从AIX V5.3 TL05开始,IBM引入了一项称为AIX Security Expert的新功能,简称AIXPert。 那到底是什么呢? AIXPert不是单个系统或实用程序; 实际上,它是一个将多个安全控件集中在一个接口内的系统。 早期,提供的最重要功能是用于设置安全级别和控制关键区域的设置。 这些区域包括启用远程服务的规则,IP安全筛选以及对启动文件的更精细控制,其中包括inittab,rc.tcpip和inetd。
随着AIX V6.1的引入,许多新功能被添加到系统中。 这些增强功能包括:
- 定制用户定义策略的能力。
- 更严格地检查root密码。
- 支持Sarbones-Oxley(SOX)-COBIT最佳实践。
- 界面更强大,可帮助您配置环境,并增强了GUI性能。
- 通过LDAP进行集中的策略分发(尽管本文不涉及实际的LDAP实现)。
使用AIXPert
AIXPert的本质是它是一种网络和安全强化工具,将许多功能集成到一个系统中。 在AIXPert之前,您需要记住许多不同的命令。 AIXPert包含300多种安全配置设置,同时仍提供对每个元素的控制。 换句话说,它为所有安全设置(包括TCP,IPSEC和审核)提供了一个中心。 本质上,可以将四个不同级别定义为系统的一部分:高级,中级,低级和高级。
- 在安全性和控制至关重要的环境中应使用High 。 请注意,诸如telnet,rlogin和FTP之类的应用程序以及其他传输非加密密码的系统将无法正常工作,因此在开启此高级别密码时应格外小心。 了解在这种情况下大多数端口将被阻止。 可以直接连接到Internet且具有敏感数据的系统就是将在此级别下运行的系统的很好示例。
- 中级级别适用于驻留在防火墙后的系统,在该系统中用户需要使用telnet等服务,但仍需要保护。 此设置还提供端口扫描和密码设置保护。
- 通常,当系统处于隔离的安全类型的LAN中时,将配置低级安全性。 在系统管理员需要注意不要中断对环境的任何服务的情况下使用此方法。 本文向您展示如何配置这些设置。
- 高级级别用于自定义。 它允许您使用来自不同级别的不同规则,这些规则本身相互排斥。 它本身并不提供更高级别的安全性。
除了任何特定功能,安全性的合并确实为AIXPert增加了价值。 例如,AIXPert以fpm命令的形式合并了文件权限管理器,以帮助管理SUID程序。 本文稍后将演示此功能。
另一个重要功能是能够对系统进行快照并通过企业复制这些设置。 这使您可以在整个组织中克隆安全功能。 此功能包括撤消设置的功能,还可以检查系统的整体安全状况,以报告可能已更改的设置。 撤销安全级别的难易程度不能被夸大。 就像从命令行运行此命令一样简单: # aixpert - u undo.xml 。 此撤消功能是AIX V6.1发行版中的一部分增强功能。
本文说明了如何使用所有可用的方法来配置安全性:通过命令行,通过smit(或smitty)以及通过GUI(在这种情况下,使用AIX Systems Director)。
环顾AIXPert系统
了解AIXPert的重要文件非常重要,这样您才能知道正在使用的文件以及在系统运行时正在修改的文件。 这也可以帮助您解决可能出现的问题。
配置数据本身从父目录/ etc / security / aixpert开始。 系统最重要的文件都可以从此处访问。
第一个文件是aixpertall.xml,可以在以下目录中找到:/etc/security/aixpert/core/aixpertall.xml(请参见图1)。 这是包含所有可能的系统设置的XML列表的文件。
图1. aixpertall.xml
下一个文件是Appliedaixpert文件,它包含已应用安全设置的列表(请参见图2)。 该文件最常用于获取安全快照,以用作自己系统上的文档工具,或获取配置数据并将其应用于其他系统。 您可以使用-f命令执行此操作。 就像运行以下命令一样简单: # aixpert -f appliedaixpert.xml 。
图2. Appliedaixpert.xml
/etc/security/aixpert/log/aixpert.log文件是tracelog文件。 由于AIXPert不使用syslog,因此您需要查看此文件以查看所有应用的安全设置。
如果要使用审核,那么还需要查看etc / security / aixpert / check_report.txt文件。 此外,当使用AIXpert来配置系统时,此文件将报告回在AIXPert之外进行的所有配置更改。 如果未更改应用的安全设置,则此文件应为空。
现在您了解了AIXPert将所有关键文件保存在何处,让我们运行fpm。
使用fpm
fpm命令允许系统管理员通过禁用许多命令上的setuid和setgid位来加强其系统。 这很重要,因为与大多数UNIX系统一样,AIX拥有许多setuid和setgid程序的历史。 在大多数情况下,该命令旨在从特权用户所拥有的命令和守护程序中删除setuid权限,但是它也可以用于满足计算机环境的特定需求。 在执行此命令之前,您需要使用基于角色的访问控制(RBAC)来帮助解决setuid和setgid程序的问题。 使用fpm实际上有助于减少这些文件的数量,无论是否使用RBAC。
让我们看一些例子。
要检查当前是否将系统命令设置为fpm低级权限,请输入清单1中的命令。
清单1.检查系统命令是否设置为fpm低级权限
# fpm -c -l low
Success, no files had the suid bit set在这种情况下,没有文件设置suid位。
