較，然后報(bào)告不匹配的用戶。