清单2显示了在不更改任何实际文件权限的情况下使系统符合fpm命令的高级安全性所需的权限更改。
清单2. fpm高级安全性所需的列表权限更改
# fpm -l high -p 一个或多个文件已经安全。 因此,当前文件权限可能与默认权限不匹配。 如果要在运行此命令之前返回到权限的快照,请使用以下命令: # fpm -l default 。
这会将所有AIX权限恢复为已安装的设置,以及/ usr / lib / security / fpm / custom / default中已经具有的所有自定义设置。
到目前为止,本文主要集中在高级别讨论AIXPert及其功能和最新创新。 您还查看了其实用程序之一:fpm。 在下一节中,您将看到执行实际AIXPert命令的三种不同方式。
使用命令行
AIXPert具有非常强大的命令行。 实际上,它比您可以通过smit或GUI运行的任何功能都要强大得多。
一些比较流行的标志是:
-
-p
- 使用详细输出显示 -C
- 检查整体安全设置 -l
- 检查/etc/security/aixpert/core/appliedaixpert.xml文件中的所有规则 -F
- 在提供的文件名中应用安全设置。 -l
-
将系统安全设置设置为此选项指定的级别。
所有成功应用的规则都将写入/etc/security/aixpert/core/appliedaixpert.xml。
选项包括:
-
h |高
- 指定高级安全性选项 m | medium
- 指定中级安全性选项 l |低
- 指定低级安全性选项 d |默认
- 指定AIX标准级别的安全性选项 s | sox-cobit
- 指定SOX-COBIT最佳实践级别的安全性选项
-o
- 将安全性输出存储到filename指向的文件中 -u
- 撤消已应用的安全设置 -d
- 显示文档类型定义(DTD)
清单3明确告诉系统使用低级安全性选项。
清单3.告诉系统使用低级安全性选项
# aixpert -l low -n -o /etc/security/aixpert/core/mySettings.xml 要应用文件中的设置,请使用-f命令(请参见清单4)。
清单4.应用文件中的设置
# aixpert -f /etc/security/aixpert/core/mySettings.xml本文不会涉及每个场景。 只看而AIXPert联机帮助页上,你可以做任何事情的详细信息(请参阅相关信息中的链接)。
接下来,我们将使用smit与AIXPert一起工作。
使用smit
与大多数其他运行命令和实用程序的方法相比,大多数AIX管理员更喜欢smit。 此处也没有例外,除非您需要真正深入并使用一些低级命令,而这些命令在这里不可用。 使用smit,您可以清楚地看到所有可用的高级命令。 包括设置安全级别,实施和查看SOX-COBIT实践以及检查和撤消安全级别。
在此示例中,您将从使用fastpath smit AIXPert:#smit # smit aixpert 。 然后,将系统配置为低级安全性。
将光标向下切换到低级安全性,如图3所示。在按下Enter键之后,系统将提示您确保要继续运行该命令。
图3.启动smit
在此示例中,您将启动SOX-COBIT最佳实践(请参见图4)。
图4.启动SOX-COBIT最佳实践
审核功能将向审核员报告系统当前是否已配置为符合SOX要求。 配置助手本身会自动实现通常与SOX的COBIT最佳实践相关的安全设置。 目标包括执行密码策略,违反和安全活动报告以及恶意软件检测和更正。
要生成详细的合规性审核报告,可以从命令行使用以下命令: # aixpert -c -ls -p 。
接下来,您将使用GUI配置AIXPert。
使用GUI
在VAIX 6.1之前,您将使用WebSM访问AIXpert的GUI。 对于AIX V6.1,请确保将IBM Systems Director用于AIX控制台。 打开浏览器,打开以下链接: http://hostname:5335/ibm/console 。
如果您的主机名不起作用,请尝试使用您的IP地址。 登录到Systems Director时,请使用root密码。 如果您还没有使用过AIX Systems Director,那么我可以保证您会喜欢它的外观和感觉。 登录后,您将看到主屏幕(请参见图5)。 转到系统环境。
图5.系统环境屏幕
让我们选择如图6所示的AIX Security Expert。
图6.选择AIX Security Expert
您会注意到,从这里您将拥有与使用smit时类似的选项。 选择, 中级安全性 。 与smit相似,系统将提示您确保继续运行命令(请参见图7)。
图7.提示您确定要运行命令
选择“ 是”后 ,系统将处理信息并成功完成操作(请参见图8)。
图8.成功
现在,您就可以通过GUI的便利来利用AIXPert的强大功能。
摘要
本文介绍了AIXPert,这是一种通用的GUI和命令行安全工具。 它讨论了系统可以做什么以及最近使用AIX V6.1实现的增强功能,包括SOX审计支持。 它详细介绍了可以定义为系统一部分的四个不同的安全级别:高,中,低和高级。 它还检查了配置AIXPert的不同方法,包括命令行,smit和GUI,并查看了系统中的实用程序,例如文件权限管理器(fpm)。
翻译自: https://www.ibm.com/developerworks/aix/library/au-aixsecurity/index.html
扫一扫
541
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
